Доброго времени суток! Подскажите, есть сервер 1с. Находится он на машине под управлением ОС Windows Server 2008. Машина имеет статический IP, ну скажем 192.168.1.10. Подключаясь к базам в имени сервера просто пишем IP. Всё работает. Необходимо подключаться через Интернет, на данный момент для этого служит ТимВивер VPN для подключения к Базе используем IP, который предоставляет ТВ как "IP партнера" - всё работает. Есть задача выбросить из схемы ТВ, заменив его "Белым IP". Собственно как я понимаю задачу:
В роутере пробрасываем порт (ну скажем 5555) на IP сервера (192.168.1.10). При подключении к серверу используем в качестве адреса сервера Белый IP и порт (К примеру, 233.168.58.68:5555).
Вопрос: будет работать? Или не всё так просто и есть какие-то пляски с бубном специфические? Заранее спасибо!
В роутере пробрасываем порт (ну скажем 5555) на IP сервера (192.168.1.10). При подключении к серверу используем в качестве адреса сервера Белый IP и порт (К примеру, 233.168.58.68:5555).
Вопрос: будет работать? Или не всё так просто и есть какие-то пляски с бубном специфические? Заранее спасибо!
По теме из базы знаний
- Создание телеграм бота с гугл авторизацией, обратными вызовами и уведомлениями об обновлении через сервер-маршрутизатор
- Взломать за 60 секунд!
- Xubuntu 20.04 для бухгалтера 1С
- Как подключиться к хранилищу конфигурации на сервере за NAT, если есть доступ по RDP?
- Доступ к домашнему серверу без публичного IP
Ответы
Подписаться на ответы
Инфостарт бот
Сортировка:
Древо развёрнутое
Свернуть все
(1) Serega-artem,
И желательно не просто белый, а статический - так будет удобнее всего..
Разумеется, надо еще в настройках сервера указать использование нестандартного порта.
И пароли использовать надежные, а то мало ли что. Либо все-таки поднимать VPN.
Вопрос: будет работать?
Будет, если ваш провайдер Интернета обеспечивает белый IP.
И желательно не просто белый, а статический - так будет удобнее всего..
Разумеется, надо еще в настройках сервера указать использование нестандартного порта.
И пароли использовать надежные, а то мало ли что. Либо все-таки поднимать VPN.
(4) TODD22,
Потому что статический - это постоянный белый, а бывают (и даже чаще) динамические IP.
Например, мне Ростелеком выдает белый IP (то есть по нему ко мне можно достучаться извне), но в каждой сессии он разный, в пределах выделенного пула. Мне это пофиг - сайта не держу, базы не публикую и т.д., а за статический я должен был бы дополнительно платить провайдеру.
А что "Белый IP" <> "Статический IP" ?
Разумеется. Статический - всегда белый, но не всякий белый - статический.
Потому что статический - это постоянный белый, а бывают (и даже чаще) динамические IP.
Например, мне Ростелеком выдает белый IP (то есть по нему ко мне можно достучаться извне), но в каждой сессии он разный, в пределах выделенного пула. Мне это пофиг - сайта не держу, базы не публикую и т.д., а за статический я должен был бы дополнительно платить провайдеру.
Работать будет. Для проброса лучше использовать порты 5000—49000, чтобы не пересекаться с системными и динамическими портами.
Кроме проброса порта в роутере может понадобится настройка брандмауэра. На роутере должна быть свежая прошивка, на сервере - обязательно актуальный антивирус, настроенная система бэкапа на недоступные вирусам носители, сложные пароли (16 символов из разных символьных групп) всех пользователей и отсутствие сохраненных под учетками паролей. Желательно также включить аудит отказов и периодически изучать журнал безопасности.
Собственно из-за проблем безопасности со временем вместо роутера появляется линуксовый шлюз/брандмауэр/vpn сервер ну или керио.
Кроме проброса порта в роутере может понадобится настройка брандмауэра. На роутере должна быть свежая прошивка, на сервере - обязательно актуальный антивирус, настроенная система бэкапа на недоступные вирусам носители, сложные пароли (16 символов из разных символьных групп) всех пользователей и отсутствие сохраненных под учетками паролей. Желательно также включить аудит отказов и периодически изучать журнал безопасности.
Собственно из-за проблем безопасности со временем вместо роутера появляется линуксовый шлюз/брандмауэр/vpn сервер ну или керио.
Всем спасибо за ответы!
