SSL VPN (via browser)

[arnizzz]

Noen som vet om noen kurrante løsninger for å kjøre VPN via browser? Så man slipper klient-installasjon?

 

Gjerne noe som funker med f.eks http://www.smspasscode.com/

 

Jeg vil gjerne ha sånn at brukere kan logge seg på med AD-brukernavn og så bruke en two-factor authentication for å logge seg på. En slags portal hvor man kan starte RDP-klienten rett fra portalen slik at det går via SSL VPN.

[Largie]

Tidligere brukte jeg SSL Explorer (før dem ble kjøpt opp) den hadde integrasjon med engangskode på mobilen.

 

Pga prosjektet var tidligere open-source har en gruppe (me included) benyttet kildekoden til å lage sitt eget prosjekt; Adito. Denne har desverre ikke støtte for SMS enda men det ligger i planen.

 

Les mer her: https://sourceforge.net/projects/adito

 

Jeg har bidratt med å lage en installer for Windows. Den finner du her: http://lars.werner.no/adito/ (Her finner du noen screenshots også)

 

Alt baserer seg på java og brukerne kjører den via suns jvm lokalt, ingen installasjon.

[arnizzz]

Kult. jeg vurderte SSL-explorer men gadd ikke se nærmere på det pågrunn av det var kjøpt opp. Skal sjekke nærmere. Takker

[arnizzz]

Er det et kjent problem at vista x64 ikke funker? Java-applikasjonen termineres bare. Både fra IE8 og Firefox.

 

Funka veldig bra fra windows 2003 SP2 iallefall.

 

Og Active Directory integrasjonen ville ikke funke fra Installasjonen. Fant liksom ikke så mye dokumentasjon på hvordan det skulle funke heller ;/

 

Virker uansett som et veldig bra prosjekt som jeg håper får mer aktivitet rundt seg etterhvert.

 

Edit:

Snakka med ene utviklern så jeg har fått en oppdatert klient som funket for x64.

 

Kommer vel i SVN om en liten stund.

Endret 29. mai 2009 av arnizzz

[Largie]

x64 biten jobbes med ja... Det kommer nok en kraftig utvikling av prosjektet siden dem har slått seg sammen med OpenVPN gutta

[arnizzz]

BUMP.

 

Adito(openvpn-als) er så og si dødt. Synd fordi det funka egentlig greit, men har en del åpne sikkerhetshull etc.

 

Andre forslag? Synes de fleste løsningene virker så ufattelig dyre. 100 brukere koster sånn 100 000 kroner. Blir litt vel mye penger bare for å spare litt arbeid med vpn-biten.

 

Trenger jo bare clientless ssl vpn for RDP på windows og mac. Gjerne noe som kommer som virtual appliance for vmware.

[xcomiii]

Hvis du klarer deg med å bruke først SSL VPN (webside) og deretter distribuere ferdige RDP filer til brukerne, finnes det relativt billige SSL VPN bokser.

 

Må du ha alt i et, så koster det mye som du har merket. Citrix har bl.a løsninger på dette, men koster deretter.

[arnizzz]

Jeg skjønte ikke helt det alternative løsningsforslaget ditt?

 

å sette opp en SSL VPN som har forskjellige tunneler, og så distribuere RDP-filene dynamisk med f.eks SERVERNAME som "localhost:dynamiskport"?

[xcomiii]

Man bruker ikke forskjellige portnr på VPN som tjeneste, ei heller gjør du det på f.eks HTTP.

 

SSL VPN + en ferdig confet .rdp fil som brukes av alle, er nok.

[arnizzz]

Det vil jo helt klart lønne seg å bruke dynamiske porter. Da target blir localhost:<port>. Hva om klienten har en tjener på den porten? Da blir det krøll.

 

Men har uansett funnet en løsning som gjør akkurat det jeg vil til 1/10 av prisen

[xcomiii]

Nå tror jeg du misforstår helt her.

Man bruker ikke egne porter pr bruker, sammenlign dette med en webserver som står å lytter på port 80. Det er naturligvis svært upraktisk om hver eneste bruker hadde måtte bruke et unikt port nr for å nå en webside.

 

VPN som en tjeneste som du tilbur, står å lytter på en port også, eks USP 500 for IPSec. I dette tilfellet snakker man om SSL VPN, altså port 443, dvs at VPN tjenesten lytter på port 443 for alle innkommende klienter som kobler seg til. Klienten i seg selv bruker dynamisk utgående porter, vanligivs mellom 1024-65535.

 

Så etter man har koblet opp SSL VPN, så er man inne på lokalnettet til bedriften. Deretter kobler man seg opp med RDP til en terminal server, og du bruker vel ikke egne porter for hver bruker på RDP gjør du vel?

[arnizzz]

SSL VPN-java klienten vil jo være en tjener. Så dest port på klientmaskinen vil være localhost:<dynamiskport>, som igjen åpner en tunnel mot publicip:443. En klient vil kunne ha flere tunneler. F.eks så kan localhost:13337 peke mot en intern RDP server, mens localhost:13338 peke mot en filserver. Javaklienten håndterer .RDP filene etc.

 

Det er slik det funket i Adito iallefall. FLowen er altså Localhost:<randomport> -> PublicIP:443 -> internhost:<serviceport>.

[xcomiii]

Nei, det er her du misforstår totalt. VPN klienten er som det ligger i navnet, klient.

VPN tjener (eller server) er som navnet sier, server. En webklient (browser) oppfører seg på akkurat samme måte som en VPN klient, ingen port config eller no sånt er nødvendig på en klient.

 

Er du med så langt?

[arnizzz]

Du misforstår meg

 

Porten vil forandre seg på hvilken applikasjon som benytter VPNen. når jeg sier localhost:<port> så mener jeg at den lokale applikasjonen som kobler opp. F.eks om du launcher Putty fra SSL VPN websiden, så starter VPN klienten putty med parametere for å koble seg mot localhost:<randomport>.

 

Da vil VPN-klienten oppføre seg som en forwarder-tjener, for å koble opp mot den ekte SSL VPN serveren.

 

Det er ingen konfigurasjon som må gjøres av sluttbruker. Alt går automatisk. Bruker går alltid inn på https://domain.tld