De efficiëntste manier van RDP via SSH met deze hardware?

Ik ben opzoek naar de beste meest efficiënte oplossing om een remote desktop verbinding naar mijn PC in het thuis netwerk op te zetten. Ik heb me hier en via Google al behoorlijk ingelezen, maar toch kom ik er niet helemaal uit. De PC die remote wil kunnen bedienen draait Windows 10 Pro en heeft een vast IP in het thuisnetwerk. Nu kan ik natuurlijk in de Firewall poort 3389 open zetten voor TCP/UDP verkeer en op de andere PC buiten het netwerk dan via mstsc mijn IP/username en wachtwoord een RDP sessie opzetten. Dit is onveilig en op veel plaatsen en bij bedrijven waar ik kom zijn alle poorten en VPN geblokkeerd. Ik moet dus gebruik maken van SSH en poort 80 en/of 443. Nu heb ik de volgende hardware in mijn thuis netwerk:

Router: Fritz!Box 7360
NAS: ZyXel NSA 325 V2 (ik kom er zo op terug, waarom ik deze noem)
PC: Windows 10 Pro X64

Wat is nu de efficiëntste manier om RDP via SSH in te richten? De PC zou ik indien nodig door via myfritz.net in te loggen op mijn router een LAN Wake Up signaal kunnen geven (mocht ik energie willen gaan besparen). Is er een mogelijkheid om SSH op de Fritz!Box te draaien? Of moet ik dit (met deamon en zo ja, welke dan?) op de Windows 10 Pro cliënt draaien? De ZyXel NSA 325 V2 heeft wel wat applicatie installatie mogelijkheden, maar het is natuurlijk geen Synology. Nu kan ik op de NAS Fonz Fun Plug (ffp) op installeren wat blijkbaar ook SSH mogelijkheden creëert. Hier ben ik niet heel happig op, omdat ik dan niet weet wat ik precies allemaal doe (geen Linux kennis) en er staat belangrijke data op de NAS (ja, er is een back-up, maar ik heb geen zin om dat allemaal weer opnieuw te moeten inrichten mocht het mis gaan en ik ben er banger voor dat de data ‘op straat’ ligt).

Een volgende stap zou dan zijn om mijn IP via een DNS domein te laten lopen en zodra mijn router een nieuw IP krijgt dit naar de DNS te pushen. Ik heb al sinds ik de router heb hetzelfde IP, dus hier ligt mijn zorg dus nog even niet. Eén keer in de week kom ik wel weer thuis, dan zou ik dit kunnen fiksen (mocht dit voorkomen).

Ik kan me niet voorstellen dat ik de enige ben met dit probleem. Nu heb ik wel de nodige basiskennis, maar een stappenplan heb ik nog niet gevonden of iemand met een soort gelijke vraag. Nu is deze vraag natuurlijk ook wel behoorlijk hardware specifiek.

Ik ben overigens niet op zoek naar TeamViewer of LogMeIn achtige oplossingen, graag wil ik weten wat er precies gebeurd en hou ik alles zelf het liefst in de hand.

[ Voor 3% gewijzigd door Jumpman op 02-03-2016 11:22 ]

Ik kan geen VPN configureren op de locatie waar ik op dit moment zit. Ook de Windows 7 zit dicht.

Voorheen had ik een collega die ook met SSH Remote Desktop opzette naar zijn PC op een andere locatie. Helaas werkt hij er niet meer (detachering).

u_nix_we_all schreef op woensdag 02 maart 2016 @ 18:23:
[...]

Je VPN configureer je thuis Maar je bedoelt waarschijnlijk dat je op die PC geen software (openvpn client) kunt installeren. Dan is het waarschijnlijk ook niet de bedoeling dat je er een verbinding naar buiten mee maakt Heb je geen eigen hardware waarmee je op internet kan (byod of evt. je telefoon) ?


[...]

Je zou met ssh-tunnels kunnen werken, ik denk dat dat met putty wel kan, die kun je als portable app draaien zonder iets te installeren. Mag je wel met ssh naar buiten ?

Alle verkeer via poort 80 en 443 is toegestaan. Degene die mij inhuurt werkt met een portable LogMeIn en zit achter mij. Verder staat er in de policy bij mijn huidige klant niets. Verder kan ik inderdaad geen VPN cliënt draaien. Overigens zit er wel een TeamViewer Business op de PC, hier heb ik een keer mijn ouders mee geholpen op afstand.

Mijn oude collega deed het inderdaad met SSH tunnels (had inderdaad thuis een Raspberry Pi). Hij heeft het wel globaal uitgelegd, maar ik heb me toen vooral gefocust op mijn taken en de daarbij horende processen. Nu ik ingeburgerd ben, is vaak handig om toch nog even wat naslag te doen in mijn eigen archief en in het verleden gemaakte oplossingen.

