vzdálený síťový disk (home > work)

[Atreides]

Zdravím,

potřebuju krapet nakopnout kde začít...
V práci mám jakýsi server na něm disky pro všechny uživatele

A já bych chtěl se z domova (respektive odkudkoliv kde budu mit inet) pripojit na serverový disk s tím že by bylo ideální si jej namapovat jako F: (bo jine pismeno) a normálně z něj číst i zapisovat.

- lze to udělat pouze správným nastavením portů či jiných hejblat na firemním firewalu ?
- nebo je urcite zapotrebi nejaky VPN software napr OpenVPN..

velice laicky si to představuju že bych si chtěl přidat nový sítový disk > zadam IP firewalu+port > dale nastavim cosi na onom serveru > samolitr pod heslo a doufam ze to pobezi....
Lze to takto jednoduše ??

přiznám se že dnes mi to nějak nemyslí a tak nevím odkud začít..

[NeMeM9aA]

Na tohle je vynikajici sshfs, ale dost pochybuju ze pobezi pod win.

Na win bude asi nejlip pouzit openVPN, ale jelikoz jsem to nezprovoznoval, tak to dost dobre nemuzu komentovat.

[mager]

ve win asi jedine VPN, ta MS je s v serverech a XP pro /tady jen pro jednoho klienta soucasne/ uz zabudovana.

XPP
http://www.zdnetasia.com/insight/net...0223c-1,00.htm

V servevech je to pod Nastroje pro spravu - Smerovani a Vzdaleny pristup

[Jezevec]

Potrebujes na to bud plnohodnotnou VPN nebo, pokud mas ve firme nekde sshcko, muzes testnout forwardovani portu pres nej.

[admix]

A nebo pokud se chces pobavit a byt v bezpeci, tak ipsec tunel - widle ho na l2tp umi!

Jinak k tematu: http://dokan-dev.net/en/download/
Nezkousel jsem, nevim jestli to funguje jak ma (ten program, ne ten princip)

Jo a da se to vyresit forwardem portu, pokud to potahnes pres sshfs, pokud bys to mapoval sambou, tak rozhodne nad sifrovanou VPN

[Petrik]

openVPN neni uplne nejtrivialnejsi, napoprve mi to zabralo cca 6 hodin v nejjednoduzsim setupu (navic mi obcas pada a musi se rucne resnout na serveru), o ipsec koluji po netu hruzostrasne zkazky... ja pouzivam SFTP pres WinSCP, je to zdaleka nejjednoduzsi a zaroven jedno z nejbezpecnejsich reseni, ale pripojeni disku jako pismenka to bohuzel neumi. Dalsi moznos je tunelovat SMB po SSH.

koukni dole: http://helpdesk.ugent.be/netdisk/en/bestand_scp.php mozna by ti to stacilo

UPDATE:Ha! http://www.expandrive.com/windows/

[admix]

Ha! je jen demo, proto jsem ho nelinkoval Jinak OpenVPN je primitivni pro cloveka se zkusenostma, pro BFU je to par hodin nastavovani no

[sasha]

no nevim jake a kde jsi cetl hruzostrasne skazky o ipsecu ... jestli se to tyka jen MS tak mozna ale skusenost s tim nemam.
nicmene tenhle tunel pri pouziti kvalitniho SW nebo HW ti zajisti sifrovany prenos jakychkoliv dat, coz se o ostatnich reseni rici neda....

kdyby to bylo tak strasne tak to neni pouzivane... ale kdyz to chce clovek pouzivat tak tomu musi taky rozumnet... na druhou stranu kdyz procitam forum, tak vidim, ze se lidi pokouseji o skvele vysledky za pomoci ubohych prostredku, pritom staci prihodit par tisic a mas solidni reseni, no ale to jsem ujel mimo tema....

[Petrik]

asi na peti ruznych webech, kde jsem cetl info ohledne tunelu VPN a podobne, odrazovali od ipsecu s tim, ze i pro pokrocileho admina to muze byt velmi komplikovane. Udajne ma byt problem ve spatne udelane specifikaci a nasledne nekompatibilite ruznych implementaci.

[Marty]

Já bych bral ještě v úvahu SSL WebDAV, Windows to umožňují připojit jako "Místo v síti" a i to se dá.

Jinak Atreide, všechny zde navržené řešení počítají se serverem na Linuxu. Řešení by se dalo tak, že pokud jsou data na Windows stroji, tak je namountovat lokálně přes Sambu do nějakého Linuxového stroje a odtama zpřístupnit přes některý z uvedených způsobů.

[Fox!MURDER]

nicmene tenhle tunel pri pouziti kvalitniho SW nebo HW ti zajisti sifrovany prenos jakychkoliv dat, coz se o ostatnich reseni rici neda....

a co prosimte napriklad openvpn neprenese ?
mimo to, jak skrz ipsec preneses napriklad ethernet ? (jednoduse)

Edit: jinak ja ze svejch zkusenosti muzu ovpn doporucit. bezi mi asi 3 servery, ke kterym se pristupuje nahodne v 1-5ti lidech (vic jsem zatim nepotreboval) a naprosto bez problemu ... zadne vytuhy, zadne padani, nic takovyho.
nejtezsi na celym ovpn setupu je pochopit, jak funguje asymetricky sifrovani, klice, certifikaty, atp. pak je to uz dost simple ...

