Например, вот у меня ноут (рабочий) на винде 10.
И я хочу собирать на своем мощном тредриппере вещи, которые доступны только по корпоративному VPN.
Если бы на ноуте был Линукс, я бы элементарно настроил NAT на USB ethernet адаптер и вуаля!
Но в несерверной винде это как делается?
Быстрая гуглежка говорит мне только, что клиентская винда на столько тупая, что не умеет работать с RRAS (если это то, что мне нужно).
Если речь про корпоративную безопасность, то это довольно глупо.
Потому что если я захочу, я просто напишу велосипед, который будет синхронизировать данные с винды на мой линукс-десктоп.
Будет не так удобно, как с NAT, но от использования моего домашнего десктопа это никак не спасет.
Здравствуйте, student__, Вы писали:
__>Например, вот у меня ноут (рабочий) на винде 10. __>И я хочу собирать на своем мощном тредриппере вещи, которые доступны только по корпоративному VPN. __>Если бы на ноуте был Линукс, я бы элементарно настроил NAT на USB ethernet адаптер и вуаля!
Так поставте linux и винду в угол виртуалку и будет вуаля
Re[2]: Почему виндоус на столько анально огорожен?
Здравствуйте, kov_serg, Вы писали: _>Так поставте linux и винду в угол виртуалку и будет вуаля
Звучит круто. Но у меня же не домашняя винда, а корпоративная с кучей зондов.
Но, допустим что эти зонды и превязки не сработают когда я работаю из дома по VPN (минус проблема с макадресом).
Т.е. даже если я байт в байт скопирую образ диска, не понятно, как его конвертить в формат VM.
И какие там у венды анальные заборы в виде считывания какого-нибудь ID процессора и проч.
Re[2]: Почему виндоус на столько анально огорожен?
Здравствуйте, kov_serg, Вы писали:
_>Так поставте linux и винду в угол виртуалку и будет вуаля
Лучше всего дуалбут, а не виртуалку. А то люди используют виртуалки, потом жалуются, что операционная система на виртуалке дно. Причём они даже не понимают, что дно именно из-за виртуалок на десктопах.
Re[3]: Почему виндоус на столько анально огорожен?
Здравствуйте, student__, Вы писали: __>Потому что если я захочу, я просто напишу велосипед, который будет синхронизировать данные с винды на мой линукс-десктоп.
ах да, если кто-то хочет возразить, мол, у тебя твой домашний TR выходит в инет и там всякий софт х.з. какой, то это все не так.
На моем TR я могу вот как раз настроить дуалбут или вообще KVM. А вся сетевая активность будет идти через мега-защищенный анально-проходный корпоративный виндоус.
__>Звучит круто. Но у меня же не домашняя винда, а корпоративная с кучей зондов.
Корпортативные в смысле, от организации, предоставившей ноутбук?
Ну они конечно заметят p2v.
__>Но, допустим что эти зонды и превязки не сработают когда я работаю из дома по VPN (минус проблема с макадресом). __>Т.е. даже если я байт в байт скопирую образ диска, не понятно, как его конвертить в формат VM.
Это и будет образ в raw формате.
По поводу виртуального желлеза — алгоритмы конвертации p2v (physical to virtual) давным давно описаны.
В ОС нужно подключить стандартные SATA драйвера в реестре.
Ну и BIOS/UEFI выбрать.
Т.е. p2v конвертация вполне возможна, но в твоем случае совершенно излишняя.
__>И какие там у венды анальные заборы в виде считывания какого-нибудь ID процессора и проч.
Активация слетит.
Re[3]: Почему виндоус на столько анально огорожен?
Здравствуйте, student__, Вы писали:
__>потом, в VM есть такая штука как виртуальное железо. И установленная на ноутбучное железо винда скорее всего просто уйдет в бсодь в виртуалке
Ничего не уйдёт. Всё работает как часы.
Re[2]: Почему виндоус на столько анально огорожен?
Здравствуйте, m2user, Вы писали:
M>Перенеси VPN клиент на другую машину (можно VM) c linux и NAT и всё. M>У всяких корпоративных VPN от Cisco обычно есть сторонние opensource версии.
Здравствуйте, m2user, Вы писали: M>У всяких корпоративных VPN от Cisco обычно есть сторонние opensource версии.
