Как настроить RDP-подключения к разным компьютерам?

Question

[Андрей]

Доброго времени суток уважаемому Сообществу.
Дано:
- локальная сеть с "зоопарком" разных серверов под управлением Windows Server разных годов и версий
- белый внешний IP
- скоростной интернет-канал
- средний комп для экспериментов

Надо:
- сделать так, чтобы разные пользователи, под разными учётками на разных компах, могли подключаться через внешний IP, каждый к своему компьютеру.

Вопрос:
- можно ли реализовать такое без L2\L3 коммутатора?

Заранее всем благодарен за помощь.

Answer 1

[Sergey Ryzhkin]

На маршрутизаторе настраиваете проброс портов и пользователи подключаются по рдп, а в адрес указывают:
<внешний адрес>:порт1
<внешний адрес>:порт2
и т.д.
Каждый порт будет перекидывать на нужный сервер на 3389 порт.

Comments

[Андрей]

Спасибо вам большое :-)

[res2001]

Андрей, Выставлять голый пользовательский RDP в инет плохая затея. Это не безопасно.
После должной настройки это можно сделать. Настройка заключается в:
1. генерация своих сертификатов на собственном ЦА, которые будут использоваться в RDP на каждом компе
2. установка этих сертификатов и прикручивание их к RDP (как это сделать в десктопной винде фиг знает, но думаю, что можно)
3. Блокировка всех не стойких крипто-протоколов, которые могут использоваться при RDP подключении.
4. Включение для RDP режима "Network Level Authentification Only"

Возможно более подходящим решением будет настройка ВПН и получение доступа по RDP через ВПН. По крайней мере это видится более простым решением.

[Alexey Dmitriev]

Андрей, спасибо за что? За то, что вам сообщили - что вы не знаете таких основных ньюансов TCPIP?
Если вы не знали подобных вещей - пользоваться этим вариантом вам категорически не советую - ибо как подчеркнули уже - голый RDP наружу при отсутствии профессиональной поддержки - это открытые ворота для взлома, шифровальшиков и т.п.

[Alexey Dmitriev]

Sergey Ryzhkin очень вредный совет вы дали.

[Sergey Ryzhkin]

Alexey Dmitriev, Что спросили, то и дал.
Я не стал расписывать про VPN просто потому что человек сказал делать без всяких L2/L3, а если у него нет денег или знаний на L2/L3 коммутаторы, то никто не будет разворачивать VPN, который так же требует дополнительных затрат.

[Sergey Ryzhkin]

Раз уж на то пошло, то можно и банально Teamviewer Host поставить и все, никаких проблем. Подключайте когда угодно.

[АртемЪ]

res2001, Ну и что? Кто мешает сделать его безопасным? Вопрос то был как настроить.

[АртемЪ]

Alexey Dmitriev, Это не совет, это ответ на конкретный вопрос - как настроить.

[res2001]

АртемЪ,

Ну и что? Кто мешает сделать его безопасным? Вопрос то был как настроить.

Никто не мешает. Просто сообщаю автору, что это не безопасно и надо предпринять дополнительные телодвижения, вдруг он не в курсе.

[Андрей]

Какая дискуссия...
1. Сеть расположена в Узбекистане. ВЕСЬ интернет в Узбекистан поступает по одной-единственной кабельной ветке от Всемирного Оптического Кабеля, который, в Средней Азии проходит через территорию Казахстана. Есессно, на "входе" этой ветки на территорию Узбекистана, стоит целый DATA-центр, вся суть существования которого: фильтрация траффика. Входящего и исходящего. Поэтому в Узбекистане уже более 30 лет нет хакеров, как, впрочем и квалифицированных IT-шников... В Узбекистане никогда не знали что такое "взлом", "вычислю по-айпи", "шифровальщики" и т.д.
Надеюсь теперь понятно, почему в Узбекистане можно спокойно выставлять голый RDP (и не только) в сеть?
2. В Узбекистане баснословно дорогие технологии. Поэтому очень мало контор, даже с иностранным финансированием, могут позволить себе профессиональное сетевое или серверное оборудование. Ещё одна сложность внедрения технологий - отсутствие спецов. Поэтому 90% технических решений остаются на уровне средней школы в РФ или иных, технически продвинутых странах.

[Максим Гришин]

Андрей, сомневаюсь, что ваш фильтрационный датацентр сможет защитить конкретно вас от подключения к вашему RDP на нестандартном порту какого-нибудь скрипт-кидди с петей в арсенале.

[Андрей]

Максим Гришин, это ваше право

Answer 2

[Alexey Dmitriev]

Есть стандартный подход - использовать Remote Desktop Gateway, который позволяет организовывать безопасное соединение по HTTPS к внутренним RDP серверам.

Comments

[Максим Гришин]

Вариант неплох, но если это сервера, а не рабочие станции, ТС похоже именно "организовывает удаленную работу" самым дешевым методом. Плюс "разные учетки на разных компах" это отсутствие домена, а RDG без домена не живет.

Answer 3

[rPman]

VPN конечно же, так же альтернатива проброса подключений через разные порты - это каскадирование rdp подключений.

Пользователи подключаются под общедоступным логином и паролем до сервера, у которого вместо стандартного шела стоит запуск mstsc (клиента для подключения по rdp), все остальное у пользователя по максимуму ограничено, кстати это может быть вообще отдельная машина или несколько (будет сильная нагрузка на сеть при большом количестве одновременных подключений, в принципе все то же самое что и с перенаправлением портов, но там железки дешевле).

Так же нужно будет отключить возможность сохранения логина и пароля в локальных политиках.

p.s. это решение может являться костылем, но зато позволяет в принципе не трогать настройки фаервола на роутере, т.е. при появлении новых пользователей, не понадобится туда лезть