需要在家远程办公,公司运维给开了 VPN ,用的是 EasyConnect 来连接的。但是运维说,内网的服务并不是连接上 VPN 就能访问的。需要明确指定的需要访问的服务器和端口。目前我是通过 SSH 连上公司的电脑,然后通过 SSH 的端口转发来访问一些其他的服务。但是这样太麻烦了。要给访问的每个服务都设置端口转发,而且有的时候不知道端口是哪一个。
我的需求是,可不可像 Surge 配置代理那样,把公司的电脑当作代理服务器,然后当我在访问公司内网服务的时候,自动通过那台代理服务器来访问。网上搜索了一波,了解了一些关键词 docker-easyconnect ,Surge Pone 模式,但是不知道具体怎么操作。有老哥能帮忙科普一下吗?
目前我的环境是 EasyConnect / Stash / 有光猫的超管密码
1
doosit 97 天前
如果你公司电脑可以访问互联网,可以考虑 NPS ,但是公司内网环境风险有点大
|
2
PrinceofInj 97 天前
不知道是不是 ezconnect 比较特别还是你们 IT 是个二杆子不会配。正常的话,vpn 链接后可以使用一切公司的内网资源。链接公司 VPN 后,公司内部所有的服务,包括远在国外的 smb 共享都可以正常打开。
|
3
songyoucai 97 天前
@PrinceofInj 很明显不是的。 我们公司运维也是一样,vpn 也分权限,会分配到不同的网段,然后去访问内网对应的资源。并不是说只要连上 vpn 就可以访问内网一切资源。 问就是为了安全。 这种可以直接找运维,说自己要访问什么服务。他那边配置好了,就可以访问了。
|
4
JerryYuan 97 天前 via Android 2
楼主这个想法感觉很容易被网管线下真实。
人家不让 vpn 访问自有人家的理由,有 vpn 访问的需求就向领导申请,领导如果同意,网管自然也不会有什么异议。楼主尝试用技术手段对抗管理手段是很容易翻车的。 回归到技术讨论,这种代理软件怕不是很多,就拿翻墙常用的 ss trojan v2ray 分分钟搞一个。 |
5
CAFEEBABE 97 天前
直接找网管申请,别作妖。
|
6
frencis107 97 天前 via Android 1
你们运维不是说了 “需要明确指定需要访问的服务器、端口”。
要访问什么资源你按实际需求申请不就行了,为什么要搞这些花里胡哨的东西来绕过安全策略,出了事情你担得起责任吗? |
7
Reficul 97 天前
这种事情严肃追究的话,不但可以直接炒掉不给 N+1 ,甚至可能还得进去。
|
8
povsister 97 天前
如果公司电脑允许你自己装梯子,那,梯子上写个反向代理,连接家里,前提是家里有公网地址。
然后从家里,通过反向代理的链接,即可访问任意公司网段。 这种情况下除非 IT 看你的梯子配置文件,不然是几乎没法发现的。当然,安全自负。 |
9
cnerblocker 97 天前
可以 SSH 到公司电脑的话为何不使用远程环境?使用远程终端访问内网服务即可,可使用 VSCode Remote 或 RDP/VNC 远程桌面等
其次 SSH 支持设置 SOCKS 代理,可通过此代理请求服务,参考 https://linux.die.net/man/1/ssh 中的 -D 选项 仍然建议与运维多沟通,诸此不便大抵是为了安全性等而不得不存在的,但倘若因此而影响工作效率则应重新商榷 |
10
worldgg 97 天前
建议不要这么干,我们公司也是 vpn 加上一堆端口,之前出过安全事故是,有人通过钓鱼邮件拿到账号密码,然后登陆 vpn 盗窃资料,公司的东西还是按照公司要求注意安全的好,毕竟只是打份工而已
|
11
adambob 97 天前
你们公司应该有网络工程师吧,各种打洞的应用一般会被行为管理设备阻断的,所以不用试了。
|
12
kandaakihito 97 天前
直接去网上找那种使用 ssr 搭梯子的教程,学校实验室里面很多人为了能在宿舍访问内网都是这么干的。
但是,真心建议别搞,容易把自己弄进去,去找运维要个 vpn 账号就行。 |
13
oneisall8955 97 天前
多年前我会选择自己 VPN 组网,组网方式很多,zerotier ,n2n 等。现在不敢搞了,不出事大家都好,出事了你怎么负责
|
14
pagxir 97 天前 via Android
你都会用 ssh 了,还不知道 ssh -D 么。不过还是让 IT 直接配置好吧,反正申请完也就是一次性配置好而已。
|
15
billwang 97 天前
内外网不应该是物理隔离的吗?都能架 vpn 访问了还叫什么内网?
|
16
yinmin 97 天前
正解:你把要用的服务清单提供给运维,让运维开权限。
临时/突发情况,来不及让运维开权限,可以试试以下方式: (1) 连上公司网络后,先在本地建立一个 socks5 端口 127.0.0.1:10080 ssh -D 10080 -f -C -N user@serverip (2) 加节点: - name: 'company' type: socks5 server: 127.0.0.1 port: 10080 udp: false (3) 加规则: - IP-CIDR,<ip 地址 1>/32,company,no-resolve - IP-CIDR,<ip 地址 2>/32,company,no-resolve ... - IP-CIDR,<ip 地址 N>/32,company,no-resolve 断开公司网络后 pkill ssh 关闭 ssh 进程。不要在公司电脑上安装代理服务软件,这个是大忌,被发现就是重大事故!加规则用具体的 ip 地址,宁愿多写几条也不要用地址段。 |
17
auhah 97 天前
何必用不合规的手段达成方便在家加班的目的呢。。。。
先天牛马圣体吗。。 需要用啥就申请,爱批不批,批了就干,不给批来活就说干不了就完事了 |
18
snoopygao 97 天前
除非你想搞垮公司,走正规途径
|
19
mmdsun 96 天前 via iPhone
听说 EasyConnect 非常流氓。。我不直接装
我是用这个,然后用猫咪 Clash 把公司内网 IP 流出来走规则就行了。 https://github.com/docker-easyconnect/docker-easyconnect |
20
fqy12300 OP @JerryYuan 我需要访问的资源,就是平常工作中用到的一些服务,并不是说公司故意通过这种方式不让访问。想访问的话,直接找运维加一条记录也是可以的,只是我认为每次都要去找运维太麻烦了,所以我想自己通过某种方式来实现全部访问。你说的方式,具体有什么实践案例吗?🤔
|
22
fqy12300 OP @frencis107 个人觉得每次找运维太麻烦了,而且公司的服务太多了。这个会很容易出事吗?
|
24
fqy12300 OP @cnerblocker 谢谢,我去研究一下,如果运维是为了安全才这么做的,那只要有人拿到了我的 VPN 账号,他直接远程桌面,因为我们公司规定了,默认情况下,3389 和 5600 是默认打开的,他也能获取内网其他的资料。
|
25
fqy12300 OP @kandaakihito VPN 账号是有的,只是每次访问服务,都需要去跟运维申请。让他帮忙加一条需要访问的服务器和端口
|