Topic: Порт 3389 и OVPN

Доброго времени суток.

Во-первых - спасибо за Ваш сервис. Успешно обходятся все блокировки и, в частности, РКН. cool

Во-вторых - "верикул", что теперь смена пароля раз в сутки! Понимание причин частоты смены паролей и привело, собственно, к задаваемому вопросу.

Вопрос: проходит ли трафик RDP (порт 3389) через клиенты и серверы freeopenvpn?
Сканирование VPN в Германии (62.141.41.5) на 2ip.ua/ru/services/ip-service/port-check и Zenmap показывают, что порт 3389 закрыт.
Можно ли открыть порты? Если нет - что можно сделать в такой ситуации?
RDP-трафик внутри сети моего провайдера не режется, из дома нормально подключаюсь по RDP к рабочему компу.

Подоплёка: имеется свой сервер в Германии (от Amazonaws). Без ВПН сервер не пингуется. Через Ваш ВПН пинг идет нормально, но RDP не подключается.
Диапазон ай-пи, принадлежащий Amazonaws, с 2015 года в блэклисте РКН. Резервируя себе сервер на Амазоне я этого ещё не знал :-(. Была мысль поднять свой ВПН, чтоб не грузить Ваш сервис длительными коннектами.
Теперь же, благодаря РКН, возможность использовать свой сервер, как сервер ВПН, отсутствует. Но нужно чем-то озадачить комп, чтоб не стоял просто так. А для этого надо к нему подключиться. И именно  по RDP.

Надеюсь, суть и причина вопроса понятны.
Очень жду ответа.

Re: Порт 3389 и OVPN

P.S. Не правильно написал. Сканировал в Германии не 62.141.41.5, а de1.freeopenvpn.org

Re: Порт 3389 и OVPN

Здравствуйте.
Вчера со стороны одного из пользователей была зафиксирована попытка подбора пароля для доступа к удаленной системе, через 3389-й порт. В данной ситуации порт автоматически блокируется на некоторое время.

Re: Порт 3389 и OVPN

Э-э-м.. Не совсем понял

Кто-то, через один из  Ваших серверов пытался кого-то брутфорсить и 3389 порт теперь закрыт на серверах в России, России-2, России-3 и Германии и  Нидерландах?
Я правильно понял?

Re: Порт 3389 и OVPN

Да. Все сервера используют один фильтр. Если через один из серверов, к примеру, пытаются подобрать пароль, блокируется возможность и обновляется общий фильтр, чтобы не пытались делать подобное через другие vpn-сервера.

Re: Порт 3389 и OVPN

Спасибо, понятно.
Прошли почти сутки, порт по-прежнему недоступен.
Как часто подобное случается?
Как долго "висит" блокировка порта? (дней/часов/минут с_момента_блокировки)

Re: Порт 3389 и OVPN

2 часа, если, конечно, неправомерные действия не повторяются.

Re: Порт 3389 и OVPN

Что-то похоже атаки через Вас не прекращаются..
Ни разу не увидел за все это время 3389-ый открытым на de1.freeopenvpn.org

Он бывает открыт, точно?

Re: Порт 3389 и OVPN

С разных ip, неясно зачем, люди пытаются пробиться через данный порт. Уже и ip-адреса пытающихся начали блокировать на неделю, но люди настойчивые...

Re: Порт 3389 и OVPN

Юные хакеры пытаются тренироваться, наверное.

А что насчет 22-го порта (ssh)? Не бывает открыт?

Re: Порт 3389 и OVPN

Aleks17RU wrote:

А что насчет 22-го порта (ssh)? Не бывает открыт?

Открыты все порты, но работают они по озвученным в данной теме правилам.
За всеми не уследить, и по сему, всё автоматизировано.
Бывало так, судя по логам, что порты неделями были блокированы из-за постоянных попыток пробиться.

