man sshd

Для данного случая хватит за глаза.

для этого на виндовс-клиенте придется делать телодвижения. кстати, какие? Ни разу не задавался таким вопросом.

Ммм... ssh позволит установить секурный туннель на linux-шлюз, а надо на вин-сервер, который за шлюзом.

> Ммм... ssh позволит

Вы даже не соизволили почитать ман, как я вам посоветовал. Печально.

подключаешься к ссш через putty и пробрасываешь порт средствами putty
получится секурный тунель

Пожалуйста, объясните, как это будет делать то, что мне надо? В указаном мане мало что полезного. Может, вы имели ввиду man ssh? Там да, есть проброс порта через ssh:

$ ssh -L 5190:my.external.ip.addres:5190 local.win.server

Будет ли это нормально работать при наличии нескольких клиентов? И какой софт в винде нужен чтоб установить такой туннель? putty?

Putty

отлично будет работать

я чего-то не понимаю.

             insecure               secure
win-сервер  <--------->  linux-gw  <------> win-client
  *:5190                  ?????             putty .....????

Выглядеть это, по-видимому, должно так. Ткните в ман\руководство, где расписано как это реализовать. С ssh -L я что-то запустался: где этот форвардинг надо настроить?

форвардинг настраивается в опциях putty,
в sshd ничего не надо

и порт на винде 3389 =)

Вроде как понял. Проброс ssh-туннеля возможен без предоставления шелла? Как?

и порт на винде 3389 =)

да-да, это меня жутко глюкнуло. Мало того что хотел написать порт vnc так еще и написал порт аськи. Надо поспать подольше, видимо :)

А чем openvpn не угодил?

Впринципе, тоже вариант, причем, как по мне, более предпочтительный (openvpn сервер уже есть), надо только на виндовс-клиенте настроить подключение. А вот такого опыта у меня нет. Еще как жизнеспособный вариант - pptp, правда, с ним я дела вообще пока не имел, не приходилось. Но, насколько знаю, для виндового клиента это как бы удобнее что-ли, проще, нативнее. Что будет лучше в плане безопасности - хз.

> А вот такого опыта у меня нет.

Да там всё элементарно настраивается!

Человек не хочет читать ман, не хочет сам всё попробовать, несмотря на то, что ему уже ясно всё сказали.

Просто, одно дело, когда кто-то что-то пробует и не получается, тут не грех помочь, покопаться, уточнить. Ну а другое — когда человек ничего не делает и только покрикивает: «А ну, подскажите! Я вообще маленький и ничего не знаю, не умею.»

pptp гораздо проще
ipsec гораздо надежнее
успехов мой юный дружок, и да опенвпн - г**но

опенвпн - г**но

Почему?

ясно всё сказали.

Да где же ясно. По-моему вы предлагаете не слишком жизнеспособный вариант.

Просто, одно дело, когда кто-то что-то пробует и не получается, тут не грех помочь, покопаться, уточнить.

Вот вы высказались на счет ssh. Может, еще подскажите, как из putty можно пробросить туннель, не давая при этом пользователю шелла? в клиентской реализации openssh можно указать ключ

-N      Do not execute a remote command.  This is useful for just forwarding ports (protocol version 2 only).

Пока склоняюсь к openvpn. Судя по докам, виндовый клиент требует привилегий администратора для поднятия туннеля. Скорее всего это не будет большой проблемой.

рекомендую ipsec c ike2 на сертификатах
самое чоткое из тоннелей
инфа 100%

> Да где же ясно. По-моему вы предлагаете не слишком жизнеспособный вариант.

Вы хотите, чтобы вам ещё и разжевали?

Вот вы высказались на счет ssh. Может, еще подскажите, как из putty можно пробросить туннель, не давая при этом пользователю шелла?

Не буду подсказывать. Скажу, что у меня это работает. Аутенфицированный пользователь не имеет шелла и получает проброс внутрь сети.

Можете и опенвпн использовать, если с ним у вас проблем нет. Просто, в данной ситуации это примерно как из пушки по воробьям. Работать будет, но инструмент для этого не самый подходящий.

> > опенвпн - г**но

Почему?

не слушайте его, делайте на openvpn, включаете сжатие, и RDP становится намного приятнее (по отклику) чем например ssh -X && rdesktop. OpenVPN ставится на винду влет (что там OpenVPNGui2 называется) ставится как отдельное приложение и заставить работать как сервис. Настройка банальная - через conf файл.

Не буду подсказывать.

Просто, одно дело, когда кто-то что-то пробует и не получается, тут не грех помочь, покопаться, уточнить. Ну а другое — когда человек ничего не делает и только покрикивает: «А ну, подскажите! Я вообще маленький и ничего не знаю, не умею.»

мне кажется, имеет место противоречие.

так и сделал. Сертификаты еще вчера подготовил. Только что на виндовой машине установил openvpn (гуи в комплекте с версии 2.1 идет), сделал конфиг, проверил, работает. Всем удобен вариант, окромя требования в административных привилегиях. Но в конкретном случае это не проблема.

pptp гораздо проще

Там шифрование такое, что можно смело считать, что его и нет вовсе =).

ipsec гораздо надежнее

И гораздо сложнее в настройке. А ещё возможно возникновение проблем, есл и между точками будет хитрый NAT.

и да опенвпн - г**но

Говно - это то, что у тебя в голове =).

утипути, очередной фрустрирующий одмин айпишнега?

фрустрирующий

Это похоже твоё любимое слово.

ну ладно
у тебя БАТХЕРТ!!!!!!!!!!

> мне кажется, имеет место противоречие.

Никакого противоречия. Но может быть вы однажды это поймёте, когда будете также кому-то помогать.

stunnel

как вариант.

для этой цели поднял pptp - пока все нормально. Поднимается буквально за пару минут.

спасибо, на будущее буду иметь ввиду. Остановился на openvpn с ключами. Под виндой становится почти без проблем, под линухом тоже все пучком.