[admix]

nejtezsi na celym ovpn setupu je pochopit, jak funguje asymetricky sifrovani, klice, certifikaty, atp. pak je to uz dost simple ...

Presne

[Paolo]

Nebo se taky může na celou asymetrii vykašlat a udělat to přes shared key a má to v cuku letu.

[sasha]

a co prosimte napriklad openvpn neprenese ?
mimo to, jak skrz ipsec preneses napriklad ethernet ? (jednoduse)

nerikal jsem nic o openVPN.... jen jsem chtel rici, ze neni treba se ipsecu bat... tot vse, ja s nim nemam za poslednich 6 let zadne spatne zkusenosti...
hlavne v klidu sefiku...

[Fox!MURDER]

nerikal jsem nic o openVPN.... jen jsem chtel rici, ze neni treba se ipsecu bat... tot vse, ja s nim nemam za poslednich 6 let zadne spatne zkusenosti...
hlavne v klidu sefiku...

ja jsem v klidu, ale svoje zavery o tom ze neco nejde jinak, nez jak za to platis penize ty, by sis mohl odpustit ...

[sasha]

ale nic takoveho jsem take nerekl, nevim proc bych nemohl poukazat na to, ze existuji reseni (ikdyby na krasne placena) ktera jsou kvalitni a pri pouziti nemene kvalitnich prostredku (sw/hw) odpada reseni vetsiny problemu, o kterych se na tomto i jinych forech clovek muze docist.... vpn, routing, configurace firewallu atd.
s openVPN mam malou, prakticky zadnou zkusenost naopak s ipsecem stalou, tak zcela logicky doporucuji ipsec, samo ze pouziti ipsecu na spatnem stroji nebo software bude delat problemy, ale to plati obecne o cemkoliv, ve vysledku i o openVPN...

navic openVPN je tak bezpecne jak je zabezpeceny server, porovnam-li to s lepsim firewallem tak neni o cem mluvit...
a myslim, ze nema smysl to dal rozvadet...

[Petrik]

Muzes prosim rozvezt jak si to myslel s tim "lepsim firewallem" v porovnani se zabezpecenim serveru? predpokladam ze chces zpochybnovat iptables, nebo se pletu? Jsem jedno ucho

[Fox!MURDER]

nicmene tenhle tunel pri pouziti kvalitniho SW nebo HW ti zajisti sifrovany prenos jakychkoliv dat, coz se o ostatnich reseni rici neda....

tak me teda vysvetli, co vylucuje napriklad openvpn z ostatnich reseni.

krom toho, by me zajimalo totez, co petrika ...

[sasha]

asi vas zklamu, ale nebudu tady rozepisovat rozdil mezi pouzitim serveru a firewalu jako perimetru, beru to jako vtip

[Fox!MURDER]

asi vas zklamu, ale nebudu tady rozepisovat rozdil mezi pouzitim serveru a firewalu jako perimetru, beru to jako vtip

jojo, je to vtip, vzhledem k tomu, ze vetsina tehle zarizeni pouziva jen mirne upraveny software co bezi v serverech ...
ale to uz jsme tu vazne offtopic, protoze co jsem pochopil, tak atreid necekal ani zazraky a ani do toho nechtel vrazet penize ... a uz vubec si nepotreboval honit e-penis nad drahym vybavenim, nebo tim, ze na vrabce umi vzit i kanon

Edit: hehe, jo, jsem vedle v tom, ze s tebou diskutuju ocividne to nema smysl ...

[sasha]

takze nakonec jsi preci jen vedle.... je skoda, ze spousta lidi ma stejny pristup....

[Jezevec]

2sasha: Videl sem, jak jedna nejmenovana firma rozchozovala tunel pres IPsec. Presto, ze dotycny evidetne vedel co dela, trvalo mu to cely den. Nebyla to uplne easy konfigurace + narazel na vsemozny potize s NATem (podotykam, ze zucastneny stroj mel primo routovanou verejnou IP, ale byl zaroven za NATem a to se IPsecu hrube nezdalo).

Osobne jsem rozchozoval OpenVPN tunel, verejnou IP mel jen jeden stroj, druhy byl za NATem na privatnim rozsahu a napoprve s nejakym ctenim man stranek sem to delal cca hodinu. Ten tunel byl tux vs win.

Kdyz sem totez testil pres IPsec, dobral sem se k nulovemu vysledku, nebot tuxi implementace kterou sem pouzil nebyla s tou windowsi compatabilni (a na presne toto narazis i u hodne draze placenych krabek).

[Paolo]

Možná by si mi sasho mohl napsat PM, protože znám i řadu ne zrovna levných řešení a už z principu své práce se s takovými zařízeními setkávám...
Možná Tě to nepotěší, nebo se mi budeš snažit více či méně úspěšně oponovat, ale velká řada z nich i přes vysoké pořizovací náklady nedosahuje dobře nastavenému a udržovanému open-source řešení.

[sasha]

otazka je co presne potrebujes vedet
moje zkusenost s ipsecem je na ciscu, juniperu a checkpointu, pricemz se tyhle hw/sf platformy i krizi.
nejoblibenejsim a take nejlevnejsim resenim je pro mne juniper, pokud je remote gateway taky od juniperu, je to ponekud jednodussi, ale potom zalezi na tom kdo se o druhou stranu stara (je to jen branch office a nebo 3rd party)

v praci na tom juniperu bezi okolo 300 s2s vpn tunelu
nakonfigurovani ipsecu, routingu a policy pro novou vpn mi trva asi 1-2 hodiny, podle policy
pokud je to cerstvy box tak s upgradem a zakladni konfiguraci tak o hodinu az dve vice.

co se tyce konfigurace samotneho tunelu tak je nekolik moznosti, zakladni jsou postavene na routingu (tunnel se postavi prvni packetem a traffic je poslan do tunnelu na zaklade routingu a povolen pres policy) a na policy (traffic ktery pasuje na danou policy je povolen a encryptovan a nasledne odroutovan)
jinak pouzivam tunnel mode...

vicemene nejvice casu zabere nez vlastni konfigurace vyjednani vsech potrebnych parametru a pak dost casu prida - ten jsem zapomnel pripocist konfigurace NATu - v pripade vpn do 3rd party - vetsinou kvuli overlapping ip addresam a z duvodu zkryti interniho ip rozsahu...)

samozrejme peer muze byt staticky a nebo dynamicky

no a tady je konfigurace route based vpnky:

definovani jednotlivych siti (pripadne hostu, rozsahu, etc)
Corp-VPN-Hub-> set address trust local_lan 10.140.10.0/24
Corp-VPN-Hub-> set address vpn denton_lan 10.70.1.0/24

vytvoreni tunnel interfacu (logicky) a prirazeni fyzickemu portu/interfacu
Corp-VPN-Hub-> set zone name vpn
Corp-VPN-Hub-> set interf tun.10 zone vpn
Corp-VPN-Hub-> set interface tun.10 ip unnumbered interface eth0/3

na druhem firewallu
S1-Denton-> set interface tun.10 ip unnumbered interface eth0/0

routing
Corp-VPN-Hub-> set route 10.70.1.0/24 interface tun.10
S1-Denton-> set route 10.140.10.0/24 interface tun.10

specifikace IKE Phase-1 and Phase-2 parameteru:
Corp-VPN-Hub-> set ike gateway denton address 10.0.1.71 main outgoing-
Interface eth0/3 preshare ocuguru sec-level standard
Corp-VPN-Hub-> set vpn denton gateway denton sec-level standard
Corp-VPN-Hub-> set vpn denton bind interface tun.10

S1-Denton-> set ike gateway corp address 10.140.0.3 main outgoing-
interface eth0/0 preshare ocguru sec-level standard
S1-Denton-> set vpn corp gateway corp sec-level standard
S1-Denton-> set vpn corp bind interface tun.10

samo ze jde pouzit certifikat atd a sec-level jde rucne nadefinovat (to jsou vlastne ike proposals tzn konfigurace jednotlivych fazi a ktere algoritmy jsou pouzity, ten sec-level standard je jeden z defaultnich)

IKE Phase-1 Standard Level:
Id Name Auth Grp ESP-e ESP-a Lifetime
-- ------------------ -------- --- ------ ----- ----------
5 pre-g2-3des-sha Preshare 2 3DES SHA-1 28800
7 pre-g2-aes128-sha Preshare 2 AES128 SHA-1 28800

pokud ma byt vpnka porad nahore z duvodu applikacnich:
Corp-VPN-Hub-> set vpn denton monitor rekey

no a policy na zaver:
Corp-VPN-Hub-> set policy from trust to vpn local_lan denton_lan any
permit policy id = 5
Corp-VPN-Hub-> set pol from vpn to trust denton_lan local_lan any
permit policy id = 6

samo ze jde specifikovat jaky service ma byt povolen...

v tuto chvili mohu lehce videt jestli je vpn nahore, popripadne v ktere fazi kkonci a co je duvodem, logovany traffic atd...

tak snad jsem neco nevynechal uz hlady sotva vidim. takze jak vidite je to proste..
no a samozrejme tu neni konfigurace veci jako jsou dns proxy, alg, dynamicky routing, traffic shaping, content security, high availability, multikastink, virtualni systemy, nat atd...

takze to je pro priklad, pro mini firmu to samozrejme bude moc cool reseni, ale krabicka ktera tohle zvladne stoji okolo 300 dolaru... nevim kolik stoji licence pro klastrovani.... to bych musel zjistit.

[sasha]

jo a konfigurace je mozna pres ssh, telnet, web, https, a mangement gui.
me nejvice asi vyhovuje to ssh viz predchozi post, je to rychlejsi nez klikani a clovek rychle muze zkontrolovat konfiguraci.

co se debugovani tyce, je tu kupa prikazu, ktere primo ukazuji bud pro dany process co se s paketem deje a nebo ukazi cely prubeh, atd...