Re: Порт 3389 и OVPN

Понятно.
При такой картине можно неделями не рассчитывать на открытые порты.
Все равно - спасибо за внимание!

Собственно, свою проблему уже решил.

SSH-туннель через сеть TOR.

Отпишусь, может кому пригодится (пока разбирался, нашел в сети массу похожих на мою проблем без решения).
Админ, не пинай, если что.

Итак:
имеем сервер (s_1) на Амазоне (aws.amazon.com) в заблокированном РосКомНадзором сегменте.
Сервер 100% работает, но нет ответов на пинг по ip.
Пинг по днс-имени айпишник сервера возвращает (DNS имя резолвится, так кажется?).
При включенном OVPN - пинг по ip проходит. (Через консоль аккаунта на Амазоне в правиле внешнего файерволла разрешён ICMPv4)

Требуется:
подключиться по удалёнке (стандартным RDP-клиентом Win), что, ессно, невозможно при недоступности адреса узла.

Дополнительные возможности (и проблемы):
могу поднять на том же Амазоне ещё 12 серверов (не могу к ним подключиться).

Что делаем:
1
Поднимаем еще сервер (s_2) на Амазоне под *nix (или используем свой, если есть). Нужен узел "за барьером", к которому будем подключаться по SSH_other_VPN (а после SSH_other_Tor) и строить ssh-туннель.
* * *
Почему ssh, если нужен RDP?
- не нашёл "с ходу" ВПН с открытым 3389-ым портом
- На нужном сервере S_1 (Win2008) "внутри" открыт только 3389-ый порт. На внешнем файерволле через WEB-консоль можем открыть любой порт, но кто его "внутри" будет слушать?
- на сервере S_2 (*nix) ТОЧНО открыт порт 22 big_smile
- бесплатные ВПН, пропускающие соединения по 22-порту, для тестов и настройки подключения найти оказалось проще. Тот же "Free KSC". 300 мб в сутки при регистрации по е-мейл. Для тестирования хватило.
(Админ, за "имя_конкурента" не бей больно. Просто покупать ВПН для тестов не айс, а этот быстрее всего найти оказалось.)
* * *
2
Ставим PuttY.
* * *
Почему PuttY, а не какой-либо проксификатор/соксификатор?
- с PuttY получаем консоль для работы с сервером S_2 (*nix-сервер)
- PuttY "строит" туннель к серверу S_1
* * *
Качать и ставить ПОЛЕДНЮЮ англ версию. Релиз 0.70 работает норм.
Русифицированная PuttY (старая, свежих вроде нет) не захотела работать.
Настроек минимум:
- в Category-Session указываем "HostName" сервера S_2 и порт 22. "Connection Type" - SSH. (подразумевается, что мы знаем имя узла, куда подключаемся. cool На Амазоне имя смотрим в консоли.)
- в Category-Connection-Data указываем "Auto-login username" (для Амазона - смотрим в консоли нового экземпляра. Зависит от ОСи на сервере. На своих серверах вы его знаете.)
- в Category-SSH-Auth указываем путь к к файлу Private_Key (На Амазоне при старте *nix-экземпляра сервера - instance - приваткей генерируете и сохраняете. Он уже у вас есть)