Мне кажется, что некоторыми участниками обсуждения был не совсем понят вопрос. ТимВивер используется не для удаленного управления сервером, а для проброски VPN-туннеля до сервера. Принцип работы: клиент-сервер БЕЗ RDP (это принципиально). Схема работы: 1с-тонкий клиент на клиентской машине, база на сервере (и лицензии от туда берутся). У самих клиентов на сервере учетных записей нет (только пара админских) они подключаются только к конкретной базе на сервере 1с. Конфигурация НЕ типовая, УФ,но на web не тестировалась (а как мы знаем,есть между работой в тонком и веб клиентами небольшие отличия) соответственно вариант с веб-сервером не подойдет.
(6) v3rter, Собственно что я и хотел узнать, что не забыл ли я о каких-то нюансах. По вашему ответу вижу, что мыслю правильно в целом.
Всем еще раз спасибо)
Мне кажется, что некоторыми участниками обсуждения был не совсем понят вопрос. ТимВивер используется не для удаленного управления сервером, а для проброски VPN-туннеля до сервера. Принцип работы: клиент-сервер БЕЗ RDP (это принципиально). Схема работы: 1с-тонкий клиент на клиентской машине, база на сервере (и лицензии от туда берутся). У самих клиентов на сервере учетных записей нет (только пара админских) они подключаются только к конкретной базе на сервере 1с. Конфигурация НЕ типовая, УФ,но на web не тестировалась (а как мы знаем,есть между работой в тонком и веб клиентами небольшие отличия) соответственно вариант с веб-сервером не подойдет.
(6) v3rter, Собственно что я и хотел узнать, что не забыл ли я о каких-то нюансах. По вашему ответу вижу, что мыслю правильно в целом.
Всем еще раз спасибо)
Если уж совсем дальше зайти можете создать что то типа l2tp соединения через интернет, с настройками на роутре соответственно, при его создании ваш комп какбы будет в локалке с той машиной, ну а там крутите как хотите. Без доп настроек и политик безопасности.
Добрый день! Прошу прощения,что немного забросил тему - уезжал по делам. Коротко по вопросам:
RDP не вариант ибо нафига попу гармонь? Тонкий клиент для того и создавался, чтобы убирать костыли вроде RDP и тому подобного. VPN - идея несомненно правильная, но более сложный вариант (и в настройке и в обслуживании), а требование заказчика как раз простота решения. Тут как говориться, хозяин - барин. Плюс на клиентах очень слабый инет (3g модемы)+достаточно бюджетная (по самое не могу) конфигурация сервера, думается, что с VPN будут тормоза (ИМХО). Веб-доступ не подходит по тем-же причинам: небезопасно, лишние манипуляции и съеденные ресурсы на сервере,отсутствие у конфиги "официальной" совместимости с веб. Клиентов не много, 5-6 одновременных подключений.
Теперь собственно отчет, а скорее пошаговая инструкция (ибо подводные камни всё-же есть) для тех, кому интересно.
0. Получаем у провайдера белый статический IP.
1. Даем серверу тоже стат ip или закрепляем в dchp на роутере за конкретным mac-адресом конкретный ip.
2. Пробрасываем на роутере 2 порта: 1541 и 1561.
3. Делаем соответствующие настройки в брандмауэрах и фаерволах.
4. В файле hosts на клиенте (C:\Windows\System32\drivers\etc) делаем запись вида: ВашБелыйИП ИмяСервера1с
5. При добавлении базы в список ИБ пишем: Сервер: ИмяСервера1с Имя ИБ: ИмяВашейИБ
Всё...
RDP не вариант ибо нафига попу гармонь? Тонкий клиент для того и создавался, чтобы убирать костыли вроде RDP и тому подобного. VPN - идея несомненно правильная, но более сложный вариант (и в настройке и в обслуживании), а требование заказчика как раз простота решения. Тут как говориться, хозяин - барин. Плюс на клиентах очень слабый инет (3g модемы)+достаточно бюджетная (по самое не могу) конфигурация сервера, думается, что с VPN будут тормоза (ИМХО). Веб-доступ не подходит по тем-же причинам: небезопасно, лишние манипуляции и съеденные ресурсы на сервере,отсутствие у конфиги "официальной" совместимости с веб. Клиентов не много, 5-6 одновременных подключений.
Теперь собственно отчет, а скорее пошаговая инструкция (ибо подводные камни всё-же есть) для тех, кому интересно.
0. Получаем у провайдера белый статический IP.
1. Даем серверу тоже стат ip или закрепляем в dchp на роутере за конкретным mac-адресом конкретный ip.
2. Пробрасываем на роутере 2 порта: 1541 и 1561.
3. Делаем соответствующие настройки в брандмауэрах и фаерволах.
