Доступ к компьютеру через RDP вне локальной сети?

Question

[MrFlatman]

Всем привет. Появилась такая задача, больше скорее всего моя инициатива. В организации есть необходимость, чтобы на одном ПК стояла некая учетная система, другие пользователи могли подключиться через RDP к этому компьютеру и могли работать, так же важно заметить, что подключение может производится вне локальной сети так как бывают экстренные ситуации, когда необходимо посреди ночи подключиться из дома.

В сети интернет я прогулил и поднятие терминального сервера и настройка RDP. Но там все сводится к тому, что делаем IP статичным, прокидываем порт и оно работает, да работает, но только в условиях локальной сети. А как сделать, чтобы был доступ из вне локальной сети к этой машине по RDP?

Answer 1

[Роман Безруков]

1. Можно поднять VPN, как уже неоднократно советовали. И внутри VPN обращаться к любым локальным ресурсам.
2. Можно поднять и настроить RD Gateway (компонент RDS) для RDP-подключений к внутренним ресурсам. В самом RDGW настраиваются политики CAP ("кому") и RAP ("куда")

Answer 2

[Rsa97]

делаем IP статичным, прокидываем порт и оно работает

Если внешний IP белый и статичный и порт на маршрутизаторе проброшен, то всё работает без проблем. Но это не лучший способ, светить открытый RDP в интернет опасно.
Правильный вариант - поднять VPN-сервер и подключаться к сети предприятия через него.

Answer 3

[pindschik]

Немного сумбурно объясняете, но у меня есть подозрение, что пробрасывая порт на роутере, вы пробросили не с того интерфейса. На пример на кинетиках - указывайте внешний IP, как входящий адрес.
Т.е. ваш путь верный, только есть нюанс в настройках проброса.
Это первое.
А второе - сразу имейте в виду, что ваш удаленный сотрудник непременно сохранит пароль подключения. А потом его сворует запущенный им же троян. И к вам придет криптовымогатель.
Поэтому или VPN, или(и) двухфакторная авторизация (логин/пароль + одноразовый ПИН). Двухфакторка делается бесплатно и несложно. Например раскурите MultiOTP.

Answer 4

[Dimka Epifanov]

Zerotier One - будет вам находкой :)

Comments

[Drno]

И пустить чужой впн в свою сеть. Гениально

[Valentin Barbolin]

Drno, Можно свой ZeroTier поднять.

[Drno]

Andrey Barbolin, разве что.. но тогда уж лучше Nebula

Answer 5

[pfg21]

поднять на ентом компе впн-сервер и заходить через него. будет качественная шифрация и защита от несанкционированного доступа. а уже внутри защищенного тонеля подключаться по рдп.
у RDP защита такая же, как и у всего остального микрософт-поделия...

Answer 6

[res2001]

Как тут уже советовали универсальное решение - настроить ВПН и внутри ВПН использовать любые локальные ресурсы, которые необходимы, в т.ч. и по RDP.

При прямых руках можно и RDP выпустить наружу без дополнительных прослоек в виде ВПН. Но это надо делать на серверной винде с поднятой службой RDS, на десктопе скорее всего полностью обезопасить RDP подключение не выйдет.
Вот тут статья о защите RDP. Она хоть и старая уже, но принципы те же.
Еще несколько полезных статей:
https://winitpro.ru/index.php/2022/02/17/ustanovka...
https://winitpro.ru/index.php/2019/12/17/rdp-tls-s...
https://winitpro.ru/index.php/2022/03/17/nastrojka...

Answer 7

[Константин Фролов]

Про vpn вам уже писали.

А можете попробовать настроить на вашем маршрутизаторе knock-knock и ходить с домашнего компьютера.

Answer 8

[Drno]

Белый(внешний) ip от провайдера
И проброс нужного порта с роутера на эту машину

Rdp имеет любой пк с виндлй, начиная от версии проф

Answer 9

[Dusilio]

Но там все сводится к тому, что делаем IP статичным, прокидываем порт и оно работает

да работает, но только в условиях локальной сети

Как раз речь идет не о локальной сети