vrijdag 3 september 2010 10:32

Acties:
  • ZaZ
  • Registratie: Oktober 2002
  • Laatst online: 31-01 13:58

ZaZ

Tweakers abonnee

Topicstarter
Ik en mijn collegae moeten naar veel verschillen klanten connecten op allerlei verschillende manieren.
Vaak hebben we hier een template voor in de vorm van een VM zodat de laatste security updates etc niet op elke desktop hoeven te doen.
Vaak wordt er een VPN verbinding opgezet vanuit de VM zodat we dan via RDP ons ding kunnen doen.

Nu wil het zo dat we een software ontwikkelingsbedrijf zijn en op die VM niet alle ontwikkeltools hebben staan.
Nu zou het dus geweldig zijn als je gewoon vanaf je eigen computer kan connecten met als tussenstation de VM.

Zal het iets beter proberen uit te leggen:
De VM luistert naar alle poorten en stuurt alles wat daarop binnenkomt gewoon door naar een ander adres.
Dus bijv Oracle server bij de klant luistert naar poort 1521
Ik connect vanaf mijn eigen computer naar mijn VM met VPN verbinding op poort 1521 en die doet alsof ie de Oracle server is omdat ie dat doorsluist.

Beetje die situatie. Is dat mogelijk? Zijn daar bestaande tools voor?
Graag een schop in de goede richting.

Lekker op de bank

vrijdag 3 september 2010 22:41

Acties:
  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 16:23

CAPSLOCK2000

zie teletekst pagina 888

Waar je om vraagt heet NAT (Network Address Translation).
Onder LInux zou je het zo doen: iptables -t nat -A PREROUTING -i eth0 -j DNAT --to-destination 10.20.30.40 . Onder windows kun je vast ergens op klikken.


Ik vraag me af of wat jij voorstelt wel verstandig is.
Zoals je zelf aangeeft zit die VM er tussen voor de veiligheid. Als je die VM nu alles blind laat doorsturen dan ben je die veiligheid helemaal kwijt.

Verder is zo'n VM geen reden om je desktop niet te patchen, zeker niet als je verbinding maakt met zo veel andere systemen. Zelfs met zo'n VM er tussen kan er nog genoeg mis gaan.

This post is warranted for the full amount you paid me for it.

zaterdag 4 september 2010 13:18

Acties:
  • ItsValium
  • Registratie: Juni 2009
  • Laatst online: 01-02 14:10

ItsValium

Je kan natuurlijk ook altijd de nodige vpn connecties laten opzetten door je router/firewall. Waarna je dan via je gewone pc kan connecten naar de desbetreffende machines alsof ze in je lokale netwerk staan.

Zo gebruik ik dit voor mijn professionele bezigheden. (Ik kan pfsense aanraden als appliance hiervoor)

Zowiezo sluit ik me aan bij wat CAPSLOCK2000 hierboven al zegt ivm patchen. Zorg steeds dat je ontwikkel en productie machines de nieuwste patchen krijgen, zo vermijd je onnodige problemen ingeval van ontbrekende updates en andere elementen.

zaterdag 4 september 2010 13:31

Acties:
  • Dysmael
  • Registratie: Januari 2002
  • Laatst online: 01-08-2019

Dysmael

SSH-tunneling geen optie? Dan heb je ook geen VPN meer nodig.

De firewall bij de klant zo instellen dat RDP alleen vanaf jullie IP mogelijk is.
Lokaal een SSH tunnel opzetten naar een interne SSH-server: ssh gebruiker@intern.lan -t 3389:remote.klant.com:3389 (o.i.d.)
Er zijn ook interessante tools met GUI te vinden voor Windows waar je alle tunnels al in kan voorbereiden. Enige wat je dan hoeft te doen is de tunnel activeren voor de desbetreffende klant en een RDP sessie te starten naar localhost:3389

maandag 6 september 2010 10:12

Acties:
  • deadlock2k
  • Registratie: Januari 2003
  • Laatst online: 01-12-2025

deadlock2k

-

[ Voor 99% gewijzigd door deadlock2k op 06-08-2021 16:27 ]

maandag 6 september 2010 10:52

Acties:
  • ZaZ
  • Registratie: Oktober 2002
  • Laatst online: 31-01 13:58

ZaZ

Tweakers abonnee

Topicstarter
Bedankt voor de reacties zover :)
Ik heb gekeken naar NAT maar volgens mij is dat niet wat ik zoek. Of ik kom er gewoon niet goed uit, dat kan ook. Dat wordt vaak gebruikt om het internet te delen en wordt het een gateway toch? Dat is niet echt wat ik zoek denk ik.

