Проблемы с RDP между двумя офисами с одинаковым провайдером, в чем может быть дело?

Question

[sir_Maverick]

Жил-был rdp доступ до файлопомойки в офисе. Кто-то в 1с работал, кто-то файлы тянул. И есть второй офис, из которого тоже ходило подключение. Провайдеры одинаковые, белые IP в обоих офисах, все было хорошо. НО! В какой момент сказать не могу, но пропал доступ из офиса2. Причем заметили не сразу, так как доступ из всех остальных мест остался. С мобильного оператора, из дома, да черт знает откуда есть доступ, по локалке внутри офиса есть доступ, а из офиса2 - шиш. То есть люди как работали из дома или по локалке, так и работают. А офис2 в пролете. Два года все работало, настройки роутеров в офисах не менялись, на конечной машине никто ничего не ставил (да и доступ то есть, не забываем). Провайдер почесал репу, проверил на "тестовом стенде" и заявил, что мол у них все в порядке, ничего не блокируют. Начинаю верить в сверхъестественное. Что делать?
Если информация будет полезной - провайдер домру, порты проброшены со стандартных. То есть в конфигурации я уверен, т.к. проблемы только у офиса2.

Comments

[Максим Гришин]

Я бы здесь поменял порты со стандартных на какие-либо в диапазоне 0x8000-0xbfff, чтобы заведомо исключить провайдера. Также, а из офиса2 какой-либо другой RDP на стандартном порту доступен?

[sir_Maverick]

Уже меняем провайдера в офисе1, предложили доступ дешевле и быстрее, сегодня-завтра проверю доступ из офиса2.

Answer 1

[Dmitry]

Что за железки/софт маршрутизируют трафик в офисе1 и офисе2?
Порядок дейсвтий:
1. проверить пинг от офиса1 до офиса2 и обратно
1.1. если туда сюда пакеты летают, то из офиса2 подключится с помощью telnet к порту который вы пробросили для rdp
1.2. Если telnet не смог подключится, лезть на маршрутизатор и смотреть настройки, возможно есть какой-то блэк лист, куда попал адрес офиса2
1.3 если пакеты не летают, сделать трассировку из офиса1 в офис2 и обратно, смотреть на каком хопе затыкается, проверить что и в офисе1 и в офисе2 на маршрутизаторе вырублен фаервол (на время теста)
1.4 если фаервол выключен, но последний хоп должен быть ваш хост, а он не шлет ответа, значит по какой-то причине маршрутизатор отбрасывает пакеты, тут уже надо знать, что за железо/софт маршрутизирует трафик
1.5. если в маршруте вы не видите предпоследний хоп (шлюз офиса2) то тут проблема с маршрутами

Comments

[sir_Maverick]

Внутри провайдера:
офис1 - офис2: пинг есть, трейс есть
офис2 - офис1: пинга нет, трейса нет

Вне провайдера:
пинг: до офиса1 - нет
до офиса2 - есть
трейс: до офиса1 - нет
до офиса2 - есть

Офис1 - zyxel Keenetic Lite 2
Офис2 - D-Link DI-804HV

Телнет из офиса 2 не подключается к офису1 на проброшенный порт
Трейс из офиса2 в офис1 - первый хоп - ип роутера, второй хоп - таймаут.
Трейс вне прова до офиса1 - после первого рабочего хопа в течение следующих 5-7 - таймауты, потом с переменными задержками доходит до

1020 ms   669 ms   388 ms  lag-2-438.bsr02.voronezh.ertelecom.ru [109.195.56.29]

на, примерно, 17 прыжке и после этого затык, до конечного ип не идет.

[Dmitry]

sir_Maverick: из офис1 - офис2 сколько хопов? офис2 - офис1 на каком застревает?
в правилах межсетевого экрана zyxel Keenetic Lite 2 есть что-то кроме проброса?
порт по умолчанию шарится, 3389? сделайте еще один проброс с нестандартного порта, например 9999 на 3389 локального хоста и из офиса 2 попробуйте подключится.

Все очень смахивает на то, что дом ру порезала icmp пакеты и плюсом порты по закрывала. Можете еще шнурок от домру воткнут на прямую в комп, выключить фаервол, и попробовать пинг из других мест ( с офиса2 например), что бы исключить роутер.

[sir_Maverick]

1. Офис1 - офис2: 4 хопа, все ип внутренние, провайдеровские.
2. Офис2 - офис1: первый хоп на роутер, после него сразу таймаут.
3. Изначально все работало(и работает) на 5005 порту, на 3389 сменил пару дней назад, когда стал проверять.
4. Кроме проброса правило одно - доступ на роутер, создал тоже пару дней назад, когда начал проверку.

Постараюсь на выходных заехать в офис и проверить напрямую.

[Dmitry]

sir_Maverick: ребутните роутеры для профилактики
я думаю:
1. нарушились маршруты у провайдера
2. либо провайдер режет трафик

Но, остается не понятен вопрос с тем, что не пингуется офис1 из внешней сети, но проброс работает. Это похоже на фаервол на кинекте. Рекомендую попробовать обновить прошивку и сбросить в дефолт. А может это как раз и указывает на то, что провайдер режет трафик.

У меня больше идей нету.

[sir_Maverick]

Janus74: Большое спасибо Вам за помощь!

Получилось запустить пинг для внешки - запретов в фаерволе не было, но надо было дополнительно разрешить ICMP для PPPoE-соединения. Пинг и трейс пошли на офис1 извне, но ситуацию между офисами это не изменило. Попробовал из офиса1 наоборот в офис2 по rdp влезть - не получилось.

Еще раз спасибо, буду пробовать пинговать без роутера и писать в ТП. Хотели заказать у домру vpn между офисами, но теперь сомневаюсь. Начинаю думать о ростелекоме.

[sir_Maverick]

Janus74: Проверил пинг без роутера: из внешки есть и пинг и трейс, из офиса2 нет ни того, ни другого.

[Dmitry]

sir_Maverick: значит провайдер режет iCMP либо маршрута нету

Answer 2

[3vi1_0n3]

Если провайдер Дом.ру, то всё-таки это могут быть проблемы у них. Эти криворучки мне закрыли порты для самбы якобы для того, чтобы мне вирусы ничего не писали в шару. Причем закрыли в обратную сторону, на исходящие, а не на входящие, убедить их сделать как надо так и не получилось, очень дубовый саппортер попался