¿Qué tienes en la puerta del cliente? ¿Ruteador de su
proveedor o Linux?
Yo prefiero, teniendo linux (o cygwin en algun windows),
hacer ssh al router linux y en ese momento crear el tunel;
y en el putty los puedo tener preconfigurados,
Claro que si son muchas maquinas podria ser interesante
el pre-definir los puertos.
Por cierto, en el caso de los tuneles vnc, no estas limitado
a los puertos 590x; puedes definir tuneles locales en el
putty
2500->192.168.1.1:5900
3000->192.168.1.2.5900
y luego en el cliente vnc darle
127.0.0.1::2500 y 127.0.0::3000
Puedes usar el cygwin (www.cygwin.com) para tener
un shell bash en windows y hacer un script que haga
(digamos para equipos de la 1-20):
TUNELES=
for N in $(seq 1 20) ; do
#-- convierte numeros a ceros iniciales (3 a 03 )
N2=$(printf "%02d" $N)
TUNELES="${TUNELES} -L 25${N2}:192.168.1.${N}:5900"
done
ssh [email protected] $TUNELES
con lo que te generaria un
ssh [email protected] -L 2501:192.168.1.1:5900 -L 2502:192.168.1.2:5900...
y al firmarte ya tendrias los 20 túneles listos para darle vnc
a la 127.0.0.1::2506 para la maquina 6, etc.
Aunque es mucho puerto abierto si sólo se da soporte una
maquina a la vez; es mejor un script lanzavnc.sh que le
puedas dar en el cygwin:
lanzavnc 5
y te abra el tunel a la maq 5 y lance el vnc deseado:
MAQ=$1
#-- puerto del 2501 en adelante
PORT="25$(printf "%02d" $MAQ)"
IP="192.168.1.$MAQ"
ssh [email protected] -L $PORT:$IP:5900
/cygdrive/c/vnc/tightvnc 127.0.0.1::$PORT
y esto copiando tu llave publica del cygwin al server remoto
para que no te pida clave y ya está - vnc instantáneos!
Para generar la llave en el cygwin da: ssh-keygen -t rsa
y la grabará en el archivo ,ssh/id_rsa.pub
La copias al server, la agregas en el directorio del
usuario del server con
cat id_rsa.pub >> .ssh/authorized_keys
y listo! Tu cygwin autorizado para conectarse sin
clave. Claro que se supone que nadie más que tú
la usa, ¿Verdad?
Ahora, la opcion 2 de la vpn te da acceso directo a todas
las maquinas internas del cliente sin necesidad de hacer
tanto relajo, (excepto en el caso donde el rango de ips de tu
red local es la misma que la del cliente), y además podríaser más cómodo si
quieres revisar el acceso a diversos
servicios en la red remota sin tener que invadir un equipo.
He tenido muy buenas experiencias con el openvpn-gui, y
generando llaves específicas para cada equipo externo
que se desee conectar.
Chinos! Vaya novelón que me salió - una disculpa (8^D
Saludos!
2009/2/19 Fernando Rojas <[email protected]>
>
> estoy planeando un método alternativo para controlar host de algunos
> clientes, que tienen desconfianza de instalar logmein.
>
> ¿a qué le apuestan más ustedes?
>
> 1. establecer un tunel con putty para conectar el cliente vnc a
> localhost:590x y hacer dnat en firewall para reenviar a la máquina correcta
> en función del puerto solicitado. Ejemplo: 5901 dnat a 192.168.0.1:5900,
> 5902 a 192.168.0.2:5900 --> yo me voy por esta. ¿que opinan?
>
> 2. establecer un vpn entre firewall y cliente y sobre esa interfaz correr
> vnc y sobre eso el mismo dnat de la opción 1
>
> 3. utilizar la autenticación incluida en los plugins del ultravnc y dnat
> del
> punto 1
>
> 4. o de plano convencer a mi cliente que siga usando logmein.
>
--
Caminar y caminar por la vereda del saber...
... de vez en cuando, mirar una estrella.
Francisco de Jesús Orozco Ruiz
Administración de Redes e Internet
Centro de Enseñanza Técnica Industrial - GDL