у нас довольно жесткий контроль по периметру сети с глубоким анализом пакетов. Если я начну настраивать сторонний клиент и что-то пойдет не так (сертификат не туда положил и т.п.) есть вероятность, что служба безопасности обнаружит аномалии в "обычном" сетевом трафике от меня, начнет будировать начальство, типа, откуда вот этот чел работает, и почему он что-то со своей системой делает. Причем, эти аномалии обнаруживаются автоматом без предворительной личной инициативы со стороны аудитора безопасности.
Это при условии, что я разберусь, откуда клиент берет сертификат, куда в реестре лезет и проч.
К тому же, наш cisco anyconnect клиент еще производит какие-то проверки секьюрности текущей конфигурации венды, и не пускает в сеть, если проверки не проходят.
И еще есть какой-то нецисковский нереальный зонд, который мониторит все изменения конфигурации (реестр, сеть, настройки) и все события на уровне ФС, во всяком случае связанные с созданием, переименованием, модификацией.
Во всяком случае, как минимум для системных файлов. И вроде запуск процессов тоже.
M>Если со стронним VPN клиентом не сложится, то можно поставить сторонний http/socks прокси (вместо NAT).
да, но только если эти прокси самодостаточные бинари, которые ничего не пишут в C:\. Иначе отследят.
Re[3]: Почему виндоус на столько анально огорожен?
M>>Перенеси VPN клиент на другую машину (можно VM) c linux и NAT и всё. M>>У всяких корпоративных VPN от Cisco обычно есть сторонние opensource версии.
M>>У всяких корпоративных VPN от Cisco обычно есть сторонние opensource версии. __>у нас довольно жесткий контроль по периметру сети с глубоким анализом пакетов. Если я начну настраивать сторонний клиент и что-то пойдет не так (сертификат не туда положил и т.п.) есть вероятность, что служба безопасности обнаружит аномалии в "обычном" сетевом трафике от меня, начнет будировать начальство, типа, откуда вот этот чел работает, и почему он что-то со своей системой делает. Причем, эти аномалии обнаруживаются автоматом без предворительной личной инициативы со стороны аудитора безопасности.
Но вот как раз для Cisco Anyconnect есть сторонние клиенты.
Гм, я бы действовал по принципу "все что не запрещено, то разрешено".
Впрочем это не универсальный совет. Только ты сам знаешь, какие тараканы в голове твоего работодателя
__>Это при условии, что я разберусь, откуда клиент берет сертификат, куда в реестре лезет и проч. __>К тому же, наш cisco anyconnect клиент еще производит какие-то проверки секьюрности текущей конфигурации венды, и не пускает в сеть, если проверки не проходят. __>И еще есть какой-то нецисковский нереальный зонд, который мониторит все изменения конфигурации (реестр, сеть, настройки) и все события на уровне ФС, во всяком случае связанные с созданием, переименованием, модификацией. __>Во всяком случае, как минимум для системных файлов. И вроде запуск процессов тоже.
я не понимаю тогда вопроса.
Ты жалуешься, что в MS Windows сложно настроить NAT, но при этом по условиям задачи такие изменения на рабочем ноутбуке нежелательны, т.к. твой работодатель их отследит.
Более того Cisco Anyconnect ещё и таблицу роутинга не дает править, так что NAT вместе с ним вообще не факт, что удалось бы настроить.
M>>Если со стронним VPN клиентом не сложится, то можно поставить сторонний http/socks прокси (вместо NAT).
__>да, но только если эти прокси самодостаточные бинари, которые ничего не пишут в C:\. Иначе отследят.
Почему нет. Прокси вполне может быть portable.
Впрочем по условию задачи "зонд, который мониторит все изменения конфигурации" наверняка это заметит.
Здравствуйте, student__, Вы писали:
__>Например, вот у меня ноут (рабочий) на винде 10. __>И я хочу собирать на своем мощном тредриппере вещи, которые доступны только по корпоративному VPN. __>Если бы на ноуте был Линукс, я бы элементарно настроил NAT на USB ethernet адаптер и вуаля!
__>Но в несерверной винде это как делается?
Вот прямо щас попробовал.
На ноуте включил рабочий VPN (OpenVPN) и мобильный хотспот.
В этом хотспотном вайфае стала доступна рабочая сеть.
Или вам чего-то другого надо?
Винда на ноуте домашняя 10.
Здравствуйте, student__, Вы писали:
__>Здравствуйте, kov_serg, Вы писали: _>>Так поставте linux и винду в угол виртуалку и будет вуаля
__>Звучит круто. Но у меня же не домашняя винда, а корпоративная с кучей зондов.
Идешь к ИТ-директору. Бьешь кулаком по столу и трехэтажными выражениями объясняешь что так жить нельзя!