Kan ik om te beginnen niet gewoon SSH op de Windows 10 machine configureren? Dan zet ik deze gewoon aan voor ik vertrek, die machine blijft wel aan. Nu heb ik zelf ook verder zitten zoeken en zie ik tal van misschien mogelijke oplossingen in applicaties als: Bitvise SSH, OpenSSH, freeSSHd etc.

Inmiddels PuTTy geïnstalleerd op de PC op afstand. Nu maar proberen met OpenSSH op de Windows 10 PC.

[ Voor 8% gewijzigd door Jumpman op 02-03-2016 20:21 ]

Mijzelf schreef op woensdag 02 maart 2016 @ 20:20:
De NSA325v2 heeft ssh als installeerbaar pakket van ZyXEL zelf. Geen FFP nodig.

Top, ik zie het. Dit wordt mijn volgende stap.

Ik heb nu OpenSSH geinstalleerd op de PC die ik wil benaderen.
Run as Local System;
Listener port: 80;
Keysize: 2048.

Verder heb ik PuTTY geïnstalleerd op het systeem waar ik de RDP verbinding mee wil opzetten.

Stacheldraht schreef op woensdag 02 maart 2016 @ 21:10:
[...]


Absoluut geen third party daemon met local system rechten zomaar aan het internet hangen. Dit is vergelijkbaar als je bijv. op een Linux bak de Apache webserver onder het root account zou draaien Er hoeft maar 1 vulnerability nu in je OpenSSH daemon te zitten en je bent de klos.

MSDN: LocalSystem Account (Windows)

https://mohamedradwan.wor...and-tfs-service-accounts/

In Windows 10 zit nu ook een OpenSSH mogelijkheid. Is handig om deze dan te gebruiken?

Ik kan toch certificaten aanmaken en dat daarmee alleen toegang is te verkrijgen?

Inmiddels de SSH package geinstalleerd en geactiveerd op de ZyXel NSA325 V2.
PuTTY geopend op de Windows 10 Pro machine
Ik kan inloggen met de username en het password van de NAS en help typen, maar dan...

Nu moet ik SSH verbinding configureren lijkt mij met CLI van PuTTY.

Mijzelf schreef op woensdag 02 maart 2016 @ 22:10:
In PuTTY kun je ergens een tunnel leggen: -L 3389:<ip-van-pc>:3389. Daarna kun je mogelijk een RDP sessie aanleggen naar localhost. Als de client daarin trapt.

Het lijkt me dat ik de SSH service die nu op de NAS draait eerst moet wijsmaken dat er connecties kunnen komen op poort 80 of 443?

Mijzelf schreef op woensdag 02 maart 2016 @ 22:22:
Nee, hoeft niet. Als je router tenminste port translation ondersteund. Dan kun je poort 80 forwarden naar poort 22 op je nas.

Ik heb nu deze regel in mijn Port Forwarding gezet: Exposed Host all other ports NSA325-v2

Op de computer op de locatie waar ik me opdracht doe:
Kan ik met PuTTy
xxx.xxx.xxx.xxx (ip adres van mijn provider thuis) poort 22
Ik kan inloggen met mijn username en password van mijn NSA325 V2

De tunnel werkt dus, hoe veilig dit is vraag ik me nog even af. Nu nog uitzoeken hoe ik RDP in de lucht krijg.

Bij SSH de tunnel toevoegen: -L 3389:<ip van PC interne netwerk>:3389

Overigens verander ik de poort van 22 naar 80 of 443 dan krijg ik de: Server unexpectedly closed network connection.

[ Voor 7% gewijzigd door Jumpman op 02-03-2016 22:44 ]

Mijzelf schreef op woensdag 02 maart 2016 @ 22:44:
[...]

Exposed host? Is dat een DMZ? In dat geval lijkt het me niet echt verstandig. De ssh verbinding is wel te vertrouwen, maar ik zou niet zomaar alle poorten van de 325 aan het internet hangen.

Nu dit gedaan: SSH TCP 443 NSA325-v2 22

De tunnel opzetten op poort 443 gaat dus goed. Nu alleen nog de RDP realiseren.

RDP lukt nog niet. Ook al zet ik in PuTTy bij SSH -> Tunnels L3390 xxx.xxx.xxx.xxx:3389

Ook met de optie 'Local ports accept connections from other hosts' aan geen succes.

Verder zet ik bij SSH ook 'Enable compression' aan.

Vervolgens ga ik naar mstsc en type 127.0.0.1:3390 en dan kan er geen verbinding worden gemaakt.

Dit is trouwens wel een goede handleiding: http://www.shudnow.net/20...-over-ssh-using-port-443/.

[ Voor 43% gewijzigd door Jumpman op 03-03-2016 00:44 ]

Allen bedankt, het werkt!

Mocht iemand nog een keer tegen hetzelfde aanlopen, dit is de beste handleiding die ik op het Internet kon vinden (naast de hulp die ik hier heb gehad natuurlijk).

Vergeet ook niet om de proxy in te vullen in PuTTY mocht het netwerk dat hanteren.

[ Voor 13% gewijzigd door Jumpman op 03-03-2016 11:57 ]