!!! Амазоновский ключ *.pem (для *nix-ов) c помощью PuttYGEN (входит в дистрибутив) преобразовать в формат *.ppk! *.pem PuttY не понимает!!! 
- в Category-Connection-SSH-Tunnels в "Source port" пишем localhost:3002 (порт любой свободный, необязательно 3002), в "Destination" пишем "айпи_компа_куда_направлять_RDP_пакеты:3389". Мне нужно на сервер S_1, значит "ip S_1":3389,
жмём Add. В окошке выше должна появиться строка вида: "L127.0.0.1:3002     xxx.xxx.xxx.xxx:3389"
- в Category-Session в "Saved Session" вписываете понятное вам имя и жмяк на Save. Текущие настройки сохранятся под SessionName.
3
Включаем ВПН. Он сменит шлюз по умолчанию и "выпустит за бугор".
Обязательно!!! ВПН должен пропускать пакеты по 22-му порту!!!
Если не уверены - просканируйте свой айпи (с включенным ВПН!), например тут:
2ip.ua/ru/services/ip-service/port-check
В списке открытых должен быть порт 22!
В окне PuttY жмем Open (открываем сессию с сервером S_2)
Если до сих пор у вас все правильно - видим *nix-консоль сервера S_2!
Из консоли S_2 пингуем сервер S_1.
В случае с Амазоном - оба сервера "за бугром" в заблокированном сегменте. Но по внешним ip (public IP) доступны друг другу. Убедитесь, что S_2 не в России, если используете свой, а не Амазоновский!
S_1 должен отвечать на пинг серверу S_2.
Можно продолжать.
4
ВПН (с открытым 22-ым портом) включен, PuttY настроили и сессию открыли (запустили PuttY, выбрали настроенную в шаге 2 сессию и нажали Open).
- Запускаем консоль cmd.exe (Жмем Пуск-Выполнить (или кнопки Windows+R), в открывшемся окне пишем cmd)
- в cmd пишем:
netstat -aon | find ":3002"
-Команда должна вернуть следующие строки:
TCP    127.0.0.1:3002         0.0.0.0:0              LISTENING       6816
TCP    [::1]:3002             [::]:0                 LISTENING       6816
Всё ОК, PuttY "слушает" на 3002-м порту
5
- Запускаем RDP
(пишем в cmd "mstsc" или находим на компе mstsc.exe в папке Системный_Диск:\WINDOWS\System32)
- В окне Remote Desktop Connection (Подключение к удаленному рабочему столу) вводим 127.0.0.1:3002
* * *
Вуаля! Вводим имя и пароль пользователя и рулим по RDP удалённым сервером S_1!
Кто будет и дальше использовать SSH-туннель через ВПН - может идти пить пиво.
Нам же ещё нужно скачать и настроить Tor-браузер.
* * *
Поэтому:
6
Качаем и ставим Tor. Использовал стандартный дистрибутив torbrowser-install-7.5.4_en-US без дополнений в виде Vidalia или других.
- После установки запускаем Tor (чтобы создался конфигурационный файл torcc.
По умолчанию в папке C:\Users\User\Desktop\Tor Browser\Browser\TorBrowser\Data\Tor\)
- Открываем torcc Блокнотом или другим редактором и вносим дополнительные строки (Комментарии "#" Tor игнорирует) под самой нижней НЕЗАКОМЕНТИРОВАННОЙ строкой:

