Terminal de control remoto wan de Windows sin reenvío de puertos

Question

Conozco PSExec de la suite PSTools que está integrada en Windows, pero por lo que tengo entendido, está diseñado para usarse cuando las computadoras están en la misma LAN y no afuera (a menos que reenvíe el puerto en el enrutador). El reenvío de puertos no es una opción.

Bueno, no, eso por sí solo no la convierte en una herramienta "LAN".

Es normal que el reenvío de puertos sea necesario para las conexiones entrantes cuando el destino está detrás de un NAT; exactamente lo mismo se aplica a SSH, HTTP y casi todos los protocolos que no lo están.rutinariamenteutilizado a través de Internet.

Muchas herramientas de acceso remoto siguen el mismo patrón de conexión directa del cliente al servidor, ya sea PSExec, SSH, VNC, RDP, PS-Remoting o Telnet. Algunos de ellos se utilizan en Internet todos los días, pero si no puede configurar el reenvío de puertos, también tendrá dificultades con ellos.

(Lo que realmente hace que PSExec esté más orientado a LAN es que utiliza los servicios SMB y MS-RPC en Windows, que todavía se consideraninseguroexponer a Internet – ¿recuerda "Blaster" y "EternalBlue"?)

He leído en foros que la posible solución es la introducción de un servidor en el medio al que se conectarían ambas máquinas y que actuaría como un túnel para transmitir los comandos. El objetivo aquí es utilizar este tipo de configuración como RDP, solo que no necesito la parte GUI y administraría la máquina remota para verificar qué aplicaciones están abiertas, cuánto tiempo han estado ejecutándose, etc. Por ejemplo ¿Cómo los administran de forma remota los administradores de sistemas de muchas máquinas con Windows cuando están fuera de la LAN?

Casi siempre, la respuesta es algún tipo de VPN.

Por ejemplo, si todos los dispositivos están en su LAN corporativa pero usted trabaja desde casa, entonces es común que la red corporativa aloje un servidor VPN (con una dirección IP pública, o al menos reenvío de puertos) al que se pueda acceder desde cualquier lugar. . Una vez conectado, el administrador del sistema puede acceder a toda la LAN como si fuera local, lo que permite el uso de PSExec/RDP/SSH y otras herramientas de administración típicas.

Lo mismo ocurre si tiene la situación opuesta: cuando los dispositivos están dispersos y ubicados detrás de NAT que el administrador del sistema no controla, entonces es igualmente posible que esos dispositivos usen una VPN para conectarse.atrása su "base", y se vuelven accesibles como si estuvieran en la misma LAN que el administrador del sistema.

Las VPN no son inherentemente unidireccionales. Una vez establecido el túnel, es perfectamente capaz de transportar conexiones desde el lado del servidor a los clientes, así como desde el cliente al servidor y, de hecho, también entre clientes. Entonces, suponiendo que puedas configurar un servidor VPNen algún lugar(incluso un host en la nube/VPS servirá), simplemente haga que sus dispositivos se conecten automáticamente a ese servidor central y habrá evitado por completo los problemas de NAT y de reenvío de puertos.

Dicho esto, varias VPNproductosvarían desde genéricos (adecuados para enlaces de sitio a sitio) hasta orientados al cliente. Obviamente, para la administración de dispositivos, está buscando algo que admita la conexión automática (e idealmente credenciales basadas en certificados) y que funcione en modo de túnel dividido de forma predeterminada. Incluso podría terminar usando dos productos VPN completamente diferentes para dispositivos y para empleados/administradores de sistemas.

(Si los dispositivos son computadoras con Windows, entonces OpenVPN otal vezWireGuard serían mis mejores opciones, aunque también he usado ZeroTier y Tinc para este propósito).

Answer 1

Conozco PSExec de la suite PSTools que está integrada en Windows, pero por lo que tengo entendido, está diseñado para usarse cuando las computadoras están en la misma LAN y no afuera (a menos que reenvíe el puerto en el enrutador). El reenvío de puertos no es una opción.

Bueno, no, eso por sí solo no la convierte en una herramienta "LAN".

Es normal que el reenvío de puertos sea necesario para las conexiones entrantes cuando el destino está detrás de un NAT; exactamente lo mismo se aplica a SSH, HTTP y casi todos los protocolos que no lo están.rutinariamenteutilizado a través de Internet.

Muchas herramientas de acceso remoto siguen el mismo patrón de conexión directa del cliente al servidor, ya sea PSExec, SSH, VNC, RDP, PS-Remoting o Telnet. Algunos de ellos se utilizan en Internet todos los días, pero si no puede configurar el reenvío de puertos, también tendrá dificultades con ellos.

(Lo que realmente hace que PSExec esté más orientado a LAN es que utiliza los servicios SMB y MS-RPC en Windows, que todavía se consideraninseguroexponer a Internet – ¿recuerda "Blaster" y "EternalBlue"?)

He leído en foros que la posible solución es la introducción de un servidor en el medio al que se conectarían ambas máquinas y que actuaría como un túnel para transmitir los comandos. El objetivo aquí es utilizar este tipo de configuración como RDP, solo que no necesito la parte GUI y administraría la máquina remota para verificar qué aplicaciones están abiertas, cuánto tiempo han estado ejecutándose, etc. Por ejemplo ¿Cómo los administran de forma remota los administradores de sistemas de muchas máquinas con Windows cuando están fuera de la LAN?

Casi siempre, la respuesta es algún tipo de VPN.

Por ejemplo, si todos los dispositivos están en su LAN corporativa pero usted trabaja desde casa, entonces es común que la red corporativa aloje un servidor VPN (con una dirección IP pública, o al menos reenvío de puertos) al que se pueda acceder desde cualquier lugar. . Una vez conectado, el administrador del sistema puede acceder a toda la LAN como si fuera local, lo que permite el uso de PSExec/RDP/SSH y otras herramientas de administración típicas.

Lo mismo ocurre si tiene la situación opuesta: cuando los dispositivos están dispersos y ubicados detrás de NAT que el administrador del sistema no controla, entonces es igualmente posible que esos dispositivos usen una VPN para conectarse.atrása su "base", y se vuelven accesibles como si estuvieran en la misma LAN que el administrador del sistema.

Las VPN no son inherentemente unidireccionales. Una vez establecido el túnel, es perfectamente capaz de transportar conexiones desde el lado del servidor a los clientes, así como desde el cliente al servidor y, de hecho, también entre clientes. Entonces, suponiendo que puedas configurar un servidor VPNen algún lugar(incluso un host en la nube/VPS servirá), simplemente haga que sus dispositivos se conecten automáticamente a ese servidor central y habrá evitado por completo los problemas de NAT y de reenvío de puertos.

Dicho esto, varias VPNproductosvarían desde genéricos (adecuados para enlaces de sitio a sitio) hasta orientados al cliente. Obviamente, para la administración de dispositivos, está buscando algo que admita la conexión automática (e idealmente credenciales basadas en certificados) y que funcione en modo de túnel dividido de forma predeterminada. Incluso podría terminar usando dos productos VPN completamente diferentes para dispositivos y para empleados/administradores de sistemas.

(Si los dispositivos son computadoras con Windows, entonces OpenVPN otal vezWireGuard serían mis mejores opciones, aunque también he usado ZeroTier y Tinc para este propósito).

Terminal de control remoto wan de Windows sin reenvío de puertos

Respuesta1

información relacionada