SSH is geen optie. De klanten hebben hun eigen security policies en ik heb daar totaal geen inspraak in (misschien maar beter ook )

Voorbeeldje van een klant:
Wij krijgen een computer waarop hun VPN software staat met allemaal andere integriteits tools.
Als we iets met de live of test omgeving willen proberen moeten we achter die computer gaan zitten. Niet handig dus!
Nu heb ik die computer gevirtualiseerd en is het al iets makkelijker. Wat dev tools erop en nu kunnen we het een en ander testen vanaf onze eigen pc.
Zo kan ik bijvoorbeeld TOAD installeren op de VM en dan rechtstreeks naar hun database connecten.
Maar het zou veel mooier zijn als ik dat vanaf mijn eigen pc kan. Dus ik ga dan bijvoorbeeld naar [ip van vm] poort 1521. Die snapt dan van "oh die sturen we door naar bijv 111.111.11.11
deadlock2k schreef op maandag 06 september 2010 @ 10:12:
[...]

Is wat hij wil geen port address translation? Zeg maar poort 1521 moet naar de oracle server en 8080 naar een andere bak, zoiets?
Klinkt wel wat ik nodig heb. Ga even onderzoeken.

Lekker op de bank

maandag 6 september 2010 14:26

Acties:
  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 16:23

CAPSLOCK2000

zie teletekst pagina 888

NAT (network address translation) wordt idd veel gebruikt om internet te delen. Computers die zelf geen internet hebben kunnen toch een verbinding krijgen door een andere computer als doorgeefluik te gebruiken. Dat wil jij eigenlijk ook. Je desktop heeft geen toegang tot de servers van je klanten, dus je wil die VM als doorgeefluik gebruiken.
Het door deadlock2k genoemde PAT (port address translation) is hier aan gerelateerd. Het verschil is dat PAT beslist aan de hand van welke poorten je gebruikt en NAT kijkt naar de ip-adressen. (Je kan het ook combineren).

Ik wil nog een keer herhalen dat dit me geen goed idee lijkt. Je klanten geven je een veilig systeem met toegang tot hun interne netwerk. Vervolgens ga jij een gat prikken om je eigen onveilige desktop op hun interne netwerk aan te sluiten.
Als je dat dan toch wil kun je beter vragen of ze jouw desktop niet rechstreeks toegang kunnen geven tot hun interne netwerk. Kwa veiligheid verschilt dat nauwelijks van wat jij van plan bent en dan weten ze tenmiste waar ze aan toe zijn.

This post is warranted for the full amount you paid me for it.

maandag 6 september 2010 18:47

Acties:
  • deadlock2k
  • Registratie: Januari 2003
  • Laatst online: 01-12-2025

deadlock2k

-

[ Voor 100% gewijzigd door deadlock2k op 06-08-2021 16:26 ]

dinsdag 7 september 2010 15:01

Acties:
  • ZaZ
  • Registratie: Oktober 2002
  • Laatst online: 31-01 13:58

ZaZ

Tweakers abonnee

Topicstarter
Ok bedankt, ik heb denk ik wel genoeg info om eruit te komen.

Ik zou trouwens ook liever zien dat ik zelf via VPN kan inloggen, zo hebben we het ook bij een andere klant.
Maar vooral 1 hele grote klant is redelijk stug als het gaat om dit soort dingen. Een verlopen token weer activeren of iets dergelijks gaat nauwelijks zonder eerst door hoepels te springen.
Een groot drama.

Lekker op de bank

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq