Проброс на RDP через VPN мкротик

Обсуждение ПО и его настройки
Roman795
Сообщения: 20
Зарегистрирован: 24 май 2017, 14:38

Изображение


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Роман, сделать проброс не сложно,поэтому всё же будем считать, что Вы его сделали сами,
как ни как, Вы написали в группу не для начинающих ведь Л :-)

Лишь уточню - если Вы выбрали интерфейс WAN(что является более точным и верным в целом), то выбирать уже/и также список интерфейсов
не надо (то есть вообще активировать In Interface List не нужно, зачем нам обобщённое),
потому что In Interface List - это уже целый набор интерфейсов, и с разными адресами, пробросы любят точность!.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Roman795
Сообщения: 20
Зарегистрирован: 24 май 2017, 14:38

просто не сработало, ладно дальше буду копать


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Roman795 писал(а):просто не сработало, ладно дальше буду копать

счётчик пакетов у правила сработал?
ну и вы остальное всё что я описал сделали?
маршрутищацию? НАТ ответный?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Roman795
Сообщения: 20
Зарегистрирован: 24 май 2017, 14:38

счетчик пактов сработал именно на TCP, маршруты прописал пинги идут, но именно rdp не коннект,что подразумеваете под натом ответным?


Roman795
Сообщения: 20
Зарегистрирован: 24 май 2017, 14:38

в rdp забиваю белый ip


Roman795
Сообщения: 20
Зарегистрирован: 24 май 2017, 14:38

скорее всего я что то не досказал, задача чтоб с любого компа даже кот не в офисе и не является клиентом vpn мог заходить на rdp сервер используя белый ip


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Roman795 писал(а):счетчик пактов сработал именно на TCP, маршруты прописал пинги идут, но именно rdp не коннект,что подразумеваете под натом ответным?

смотрите, я Вам описал решение простейшее, теперь давайте разберём:
а) ударились на айпи-белый микротика и на порт 3389, сработало правило проброса на 12.99 и на порт 3389, ушло туда на сервер
б) сервер генерирует обратку(ответ), он знает что пакет к нему пришёл от адреса микротика 9.N и знает как этот адрес найти(дойти)
в) ответ от сервера РДП идёт до микротика, но ответ пришёл от пакета с серым адресом, в глобал он не уйдёт, поэтому надо НАТ прописать для сервера РДП
и так как согласно концепции, роутер создаёт эстаблиш-пакеты(сессии) по ним и происходит уже полноценная работа.

Попробуйте РДП проверять не с этого подключения, попробуйте с телефона (через симку) подключиться...

Ну и в пробросе попробуйте убрать явно заданный Вами реальный айпи, всё равно айпи один, и даже можете интерфейс убрать...итак понятно что с внешки придёт запрос,
поэтому упростите правило проброса, а потом, когда заработает, уже можно внести детали и так далее....



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Roman795 писал(а):скорее всего я что то не досказал, задача чтоб с любого компа даже кот не в офисе и не является клиентом vpn мог заходить на rdp сервер используя белый ip

локальная сеть (локальные сети) если Вы их подружили - уже итак напрямую без проброса могут подключаться на 12.99 и работать.
При маршрутизации двух и более сетей, пробросы делать не надо, сети знают друг о дружке и пакеты бегают .....аля интернет, куда захотели,на тот сайт и зашли,
явно описывать и пробрасывать не надо.
Естественно мы щас пытаемся запустить проброс и чтобы заработал РДП с удалённого захода (чужое обращение из вне).

P.S.
проверьте на винде, где РДП сервер, если есть антивирусники, они видят что пакет приходит с заголовком внешним, могут блокировать.
Так что надо описать сети свои в антивирусниках, ну и посмотреть чтобы сам сервис РДП был также в антивире разрешён



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Roman795
Сообщения: 20
Зарегистрирован: 24 май 2017, 14:38

ценю вашу отзывчивость помочь, но по ходу дела реально надо было писать на форум для новичков, бился бился, но не получилось, чего то не знаю и упускаю!


Ответить