4. В файле hosts на клиенте (C:\Windows\System32\drivers\etc) делаем запись вида: ВашБелыйИП ИмяСервера1с
5. При добавлении базы в список ИБ пишем: Сервер: ИмяСервера1с Имя ИБ: ИмяВашейИБ
Всё...
(16) Black Cat, Да конфигурация проще некуда:
Роутер TPLINK модель не помню, но вполне себе обычный, домашний. Сервер (обычный ПК с более или менее хорошими характеристиками по железу) под ОС Сервер 2008, на нем 1с сервер + SQL Expres. На этом крутится самописная конфига на УФ. Клиентов (юзеров) 5-6 в пике. VPN - это гуд, я с вами согласен. Но, повторюсь, требование клиента максимальная простота всего и всё. На счет опасности... Ну опасно в принципе всё, что смотрит в инет. Доморощенному хакеру и это будет не по зубам, а профи везде найдет лазейку. Но профи всё это будет мало интересно.
Роутер TPLINK модель не помню, но вполне себе обычный, домашний. Сервер (обычный ПК с более или менее хорошими характеристиками по железу) под ОС Сервер 2008, на нем 1с сервер + SQL Expres. На этом крутится самописная конфига на УФ. Клиентов (юзеров) 5-6 в пике. VPN - это гуд, я с вами согласен. Но, повторюсь, требование клиента максимальная простота всего и всё. На счет опасности... Ну опасно в принципе всё, что смотрит в инет. Доморощенному хакеру и это будет не по зубам, а профи везде найдет лазейку. Но профи всё это будет мало интересно.
(23) Black Cat, Не скажу за все TPLINKи, но на этой конкретной модели нет VPN клиента. Настроить на сервере можно, но это всё равно:
-Лишние ресурсы.
-Лишний механизм, а любой лишний механизм усложняет в целом конструкцию, любая усложненная конструкция это минус в надежности.
-Дополнительные (пусть и мелкие) заморочки на клиентах (настроить подключение к VPN, каждый раз подключаться, смотреть чтобы не отваливалось).
Из плюсов только безопасность. В данном случаи, она не так критична.
Вообще, вопрос знатокам: какую опасность (реальный пример) могут таить в себе проброшенные порты? В частности:
3389 - (RDP для админских целей)
1541 и 1561 для 1с
Что с этим может сделать злоумышленник со средними знаниями?
-Лишние ресурсы.
-Лишний механизм, а любой лишний механизм усложняет в целом конструкцию, любая усложненная конструкция это минус в надежности.
-Дополнительные (пусть и мелкие) заморочки на клиентах (настроить подключение к VPN, каждый раз подключаться, смотреть чтобы не отваливалось).
Из плюсов только безопасность. В данном случаи, она не так критична.
Вообще, вопрос знатокам: какую опасность (реальный пример) могут таить в себе проброшенные порты? В частности:
3389 - (RDP для админских целей)
1541 и 1561 для 1с
Что с этим может сделать злоумышленник со средними знаниями?
(25)
Для RDP видел в свободном доступе перебиралку паролей. Вроде до MS Windows Server 2008 на нее не срабатывала политика по блокированию учетки при n неправильных попытках.
Для 1С тоже можно скрипт набросать для перебора, если список пользователей отображается или есть "крот".
Это все конечно не средние знания... Что можно сделать на сервере под админской учеткой и в 1С под пользовательской рассказывать, или сам нафантазируешь? %)
Вообще, вопрос знатокам: какую опасность (реальный пример) могут таить в себе проброшенные порты? В частности:
3389 - (RDP для админских целей)
1541 и 1561 для 1с
3389 - (RDP для админских целей)
1541 и 1561 для 1с
Для RDP видел в свободном доступе перебиралку паролей. Вроде до MS Windows Server 2008 на нее не срабатывала политика по блокированию учетки при n неправильных попытках.
Для 1С тоже можно скрипт набросать для перебора, если список пользователей отображается или есть "крот".
Это все конечно не средние знания... Что можно сделать на сервере под админской учеткой и в 1С под пользовательской рассказывать, или сам нафантазируешь? %)
(26) alwiz3, Перебералка паролей.... Я не спец по информационной безопасности, но пароль состоящий из символов, спец.символов и цифр (т.е. так, как этого требует политика безопасности сервера) хотя-бы из 6-ти символов работать будет ОЧЕНЬ долго. Опять же ip и порт надо знать, куда стучаться. Пройти авторизацию в 1с путем перебора... тоже самое, но учитывая, что в 1с нет как таковой политики безопасности на пароли, этот вариант более реальный. Но, это скорее теория т.к. всё равно нужны некие начальные сведения: IP и порт для взлома RDP, имя Сервера 1с для подключения к ИБ. Иными словами, нужен слив данных из самой конторы. И чтобы его предотвратить нужен целый спектр мер информационной (и не только) безопасности в организации. Ибо сливают инфу не уборщицы, а люди, которые обладают высоким уровнем доступа к информационным ситемам (админы, начальники отделов и т.д.). И тут никакой VPN не спасет.
