Почему я не могу подключиться к RDP из интернета?

Question

[Михаил]

Добрый день. Есть VPN server на Microtik с белым ip, к нему через pptp туннель подключаюсь с keenetik'а. Все пингуется в обе стороны. У микротика подсеть 192.168.88.0, у кинетика 192.168.0.0. Из 88 сети могу по rdp подсоединиться к 192.168.0.35 на Windows Sever 2012. В микротик пробрасываю порт 3389 на 192.168.0.35:3389, но когда конекчусь из интернета на мой белый ip с портом 3389(белый_ip:3389) то ничего не происходит. Что я делаю не так?

Answer 1

[AUser0]

Понимаете ли, RDP - вещь весьма интимная. И поэтому стоит посмотреть встроенные правила Windows Firewall, тобишь Брандмауэра, что порт 3389 НЕ запрещён для НЕлокальной сети. По логике он как раз должен быть запрещён для НЕлокальной сети.

P.S. Можно проверить tcpdump-ом хоть на Микротике, хоть на Windows, что все пакеты долетают, но...

Comments

[Михаил]

Машина с Windows Server раньше стояла в такой же конфигурации сети и к ней получалось получить доступ из интернета. Кстати, с того же микротик, просто он стоял в другом месте.

[AUser0]

Михаил, если добавите SNAT - можно будет и сейчас, но все пришедшие коннекты будут с IP Микротика, что совсем не секьюрно. Это если я прав по поводу firewall и только локальной сети.

[Михаил]

AUser0, Я же говорю, этот самый сервер раньше имел доступ через интернет, и его firewall пускал из интернета. Может быть что при смене маршрутизатора изменились настройки firewall сервера?

[Михаил]

AUser0, мне сейчас пришло в голову, единственное различие между старой и новой конфигурацией сети это то, что раньше сервер был в подсети микротика(pptp server), а сейчас кинетика(pptp client), это может повлиять?

[Bermut]

Проблема в обратном подключении, вы с микротика пробрасываете подключение до RDP сервера, и оно до него доходит, но вот ответ с RDP сервера идет через default маршрут, через кинетик, следовательно ответное соединение имеет исходный адрес кинетика, и оно отбрасывается клиентом как невалидное, из-за этого у вас и нет подключения. Есть несколько путей решения, первое - предложенное выше, поставить SNAT на микротик для этих подключений, но есть минус - все подключения к rdp будут с одного ip адреса - адреса микротика, что не безопасно. Второе решение - таблицы маршрутизации на кинетике - врятли он такое умеет. Самое лучшее решение это подключить сервер к туннелю микротика, и прокинуть порт внутреннего туннельного адреса, на самом же сервере прописать default маршрут через туннель микротика. Ну или snat, но не безопасно.

[Михаил]

Bermut, но я же могу из подсети микротика к серверу по rdp приконектиться, или это не одно и тоже?

[Bermut]

Михаил, нет, это другое, совсем другое

[Михаил]

Bermut, хорошо, а что значит «не безопасно» говорял о snat, просто это звучит как самый простой вариант?

[Bermut]

Михаил, Беда в том, что если кто-то захочет перебрать пароли к rdp серверу, или как-то иначе с ним взаимодействовать, вы не сможете узнать кто именно это сделал, так как в логах будет фигурировать только локальный адрес микротика.

[Михаил]

Bermut, мы говорим о локальной сети или об атаке извне?

[Bermut]

Михаил, извне

[Михаил]

Bermut, а это реальный сценарий, что кто-то может просто так попытаться хакнуть мой rdp из интернета? Не зная что там сервер, rdp и тд?

[Bermut]

Михаил, да, тем более, если вы пробросите дефолтный порт 3389, его использует только rdp

[Михаил]

Bermut, ну тогда мне следует использовать Ваш 3й вариант, с подключением сервера на прямую к микротику и прописать маршруты, но я пока совершенно не понимаю как это сделать. Буду гуглить. Спасибо за помощь.

[Михаил]

Bermut, хотя еще вопрос, если вдруг кинетик умеет в таблицы маршрутизации, как обратный маршрут должен примерно выглядеть?

[Bermut]

Михаил, обратный маршрут для rdp должен идти через микротик

[Михаил]

Bermut, спасибо

[CityCat4]

Михаил, Это не просто реальный сценарий. Есть боты, которые тупо сканируют сеть и ищут порт 3389, а найдя - начинают долдонить атаками. У нас был случай - держали сервисный вход для франча 1С. Бот этот вход нащупал, пароль там был слабый, подобрал - и получите шифровальщика!

Один день работы бухгалтерии пропал :)

Answer 2

[Руслан]

Не верно открыли порт во вкладке in interface выборгирите правельно