Задача : осуществить безопасное (шифрованное) соединение от клиента к серверу почты по протоколу pop3 (получение почты, обычно порт 110). Ну и пусть нам это надо не постоянно, а иногда (иначе надо все-таки настраивать нормальный vpn-сервер)




Скачать 440.52 Kb.
НазваниеЗадача : осуществить безопасное (шифрованное) соединение от клиента к серверу почты по протоколу pop3 (получение почты, обычно порт 110). Ну и пусть нам это надо не постоянно, а иногда (иначе надо все-таки настраивать нормальный vpn-сервер)
страница1/8
Дата публикации24.03.2013
Размер440.52 Kb.
ТипЗадача
www.vbibl.ru > Информатика > Задача
  1   2   3   4   5   6   7   8

Настройка VPN через SSH с использованием Putty




Сегодня пришлось вспоминать минут 20 как сделать сабж, попарился и решил написать на сайт, для себя как памятку и для других - вдруг кому пригодиться.

Итак, имеем:

  1. компьютер на базе Windows (удаленная рабочая станция, условно КЛИЕНТ);

  2. почтовый сервер (не важно, какой именно, будь то Kerio MailServer, MDaemon или другой, условно СЕРВЕР_ПОЧТЫ в локальной сети - ну предположим, что вам надо с ним работать, а просто так локальный почтовый сервер в мир не подключен);

  3. шлюз (прокси-сервер) в интернет с запущенным сервером ^ SSH (например, FreeBSD или Linux, которые во многих организациях стоят как брандмауэры, условно БРАНДМАУЭР).

Задача: осуществить безопасное (шифрованное) соединение от КЛИЕНТА к СЕРВЕРУ_ПОЧТЫ по протоколу POP3 (получение почты, обычно порт 110). Ну и пусть нам это надо не постоянно, а иногда (иначе надо все-таки настраивать нормальный VPN-сервер).



Решение

Т.к. по умолчанию трафик по протоколу POP3 передается открытым текстом, а мы передаем очень секретный пароль от почтового ящика, то почтовый трафик надо шифровать :) Чем мы будем его шифровать? Поднимать специальный VPN-сервер, редирект портов, настраивать сертификаты и прочее - часто не выход, т.к. это сложно даже для большинства системных администраторов, к тому же, как сказано чуть выше, нам все это надо для периодических сеансов работы, возможно, только для нас и нужных ;)

Мы будем делать соединение между КЛИЕНТОМ и СЕРВЕРОМ_ПОЧТЫ внутри шифрованного содинения по протоколу ssh.

^ Шаг 1.

Возьмем бесплатный клиент ssh для Windows - Putty - и установим его на КЛИЕНТА (по умолчанию, в папку "C:\Program Files\Putty").

Шаг 2.

Далее установим зашифрованное соединение между КЛИЕНТОМ и БРАНДМАУЭРОМ так, чтобы для КЛИЕНТА работа с почтой внутри локальной сети была бы точно такой, как если бы он (клиент) был бы у себя в офисе.

У КЛИЕНТА запускаем консоль: Пуск -> выполнить -> cmd

В консоли набираем команды:

cd C:\Program Files\Putty
putty.exe -v -ssh -2 -P 22 -C -l user -pw password -L 8110:192.168.1.10:110 81.222.111.10

где "-v" - т.н. verbose режим, с расширенными комментариями, "-ssh -2" - использовать протокол ssh версии 2, "-P 22" - порт, открытый на БРАНДМАУЭРЕ для подключения по ssh, "-C" - использовать сжатие, "-l user" - имя пользователя, который имеет право входить на сервер ssh на БРАНДМАУЭРЕ, "-pw password" - пароль этого пользователя,

далее (я специально сделал отступ от предыдущего текста):
"-L 8110:192.168.1.10:110" - локальный порт, который будет доступен на компьютере КЛИЕНТА, а 192.168.1.10 - локальный ip-адрес почтового сервера внутри организации, 110 - соответственно, порт POP3 на этом сервере;
"81.222.111.10" - внешний ip-адрес БРАНДМАУЭРА, к которому и будет соединяться КЛИЕНТ по ssh с помощью putty.

После набора последней команды (putty.exe -v -ssh -2 -P 22 -C -l user -pw password -L 8110:192.168.1.10:110 81.222.111.10) откроется окно сеанса связи по протоколу ssh. Все, окно сворачиваем (не закрываем!), и настраиваем нашу почтовую программу на получение почты с адреса localhost и портом 8110, а не 110, который стоит по умолчанию.

Вроде бы все. Во время получения почты почтовая программа будет соединяться с портом 8110, который будет переадресован на удаленный почтовый сервер в офисе, при этом весь трафик соединения будет зашифрован. Завершить сеанс связи можно просто закрыв окно сеанса putty. После этого локальный порт 8110 уже не будет доступен.

