Zdalne włączanie laptopa

[MaciejW]

Cześć, 
szukam pomysłu, aby móc zdalnie włączyć laptopa w obserwatorium. 
W sumie widzę 3 możliwości:
1) narzędzie Intel AMT, już to miałem, jednak bez dodatkowych zabezpieczeń boję się mieć stale przekierowany port. Może powinienem więcej poczytać i da się to zrobić bezpiecznie
2) wyprowadzić elektrycznie dostęp do guzika od włączania, podłączyć do stycznika kontrolowanego przez Tiny Control
3) wake on lan, przez jakiś system na raspberry w tej samej sieci lokalnej, który obsłużę zdalnie choćby przez remote desktop chrome, czy nomachine

super byłoby, jakby się dało bezpiecznie skonfigurować intel AMT, a może są inne pomysły?

[.zombi.]

Twój laptop ma  Intel AMT ?

[MaciejW]

tak, zgadza się, ma intel AMT 

[lkosz]

Ze względów bezpieczeństwa najwłaściwszym podejściem jest raspberry, komputer za NATem i połączenie z domem przez VPN, dodatkowo zabezpieczonym kluczem symetrycznym HMAC. Najlepiej gdyby budka była klientem vpn. Do tego jakiś watchdog na np. arduino, który zresetuje raspberry, gdy ta się zawiesi. Nie wystawiać RDP ani SSH na świat. AMT tym bardziej, jest dostępna metoda ataku omijająca zabezpieczenia.

 

A za NATem możesz już robić co chcesz, bierz tylko pod uwagę, że WOL czasem może nie zadziałać. Dla pewności lepiej dolutować się do przycisku zasilania i uruchamiać optoizolatorem lub przekaźnikiem.

Edytowane 21 Listopada 2021 przez lkosz

[MaciejW]

 

dzięki, będę musiał poczytać, szczególnie, że jestem zielony w temacie sieci 

9 minut temu, lkosz napisał:

Nie wystawiać RDP ani SSH na świat.

 

Czy dobrze rozumiem, że nie polecasz programów do zdalnego ekranu? 

Bo kusi wake on lan przez raspberry + chrome remote desktop na koncie z 2-składnikowym uwierzetelnianiem 

[lkosz]

37 minut temu, MaciejW napisał:

Czy dobrze rozumiem, że nie polecasz programów do zdalnego ekranu? 

Nie polecam udostępniania (dlatego pisałem o VPNie) takich usług na portach wystawionych tyłkiem do świata w warunkach domowych (bez monitorowania i łatania podatności, czego niemal nikt w warunkach domowych nie robi). Jeśli to utniesz firewallem do jednego domowego IP, a reszta świata dostanie DROP - będzie ok. Natomiast jeśli z sieci rzeczywiście jesteś zielony, to lepiej nie pchaj się w openvpna i inne podobne rzeczy, i pozostań przy postawieniu kompa za NATem, tzn. za routerem ze zaktualizowanym firmware, który nie ma forwardowania portów, któremu zmieniłeś hasła i wyłączyłeś możliwość logowania do konsoli oraz webui ze strefy WAN. Ewentualnie zapłać komuś, kto się na tym zna  

 

37 minut temu, MaciejW napisał:

Bo kusi wake on lan przez raspberry + chrome remote desktop na koncie z 2-składnikowym uwierzetelnianiem 

Ten google remote desktop z tego co widzę, to chyba nie wymaga otwierania portów, zestawienie połączenia jest z pośrednictwem API googla. O ile ma zastosowanie w Twoim przypadku... bo to powinno przecież reboot przeżyć

Edytowane 22 Listopada 2021 przez lkosz

[.zombi.]

No to ja bym wymienił laptopa na komputer pseudo przemysłowy który byłby zawsze włączony a jeżeli nie możesz włączyć firewalla żeby wpuszczać tylko z określonych IP to oparłbym się własnie na aplikacjach typu TV . . . W całej zabawie z bezpieczeństwem najmniej istotne jet chyba ze ktoś Ci się zaloguje i coś popsuje bo zapewne na takim komputerze nie masz nic czego nie dało by się odtworzyć - większym problemem jest to ze zostanie on użyty w celach przestępczych i trzeba się będzie potem z tego tłumaczyć

Edytowane 22 Listopada 2021 przez .zombi.

