Задать вопрос
@zionkv
Системный администратор Windows\Linux
сети

Не пускает в половине случаев по RDP в терминал 2008R2, как выявить проблему?

Терминальник 2008R2 на виртуалке внутри ESXi 6.5 на дедике в Hetzner. Роутером виртуалок служит PfSense, у него белый IP и проброс порта в виртуалку. Кроме ESXi, везде последние обновления.

Внезапно uptime robot начал писать сообщения о недоступности сервера по порту. Потом пользователей перестало пускать по RDP. Происходит это внезапно, без объяснения причин. Просто ощущение, будто терминальник недоступен. Раза с 6-7 пускает, если быстро делать попытки подключения. Субъективно, с RDCman сильно выше шанс подключиться, чем с mstsc. На Remmina пользователи вообще не слышал, чтобы жаловались.

  • PfSense переустановить пробовал.
  • Логи винды читал. В "Безопасности" даже намёка нет. И не вижу каких-либо событий, совпадающих по количеству с недоступностями сервера.
  • Запустил NetworkMonitor с фильтром на 3389 порт, но пока не знаю, что с ним делать - собирает инфу.
  • С гипервизором точно ничего не делали и пробраться туда никто не мог, закрыто фаерволом дата-центра и не такой серьёзный объект.
  • Сетевые интерфейсы везде были intel, поменял на vmx3 - ничего не дало.
  • Службы программы RDP Guard останавливал, которая банит любителей брутфорса - ничего не поменяло.

Планирую включить ICMP на PfSense, собарть инфу winmtr, потом пробросить ICMP в ВМ и снова winmtr.
Network Monitor
nlyi-hwkxoa__vfmvchte1avbs0.png
Uptime Robot
5d133d4a92395647931605.png
Сама сеть гипера

5d134625574fb682319704.png
5d1346da09757878165874.png


udp1. Сделал на роутере проброс 3390 туда же в 3389 на машину - там пакеты не пропадают. Получается, кто-то мусором забивает 3389?
  • Вопрос задан
  • 378 просмотров
2 комментария
Подписаться 4 Средний 2 комментария
Пригласить эксперта
Ответы на вопрос 2
akelsey
@akelsey
udp1. Сделал на роутере проброс 3390 туда же в 3389 на машину - там пакеты не пропадают. Получается, кто-то мусором забивает 3389?

Догадка очень верная. После обнаруженной уязвимости, где можно поднять привилегии через РДП без заплаток - РДП себя начинает вести именно так - 50 на 50 подключения - отвалы и прочее прочее.
Нужно либо в отстойник отправлять адреса источников атак (по правилу айпитейблз или еще как), если кол-во попыток коннектов с одного адреса превышает вменяемое - в единицу времени - в бан дней на 7.
Ответ написан
Комментировать
Комментировать
take
@take
я люблю любить
1. примитивный Firewall после обновления венды может поехать )
2. второй косяк с таблицей роутинга на роутере. Были эксперементы? Оно могло сохраниться пока не очистишь.
3. Читал у буржуев подобные проблемы были: вдруг ни с того ни с сего. Надо что-то в системных политиках прописывать. Посмотрите в гугле: w.. 2008 rdp no connection system policy
Ответ написан
1 комментарий
1 комментарий
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Преподаватель по нейросетям
CODDY
от 25 000 до 45 000 ₽
Младший аналитик
Сбер Москва
от 130 000 ₽
Аналитик 1С
SM Lab
от 200 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Правки по сайту WordPress + WooCommerce
27 дек. 2024, в 09:38
6000 руб./за проект
2D-анимация в формате SVG для размещения на сайт
27 дек. 2024, в 09:01
2000 руб./за проект
Сверстать сайт по шаблону из Figma
27 дек. 2024, в 08:49
12000 руб./за проект
Ещё заказы