Re: Administrar remotament un PC darrere un router
El 20/05/16 a les 00:00, Joan ha escrit:
> Hola,
>
> Demà he d'instal·lar un linux en un equip, simplement per descarregar
> còpies de seguretat d'una web / CRM a l'empresa propietària.
>
> He pensat en deixar-los posat un linux funcional, a nivell
> d'escriptori, perquè no es desaprofiti l'equip (em sembla una bestiesa
> tenir un equip només per descarregar un cop a la setmana una còpia de
> seguretat, però qui el client és cabut). llavors, estava pensant en
> quina distro posar, una debian, o una que no doni problemes a nivell
> desktop (tema drivers, etc.).
>
> Però una derivada d'això és que si els poso una debian, com que tinc el
> client lluny, hauria de poder connectar-me remotament al seu equip, i
> en un terminal fer un apt-get upgrade, si convé... i potser instal·lar
> algun paquet, etc.
>
> Diria que algo d'això és el que fa Team Viewer o com es digui, però no
> és soft lliure i no sé ni si és gratuït.
>
> Algú fa algo semblant? Amb quines eines?
>
> Pd.: no voldria obrir el tallafocs del router per aquesta tasca, que en
> definitiva és secundària, a costa de posar en risc la xarxa local. No
> parlo d'obrir un port per una aplicació, que això encara, sinó de fer
> cap birgueria... El que em pregunto és si hi ha alguna manera simple
> d'agafar el volant d'un equip remot local, desktop dels de les cases /
> oficines.
>
> Salutacions,
Per raons professionals em trobo bastant en aquesta situació, si bé
sempre tinc la possibilitat d'acció per la part remota. El que dic no
val per a administració remota i desatesa: entrar a la màquina sense
intervenció de ningú allà.
TeamViewer és la solució preferida pels nostres clients, però és bastant
murga (independentment de llicència) i una mica exagerada pels usos que
necessitem. A més, molts cops acabem fent saltar la detecció d'ús
comercial i acaba bloquejant l'accés remot en el moment més inoportú.
La solució que per a nosaltres ens va millor, per altra banda, és un
túnel ssh invers. Demanem al client que executi una comanda similar a la
següent (sigui directament, sigui via script ja preparat):
ssh -N -R ${port}:localhost:22 usuari@servidor.meu
Es pot configurar accés amb certificat perquè no calgui que entrin clau,
i se'n pot restringir l'ús perquè només pugui fer aquesta redirecció. Un
cop establerta la connexió, des de servidor.meu només em cal fer ssh -p
${port} localhost per connectar-m'hi.
No ho tinc provat, però amb certificat i un script a crontab es podria
arribar a muntar de forma més o menys permanent.
Per a clients Windows també fem ús de connexions VNC inverses. Amb
TightVNC Server hi ha una opció per fer que sigui el servidor qui es
connecti a un client que escolta (que prèviament hauràs engegat amb
vncviewer -listen), se'ls demana que hi posin la teva IP i quan ho
engeguin voilà, apareixerà la seva pantalla al teu ordinador. Segur que
a Linux també es pot, però no ho he fet mai.
Reply to: