noVNC - Hoe veilig over WAN? Goede oplossing? - Linux en overige clients

maandag 4 juli 2016 15:43

Acties:

0 Henk 'm!

Topicstarter

Beste mede-Tweakers,

Op afstand zou ik graag willen inloggen op mijn server-omgeving.
Het liefst wil ik daar Gnome-shell op draaien, met tools als Atom, FireFox, etc. zodat ik deze kan openen gebruiken vanaf mijn werk via de browser.

Liever hang ik mijn NAS niet direct aan het internet, maar is er een optie om dit wel veilig te kunnen doen?
Op mijn werk-PC kan ik uiteraard niets installeren, maar heb ik wel de beschikbaarheid over FireFox en Chrome, waardoor ik via noVNC direct zou kunnen verbinden.

Een certificaat van Let's Encrypt + user/pass + IP-whitelist: Is een veilige optie, of zijn er betere methodes beschikbaar?

Mijn NAS is voorzien van een i3 (Ivy Bridge), 8GB geheugen en Ziggo Z3 (echter niet geupgrade met laatste wijziging). Zou dit een beetje werken over WAN?

Many thanks.

[ Voor 9% gewijzigd door HollowGamer op 04-07-2016 15:45 ]

dinsdag 12 juli 2016 16:32

Demo

Probleemschietende Tovenaar

Van buitenaf zou je NoVNC kunnen proxiën met bijvoorbeeld nginx. In nginx kan je pam authenticatie op je proxy-verbinding zetten en daarmee kan je je authenticatie zo gek maken als je zelf wilt. Google Authenticator, whitelist, whatever.

Unix doesn't prevent a user from doing stupid things, because that would necessarily prevent them from doing brilliant things.
while true ; do echo -n "bla" ; sleep 1 ; done

maandag 4 juli 2016 16:03

Acties:

0 Henk 'm!

The Fatal

vpn server thuis draaien als je werk die poorten toe laat?

maandag 4 juli 2016 16:11

Acties:

0 Henk 'm!

HollowGamer

Topicstarter

The Fatal schreef op maandag 04 juli 2016 @ 16:03:
vpn server thuis draaien als je werk die poorten toe laat?

Nee, dat is helaas niet mogelijk.
Ook wil ik enkel OpenVPN draaien, maar dan heb je wel een client nodig.

woensdag 6 juli 2016 08:05

Acties:

+1 Henk 'm!

amx

Google authenticator instellen op je NAS?

woensdag 6 juli 2016 16:29

Acties:

0 Henk 'm!

Thulium

Ik zou eens kijken naar Cendio Thinlinc (http://cendio.com), dat is een mooie omgeving rondom NoVNC en je kunt het zelfs nog via SSH doen als je de client kunt draaien. En anders gewoon in je browser.

zaterdag 9 juli 2016 17:05

Acties:

0 Henk 'm!

Tha_Butcha

Je zou Guacamole kunnen draaien (en alleen lokaal toegankelijk maken) en vervolgens vanuit je werk een SSH tunnel kunnen opbouwen daar naar toe.

Compromises are for the weak

dinsdag 12 juli 2016 10:47

Acties:

0 Henk 'm!

HollowGamer

Topicstarter

Tha_Butcha schreef op zaterdag 09 juli 2016 @ 17:05:
Je zou Guacamole kunnen draaien (en alleen lokaal toegankelijk maken) en vervolgens vanuit je werk een SSH tunnel kunnen opbouwen daar naar toe.

Dit lijkt mij hetzelfde als noVNC? Weet niet welke van de twee het beste is. Op hun git staat ook een client genoemd, maar op de homepage staat dat dit niet nodig is?

Thulium schreef op woensdag 06 juli 2016 @ 16:29:
Ik zou eens kijken naar Cendio Thinlinc (http://cendio.com), dat is een mooie omgeving rondom NoVNC en je kunt het zelfs nog via SSH doen als je de client kunt draaien. En anders gewoon in je browser.

Zie helaas dat het niet open-source en gratis is?

amx schreef op woensdag 06 juli 2016 @ 08:05:
Google authenticator instellen op je NAS?

Ga eens kijken of dit kan worden ingesteld op noVNC.

dinsdag 12 juli 2016 12:46

Acties:

0 Henk 'm!

amx

HollowGamer schreef op dinsdag 12 juli 2016 @ 10:47:
Ga eens kijken of dit kan worden ingesteld op noVNC.

Als je zoekt op VNC over SSH moet het lukken.
Caveat: Google authenticator moet voor iedere gebruiker apart worden ingesteld (of nologin instellen voor de andere gebruikers).

dinsdag 12 juli 2016 13:08

Acties:

0 Henk 'm!

Thulium

HollowGamer schreef op dinsdag 12 juli 2016 @ 10:47:
[...]

Zie helaas dat het niet open-source en gratis is?

Thinlinc heeft inderdaad een aantal niet OSS componenten, maar is wel gebouwd op een aantal projecten (waar ze soms zelfs de grootste maintainer van zijn): Wikipedia: ThinLinc

Maar het is tot 10 concurrent users wel gratis, zelfs mocht je het commercieel willen gebruiken.

[ Voor 5% gewijzigd door Thulium op 12-07-2016 13:23 ]

dinsdag 12 juli 2016 16:32

Acties:

Beste antwoord ✓
+1 Henk 'm!

Demo

Probleemschietende Tovenaar

Van buitenaf zou je NoVNC kunnen proxiën met bijvoorbeeld nginx. In nginx kan je pam authenticatie op je proxy-verbinding zetten en daarmee kan je je authenticatie zo gek maken als je zelf wilt. Google Authenticator, whitelist, whatever.

