Преди имах права на локален администратор на лаптопа си от Work. Тъй като имам много време за почивка по време на работа, инсталирах Wireguard клиент за връзка към домашната мрежа и RDP към домашния компютър. Следвах курс, който изисква много инструменти, които не исках да инсталирам на работния си лаптоп.
Миналата седмица IT отделът направи някои промени, като деактивира местните права на админ и Wireguard клиента. Разбира се, това е добре от гледна точка на системния администратор, но за мен ограничава възможността ми да продължа курса си от домашния компютър, тъй като не мога вече да се свържа с него.
Размислям как да се справя без да инсталирам нищо на работния лаптоп. В момента настройвам Apache Guacamole сървър в домашната мрежа. Искам да отворя този сървър за интернет, за да мога да достъпя компютъра си от браузъра. Идеално би било да го защитя зад VPN, но това вече не е възможно. Би ли било мъдро решение? Размишлявам да сложа Authelia отпред за обработка на 2FA. Четох също за Crowdsec и Cloudflare тунели, които мога да използвам за маршрутизиране към домашната мрежа.
За Wireguard VPN използвах duckdns и отворих порта за wireguard в рутера. Не желая да отварям Guacamole директно към външната мрежа, затова търся съвет как да го направя по най-сигурния начин. Сървърът работи под Debian 12 и Guacamole с трите официални Docker изображения (guacamole, guacd и mysql).
Имам Cloudflare настроен за моята инстанция на guacamole. Свързвам се директно чрез уеб браузър и имам достъп до всички виртуални машини чрез RDP. Работи перфектно.
Не заобикаляйте защити, които вашият работодател е поставил в мрежата си, и не инсталирайте нищо на служебните устройства, което не ви е позволено ясно. Ако продължите, добавете към bookmarks /r/LegalAdvice вече. И освен техническите ограничения, уверете се, че е разрешено изрично да ползвате свободното си време за лични курсове или други дейности. Мисля, че вашият работодател вероятно няма да е доволен.
Защо имаме подобен пост тук на всеки две седмици…
Може да поставите обратен прокси пред Guacamole, ако вграденият му механизъм за автентикация не е достатъчен, комбинирайте го с Authelia или подобен.
Работя с IPv6 и много ми харесва. Това е всичко, което чувствам, че е като VPN, но без VPN. В рутера ще трябва да разрешите входящ трафик IPv6, но на работния компютър просто използвайте IPv6 адреса на домашната машина (не го споделяйте с никого!) и RDP към него като държите да сте точно до него. Аз съм го използвал в миналото и работи отлично! Изисква малко време за свикване с структурата на адресите, но е просто копирай + постави и не е трудно.
Използвате ли Cloudflare Zero Trust Tunnels? Аз управлявам всичко по този начин и чувствам, че трябва да го конфигурирам по-добре, но не съм сигурен как.
Очаква се тук да има такъв downtime и шефът ми не се обажда, не ме интересува какво правя в това време и те знаят за това. Това е просто, защото IT не позволява да инсталираш нещо на работния лаптоп, което е напълно разумно.
Мисля, че маршрутът с guacamole е най-безопасният начин да не компрометирам или получа привилегии върху работния лаптоп, а все пак да мога да достъпя отдалечения си компютър чрез уебсайт.
Прочетох онлайн за хора, които използват Nginx обратен прокси + authelia, за да направят тази настройка по-сигурна.
Мисля, че това ще наруши много вътрешната политика на моята работа. Не искам да ровя твърде много в техния лаптоп. Освен това, ако нямам BIOS парола, вероятно ще трябва да я имам, за да зареда алтернативно устройство за зареждане. Благодаря за предложението!"},{