(30)
Так то оно так... Только если бросать его на парковках и под домом незапертым или с открытми окнами угонят быстрее и 100% даже без заказа ))
И простая пищалка злых пионеров/пьяных пенсионеров отпугнет.
это равносильно автомобилю: если его заказали - его обязательно угонят
Так то оно так... Только если бросать его на парковках и под домом незапертым или с открытми окнами угонят быстрее и 100% даже без заказа ))
И простая пищалка злых пионеров/пьяных пенсионеров отпугнет.
(30) Black Cat,
Студентом в автосервисе работал. Противоугонки и тд ставил.
Приехала пара супружеская. Купили себе две новые машины. Жена попросила поставить ей обычную сигнализацию, механическую противоугонку и секретку.... Муж поставил обычную сигнализацию и то же рассуждал ходил что "если надо то угонят", а мы мол только на деньги его разводим.
Ну вот через пару дней его машину угнали, а машину его жены не смогли, при чём сломали механическую противоугонку, а на это времени убили не меньше часа, но вот с секреткой справится не смогли... не поняли принцип её работы и как её отключить... скорее всего не хватило времени...
Угоняют, взламывают и тд там где проще... Если максимально жизнь угонщикам(ломальщикам) усложнить то и шансов что угонят или взломают намного меньше.
это равносильно автомобилю: если его заказали - его обязательно угонят.
Студентом в автосервисе работал. Противоугонки и тд ставил.
Приехала пара супружеская. Купили себе две новые машины. Жена попросила поставить ей обычную сигнализацию, механическую противоугонку и секретку.... Муж поставил обычную сигнализацию и то же рассуждал ходил что "если надо то угонят", а мы мол только на деньги его разводим.
Ну вот через пару дней его машину угнали, а машину его жены не смогли, при чём сломали механическую противоугонку, а на это времени убили не меньше часа, но вот с секреткой справится не смогли... не поняли принцип её работы и как её отключить... скорее всего не хватило времени...
Угоняют, взламывают и тд там где проще... Если максимально жизнь угонщикам(ломальщикам) усложнить то и шансов что угонят или взломают намного меньше.
(35) alwiz3,
ИМХО вы путаете процесс и цели.... Что угон, что взлом это процесс. Какие приследуются цели это уже совсем другой вопрос.
(35) alwiz3,
Вариант зашифровать(удалить данные), а затем предложить их купить у тебя не предлагать?
Угнанную машину то же иногда за деньги вернуть предлагают....
сравнение с машинами не совсем корректное ;)
ИМХО вы путаете процесс и цели.... Что угон, что взлом это процесс. Какие приследуются цели это уже совсем другой вопрос.
(35) alwiz3,
и чо ты с ним будешь делать? барыгам перепродашь?
Вариант зашифровать(удалить данные), а затем предложить их купить у тебя не предлагать?
Угнанную машину то же иногда за деньги вернуть предлагают....
(28)
Так и есть. Только как показывает практика - почти любой подобный пароль написан на мониторе/клавиатуре/в блокнотике на столе на первой странице.
Вот именно! предотвратить слив с текучкой менеджеров практически не возможно, при небольших потугах ЛЮБОЙ жаждущий малолетний придурок с комплексом неполноценности может попытаться самоутверидиться, оно тебе надо? Про целенаправленную атаку - если рассуждать "а тут надо знать ип, тут порт, а тут вообще долго ждать", чем больше таких "и так сойдет" тем проще и быстрее добиться успеха. А VPN.... Настроил клиента/железку, про сертификаты/ключи знают 1.5 человека, и гори эта "социальная инженерия" огнем - кто там что знает, кому он это рассказывает, меньше дырок - крепче сон.
пароль состоящий из символов, спец.символов и цифр (т.е. так, как этого требует политика безопасности сервера) хотя-бы из 6-ти символов работать будет ОЧЕНЬ долго
Так и есть. Только как показывает практика - почти любой подобный пароль написан на мониторе/клавиатуре/в блокнотике на столе на первой странице.
Опять же ip и порт надо знать, куда стучаться.
белый ip узнается на раз-два-три, открытые порты полным перебором максимум за час
Иными словами, нужен слив данных из самой конторы. И чтобы его предотвратить нужен целый спектр мер информационной (и не только) безопасности в организации.
