gente de la seguridad, como @Jesus o @Andy, o gente que estais harticos de trastear la Pi como @MiguelAngelLV o @jsalvador. Necesito poder controlar varios equipos, en este caso RPi, desde remoto (en otras ciudades y a lo mejor en otros países). Lo primero que he pensado es en usar el servicio NoIP para tener control SSH de las máquinas (aunque la putada es que voy a tener que abrir puertos en los routers de cada sitio).
Me gustaría saber que opción menos insegura (porque ninguna será segura) tengo para montar este despliegue ¿VPN + NoIP por ejemplo? ¿Que me recomendáis?
autossh o openvpn, que sean las Pi que hagan la connexión, te ahorras tocar routers y los dns dinámicos.
Lo único que debes tener una màquina que haga de servidor VPN o de terminador de esos túneles ssh.
Yo soy amigo del SSH. Mis máquinas de DigitalOcean las controlo así, de hecho. Es básicamente lo mismo que te ofrece @MiguelAngelLV, solo que hay un poco más de jaleo configurando los puertos y demás. La RPi la controlo a través de OpenSSH conectada directamente a un router.
Si pero gestionas una o pocas maquinas, todas con su ip fija y resgistro dns asociado, eso no le sirve a @klin @klin , no tengo documentación, pero te hecho una mano sin problemas.
Si eso lo hablamos en “privado” y luego publicamos por aquí como se ha hecho por si a alguien le interesa.
Si pero gestionas una o pocas maquinas, todas con su ip fija y resgistro
dns asociado, eso no le sirve a @klin http://foro.hacklabalmeria.net/users/klin @klinhttp://foro.hacklabalmeria.net/users/klin , no tengo
documentación, pero te hecho una mano sin problemas.
Si eso lo hablamos en “privado” y luego publicamos por aquí como se ha
hecho por si a alguien le interesa.
Como dice @franc lo mejor es que el servidor OpenVPN lo tengas «cerca» y
los clientes simplemente conecten con él, así no tienes que abrir
puertos nada más que en el servidor.
Así tenemos nosotros en la empresa unas cuantas instalaciones.
Si mal no recuerdo, creo que tengo por ahí alguna documentación generada.
Si quieres te la puedo buscar, eso si, creo que es para OpenWRT porque
nosotros montábamos la VPN en los enrutadores.
Pero vamos, que busca montar una red OpenVPN y te salen chorrocientos
millones de resultados, no tiene ningún misterio.
Era coña
Yo solo le veo dos pegas, tienes que configurar la salida a tor y el servicio oculto, fàcil y rapido si, pero casi tanto como montar un cliente de openvpn.
Y, dependiendo del circuito tor que se establezca la conexión será lenta.
Hola Fran, para tareas de administración, y máxime si es a través de consola es más que suficiente incluso en el peor de los casos.
De todas formas con arm puedes monitorizar el servicio tor y solicitar crear nuevo circuito.
Respecto a complejidad servicioOcultoTor(ssh) vs vpn+configuraciónNAToDMZRouter+servicioDNSDinamico, sin menospreciar otras opiniones creo que es mucho más sencillo Tor.
El acceso al servicio oculto es encriptado (ademas del propio ssh), es anónimo, y pienso que es seguro, bastante más que una configuración sencilla clasica.
La restricción es que allá donde esté el cacharro y donde esté el administrador haya acceso Tor.
El servicio también puede ser entendido a la inversa si hay un nodo central. En este caso serían los cacharros los que se conectarían a este nodo, y en su caso podrían mapear puertos locales (como el del propio sshd del cacharro).