Можно добавить, что похожим образом можно соединяться не только к почтовому серверу, но и к другим сервисам, например, я таким образом соединялся с RAdmin, установленным на компьютере в локальной сети, при этом никаких port-мапперов на самом шлюзе делать не надо. Вот что самое хорошее! Достаточно иметь актуальную версию сервера ssh на шлюзе и, желательно, фильтровать на брандмауэре подключения к порту 22 (ssh), например по ip-адресу, если у вас дома или где там еще подключение к интернет постоянное. Но это уже мелочи жизни и тема другой статьи.

Вообще у ssh и putty, есть ооочень много всяких разных приятностей, которые здесь не упомянуты. Надеюсь, эта статья подтолкнет вас к небольшому исседованию, начать которое очень просто: http://www.google.ru/search?complete=1&hl=ru&newwindow=1&q=ssh&lr=&aq=f.

Кроме того, упомянутые в статье программы (за исключением почтовых серверов и ОС самого клиента ;)) являются бесплатными и свободно распространяемыми, а стремление быть легальным и бесплатным - хороший стимул приглядеться к реализации подобного безопасного соединения через ssh.

И еще, конечно же, при написании этой заметки я использовал другие ресурсы для "освежения" памяти. Вот самая полезная ссылка, которая и стала финальной в моих тестовых экспериментах перед опубликованием статьи: http://wiki.kaytaz.ru/doku.php/ssh-tunnel_cherez_putty.

Примечания (составлены по итогам комментариев на 27.03.2008)

1. (isx) Если туннель простаивает некоторое время, то соединение рвется, потому стоит поменять параметры сервера: TCPKeepAlive. Увеличить LoginGraceTime, выставить ClientAliveInterval и ClientAliveCountMax. Убрать UseDns, иначе длительные ожидания при установке соединений.

2. (isx) А отчего не сделаешь все через ssl? Если не хочется возиться с почтовиком, то можно воспользоваться программой stunnel, поднимая ее на шлюзе(брандмауэре). // Stunnel (http://stunnel.mirt.net/) использует OpenSSl или SSLeavy для шифрования трафика. Используется для установления шифрованных тонелей связи между клиентом и сервером. Работает в Linux, Windows, OS/2 и прочих осях.

3. (Serg) Если человек не админ брендмауэра - могут быть проблемы. Кто-то может гарантировать, что в настройках sshd не выключен форвардинг и/или туннелирование? // Действительно, к данному решению надо подходить взвешенно и понимать, что указанный способ туннелирования действительно больше всего подходить только для админа.

Комментарии

24.3.2008 12:43
написал Serg
Если человек не админ брендмауэра - могут быть проблемы. Кто-то может гарантировать, что в настройках sshd не выключен форвардинг и/или туннелирование? Уже есть прецеденты при первых же попытках протестировать данный метод :(

27.3.2008 15:52
написал admin
2Serg:
В этом смысле данный способ действительно не является безопасным. Даже можно сказать, является опасным :) Поэтому применять надо осторожно. Ценное замечание, спасибо.

24.3.2008 12:28
написал admin
isx, решений много, stunnel (http://stunnel.mirt.net/) - одно из них. Просто лично я с ним не работал, хотя вряд ли это сложно сделать. Я все жду момента, когда vpn по работе потребуется, тогда и обзор напишу подробный, а так времени нету на тесты :(

19.3.2008 21:13
написал isx
>>1. Имеется ввиду туннель между брандмауэром и почтовым сервером?
ага, но это применимо к цепи:
клиент локалки --> шлюз --(ssh)--> почтовик

А отчего не сделаешь все через ssl?
Если не хочется возиться с почтовиком, то можно воспользоваться программой stunnel, поднимая ее на шлюзе(брандмауэре).

19.3.2008 15:25
написал admin
isx, спасибо за комментарии!
1. Имеется ввиду туннель между брандмауэром и почтовым сервером?
2. Согласен полностью. Отмечу лишь для остальных - имеются ввиду параметры сервера ssh, в статье - БРАНДМАУЭР, а не сервер почты)
3. Согласен тоже :) Пароли, по крайней мере, можно будет не набирать.

18.3.2008 21:47
написал admin
Большая просьба ко всем, кто использовал подобные способы соединения на практике в течение длительного времени, напишите ваши отзывы и проблемы, с которыми вы сталкивались. Я либо исправлю что-либо в статье, либо добавлю, либо ничего делать не буду, но другие люди, во всяком случае, будут в курсе!