Вот именно! предотвратить слив с текучкой менеджеров практически не возможно, при небольших потугах ЛЮБОЙ жаждущий малолетний придурок с комплексом неполноценности может попытаться самоутверидиться, оно тебе надо? Про целенаправленную атаку - если рассуждать "а тут надо знать ип, тут порт, а тут вообще долго ждать", чем больше таких "и так сойдет" тем проще и быстрее добиться успеха. А VPN.... Настроил клиента/железку, про сертификаты/ключи знают 1.5 человека, и гори эта "социальная инженерия" огнем - кто там что знает, кому он это рассказывает, меньше дырок - крепче сон.
(27) Black Cat, Ну там ничего не говорит именно о взломе. Может бывший админ или фриласер, который имел доступ на сервак насолил за не выплаченную З/П. Вариантов много. Вспоминаю курьезный случай, годов 2006-07-х. Городок у нас небольшой и широкополосный инет в то время только начал приходить. В основном, от УралСвязьИнформа (ныне Ростелеком) по адсл, но и появилась одна конкурирующая компания. Подробностей топологии сети не знаю, но весь город был одной большой локалкой из клиентов этой конторы. Со статичными IP типа 192.168.ХХ.ХХ. Соответственно то,что расшаривалось на компе, попадало в общий доступ. Ну физ. лица понятно - фильмы, музыка и т.п. Смешно было когда к этому провайдеру подключались организации,да так криво, что вся их локалка (с расшариными ресурсами) вываливалась в общую сеть. И чего там только не было: 1с базы, вордовские документы, списки поставщиков и клиентов в экселе и т.п. и т.д. Так я к чему, думаю в этих организациях, когда "ломались" базы и пропадали доки, тоже грешили на крутых хакеров и рейдерские атаки))))
(25) Serega-artem, Если сервер и клиенты в разных офисах, в разных городах.
Берутся два микротика, на них поднимается PPTP и поверх EoIP. При такой схеме сервер и клиенты будут в одной сети.
Можете использовать тонкий клиент. Либо web по локальному адресу сервака
Ни каких пробросов портов не нужно. Кроме вас ни кто не будет знать
реальный внешний ip сервера.
Цена вопроса 4000 руб два MIKROTIK HAP LITE(Если совсем бюджет маленький)
Еще отпадает вопрос с лицензированием TeamViewer. TV в этой схеме не нужен.
Берутся два микротика, на них поднимается PPTP и поверх EoIP. При такой схеме сервер и клиенты будут в одной сети.
Можете использовать тонкий клиент. Либо web по локальному адресу сервака
Ни каких пробросов портов не нужно. Кроме вас ни кто не будет знать
реальный внешний ip сервера.
Цена вопроса 4000 руб два MIKROTIK HAP LITE(Если совсем бюджет маленький)
Еще отпадает вопрос с лицензированием TeamViewer. TV в этой схеме не нужен.
(43) Black Cat,
Я В принципе вот это имел ввиду
"Вообще, вопрос знатокам: какую опасность (реальный пример) могут таить в себе проброшенные порты? В частности:
3389 - (RDP для админских целей)
1541 и 1561 для 1с
И описал как сделать,чтоб не надо пробрасывать порты, используя 2 маршрутизатора.
Правда я не понял для чего пробрасывать 1541 и 1561 для 1С.
Если офис и несколько мобильных клиентов- так понимаю работники использующие ноутбук или планшет.
Можно вообще использовать простой браузер. Правда на планшетах не очень удобно.
Сделать публикацию в WEB + на маршрутизаторе прописать нестандартный порт на 80 порт.
Я В принципе вот это имел ввиду
"Вообще, вопрос знатокам: какую опасность (реальный пример) могут таить в себе проброшенные порты? В частности:
3389 - (RDP для админских целей)
1541 и 1561 для 1с
И описал как сделать,чтоб не надо пробрасывать порты, используя 2 маршрутизатора.
Правда я не понял для чего пробрасывать 1541 и 1561 для 1С.
Если офис и несколько мобильных клиентов- так понимаю работники использующие ноутбук или планшет.
Можно вообще использовать простой браузер. Правда на планшетах не очень удобно.
Сделать публикацию в WEB + на маршрутизаторе прописать нестандартный порт на 80 порт.
(20) alwiz3, Пока хватает и двух проброшенных, всё работает ок. Диапазон без необходимости стараюсь не пробрасывать т.к. если есть возможность обойтись конкретными портами это безопаснее. Ну посмотрим еще дальше как работать будет. За совет в любом случаи спасибо)
Для получения уведомлений об ответах подключите телеграм бот:
Инфостарт бот