Komma åt servern från WAN utan VPN på ett säkert sätt?

Trädvy Permalänk
Medlem
Registrerad
Jun 2012

Komma åt servern från WAN utan VPN på ett säkert sätt?

Hej,
Jag har en server som jag vill kunna komma åt från WAN (internet) men jag kommer inte kunna göra det med hjälp av VPN så det är uteslutet.
Och jag har ingen större lust att öppna RDP porten heller.

Jag kan om möjligt sätta upp en VM eller liknande om det skulle vara bättre att på något sett köra in direkt in i den för att sedan komma åt servern genom den? Att den fungerar som ett första steg eller liknande.

Någon som har några förslag?

Supermicro X9SRI-F | Xeon E5-2690 v2 | 128GB 1600MHz RDIMM | Dell Perc H200 (9211-8i IT) | Windows Server 2016 DataCenter med Hyper-V

Trädvy Permalänk
Medlem
Plats
Vid datorn
Registrerad
Apr 2002

En enkel lösning kan vara tex en vm med teamviewer som du sedan kör vidare ifrån,men jag vet inte hur säkert det är,men man kan ju iaf begränsa så mkt som möjligt genom att inte låta vm:en ha tillgång till hela ditt nätverk utan lösenord osv, sen kör du putty tex från vm:en med lösenord och inte nyckel, eftersom det då räcker att komma in till vm:en så är servern fri.

Trädvy Permalänk
Medlem
Plats
-
Registrerad
Dec 2004

Hmm, teamviewer med 2 step authentication? + endast insläpp ifrån ett fåtal adresser? ^^

Det fanns en gång en båt...

Trädvy Permalänk
Medlem
Plats
Vid datorn
Registrerad
Apr 2002

@Allexz: Det förutsätter ju att man har samma ip på mobilen hela tiden tex, eller om man kör wifi på jobbet o kan be om statiskt ip kanske då funkar det ju, men inte om man tex är ute o reser.

Jag förutsatte att du körde linuxserver men kör du windows server kan du ju tex köra Radmin eller liknande, de sparar inte heller lösenorden så då kommer inte folk vidare från vm:en heller utan pill.

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jul 2016

@Calby:

Vad sägs om denna här realvnc?

https://www.realvnc.com

Använder mycket denna för många år sen men tycker den är bra.

Dock kräver det att man öppnar upp en port man det kan det väl vara värt?

Man är inte dum för att man har stavproblem.
Läs mer om min synfel Visual Snow
Om mig ----> #16970666

Trädvy Permalänk
Medlem
Registrerad
Jun 2012
Skrivet av BABOON_ASS:

@Allexz: Det förutsätter ju att man har samma ip på mobilen hela tiden tex, eller om man kör wifi på jobbet o kan be om statiskt ip kanske då funkar det ju, men inte om man tex är ute o reser.

Jag förutsatte att du körde linuxserver men kör du windows server kan du ju tex köra Radmin eller liknande, de sparar inte heller lösenorden så då kommer inte folk vidare från vm:en heller utan pill.

Kör Windows server.

En 2fa lösning skulle vara guld iofs, remote till min laptop hemma - sen putty eller rdp från den till servern.

Kör även ett par Ubuntu servrar så putty blir ju med per automatik.

Skickades från m.sweclockers.com

Supermicro X9SRI-F | Xeon E5-2690 v2 | 128GB 1600MHz RDIMM | Dell Perc H200 (9211-8i IT) | Windows Server 2016 DataCenter med Hyper-V

Trädvy Permalänk
Medlem
Plats
här..
Registrerad
Jun 2006

Vad vill du accessa din server ifrån? En möjlig lösning skulle ju vara att sätta upp en Linux burk med SSH öppet utåt och sedan köra med port-forwarding över SSH. Kör du enbart med SSH nycklar så är det riktigt säkert så länge du ser till att din nyckel är säker.

Ska du accessa den ifrån random datorer så kan det ju dock vara problematiskt då det gäller att du har tillgång till en SSH klient och din SSH nyckel. Nyckeln skulle man ju kunna ersätta med lösenord + någon 2FA system dock.

