et döner dürüm hediyeli uzmanlık sorusu (vm, vpn, mac, vs)

[roket adam]

starbaksta açınca havalı olsun diye yeni mac aldım, kendisi bir facebook bilgisayarından hallice. borcunu ödemem için çalışmam lazım şimdi. crm var ona bağlanıcam ama sadece vpn ile çalışıyor. bir sürü kişi boşuna o işe girme, mac ile iş yapamazsın dedi ama çok iddialaştım, güzel bir planım vardı zira. çok uyanık, çakal ve ve bilmiş biri olduğum için şirketin verdiği lenovo'yu vmware p2v converter ile vm imajına çevirdim, mac'in altındaki vmware'e çaktım. muhteşem bir stratej ve çatır çatır çalışıyor. lakin lenovo imajı üzerinde çalışan antivirüs ve güvenlik servisleri inanılmaz cpu ve ram yediği için sistem can sıkıcı derecede yavaş. o servisleri kapatınca sistem düzgün çalışıyor. (hatta söyleyeyim yavaşlatan servis direkt olarak trend micro behavior analysis modülü, sistem servislerindeki anormal değişimleri tespit ediyormuş. öyle oçe bir şey ki proses ismi olarak bile çıkmıyor, kendini System altına gizlemiş. anca process explorer ile tespit edebiliyorsun) lakin bu kastıran servisleri de kapatamıyorum zira vpn'e bağlanırken çalışan checkpoint endpoint security on demand uygulaması üzerinde "antivirüsün çalışıyor olması ve son 2 haftada güncellenmiş olması" gibi bir koşulu ön şart olarak sunuyor vpn bağlantısı kurmadan önce. (diğer koşul da yazmıyor ama tahmin ettiğim üzere domain user'ı olmak) vpn bağlantısı kurmazsam da şirket ortamındaki crm'e erişemiyorum ve ona bir workaround aramaktayım.

sırayla özetle son fikrim şu:
- host makinam Mac OS X. üzerinde tek bir NIC var, o da wireless. onun üzerinden internete bağlı.
- vmware fusion üzerinde çalışan guest makinam windows 8. bu makina bir şirket makinasının imajı, dolayısıyla AD'e bağlı, üzerinde antivirüs falan olan, güvenlik açısından sıkı bir sistem.
- guest makina üzerinde sağlıklı bir şekilde şirkete vpn bağlantısını kurabiliyorum.

soru: öyle bir şey yapayım ki, host makinada, guest makinadaki vpn bağlantısını kullanarak internete çıkayım.

aklıma gelenler:
1) host'a ikincil bir nic takıp bağlantıları köprülemek (istemiyorum bunu yapmak zira tek usb portum var o da usb-c aq, olmaz da muhtemelen zaten saçma bir fikir bu)
2) mac'i benim kullanıcı adı şifremle domaine dahil edip antivirüs yüklemek. denedim ama yemedi, muhtemelen bir trick var domaine makinayı dahil etme konusunda ve ad / idm konusundan zerre anlamıyorum.
3) guest os'a bir http/s proxy kurmak, mac'teki firefox'a da o proxy'nin ip adresini tanımlamak. en akla yatan yöntem bu ama henüz windows 8'de de çalışan hızlı plug play bir proxy server bulamadım.
3b) guest os'a vpn server kurmak, mac'ten guest'teki vpn server'a "yalnızca şu ip'lere giderken çalış" kuralıyla vpn bağlantısı sağlamak. çok mümkün gibi gelmedi.
4) bilgisayarı iade etmek. bunu yapmak için 11 günüm var, acele karar vermem lazım ve gerçekten iade etmek istemiyorum.
5) sistem yöneticisini kafalamak. kendisinden bana bi kıyak yapıp checkpoint üzerinde exception rule yazmasını rica ettim fakat yemedi. karıya falan götürmem lazım.
6) sizin tavsiye edeceğiniz başka bir yöntem

feasible bir yöntem bulana et döner dürüm ısmarlıyorum yemeksepeti'nden. bu da incentive olarak bulunsun. buyrun.

[senko]

en feasable yontemi soyliyim
pasa pasa sirket bilgisayarini kullanmak
benim gibi 6-7 farkli vpn yapman gerekiyorsa saga sola, ki biraz oylesin galiba. Emin ol en rahat yontem bu.
diger turlu juniper client calisir ama cisco calismaz checkpoint calisir baskasi calismaz fln milyon tane dert.

nasil yapilir konusunda da, terse natlaman lazim sanki
istedigin sey mac'tan nicé gitmeden once guest'e gitsin istiyorsun. mac'e route yaz diyecem de, vmwaredeki gateway sanal nasi olcak, olmaz heralde sdf
olsa da natlanmis paketi bi daha natlatip gueste sokup sonra bi daha natlanip nic'e gitmesi lazim.

akilci bi cozum gelmedi su an, sicarken bisiler gelirse yazarim.

