포트 전달이 없는 Windows wan 원격 제어 터미널

Windows에 내장된 PSTools 제품군의 PSExec에 대해 알고 있지만, 컴퓨터가 외부가 아닌 동일한 LAN에 있을 때(라우터에서 포트 포워딩을 하지 않는 한) 사용하도록 만들어진 것으로 알고 있습니다. 포트 포워딩은 옵션이 아닙니다.

아니요, 그것만으로는 "LAN" 도구가 되지 않습니다.

대상이 NAT 뒤에 있을 때 인바운드 연결에 포트 전달이 필요한 것은 정상입니다. 이는 SSH, HTTP 및 그렇지 않은 거의 모든 프로토콜에 동일하게 적용됩니다.일상적으로인터넷을 통해 사용됩니다.

많은 원격 액세스 도구는 PSExec, SSH, VNC, RDP, PS-Remoting 또는 Telnet 등 클라이언트가 서버에 직접 연결하는 것과 동일한 패턴을 따릅니다. 그 중 일부는 매일 인터넷을 통해 사용되지만 포트 전달을 구성할 수 없는 경우에도 어려움을 겪게 됩니다.

(실제로 PSExec을 더욱 LAN 지향적으로 만드는 것은 Windows에서 SMB 및 MS-RPC 서비스를 사용한다는 점입니다.위험한인터넷에 노출하기 위해 – "Blaster"와 "EternalBlue"를 기억하시나요?)

나는 두 컴퓨터가 모두 연결되고 명령을 중계하는 터널 역할을 하는 서버를 중간에 도입하는 잠재적인 솔루션에 대해 포럼에서 읽었습니다. 여기서 목표는 RDP와 같은 이런 종류의 설정을 사용하는 것입니다. GUI 부분이 필요하지 않고 원격 시스템을 관리하여 어떤 응용 프로그램이 열려 있는지, 얼마나 오랫동안 실행되었는지 등을 확인하는 것입니다. 예를 들어 많은 Windows 시스템의 시스템 관리자는 LAN 외부에 있을 때 어떻게 원격으로 관리합니까?

거의 항상 대답은 일종의 VPN입니다.

예를 들어 모든 장치가 회사 LAN에 있지만 집에서 작업하는 경우 회사 네트워크는 어디에서나 접근할 수 있는 VPN 서버(공용 IP 주소 또는 최소한 포트 전달 포함)를 호스팅하는 것이 일반적입니다. . 연결되면 시스템 관리자는 마치 로컬인 것처럼 전체 LAN에 연결할 수 있으므로 PSExec/RDP/SSH 및 기타 일반적인 관리 도구를 사용할 수 있습니다.

반대 상황이 발생하는 경우에도 마찬가지입니다. 장치가 시스템 관리자가 제어하지 않는 NAT 뒤에 분산되어 있는 경우 해당 장치가 VPN을 사용하여 연결하는 것도 동일하게 가능합니다.뒤쪽에"기본"에 연결하면 마치 시스템 관리자와 동일한 LAN에 있는 것처럼 연결할 수 있게 됩니다.

VPN은 본질적으로 단방향이 아닙니다. 터널이 설정되면 서버 측에서 클라이언트로, 클라이언트에서 서버로, 클라이언트 간에 연결을 완벽하게 전달할 수 있습니다. 따라서 VPN 서버를 설정할 수 있다고 가정합니다.어딘가에(클라우드/VPS 호스트도 가능) 장치를 자동으로 중앙 서버에 연결하면 NAT 및 포트 전달 문제를 완전히 우회할 수 있습니다.

---

즉, 다양한 VPN제품일반(사이트 간 링크에 적합)부터 클라이언트 지향까지 다양합니다. 분명히 장치 관리를 위해 자동 연결(이상적으로는 인증서 기반 자격 증명)을 지원하고 기본적으로 분할 터널 모드에서 작동하는 것을 찾고 있습니다. 장치와 직원/시스템 관리자를 위해 완전히 다른 두 개의 VPN 제품을 사용하게 될 수도 있습니다.

(장치가 Windows 컴퓨터인 경우 OpenVPN 또는아마도WireGuard가 최선의 선택이 될 것입니다. 하지만 저는 이 목적을 위해 ZeroTier와 Tinc도 사용했습니다.)