Trädvy Permalänk
Medlem
Registrerad
Dec 2015
Skrivet av Sir. Haxalot:

Vad vill du accessa din server ifrån? En möjlig lösning skulle ju vara att sätta upp en Linux burk med SSH öppet utåt och sedan köra med port-forwarding över SSH. Kör du enbart med SSH nycklar så är det riktigt säkert så länge du ser till att din nyckel är säker.

Ska du accessa den ifrån random datorer så kan det ju dock vara problematiskt då det gäller att du har tillgång till en SSH klient och din SSH nyckel. Nyckeln skulle man ju kunna ersätta med lösenord + någon 2FA system dock.

Räcker det inte med vanligt SSH med lösenord, root kontot deaktiverat och denyhosts? Då kan du ju komma åt från alla enheter på alla olika IP så länge du minns ditt lösenord

Trädvy Permalänk
Medlem
Plats
Skövde
Registrerad
Jan 2009

Jag tror du missar beskriva något @calby, vad är begränsningen?

Du säger att du kan öppna portar och du kan skapa en extra vm. Får du inte installera någon klientmjukvara som hindrar dig från att använda en vpn lösning eller vad är behovet av ett alternativ?

Pentium E5200, 4x2048MB DDR2 667mhz, ATI RADEON HD4670 512MB.
AMD 4850E, 4x2048 DDR2 667Mhz. ATI RADEON HD3200.

Trädvy Permalänk
Medlem
Plats
Skövde
Registrerad
Maj 2010

i7-6700K | MSI Z170A | MSI 1080 8GB | 16GB Kingston HyperX | Intel 600P 256GB | Samsung EVO Basic 840 250GB x2 raid 0 | Corsair RM 750W | 3 x Dell U2414H

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Feb 2013
Skrivet av Klubba:

Räcker det inte med vanligt SSH med lösenord, root kontot deaktiverat och denyhosts? Då kan du ju komma åt från alla enheter på alla olika IP så länge du minns ditt lösenord

Nej, aldrig lösenord! Kör nycklar isf, med hög kryptering.

Citera för svar

- Stora Owncloud/Nextcloud-tråden: http://www.sweclockers.com/forum/122-server/1212245-officiell...
- Min blogg: Tech & Me https://www.techandme.se

Trädvy Permalänk
Medlem
Registrerad
Jun 2012
Skrivet av enoch85:

Nej, aldrig lösenord! Kör nycklar isf, med hög kryptering.

Jag skulle säga lösenord + 2fa få SSH har fått stöd för det.

Skickades från m.sweclockers.com

Supermicro X9SRI-F | Xeon E5-2690 v2 | 128GB 1600MHz RDIMM | Dell Perc H200 (9211-8i IT) | Windows Server 2016 DataCenter med Hyper-V

Trädvy Permalänk
Medlem
Registrerad
Jun 2012
Skrivet av petabyte:

Jag tror du missar beskriva något @calby, vad är begränsningen?

Du säger att du kan öppna portar och du kan skapa en extra vm. Får du inte installera någon klientmjukvara som hindrar dig från att använda en vpn lösning eller vad är behovet av ett alternativ?

Precis, jag har begränsad installationsmöjlighet på clienten som jag ska ansluta från till servern.

Och VPN lösning går inte pga begränsningarna.

Skickades från m.sweclockers.com

Supermicro X9SRI-F | Xeon E5-2690 v2 | 128GB 1600MHz RDIMM | Dell Perc H200 (9211-8i IT) | Windows Server 2016 DataCenter med Hyper-V

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Feb 2013
Skrivet av Calby:

Jag skulle säga lösenord + 2fa få SSH har fått stöd för det.

Skickades från m.sweclockers.com

SSH har stöd för 2FA, men jag förstår inte varför du vill köra med lösenord när nycklar är både enklare och säkrare?

Citera för svar

- Stora Owncloud/Nextcloud-tråden: http://www.sweclockers.com/forum/122-server/1212245-officiell...
- Min blogg: Tech & Me https://www.techandme.se

Trädvy Permalänk
Medlem
Registrerad
Jun 2012
Skrivet av enoch85:

SSH har stöd för 2FA, men jag förstår inte varför du vill köra med lösenord när nycklar är både enklare och säkrare?

