@zionkv
Системный администратор Windows\Linux

Не пускает в половине случаев по RDP в терминал 2008R2, как выявить проблему?

Терминальник 2008R2 на виртуалке внутри ESXi 6.5 на дедике в Hetzner. Роутером виртуалок служит PfSense, у него белый IP и проброс порта в виртуалку. Кроме ESXi, везде последние обновления.

Внезапно uptime robot начал писать сообщения о недоступности сервера по порту. Потом пользователей перестало пускать по RDP. Происходит это внезапно, без объяснения причин. Просто ощущение, будто терминальник недоступен. Раза с 6-7 пускает, если быстро делать попытки подключения. Субъективно, с RDCman сильно выше шанс подключиться, чем с mstsc. На Remmina пользователи вообще не слышал, чтобы жаловались.

  • PfSense переустановить пробовал.
  • Логи винды читал. В "Безопасности" даже намёка нет. И не вижу каких-либо событий, совпадающих по количеству с недоступностями сервера.
  • Запустил NetworkMonitor с фильтром на 3389 порт, но пока не знаю, что с ним делать - собирает инфу.
  • С гипервизором точно ничего не делали и пробраться туда никто не мог, закрыто фаерволом дата-центра и не такой серьёзный объект.
  • Сетевые интерфейсы везде были intel, поменял на vmx3 - ничего не дало.
  • Службы программы RDP Guard останавливал, которая банит любителей брутфорса - ничего не поменяло.

Планирую включить ICMP на PfSense, собарть инфу winmtr, потом пробросить ICMP в ВМ и снова winmtr.
Network Monitor
nlyi-hwkxoa__vfmvchte1avbs0.png
Uptime Robot
5d133d4a92395647931605.png
Сама сеть гипера

5d134625574fb682319704.png
5d1346da09757878165874.png


udp1. Сделал на роутере проброс 3390 туда же в 3389 на машину - там пакеты не пропадают. Получается, кто-то мусором забивает 3389?
  • Вопрос задан
  • 311 просмотров
Пригласить эксперта
Ответы на вопрос 2
akelsey
@akelsey
udp1. Сделал на роутере проброс 3390 туда же в 3389 на машину - там пакеты не пропадают. Получается, кто-то мусором забивает 3389?

Догадка очень верная. После обнаруженной уязвимости, где можно поднять привилегии через РДП без заплаток - РДП себя начинает вести именно так - 50 на 50 подключения - отвалы и прочее прочее.
Нужно либо в отстойник отправлять адреса источников атак (по правилу айпитейблз или еще как), если кол-во попыток коннектов с одного адреса превышает вменяемое - в единицу времени - в бан дней на 7.
Ответ написан
Комментировать
take
@take
я люблю любить
1. примитивный Firewall после обновления венды может поехать )
2. второй косяк с таблицей роутинга на роутере. Были эксперементы? Оно могло сохраниться пока не очистишь.
3. Читал у буржуев подобные проблемы были: вдруг ни с того ни с сего. Надо что-то в системных политиках прописывать. Посмотрите в гугле: w.. 2008 rdp no connection system policy
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
24 янв. 2022, в 14:44
2000 руб./за проект
24 янв. 2022, в 14:27
60000 руб./за проект
24 янв. 2022, в 14:17
15000 руб./за проект