Egy MacBook Air M2-es (Sonoma 14.2.1) laptopról szeretném elérni a munkahelyi gépemen lévő munkaállományokat. Az asztali gép egy iMac 27-es (Ventura 13.6.3-as OS).
Beállítottam az irodai gépen a távoli bejelentkezést és a távoli felügyeletet. A laptop-on elindítottam a terminal-t, beírtam az asztali gép által megadott “ssh…” parancsot, utána a felhasználóhoz rendelt jelszót, majd enter… oszt jónapot.
Addig jutottam, hogy megy a képernyőmegosztás és látom a megosztott mappákat is, hozzáférek a fájlokhoz. De csak akkor, ha a belső wifi hálózaton van mindkettő. Megpróbáltam leválasztani a laptopot, a telefonról kapott netet, miközben a telefont is lekapcsoltam az irodai wifiről, csak mobilhálózaton tudott kijutni. Innentől nem érhető el a hálózat, azt írja, hogy az adott IP-n lévő gép zárolva van. Próbaképpen kikapcsoltam mindkettőn a tűzfalat, az Awast szűrőt, de akkor sem változik a helyzet.
Valahol a router-en akadhat fent, vagy mit rontottam el?
Van még egy furcsaság, bár szerintem a kettő nem függ össze, hogy wifi-n a laptop eléri az asztali gépet, de viszont nem. Ugyanazokat a felhasználói adatokat használtam, mint az összes hálózatban lévő gépnél, de az iMac nem éri el a MacBook-ot.
Szia,
Ez nagyon nem igy mukodik. En elso korben beszelnek a helyi rendszergazdaval, hogy pontosan mit is szeretnel, es azt hogyan lehet biztonsagosan kivitelezni. Csak ugy kinyitni egy ceges gepet a vilagra mindefele security ismeret nelkul, ebbol szoktak lenni az igazan nagy bajok.
Nincs rendszergazda, mindent magam szoktam csinálni. Egy kis családi vállalkozás vagyunk. Konkrétan arra lenne szükségem, hogy ha néhány napra elutazom, akkor hozzáférjek valahogy az otthoni fájlokhoz. A legegyszerűbb megoldás, hogy áthúzom az aktuális melót a MacBook-ra, az nagyon nyűgös lenne. Vannak olyan munkáim, ahol esetenként többszáz ilyen-olyan mappákban lementett fájlra (logo, piktogrammok, fotók) mutató hivatkozást tartalmaz. Ezeket a linkelt állományokat nem szeretném bolygatni, mert sok másik munkánál is használjuk. Itt veszélyes, ha duplikátumok, véletlen felülírások, áthelyezések történnek. Nagyon sok galibát okozna. Illetve lehet az a helyzet, hogy akkor hív a kuncsaft, amikor már nem vagyok otthon és az ő anyagait meg nem hoztam magammal. Szóval erre a problémára kellene nekem valami megoldás. Nyilván a biztonság mindenek felett.
Csak azért bátorkodtam ezt a távoli elérést felvetni, mert ezt alapon tudja, felkínálja a MacOS. Gondolom, hogy a rendszerbe be van integrálva a kellő védelem. Nem csináltam semmi meggondolatlanságot, nem improvizáltam, csak végigmentem az Apple által megadott protokollon. Csak valamiért nem működik.
Akkor itt az idő beállítani a VPN-t a routeren, vagy beszerezni egy olyat, amelyik tud ilyet. Mivel a routeren belüli eszközöknek nincs nyilvános IP címe, ezért nem érhetőek el máshonnan.
Sajnos a Back to my Mac már megszűnt egy ideje.
Lehet ágyúval verébre de talán egy NAS lehetne a jó megoldás neked. Persze a iMac-en is csinálhatsz megosztást és másik gépről VPN használatával elérheted onnan is, de a Synology NAS-okat jó szívvel merem ajánlani mert a környezetemben több is üzemel hiba mentesen és elég jó next /next /finish megoldások vannak benne többek kötött távoli elérésre is (akár kétfaktoros autentikációval), sőt akár VPN nélkül is van. Illetve ezer más hasznos funkciója van egy ilyen kis NAS-nak otthon/kis cégeknél is.