Nycklar är mer strul fall om man är på språng och måste in och saknar nyckeln.
Sen hur kan en nyckel vara säkrar än ett komplexlösebord + token? (2fa)?

Skickades från m.sweclockers.com

Supermicro X9SRI-F | Xeon E5-2690 v2 | 128GB 1600MHz RDIMM | Dell Perc H200 (9211-8i IT) | Windows Server 2016 DataCenter med Hyper-V

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Feb 2013

En ECDSA-nyckel är mycket säkrare än lösnord. 2FA eller inte. Du blir garanterat utsatt för bruteforceförsök med lösenord, det slipper du med key.

Du använder väl Juice-SSH? Så det där med att "behöva nyckeln på språng" förstår jag inte riktigt. För, mobilen har du väl med dig överallt? Annars faller ditt 2FA-argument också.

Citera för svar

- Stora Owncloud/Nextcloud-tråden: http://www.sweclockers.com/forum/122-server/1212245-officiell...
- Min blogg: Tech & Me https://www.techandme.se

Trädvy Permalänk
Medlem
Registrerad
Jun 2012
Skrivet av enoch85:

En ECDSA-nyckel är mycket säkrare än lösnord. 2FA eller inte. Du blir garanterat utsatt för bruteforceförsök med lösenord, det slipper du med key.

Du använder väl Juice-SSH? Så det där med att "behöva nyckeln på språng" förstår jag inte riktigt. För, mobilen har du väl med dig överallt? Annars faller ditt 2FA-argument också.

Tänkte mer om du vill ansluta dig frn en annan workstation på språng.

Btwn, någon som vet om man SSH:ar sig in i en Ubuntu server går det då på något sett att ansluta sig från den servern via rdp in till min Windows server?

SSH -> Ubuntu server -> rdp -> Windows server?

Skickades från m.sweclockers.com

Supermicro X9SRI-F | Xeon E5-2690 v2 | 128GB 1600MHz RDIMM | Dell Perc H200 (9211-8i IT) | Windows Server 2016 DataCenter med Hyper-V

Trädvy Permalänk
Medlem
Registrerad
Okt 2007

Räcker inte ett starkt lösenord? Tänkte för att man kan ju blockera inloggning för X minuter om man failar Y antal gånger. Skulle ju ta åratal att bruteforca. Men kanske finns andra risker?

Ryzen 1700 @3,8Ghz 1,342V | Corsair Vengeance LPX 2x8Gb (CMK16GX4M2B3000C15) | Asus Prime x370 Pro | MSI GTX 770 2GB SLI

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Feb 2013
Skrivet av Calby:

Btwn, någon som vet om man SSH:ar sig in i en Ubuntu server går det då på något sett att ansluta sig från den servern via rdp in till min Windows server?

SSH -> Ubuntu server -> rdp -> Windows server?

Skickades från m.sweclockers.com

Har inte provat, men rent spontant så tror jag inte det går. Du kan nog inte få t.ex. Putty att gå med på att ge dig en Desktopmiljö i ett extra fönster.

Skrivet av Tony32:

Räcker inte ett starkt lösenord? Tänkte för att man kan ju blockera inloggning för X minuter om man failar Y antal gånger. Skulle ju ta åratal att bruteforca. Men kanske finns andra risker?

Visst kan du installera F2B, men ett extra lager för att skydda något som du slipper med nyckel.

Här har du en gammal guide jag skrev för ownCloud back in the days: https://www.techandme.se/fail2ban-owncloud/

Citera för svar

- Stora Owncloud/Nextcloud-tråden: http://www.sweclockers.com/forum/122-server/1212245-officiell...
- Min blogg: Tech & Me https://www.techandme.se

Trädvy Permalänk
Medlem
Plats
Skövde
Registrerad
Jan 2009
Skrivet av Calby:

Precis, jag har begränsad installationsmöjlighet på clienten som jag ska ansluta från till servern.

Och VPN lösning går inte pga begränsningarna.

Skickades från m.sweclockers.com

Skrivet av Calby:

Tänkte mer om du vill ansluta dig frn en annan workstation på språng.

Btwn, någon som vet om man SSH:ar sig in i en Ubuntu server går det då på något sett att ansluta sig från den servern via rdp in till min Windows server?