[senko]

ha benim bi arkadas sunu yapiodu
sirket bilgisayarini sirkette birakio 7/24 kendi laptopundan oraya ssh gerekince x11/remote desktop yapiyordu.

cok bandwith gerektirmeyen islerin varsa boyle de yapabilirsin, webmail sansin varsa mac ustunden webmail kullanirsin.

[senko]

abi bi daha okudum da
niye hostu guest ustunden cikarmak istiyorsun
crm ile ilgili isin oldugunda ac guestten gir, geri kalan ot bok icin host'tan cik?
bisiyi mi kaciridm?

[roket adam]

kısaca cevap vereyim:

1) bilgisayarı açıp bırakıp rdp yapmak bir çözüm ama boşuna ceyran yakımı yani, 7 24 açık bi bilgisayarın güvenlik riskiyle uğraşmak da istemiyorum.
2) crm ile işim olunca guest'i açıp halledebilirim AMA guest OS güvenlik proseslerinden dolayı O KADAR yavaş çalışıyor ki vm altında kullanmak çok çok zor.

dolayısıyla host'un tüm interneti değil, sadece bir adrese giderken guest'in vpn'ini kullanabiliyor olması lazım.

[Lancelion]

bizde de buna benzer bir setup var yanlis anlamadiysam. guestten socks proxy acip hosttan baglanirsin.

bizim vpn win'de calisiyor, linuxdan vm ile win kaldirip onun vpninden linux'da intranete cikiyoruz.

ben raspberry pi'ye ssh tunnel actigim icin tam bilmiyorum bu setupun detaylarini

tam setupu istersen yarin aktarmaya calisirim.

https://forums.virtualbox.org/viewtopic.php?f=6&t=48485 surada bir iki bir sey var, 'route traffic through guest in virtualbox' seklinde ararsan bulma ihtimalin var gibi

[reyou]

remote desktop en mantiklisi su durumda. ayrica sen vm uzerinden image os'e tum updateleri alirken ve local degisiklikler yaparken ana bilgisayara nolcak? sonucta isle ilgili bir durum oldugunda, ben cakallik yaptim sizin bilgisayari vm'e donusturdum, makine evde yatiyo abi onu getireyim diyemezsin.

demezler mi ulan siz misiniz bu kentin zaptiyesi?

[roket adam]

Lancelion said:

bizde de buna benzer bir setup var yanlis anlamadiysam. guestten socks proxy acip hosttan baglanirsin.

bizim vpn win'de calisiyor, linuxdan vm ile win kaldirip onun vpninden linux'da intranete cikiyoruz.

ben raspberry pi'ye ssh tunnel actigim icin tam bilmiyorum bu setupun detaylarini

tam setupu istersen yarin aktarmaya calisirim.

https://forums.virtualbox.org/viewtopic.php?f=6&t=48485 surada bir iki bir sey var, 'route traffic through guest in virtualbox' seklinde ararsan bulma ihtimalin var gibi

heeeh birebir aynı mantık. sadece sen host olarak linux kullanıyorsun, ben mac kullanıyorum. altında çalışan ikisinde de windows, senaryo birebir aynı. altında yatan mantığı aktarabilirsen çok sevinirim, ben hala kurgulayamadım.

rpi ile alakalı şöyle bir fikir geldi ama overkill olacak diye hiç yazmadım bile. şirkete bi raspberry pi bırakayım, üzerinde sadece openvpn server olsun ve şirket wireless'ından internete çıksın. ben de onun üzerindeki vpn'e bağlanıp intranete ulaşmış olayım. ama bu yakalanırsa gerçekten sakat bir olay, dinleme cihazı falan zannederler diye tırsıyorum :) (wireless'da mac filtreleme var ama kolayca aşarız o sorun değil)

[roket adam]

reyou said:

remote desktop en mantiklisi su durumda. ayrica sen vm uzerinden image os'e tum updateleri alirken ve local degisiklikler yaparken ana bilgisayara nolcak? sonucta isle ilgili bir durum oldugunda, ben cakallik yaptim sizin bilgisayari vm'e donusturdum, makine evde yatiyo abi onu getireyim diyemezsin.

demezler mi ulan siz misiniz bu kentin zaptiyesi?

aynen öyle derim ya nolucak. rdp yolunu kullanan bir iki manyak daha var zaten, alışkınlar :)

[neutrino]

Şirket sana bilgisayar vermiş çalış diye, gidip kendine de mac almışsın, şirket bilgisayarinda çalış, macte de pornonu izle işte niye kasıyorsun ki? Derdin ne aslanim sd

[senko]

Lancelion un olayi ben de merak ettim nasi oluyormus.