Igen, egy NAS hálózati szerver lenne a legtisztább megoldás, de ennyire nem akartam bonyolítani. Olyan megoldást sem szeretnék, ami plusz előfizetéssel jár, mert ez a távoli elérés nem olyan létfontosságú, nem használnánk napi szinten. A biztonsági mentéseket megoldottam a Time Machine-el. Két külső lemezre mennek a mentések, az egyikre folyamatosan, automatikusan, a másik nincs is fizikailag az irodában, azt egy héten egyszer beviszem magammal, rádugom, csinál napi két három mentést és hazaviszem.
Szóval azt mondjátok, hogy a Mac OS távoli felügyelet / elérés funkciójával simán, VPN, NAS nélkül nem is lehet megoldani? Akkor az mire való?
Mert a jogosultságokat így is tudom szűrni, minden felhasználónak meg van határozva, hogy mihez férhet hozzá, ott mihez van joga stb.
Nem lehetetlen amit szeretnél csak veszélyes. És hiába adsz meg adott felhasználókat, akik hozzáférhetnek az adott megosztáshoz, mégis a használt protokoll, szoftverben lévő hibákat használják ki a támadók az adatok megszerzésére, nem feltétlen közvetlenül a felhasználónév/jelszó párossal próbálkoznak csak.
A munkahelyi hálózat egy belső hálózat. Azaz hiába éri el az internetet a benne lévő gép, még nem jelenti azt, hogy elérhető közvetlenül az internet irányából is. Ahhoz, hogy működjön az internet felőli megosztás három feltételnek kell teljesülnie:
A belső hálózatban fix, azaz mindig ugyanazt az IP-t kapja az adott gép.
Majd a routeren/tűzfalon kell forwardolni kell az adott portot (amelyen a megosztás vagy szoftver hallgat) az adott gép felé. Tehát utána kell járni, hogy a képernyőmegosztás vagy fájlmegosztás milyen portokon működik és azt mind átirányítani a géphez.
Internet irányából szükséges saját külső IP cím. Na ez az a pont, ahol sokszor elvérzik a dolog. Ehhez az kell, hogy a szolgáltatód csak és kizárólag a te routerednek adjon egyedi külső IP címet. Amit nem mindig szoktak. Azaz, ha több háztartás is ugyanazzal a külső IP címmel látszik az internet irányából, akkor a kapcsolat (az adott porton) nem fog eljutni a routeredhez, így a géphez sem. Ha mégis egyedi IP címet kapsz a szolgáltatótól, akkor sem biztos, hogy fix IP címet kapsz, azaz előfordulhat, hogy időnként változik. Persze indulás előtt meg lehet nézni a https://whatismyipaddress.com oldalon az internet felől látható IP-det, és azzal az IP-vel már eléred internet irányából a szolgáltatást (meg mások is). Ha változik az IP cím, akkor van lehetőség Dinamikus DNS használatára. Én pl. ezt használom: https://www.noip.com. Náluk ingyenesen lehet regisztrálni és használni (havonta meg kell erősíteni, hogy még mindig használatban van a cím, de ez kb 3 kattintás). És jónéhány router ismeri ezt a szolgáltató, az adatokat beállítva képes frissíteni a DNS névhez tartozó külső IP-t. Azaz az általad választott névvel lehet majd elérni a szolgáltatást IP helyett és nem kell vele foglalkozni, hogy most épp milyen IP címet kaptál.
A fentebbi módszertől talán egyszerűbb megoldás, amit javasoltak: a VPN használata (ha a router VPN képes). De szerintem ehhez is szükséges a hármas pont. Vagy az adott VPN szolgáltatón keresztül működik, amely meg a szolgáltató oldaltól is függ a biztonság.
A NAS-ok működési elvét konkrétan nem ismerem, de sejtem. Valószínűleg ehhez képest sokkal egyszerűbb. Feltételezem, hogy a 3. pont sem probléma, ott viszont a szolgáltató miatt sérülékenyebb lehet a rendszer (mármint biztonsági oldalról).
