Добрый день. Есть VPN server на Microtik с белым ip, к нему через pptp туннель подключаюсь с keenetik'а. Все пингуется в обе стороны. У микротика подсеть 192.168.88.0, у кинетика 192.168.0.0. Из 88 сети могу по rdp подсоединиться к 192.168.0.35 на Windows Sever 2012. В микротик пробрасываю порт 3389 на 192.168.0.35:3389, но когда конекчусь из интернета на мой белый ip с портом 3389(белый_ip:3389) то ничего не происходит. Что я делаю не так?
Чем больше знаю, тем лучше понимаю, как мало знаю.
Понимаете ли, RDP - вещь весьма интимная. И поэтому стоит посмотреть встроенные правила Windows Firewall, тобишь Брандмауэра, что порт 3389 НЕ запрещён для НЕлокальной сети. По логике он как раз должен быть запрещён для НЕлокальной сети.
P.S. Можно проверить tcpdump-ом хоть на Микротике, хоть на Windows, что все пакеты долетают, но...
Машина с Windows Server раньше стояла в такой же конфигурации сети и к ней получалось получить доступ из интернета. Кстати, с того же микротик, просто он стоял в другом месте.
Михаил, если добавите SNAT - можно будет и сейчас, но все пришедшие коннекты будут с IP Микротика, что совсем не секьюрно. Это если я прав по поводу firewall и только локальной сети.
AUser0, Я же говорю, этот самый сервер раньше имел доступ через интернет, и его firewall пускал из интернета. Может быть что при смене маршрутизатора изменились настройки firewall сервера?
AUser0, мне сейчас пришло в голову, единственное различие между старой и новой конфигурацией сети это то, что раньше сервер был в подсети микротика(pptp server), а сейчас кинетика(pptp client), это может повлиять?
Проблема в обратном подключении, вы с микротика пробрасываете подключение до RDP сервера, и оно до него доходит, но вот ответ с RDP сервера идет через default маршрут, через кинетик, следовательно ответное соединение имеет исходный адрес кинетика, и оно отбрасывается клиентом как невалидное, из-за этого у вас и нет подключения. Есть несколько путей решения, первое - предложенное выше, поставить SNAT на микротик для этих подключений, но есть минус - все подключения к rdp будут с одного ip адреса - адреса микротика, что не безопасно. Второе решение - таблицы маршрутизации на кинетике - врятли он такое умеет. Самое лучшее решение это подключить сервер к туннелю микротика, и прокинуть порт внутреннего туннельного адреса, на самом же сервере прописать default маршрут через туннель микротика. Ну или snat, но не безопасно.
Михаил, Беда в том, что если кто-то захочет перебрать пароли к rdp серверу, или как-то иначе с ним взаимодействовать, вы не сможете узнать кто именно это сделал, так как в логах будет фигурировать только локальный адрес микротика.
Bermut, ну тогда мне следует использовать Ваш 3й вариант, с подключением сервера на прямую к микротику и прописать маршруты, но я пока совершенно не понимаю как это сделать. Буду гуглить. Спасибо за помощь.
Михаил, Это не просто реальный сценарий. Есть боты, которые тупо сканируют сеть и ищут порт 3389, а найдя - начинают долдонить атаками. У нас был случай - держали сервисный вход для франча 1С. Бот этот вход нащупал, пароль там был слабый, подобрал - и получите шифровальщика!
Средний
Простой