[roket adam]

mantıklı bir olay abi, ben de proxy düşünmüştüm ama spesifik olarak http/s proxy olarak düşündümdü. bir nedenden dolayı http proxy yeterli değil herhalde.

proxy olursa kafam daha rahat olacak, neden, mac'e ek bir browser kurar ona proxy girerim, standart safari'm etkilenmez (zira şirket girilen siteleri vs de logluyor), şirket vpn'ini sadece o diğer browserdan kullanmış olurum. ama tam dizaynı kafamda oluşturamadım hala.

[yav]

Sirketin mac kullanilabilen bi departmanina gec bence
Kariyer degsikligi iyi gelir hem

[hunty]

Ac onune 2 bilgisayari iki kat havan olur. Ben Mac kullaniyorum ama sirket fakir anca bunu verebildi mecbur kullaniyoruz dersin.
Ilk mesaji cok onlamadim ama bana en mantiklisi ana makinayi server yapip remote desktop ile mac'dan yonetmek.
Baska cilgin bir fikir de VPS kiralamak olabilir. Sirket bilgisayirini VPs'e clone'layabilirsen 7/24 server'in olur. Aylik en ucuz 20$ maliyeti olur sanirim.

[senko]

Ahaha o anlasilirsa bayagi kan alirlar afamdan :)

[Lancelion]

roketin isi goruldu, uzun lafin kisasi;

-guest-windows'a ccproxy indirip 1080 civari bir porttan socks proxy acilir
-guest/windows'dan sirket vpn'i aktif edilir
- guest-windows'daki putty uzerinden host-mac/linux'a proxy tunnel acilir. (Category/Connection/SSH/Tunnels ->"Add new forwarded port: -> Source Port: 1080 -> Destination: localhost:1080)
- putty'ye host-mac/linux'un IPsi verilir, tunel aktif hale getirilir.
- host-mac/linux'daki browser'in proxy ayarlarindan socks proxy secilir, localhost:1080 girilir, keyif surulur.

[roket adam]

Aynen, Lancelion'a çok teşekkür ediyorum. Haftasonu dışarıdaydım yazmaya fırsat bulamadım. CCproxy benim makinada kuruluydu zaten ama ben HTTP/S proxy yapmaya çalışıyordum, ve Putty'den köprüleme kısmını atlamışım. SOCKS proxy olarak konfigüre edip Putty üzerinden bağlantıyı da kurunca sistem olması gerektiği gibi çalıştı.

[kozalak]

e iyi de bu durumda vm makine yine çalışmış olmuyor mu? kaynak kullanımı nasıl kısıldı anlamadım açıkcası.

[roket adam]

VM, IE üzerinde işlem yapmak için aşırı yavaş, ama HTTP/S proxy yönlendirmesi yapabilecek kadar da canı var :) Onun yavaşlığıyla uğraşana kadar sistemi sadece köprü olarak kullanıyoruz yani.

Bu arada kaç gündür cayır cayır çalıştırıyorum, en son çalışan konfigde snapshot aldım, her seferinde oradan açıyorum hatta tıkır tıkır gidiyor. Ellerine sağlık Lancelion :)

[kozalak]

demek ki core m7 işlemci çok da iyi değilmiş sdf

[roket adam]

abi evet, bi noktada nefesi yetmiyor aletin. işin esasında standart kullanımda hiç bir sıkıntı yok da, trend micro'nun rastgele taramalarından birine denk gelince ölüyor vm. hostta bir şey yok ama vm kullanılmaz hale geliyor trend micro'nun dallamalığı yüzünden.

[kozalak]

trend micronun arayüzünden sadece behavioral analyse modülünü kapatamıyor musun?

[roket adam]

Arayüze girip ayar yapamıyorsun abi. Şifre istiyor (admin şifresi gibi), dolayısıyla modülleri bızıklayamıyorsun. Ha ben çakallık edip sadece behavior analysis işini yapan dosyalarının adını değiştirdim güvenli modda, lakin bu sefer de bi yanlışlık var diye tüm modülleri kapattı, dolayısıyla vpn'e hiç giremedim. Yemedi yani.

Bizim TM distliği de var, TM tarafındaki teknik uzman arkadaşa da sordum bi çakallığı var mı diye ama yok dedi, herifler fena bi mimari yapmamış.

[kozalak]

çakallık olsa zaten virüsler o çakallığı kullanmaya çalışırdı sdf.
o zaman sen sadece vpn'i kullandığında TM tarama vs yapmadığı için sistem de rahatça çalışabiliyor, sen de keyfine bakıyorsun.

[roket adam]

aynen. yani bi şekilde sistemde aktif olarak işlem yapmıyorsan antivir de çalışmıyor. neden öyle ayarlanmış bilmiyorum. ne zaman ki ie'i falan açıp bi yerlere giriyosun, tak başlıyor scan'e, mahvediyor aleti :)