Как правильно пробросить порт на роутере для RDP Gateway?

Question

[Dim]

Есть роутер с реальным внешним IP адресом.
Есть локальная сеть с шлюзом удаленных рабочих столов.

Читаю описание шлюза на технете:

Шлюз удаленных рабочих столов передает трафик протокола удаленного рабочего стола на порт 443, используя туннель HTTP с протоколами SSL и TLS. Поскольку в большинстве организаций порт 443 открыт для подключения к Интернету, Шлюз удаленных рабочих столов использует преимущества такого построения сети для обеспечения возможности удаленных подключений через несколько брандмауэров.

Не понятно как настроить на роутере настроить проброс, чтобы при коннекте на роутер, клиент подключался к шлюзу.

Если я просто сделаю Port-Mapping, роутер:443 > шлюз:443 это ведь как то повлияет на клиентов сети, которые тоже используют роутер для выхода в интернет? Они ведь тоже используют порт 443 для безопасных соединений через NAT. А тут получается тупо любое внешний запрос на 443 просто направим на шлюз?

Comments

[res2001]

Это может повлиять только на сайт компании, если он то же висит на 443 порту.
Разница в том, что в вашем случае 443 порт - это порт на вашем роутере, а когда человек за роутером идет на сайт в интернет на 443 порту, то этот порт где-то там в интернете и к вашему порту никакого отношения не имеет.

[Dim]

res2001, я понял. Проблемы могут быть если у меня например https вебморда роутера будет на 443 порту, тогда она перестанет быть доступна.

Тут дело действительно в том что я не доконца понимаю как работает NAT.
Вы пишете

а когда человек за роутером идет на сайт в интернет на 443 порту, то этот порт где-то там в интернете

в интернете - это адрес и порт одной стороны. Но обмен ведь двусторонний, разве это не означает что на стороне клиента тоже должен быть открыть порт, чтобы он мог куда то получить данные?

[res2001]

TCP сессия однозначно идентифицируется адресом и портом обеих сторон соединения. HTTP, HTTPS, SSL - это все TCP сессии.
У роутера два сетевых интерфейса (как минимум) - один смотрит в инет (WAN, внешний), другой смотрит в LAN (внутренний), IP адреса у этих интерфейсов разные. Если веб морда роутера выставлена на ружу (на внешний интерфейс), то да будет конфликт. Но обычно веб морды роутеров не выставляют в инет, поэтому, как правило и проблемы нет.

[res2001]

Но обмен ведь двусторонний, разве это не означает что на стороне клиента тоже должен быть открыть порт, чтобы он мог куда то получить данные?

Конечно означает, со стороны клиента открывается любой произвольный (динамический) порт в диапазоне от 1024 до 65535 (на разных ОС диапазон динамических портов может быть разным).

[res2001]

И да, я писал не про веб морду роутера, а про сайт компании. Просто предположил, что раз у вас есть роутер и за ним RDP шлюз, то речь идет о компании и довольно приличной (иначе зачем RDP шлюз? Для мелких компаний обычно достаточно одного сервера терминалов), а в этом случае логично предположить, что у компании есть и сайт, который может висеть на 443 порту, т.к. https сейчас используется повсеместно.

[Dim]

res2001, то есть если мы читаем про любую службу, что она работает через конкретный порт, например RDP (3389) , или FTP (21) то априори подразумеваем что это порт сервера?

Но хорошо, а если клиент не раз NAT и имеет белый IP, он тогда тоже рандомные порты использует или открывает аналогичные те же что и на сервере (21<>21, 3389<>3389)?

[res2001]

Dim,
1. Да - имеется ввиду порт сервера
2.Обычно, клиент открывает рандомные порты (веб браузер, например, на каждый запрос открывает новую TCP сессию с новым локальным портом). Это можно легко увидеть поставив на свой комп шейпер перехватывая трафик на удаленные TCP/80 и TCP/443 и несколько раз в это время в браузере обновить страницу. Но на самом деле это зависит от протокола. Для HTTP/HTTPS/RDP/SMTP/POP3/IMAP это так. Для FTP - нет.

[res2001]

по второму вопросу - какой порт открывает клиент не зависит от того за НАТ он или нет. Обычно клиенты не знают за НАТ они или нет. Для клиента НАТ - прозрачный, т.е. его как-бы и нет.

Answer 1

[Владимир Муковоз]

Если я просто сделаю Port-Mapping, роутер:443 > шлюз:443 это ведь как то повлияет на клиентов сети, которые тоже используют роутер для выхода в интернет?

Никак не повлияет.Они заходят ведь не на сайты которые под роутером, а на другие сайты которые за ним)

Они ведь тоже используют порт 443 для безопасных соединений через NAT. А тут получается тупо любое внешний запрос на 443 просто направим на шлюз?

Нет, нат создаёт соединения на рандомных портах и явно не на этом) Рекомендую тебе почитать и лучше вникнуть в тему.