Russian Users MikroTik | Форум пользователей MikroTik

Коллеги, там все немного не так.

речь идет о том, что RDP работает по туннелю SSH. Данные шифруются и безопасность повышается (ну относительно). А соединение SSH можно поднимать без паролей по спец ключам. Роде бы как одни удобства. Настраивать на микротике нужно только SSH, порт маппинг для RDP не нужно.

В посте выше дана ссылка на презентацию. Там все очень хорошо описано.

Мое мнение - все это паранойя! Скорее всего это может быть использовано только для RDP под Windows XP, так как сама по себе система уже старая и это потенциальная дыра в сети. С более современными ОС, проще все сделать напрямую.

А вообще давно придуманы VPN. Все гораздо проще. И не потребуется клиентам ставить всякие Putty и PuttyGen и тому подобное. Все уже есть в винде.

gmx писал(а):А вообще давно придуманы VPN. Все гораздо проще.

Вот и я про тоже, не понимаю зачем ССХ то использовать и велосипед изобретать?
В плане администрирования ну ок для того что бы не мудрить ВПН (если он не нужен) то можно использовать. А обычным юзерам ставить что то, объяснять. Ну честно не понимаю.

Ну топик стартер написал жеж - чужому человеку дать доступ)))
Хотя да... если чужой человек получит доступ к рдп, то он уже из под рдп сможет "наЧУЖить".....
А вообще, SSH туннели штука довольно удобная... Не так давно включал в себе параноика и писал батник, который делал хитрый ICMP кнокинг (для каждого юзверя свой), затем строил SSH туннель с SSH ключём, затем запускал доступ рдп клиент.... (это было до того, как в микротик был внедрён механизм отзыва сертификатов)

VPN бесспорно лучше, канал стабильнее, можно файрвол настроить как угодно, а еще не зная пароля на другой комп не переставишь.

но задача немного другая, доступ должен быть защищенный с любого компа, пока я придумал так:
я человеку по почте отправил 3 файла:
1-plink.exe
2-Рабочий стол.rdp
3-VPN.exe

VPN.exe это тот же батник но exe, внутренности у него такие:
@echo off
set TMPFILE=%TMP%\mytempfile-%RANDOM%-%TIME:~6,5%.tmp

(
echo PuTTY-User-Key-File-2: ssh-dss
echo Encryption: none
echo Comment: ххххххххххххххххххх
echo Public-Lines: хх
echo хххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх
echo хххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх
echo хххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх
echo хххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх
echo хххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх
echo хххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх
echo хххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх
echo хххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх
echo хххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх
echo Private-Lines: х
echo хххххххххххххххххххххххххххххххх
echo Private-MAC: хххххххххххххххххххххххххххххххххххх
)>"%TMPFILE%"

plink.exe -v -ssh -l ХХХХХХХХХХХХ -C -i "%TMPFILE%" -L 31337:192.168.0.1:3389 blabla.ru

но запретить "любопытному чужому человеку" полазать где нибудь еще внутри моей сети я не могу, он с легкостью может создать батник, скопировать ключ, и поменять эти настройки "31337:192.168.0.1:3389", и микротик ему это не запретит.

Другой вопрос не сунется ли любопытный куда либо уже будучи на терминале?

И опять я ни фига не понимаю. Ну зачем вам давать доступ на Микротик, даже урезанный. Ну прочитайте мой пост, пжлст.
1. Пробрасываем от машины к которой нужен доступ наружу порт для ssh ( наружу будет смотреть нестандартный порт, поэтому долбиться не должны)
2. На самой машине заводим юзера и обрезаем ему права до ( ну сами решите, насколько его ограничить) , лишь бы он мог зайти по ssh и подключить рабочий стол.
3. Даем параметры доступа вашему юзеру, пусть ходит на эту машину.
4. Дабы снизить риск и порадовать паранойю на Микротике применяем доступ по нестандартным портам и сложному паролю.
И теперь еще раз, где в этой схеме место вашему любопытному человеку? Или я опять что-то недопонял? Зачем на самом Тике юзера заводить?

Да скорее всего у ТС несколько RDP в сети.
Вот он и поднимает SSH до микротика, а потом подключается к нужному RDP.

Я бы настаивал на VPN соединении. Можно отправлять клиентов в отдельную подсеть/vlan, отгороженную от всего, кроме конкретных нужных хостов/портов.
Опять таки, если мы говорим о заботе о пользователях, то можно использовать Ovpn и давать им предварительно подготовленный клиент со всеми необходимыми настройками.
И пользователям удобно и базовые требования безопасности соблюдены.

podarok66 писал(а):И опять я ни фига не понимаю. Ну зачем вам давать доступ на Микротик, даже урезанный. Ну прочитайте мой пост, пжлст.
1. Пробрасываем от машины к которой нужен доступ наружу порт для ssh ( наружу будет смотреть нестандартный порт, поэтому долбиться не должны)
2. На самой машине заводим юзера и обрезаем ему права до ( ну сами решите, насколько его ограничить) , лишь бы он мог зайти по ssh и подключить рабочий стол.
3. Даем параметры доступа вашему юзеру, пусть ходит на эту машину.
4. Дабы снизить риск и порадовать паранойю на Микротике применяем доступ по нестандартным портам и сложному паролю.
И теперь еще раз, где в этой схеме место вашему любопытному человеку? Или я опять что-то недопонял? Зачем на самом Тике юзера заводить?

Спасибо за идею, как понимаю для ее реализации надо на винду с РДП установить SSH сервер, а уж ее выставить наружу.

Пока у меня не было опыта эксплуатации такой конструкции, никогда не приходилось ставить ssh на винду, в общем то с тем же успехом можно просто rdp наружу выставить помоему.