19.3.2008 15:5
написал isx
1. Зачем каждому пользователю проделывать данную операцию, когда можно поднять туннель на стороне шлюза и форвардить трафик для почты в него.
2. Если туннель простаивает некоторое время, то соединение рвется, потому стоит поменять параметры сервера:
TCPKeepAlive
Увеличить LoginGraceTime
выставить ClientAliveInterval и ClientAliveCountMax.
Убрать UseDns, иначе длительные ожидания при установке соединений.
3. Использовать ключи


  1   2   3   4   5   6   7   8

Добавить документ в свой блог или на сайт

Похожие:

Задача : осуществить безопасное (шифрованное) соединение от клиента к серверу почты по протоколу pop3 (получение почты, обычно порт 110). Ну и пусть нам это надо не постоянно, а иногда (иначе надо все-таки настраивать нормальный vpn-сервер) iconПервым делом надо найти тот знак препинания, который отделяет одно...
Е (пусть даже и разделённое запятой, а не точкой) — такая минисистема со своей иерархией. Каждое звено системы зависит от другого...

Задача : осуществить безопасное (шифрованное) соединение от клиента к серверу почты по протоколу pop3 (получение почты, обычно порт 110). Ну и пусть нам это надо не постоянно, а иногда (иначе надо все-таки настраивать нормальный vpn-сервер) iconМорить ли лихорадку голодом?
Все мамы знают, как нелегко накормить больного ребенка. Он капризничает, привередничает а надо ли его кормить, раз не хочет? И если...

Задача : осуществить безопасное (шифрованное) соединение от клиента к серверу почты по протоколу pop3 (получение почты, обычно порт 110). Ну и пусть нам это надо не постоянно, а иногда (иначе надо все-таки настраивать нормальный vpn-сервер) iconФутбол балтийская лига
Завершились они по-разному. В итоге лиепайский «Металлург» практически обеспечил выход в полуфинал. «Вентспилсу» предстоит упорный...

Задача : осуществить безопасное (шифрованное) соединение от клиента к серверу почты по протоколу pop3 (получение почты, обычно порт 110). Ну и пусть нам это надо не постоянно, а иногда (иначе надо все-таки настраивать нормальный vpn-сервер) iconВадим Чернобров Происхождение Луны
Обычно это заканчивается разговорами на тему "откуда берутся дети" и опять-таки при полной Луне. Впрочем, некоторые отклонения от...

Задача : осуществить безопасное (шифрованное) соединение от клиента к серверу почты по протоколу pop3 (получение почты, обычно порт 110). Ну и пусть нам это надо не постоянно, а иногда (иначе надо все-таки настраивать нормальный vpn-сервер) iconС самых ранних времён наши предки задавались вопросом: а каково же...
В свою очередь, этот факт мешает археологам найти останки доисторических летательных аппаратов (если такие существовали), ибо никто...

Задача : осуществить безопасное (шифрованное) соединение от клиента к серверу почты по протоколу pop3 (получение почты, обычно порт 110). Ну и пусть нам это надо не постоянно, а иногда (иначе надо все-таки настраивать нормальный vpn-сервер) iconНаряду с заполнением анкеты теперь требуется выполнить несколько...
В последнее время при приеме на работу нового сотрудника крупные фирмы все чаще прибегают к услугам психологов. Наряду с заполнением...

Задача : осуществить безопасное (шифрованное) соединение от клиента к серверу почты по протоколу pop3 (получение почты, обычно порт 110). Ну и пусть нам это надо не постоянно, а иногда (иначе надо все-таки настраивать нормальный vpn-сервер) iconПроповедь в литературной обработке (1-18 стр.)
Дорогие, у всех ли мир в сердце? У всех ли покой ? Аминь? Или надо помолиться, чтобы был покой? Всё хорошо? Помолиться? Давайте помолимся....

Задача : осуществить безопасное (шифрованное) соединение от клиента к серверу почты по протоколу pop3 (получение почты, обычно порт 110). Ну и пусть нам это надо не постоянно, а иногда (иначе надо все-таки настраивать нормальный vpn-сервер) iconНо что делать, если тревожность снижает качество жизни?
Мой муж — трудоголик: работает допоздна, а иногда и по выходным. Совершенно не умеет расслабляться; с трудом засыпает и даже на отдыхе...

Задача : осуществить безопасное (шифрованное) соединение от клиента к серверу почты по протоколу pop3 (получение почты, обычно порт 110). Ну и пусть нам это надо не постоянно, а иногда (иначе надо все-таки настраивать нормальный vpn-сервер) icon-
Его детьми, и воздействовать на нашу жизнь таким способом, который соответствует Его характеру. Бог делает все это посредством Своего...

Задача : осуществить безопасное (шифрованное) соединение от клиента к серверу почты по протоколу pop3 (получение почты, обычно порт 110). Ну и пусть нам это надо не постоянно, а иногда (иначе надо все-таки настраивать нормальный vpn-сервер) iconМ. В. Киселев Н. А. Михайлова
Все выучить жизни не хватит, а экзамен сдать надо. Это готовая «шпора», написанная реальными преподами. Здесь найдешь все необходимое...

Вы можете разместить ссылку на наш сайт:
Школьные материалы


При копировании материала укажите ссылку © 2013
контакты
www.vbibl.ru
Главная страница