☭ ✊ В мире нет ничего, кроме движущейся материи.
Re[4]: Почему виндоус на столько анально огорожен?
Здравствуйте, m2user, Вы писали:
M>Ты жалуешься, что в MS Windows сложно настроить NAT, но при этом по условиям задачи такие изменения на рабочем ноутбуке нежелательны, т.к. твой работодатель их отследит.
Вспомнилось: "Нарисуйте 7 красных линий строго перпендикулярных, часть зеленным цветом, остальные прозрачным. Сможете?"
Re[3]: Почему виндоус на столько анально огорожен?
Здравствуйте, student__, Вы писали:
__>у нас довольно жесткий контроль по периметру сети с глубоким анализом пакетов. Если я начну настраивать сторонний клиент и что-то пойдет не так (сертификат не туда положил и т.п.) есть вероятность, что служба безопасности обнаружит аномалии в "обычном" сетевом трафике от меня, начнет будировать начальство, типа, откуда вот этот чел работает, и почему он что-то со своей системой делает. Причем, эти аномалии обнаруживаются автоматом без предворительной личной инициативы со стороны аудитора безопасности.
__>Это при условии, что я разберусь, откуда клиент берет сертификат, куда в реестре лезет и проч. __>К тому же, наш cisco anyconnect клиент еще производит какие-то проверки секьюрности текущей конфигурации венды, и не пускает в сеть, если проверки не проходят. __>И еще есть какой-то нецисковский нереальный зонд, который мониторит все изменения конфигурации (реестр, сеть, настройки) и все события на уровне ФС, во всяком случае связанные с созданием, переименованием, модификацией.
"Немного" не понимаю: у Вас жёсткая политика безопасности от работодателя, применяется весьма тоталитарный VPN с дополнительными мониторингами. Но виноват... виндоус? Откуда уверенность, что при таком раскладе у Вас на линуксах был бы sudo и прочие вольности? Ну и мечты про NAT на USB так бы и остались мечтами.
UPD: попробуйте даже с sudo/рутом повлиять на маршрутизацию Linux-трафика при включённом Cisco VPN. Например, поставить себе метрику лучше, чем у него. Если получится — поделитесь рецептом?
Здравствуйте, student__, Вы писали:
__>Например, вот у меня ноут (рабочий) на винде 10. __>И я хочу собирать на своем мощном тредриппере вещи, которые доступны только по корпоративному VPN.
Мужик, тебе кажется нужна разработческая виртуалка или интеграция с каким-либо мощным билдсервером. Заведенная твоим работодатель в его периметре, разумеется.
Поскольку я понятия не имею, что именно ты собираешь(Android/Java/C++/Go/Rust) выдать какие-нибудь рекомендации не могу.
Для многих языков тебе может помочь JetBrains Gateway, к примеру. Для некоторых — ViM.
Здравствуйте, student__, Вы писали:
__>Например, вот у меня ноут (рабочий) на винде 10. __>И я хочу собирать на своем мощном тредриппере вещи, которые доступны только по корпоративному VPN.
Настрой корпоративный VPN на домашнем компе и делай что хочешь.
Если это запрещено политикой компании, тогда пусть купят более современный ноут, если хотят.
Я бы инициативу не проявлял, а то потом обвинят в какой-нибудь утечке информации и будешь радоваться, что не посадили.
__>Но в несерверной винде это как делается?
В клиентской винде решили, что NAT не нужен и достаточно ICS.
По идее для данной задачи его и хватит, но это не точно (как-то ни разу не использовал, давно только читал про это).
Ну, или раз рабочий ноут, то вероятно там Pro винда, значит можно поставить Hyper-V.
В нём есть NAT для виртуальных машин. Можно наверно извратиться, поднять виртуальный linux, в нём нужный NAT для домашнего компа настроить.
Будет NAT за NAT и в итоге завернётся в корпоративный VPN
__>Если речь про корпоративную безопасность, то это довольно глупо.
Microsoft просто разделил ОС на серверные и клиентские и не завезли лишние службы.
Хочешь серверное использование — покупай сервер.
На вашу личную безопасность майкрософту плевать. Не плевать — если люди будут покупать дешёвые клиентские лицензии и использовать их для серверов.
Re[2]: Почему виндоус на столько анально огорожен?
Здравствуйте, karbofos42, Вы писали:
K>Ну, или раз рабочий ноут, то вероятно там Pro винда, значит можно поставить Hyper-V.
Hyper-V и на Home версию одним скриптом из 5 строчек ставится.