SSH -> Ubuntu server -> rdp -> Windows server?

Skickades från m.sweclockers.com

Då förstår jag problemet, du skulle kunna använda en SSH tunnel som sätter upp en automatiskt port forwarding när du är ansluten med SSH. Det går att göra med putty, jag skulle rekommendera putty portable så har du med dig konfigurationen på en usb sticka eller liknande.

Här finns en guide på hur du gör: https://www.skyverge.com/blog/how-to-set-up-an-ssh-tunnel-wit...

Source port är den port du vill använda för port forwarding, guiden skriver 8080. Du ska därmed skriva localhost:8080 i remote desktop connection.

Destination är det lokala ip nummer ubuntu servern använder för att ansluta mot din windows server följ av port-nummret, för rdp som du är 3389.

Pentium E5200, 4x2048MB DDR2 667mhz, ATI RADEON HD4670 512MB.
AMD 4850E, 4x2048 DDR2 667Mhz. ATI RADEON HD3200.

Trädvy Permalänk
Medlem
Plats
Där min VPN visar
Registrerad
Jan 2005
Skrivet av Calby:

...men jag kommer inte kunna göra det med hjälp av VPN så det är uteslutet.

Får jag fråga varför?

Trädvy Permalänk
Medlem
Registrerad
Sep 2017
Skrivet av Undie:

Får jag fråga varför?

Han sitter väl på jobbet och vill komma åt hemmanätverket via jobbdatorn och deras internetanslutning.

Jobbar han på ett stort företag så kan han inte installera något på datorn. Men antagligen skulle där också finnas andra begränsningar som att all utgående trafik går via proxyserver och de flesta portar förutom 80,443 är nerstängda i brandväggen.

Trädvy Permalänk
Medlem
Registrerad
Jun 2012
Skrivet av niterider:

Han sitter väl på jobbet och vill komma åt hemmanätverket via jobbdatorn och deras internetanslutning.

Jobbar han på ett stort företag så kan han inte installera något på datorn. Men antagligen skulle där också finnas andra begränsningar som att all utgående trafik går via proxyserver och de flesta portar förutom 80,443 är nerstängda i brandväggen.

Portar är inga problem då jag inte begränsas av dom.
Det är mer att jag lär vara inne på företagetsnätcetk för att mina program och rdp till våra servrar ska fungera.

Dvs kan inte köra VPN då de kommer störa mitt arbete.

Skickades från m.sweclockers.com

Supermicro X9SRI-F | Xeon E5-2690 v2 | 128GB 1600MHz RDIMM | Dell Perc H200 (9211-8i IT) | Windows Server 2016 DataCenter med Hyper-V

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jul 2002

På jobb så kör vi med https://www.mobilityguard.com/en/onegate/ för att ge kunderna tillgång till deras servrar. Man ansluter via en html5 RDP klient. Behövs ingen installation eller liknande utan de drar igång i browsern direkt. Finns hur många olika sätt som helst för att få 2FA också.

Finns säkert liknande lösningar som är billigare/gratis.

Edit: https://guacamole.incubator.apache.org/ Guacamole ska visst vara den populäraste gratislösningen som dessutom är open source. 2FA går att fixa med DUO visst. https://guacamole.incubator.apache.org/doc/gug/duo-auth.html

Trädvy Permalänk
Medlem
Registrerad
Dec 2008

Jag har gratisvarianten av sophos brandvägg och där finns en html5-klient för RDP. Fungerar bra tycker jag.

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Feb 2005

Det kanske inte är något du skall ägna dig åt under arbetstid?

Och om det nu är något du behöver göra i arbetet så är det i så fall upp till företaget att fixa så det går.

Trädvy Permalänk
Medlem
Registrerad
Sep 2017
Skrivet av Calby:

Portar är inga problem då jag inte begränsas av dom.
Det är mer att jag lär vara inne på företagetsnätcetk för att mina program och rdp till våra servrar ska fungera.

Dvs kan inte köra VPN då de kommer störa mitt arbete.

När jag måste accessa flera VPN nätverk och vissa tillåter inte trafik utanför tunneln eller det finns andra begränsningar så kör jag bara det i olika virtuella maskiner under virtualbox.