Laden...

Ist RDP über SSH Tunnel eine sichere Alternative zu VPN?

Erstellt von JimStark vor 4 Jahren Letzter Beitrag vor 4 Jahren 1.479 Views
JimStark Themenstarter:in
309 Beiträge seit 2020
vor 4 Jahren
Ist RDP über SSH Tunnel eine sichere Alternative zu VPN?

Hi,

ich hoffe das Thema passt hier, hat ja nichts mit C# zu tun (Ansonsten bitte verschieben).

Angenommen eine kleine Firma hat 2 Desktop-PCs im Haus und möchte darauf jetzt von zuhause zugreifen.
Wäre es sicher einen Ubuntu Server aufzustellen und 2 SSH Tunnel mit Zertifikat-Authentifizierung einzurichten, diese zeigen dann jeweils auf die RDP-Ports der PCs. Zum Schluss werden die 2 Tunnel-Ports im Router nach außen freigeben. Auf die sollte man sich dann ja von außen verbinden können.
Wäre das eine einfache Alternative zu einem VPN Server oder ist davon abzuraten?

Danke!

D
261 Beiträge seit 2015
vor 4 Jahren

Du brauchst keine zwei Ports in der Firewall öffnen um zwei Tunnel aufmachen zu können.
Du kannst mehrere (in deinem Fall zwei) Benutzer anlegen und diesen dann Rechte geben, dass sie Tunnel auf bestimmte IPs bzw. Ports im Netz öffnen können. Jedem Benutzer kannst du einen oder mehrere öffentliche Schlüssel zuordnen.

Da auf viele Servern der SSH Daemon direkt aus dem Internet erreichbar ist, würde ich dieseine sichere Lösung ansehen.

PS: Wenn beide auf dem gleichen Remote Desktop (sprich gleiche IP und Port) arbeiten, reicht sogar ein Benutzer, in dem du einfach beide Keys für diesen Benutzer hinterlegst.

16.806 Beiträge seit 2008
vor 4 Jahren

Ich würde davon abraten und lieber 100€ für nen VPN Server ausgeben, zB. Unifi Security Gateway.
Die offizielle Doku hat nen extra Topic für das Einrichten eines VPN Servers via RADIUS; alternativ Blogs.

P
441 Beiträge seit 2014
vor 4 Jahren

Alternativ bieten sich auch Produkte wie Teamviewer an.

JimStark Themenstarter:in
309 Beiträge seit 2020
vor 4 Jahren

Ich würde davon abraten und lieber 100€ für nen VPN Server ausgeben

Und wieso? Ist VPN sicherer als ein SSH Tunnel?

P
441 Beiträge seit 2014
vor 4 Jahren

Nein, aber du bekommst ein Komplett Produkt, zu dem du dir auch Support kaufen kannst und nicht alles alleine konfigurieren musst.
Gerade, wenn du nicht Experte für getunnelte Remote Verbindungen bist, baust du dir selber schneller einen offenen Angriffsvektor, als du chauen kannst.