[Gość na chwilę]

A ja bym zastosował komputer ( ot choćby Esprimo 5030) który wstaje po włączeniu zasilania. Zdalnie włączanie zasilania do obserwatorium.

Jakby co, Esprimo mam na zbyciu za małe pieniądze razem z licencją WIn7 Pro.

Edytowane 22 Listopada 2021 przez Gość na chwilę

[MateuszW]

8 godzin temu, lkosz napisał:

Dla pewności lepiej dolutować się do przycisku zasilania i uruchamiać optoizolatorem lub przekaźnikiem.

Wg mnie taka opcja jest najlepsza, bo ma dodatkowe zalety - poza normalnym uruchomieniem pozwala też na zresetowanie komputera, gdy się zawiesi. WOL tego nie zrobi. Chyba że masz sterowane zasilanie 230V do kompa, wtedy nie ma tematu.

[lkosz]

34 minuty temu, MateuszW napisał:

Wg mnie taka opcja jest najlepsza, bo ma dodatkowe zalety - poza normalnym uruchomieniem pozwala też na zresetowanie komputera, gdy się zawiesi. WOL tego nie zrobi. Chyba że masz sterowane zasilanie 230V do kompa, wtedy nie ma tematu.

tu jest właśnie problem, że po zaniku zasilania WOL może nie wybudzić kompa tzn. moje tak czasem miewają, laptop od Macieja może być wyjątkowy

[MaciejW]

Dzięki chłopaki za rady. Komputera (thinkpad t430s) nie chcę wymieniać, bo działa od roku stabilnie i ma ekran, który chwalę sobie, bo to wygodna rzecz.

Przygotuję sobie raspberry ze zdalnym ekranem na chrome remote desktop, a na nim albo meshcommander, aby obsłużyć intel AMT już wewnątrz sieci, albo za pomocą tego raspberry mogę na parę minut ustawić przekierowanie portów 16992 i 16994, aby intel AMT mi spoza lokalnej sieci poszedł. Sprawdzałem intel AMT i potrafi włączyć komputer po wypięciu i wpięciu do zasilania. 

Na miejscu zobaczę jak wygląda moduł włącznika laptopa, zamontuję stycznik, tylko jeśli będzie to wyglądać bezproblemowo - wtedy rozwiążę problem bez raspberry. Nie chcę grzebać w guziku, jeśli będzie 'ciasno', bo w razie błędu muszę kupić całą klawiaturę.
 

Edytowane 22 Listopada 2021 przez MaciejW

[Mnich85]

7 godzin temu, Gość na chwilę napisał:

A ja bym zastosował komputer ( ot choćby Esprimo 5030) który wstaje po włączeniu zasilania. Zdalnie włączanie zasilania do obserwatorium.

Jakby co, Esprimo mam na zbyciu za małe pieniądze razem z licencją WIn7 Pro.

I to najlepsza i najtańsza opcja. A nie jakieś kierowanie portami. 

[Piotr4d]

3 minuty temu, Mnich85 napisał:

I to najlepsza i najtańsza opcja. A nie jakieś kierowanie portami. 

Właśnie!

Mini komputer za kilkaset złotych z włączona funkcją "after power on" podłączony poprzez zdalnym włącznik na GSM

 https://allegro.pl/oferta/zdalny-wlacznik-gsm-termometr-czujnik-alarm-sms-6775622479

https://sklep.avt.pl/avt5555.html

[Gość na chwilę]

W tym wypadku za 150 zł plus przesyłka

 

[Mnich85]

3 minuty temu, Piotr4d napisał:

Właśnie!

Mini komputer za kilkaset złotych z włączona funkcją "after power on" podłączony poprzez zdalnym włącznik na GSM

 https://allegro.pl/oferta/zdalny-wlacznik-gsm-termometr-czujnik-alarm-sms-6775622479

https://sklep.avt.pl/avt5555.html

Jeszcze lepsza opcja. Perfekto normalnie 

[Agent Smith]

Maćku - ile RAM/SSD?