Köszönöm a kimerítő választ. Ezek ismeretében asszem lemondok a távoli hozzáférésről. Annyit nem ér a dolog, hogy ilyen veszélyeknek tegyem ki az adatbázisomat. A fél életem ott van rajta. Ha ez eltűnne, akkor végem van mint a botnak.
Inkább kitalálok valami manuális protokollt az aktuális munkák hurcibálására.
Nem, a VPN az Virtual Private Network. Letrehoz kozotted es a tavoli szamitogep kozott egy belso halozatot, amin titkositottan lehet adatokat kuldeni. Maganak a technologianak egy csomo felhasznalasi resze letezik, de neked kb a legalapabb dolog kell, hogy tavolrol erj el file-okat. Amugy ha nem nagy adamennyisegrol beszelunk, en a helyedben elofizetnek egy cloud szolgaltatasra es oda dolgoznek. Persze biztonsagi mentest ekkor is kell csinalnod, de ezeknek a cegeknek az infrastrukturajaval nem lehet felvenni a versenyt. Ha nalad ujraindul az irodaban az iMac mar nem ered el, de a google drive 99.99%-ban elerheto mindig mindenhonnan.
En is azokhoz csatlakoznek, akik elottem pedzegettek a cloud storage opciot. En is cloud-ban tarolom a napi feladataim soran felhasznalt dokumentumokat es idonkent (amikor eszembe jut) csinalok egy portable SSD es HDD mentest.
Hasznalok iCloud-ot es protonDrive-ot. A proton eseteben (elofizetestol fugg), de kapsz hozza VPN elofizetest is. Ok, magyar szemmel borsosnak tunnek az araik de megbizhato es diszkret szolgaltato (svajc).
Mi anydesket használunk távoli asztalnak, boldogság, öröm. Főleg hogy még van egy ingyenes legális kiskapu időkorlát és egyéb szopatások nélkül. Egyik gépről a másikra bármi pl icloud, 50 giga - 400 pénz per hó azért az jóság, már ha elég. Vagy beállítod a gépet ftp kiszolgálóként és pl filezillával sftp-vel rácuppansz (port:22, mac login usernév, és mac password). Ha ujra indul valamelyik, indul vele az anydesk is. Te is újra tudod indítani, restartolni , altatni stb.
Az biztosan kizárt, hogy feltoljam felhőbe a munkamappámat. Sokszáz gigányi, esetenként bizalmas anyagról van szó és kiszámíthatatlan, hogy mikor mire van szükség. Van pl. egy visszatérő, (szinte folyamatos) gigantikus anyagunk. Ez egy kb. 800 oldalas kiadvány, tele ábrákkal, fotókkal. És mindez négy különböző nyelven. Itt nem tudjuk kiszámítani, hogy éppen melyik fejezetben kell dolgozni, mert változott valami, megszűnt, vagy bejött egy új termék. Vagy jön a mél, egy turisztikai ügyfelüktől, hogy a múltkori anyagban gyorsan változtatni kellene a meghirdetett, holnaptól érvényes csomagárakon. Van, hogy egy nap 4-5 különböző kisebb-nagyobb projektben kell dolgoznunk szimultán. Ezekhez kellene, a távoli elérés, ha éppen nem vagyunk az irodában néhány napig. A tervezett munkáknál van módom manuálisan áthúzni az anyagot a MacBook-ra, a váratlan, sürgős kérések teljesítése lehet a gond.
Ezeket csak azért írtam le, hogy lássátok, hogy milyen rendszerben dolgozunk, mire lenne szükségünk. Nem napi szinten használnánk, alkalmi tűzoltásra kellene. Ha szerencsénk van és a kuncsaftjaink is előre gondolkoznak, akkor lehet, hogy hetekig sem kellene használnunk.
Első körben megpróbálom a Tailscale-t aztán meglátom. Valami olyasmit is láttam a Sonoma-ban, hogy áramszünet esetén automatikusan újraindul a gép. Azt be lehet állítani ideiglenesen, hogy automatikusan jelentkeztesse be a felhasználót.
Tűzoltásra jó lehet a TeamViewer is, van távoli fájlküldés opció. Kicsit körülményesebb, de a semminél jobb. Ha a benti gépeden állandóan megy, tudsz hozzá kívülről csatlakozni.
