RDP. Подключение к серверу терминалов в одной подсети с клиентом через внешний IP

Question

[VenSaitto]

Здравствуйте, помогите решить проблему. Есть подсеть 192.168.0.0/24. Сервер терминалов имеет Ip 192.168.0.1 он смотрит в инет со статическим адресом к примеру 222.222.222.222. Имеется клиент находящийся по адресу 192.168.0.100 основным шлюзом используется сервер терминалов 192.168.0.1. Все узлы подсети выходят в интернет без проблем. С клиента 192.168.0.100 подключение к серверу терминалов по адресу 192.168.0.1 проходит без проблем. На сервере терминалов открыт порт 3389. При попытке с клиента 192.168.0.100 подключится к серверу терминалов по внешнему адресу 222.222.222.222:3389 ничего не получается, стоит только клиент перенести в другую подсеть (например подключить у знакомого к инету ) подключение по RDP устанавливается. Подскажите в каком направлении копать чтобы решить этот вопрос.

Answer 1

[sonik_spb]

Копать в сторону фаервола. Именно он занимается этим вопросом =)

А для чего нужно из вашей сети подключаться к внешнему адресу вашей же сети?

Answer 2

[Konkase]

Не фаервол занимается этим вопросом, а NAT, возможно лечится через NAT NVI

Достаточно запустить wireshark и посмотреть что не так.

Смотрим:
1. [SYN] Soure(192.168.0.2)->Dest(222.222.222.222)
2. [SYN, ACK] Soure(192.168.0.1)->Dest(192.168.0.2)

Хэндшейк не устанавливается так как получаются разные src и dst ip, потому что 192.168.0.1 получив первый пакет, в котором source указан 192.168.0.2, начинает общаться с ним по L2 подставляя в свой src не 222.222.222.222 как надо, а 192.168.0.1
В итоге получаем Previous segment not captured

Comments

[sonik_spb]

А натом кто занимается?

Answer 3

[brlumen]

На фаерволе необходимо сделать snat/dnat пакетам поступаущим с адресом назначения 222.222.222.222 и портом 3389, чтобы фаервол выступал как источник запроса к терминальному серверу. Тогда и сервер свои ответы будет обратно фаерволу отсылать, а тот в свою очередь отдаст адресу 192.168.0.100.