# Выберем "выходную ноду", т.е. "из какой страны будем видны" в Инете:
# Сейчас мне нужна Франция. S_2 во Франции, выбираем "выход" ближе к S_2
ExitNodes {fr}
# Могут понадобиться другие "выходы". Можно сделать заготовки:
# ExitNodes {de}
# ExitNodes {us}

# Выходить только с указанных "нод":
StrictNodes 1

# Разрешим использовать один прыжок ("hop"):
# Мне не нужны дополнительные промежуточные узлы сети Тор
# Но ТОР всё равно строит HopCircuits минимум из 3-х узлов. Не нашел, как принудительно задать 1 узел. Всё же пусть:
AllowSingleHopCircuits 1

# Запретим выходную ноду в России, чтоб не "напороться, за что боролись"
# (если нужно подключаться к ресурсам,
# которые, например, в блэклисте провайдеров благодаря РКН):
ExcludeExitNodes {ru}

# TOR Socks-прокси "слушает" порт на:
SocksPort 127.0.0.1:9050

- Перезапускаем Тор.
Если ТОР при запуске выдаст ошибку - накосячили при добавлении строк. Уберите все добаленные и добавляйте по одной без строк коментариев. Но я скопировал все строки из своего нормально запускающегося и работающего конфига ТОРа
- В cmd пишем:
netstat -aon | find ":9050"
- В ответ должны увидеть следующее:
TCP    127.0.0.1:9050         0.0.0.0:0              LISTENING       7012
Tor слушает на 127.0.0.1:9050.
7
!!!Отключаем ВПН!!!
Пишем exit в консоли S_2 (в PuttY, если еще не закрывали консоль), закрываем консоль.
Запускаем PuttY.
- в Category-Session в "Saved Session" выбираем сохраненную в конце шага 2 сессию. Жмем Load. Прежние настройки загрузились.
- в Category-Connection-Proxy указываем сокспрокси TOR-а: выбираем "Proxy Type" "Socks 5", в "Proxy hostname" пишем localhost или 127.0.0.1, "Port" 9050
- в Category-Session в "Saved Session" жмяк на Save. Измененные настройки сохранятся.
- Жмем Load в PuttY, видим консоль S_2
- Запускаем RDP на адрес 127.0.0.1:3002 (как в конце шага 5)

Вуляля. Подключились без ВПН, используя ТОР.
Пока нужен RDP - не закрываем ТОР и PuttY.

ВСЁ. Настроек немного, просто нужно быть внимательным, по шагам выполнять, что написано. Проверил свою "инструкцию", настроив Тор и Putty на новой виртуальной машине. Все работает.

В итоге:
- запустив ТОР, мы преодолели "барьер" провайдера, используя шифрованную сеть ТОР (или туннель TOP? Не уверен как правильно).
- настроив PuttY на сокс-прокси ТОРа, подключились к S_2 по шифрованному SSH-туннелю.
- запустив RDP на 127.0.0.1:3002, подключились к S_1 по шифрованному протоколу RDP внутри SSH-туннеля.

Шифрованный протокол (туннель?) RDP, внутри шифрованного SSH-туннеля, который внутри шифрованной сети ТОР.
Ничо такая "луковица в луковице" wink

Все работает, далее "шлифуем под себя" - запуск ТОР, как службы, запуск всего этого добра с пакетного файла и еще чего только придумаем.
"Скелет" готов и работает.

*Прошу прощения за изложение - сам во всем этом "чайник", старался понятно для "чайников" же и написать big_smile
*Есть подозрение на грани уверенности, что можно сделать проще. Но пока не дошел КАК sad
*Через ВПН работает быстрее, чем через ТОР.
*Поэтому хочется принудительно отключить "лишние" hop-ы (узлы) в ТОRе. Шифрования тут вроде  достаточно big_smile, а "следы путать" через цепочку "hop-ов" ТОРа мне ни к чему. Пока по крайней мере smile Но тоже  пока не нашел КАК.

Кто знает - черкните пару строк в формате "для чайников" wink

Админ, "письмо" дюже длинное вышло - не пинай, плиз.
А тему было бы правильнее переименовать типа "RDP через ВПН или TOR". Если это возможно.

Всем успехов.

P.S. Зачем это всё надо?
1 Надо использовать бесплатные (на год!) компы (удалённые VPS Амазона)
2 VPS есть - а "барьер к ним не пускает"
3 Есть требовательные к ширине канала (Mbps) приложения. Домашний канал забивают "под завязку", а "у буржуев" заявлено !!!1 Gbit/s!!! (но правда "измерялка" на 2ip.ua показала 150 Mbit/s "DOWN" и 50 Mbit/s "Up") Там и буду их запускать!
4 Можно ещё "по-играть" с X11Forwarding окон графических приложений с консольных *nix-ов (того же *nix-ового "rdesktop") на локальную машину big_smile Тоже интересная тема! Лазить в инете с *nix-овой машины с обалденной шириной канала, а окно браузера "форвардить" на свой комп. Понадобится Xming.
5 Да и вообще - интересно же smile

Re: Порт 3389 и OVPN

Что это было? yikes