Unix doesn't prevent a user from doing stupid things, because that would necessarily prevent them from doing brilliant things.
while true ; do echo -n "bla" ; sleep 1 ; done

dinsdag 19 juli 2016 08:18

Acties:

0 Henk 'm!

_eXistenZ_

X forwarding over SSH? Waarom allemaal van die moeilijke oplossingen terwijl SSH al jaren de standaard is voor een veilige verbinding over het internet?

There is no replacement for displacement!

dinsdag 19 juli 2016 08:29

Acties:

0 Henk 'm!

HollowGamer

Topicstarter

_eXistenZ_ schreef op dinsdag 19 juli 2016 @ 08:18:
X forwarding over SSH? Waarom allemaal van die moeilijke oplossingen terwijl SSH al jaren de standaard is voor een veilige verbinding over het internet?

Thanks, daar had ik nog niet over gedacht.

Alleen dien ik volgensmij wel de volgende dingen te installeren/configuren op de client:
http://unix.stackexchange...r-ssh-from-ubuntu-machine
http://superuser.com/ques...x11-forwarding-with-putty

Tevens is dit een optie waar ik liever niet naar kijk, liefst zoveel mogelijk uit de browser, zodat er (bijna) niks hoeft worden ingesteld of dergelijks.

dinsdag 19 juli 2016 08:34

Acties:

0 Henk 'm!

_eXistenZ_

Tja, wie mooi wil zijn moet pijn lijden.

There is no replacement for displacement!

dinsdag 19 juli 2016 11:20

Acties:

0 Henk 'm!

HollowGamer

Topicstarter

_eXistenZ_ schreef op dinsdag 19 juli 2016 @ 08:34:
Tja, wie mooi wil zijn moet pijn lijden.

Ik kan niets installeren (wat gewoon terecht is), anders was het zeker een goede oplossing geweest hoor.

dinsdag 19 juli 2016 12:34

Acties:

0 Henk 'm!

_eXistenZ_

Aah, dat haalde ik niet uit je startpost, dacht dat je volledige controle had over je server

There is no replacement for displacement!

dinsdag 19 juli 2016 12:43

Acties:

+1 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

TS heeft wel alle rechten op de server, maar niet op z'n client. Dat is op z'n werk namelijk en daar heb je meestal geen admin rechten.

Commandline FTW | Tweakt met mate

dinsdag 19 juli 2016 12:53

Acties:

0 Henk 'm!

DukeBox

loves wheat smoothies

HollowGamer schreef op maandag 04 juli 2016 @ 15:43:
Op mijn werk-PC kan ik uiteraard niets installeren

Wel runnen vanaf een usb stick o.i.d. ? Je zou het simpel kunnen doen met een SSH tunnel via Putty of zo.
edit: Ah, was al eerder genoemd.. had ik overheen gelezen.

[ Voor 10% gewijzigd door DukeBox op 19-07-2016 12:54 ]

Duct tape can't fix stupid, but it can muffle the sound.

dinsdag 19 juli 2016 13:55

Acties:

0 Henk 'm!

HollowGamer

Topicstarter

DukeBox schreef op dinsdag 19 juli 2016 @ 12:53:
[...]

Wel runnen vanaf een usb stick o.i.d. ? Je zou het simpel kunnen doen met een SSH tunnel via Putty of zo.
edit: Ah, was al eerder genoemd.. had ik overheen gelezen.

Nee, maar ik wil dit niet riskeren i.v.m. virussen, etc.
Heb wel de beschikking over Putty.

dinsdag 19 juli 2016 14:13

Acties:

0 Henk 'm!

DukeBox

loves wheat smoothies

HollowGamer schreef op dinsdag 19 juli 2016 @ 13:55:
Heb wel de beschikking over Putty.

Dan ben je toch meteen klaar ? SSH tunnel en klaar.

Duct tape can't fix stupid, but it can muffle the sound.

dinsdag 19 juli 2016 14:15

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

DukeBox schreef op dinsdag 19 juli 2016 @ 14:13:
[...]

Dan ben je toch meteen klaar ? SSH tunnel en klaar.

En je GUI tools dan?

Je kan niet zomaar X-forwarding gebruiken in Putty, daar heb je een X-client voor nodig en die moet je weer installeren.

Commandline FTW | Tweakt met mate

dinsdag 19 juli 2016 14:17

Acties:

+1 Henk 'm!

The Zep Man

🏴‍☠️

Hero of Time schreef op dinsdag 19 juli 2016 @ 14:15:
[...]

En je GUI tools dan?

Al kan je SSH draaien, dan kan je ook wel een single-executable VNC client draaien met dezelfde rechten. Dat, of PuTTY gebruiken om de TCP tunnel op te zetten en een web-based VNC client gebruiken om in te loggen via 127.0.0.1::5900 (o.i.d.).

[ Voor 23% gewijzigd door The Zep Man op 19-07-2016 14:19 ]

Yar har, wind in your back, lads, wherever you go!

dinsdag 19 juli 2016 14:49

Acties:

0 Henk 'm!

DukeBox

loves wheat smoothies

edit: ^ Dat dus.

Hero of Time schreef op dinsdag 19 juli 2016 @ 14:15:
En je GUI tools dan? Je kan niet zomaar X-forwarding gebruiken in Putty, daar heb je een X-client voor nodig en die moet je weer installeren.

Zoals in de TS staat via novnc ?

[ Voor 3% gewijzigd door DukeBox op 19-07-2016 14:50 ]

Duct tape can't fix stupid, but it can muffle the sound.

dinsdag 19 juli 2016 17:41

Acties: