Разрешить RDP только на конкретный адрес для конкретного компьютера

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
derryk
Сообщения: 8
Зарегистрирован: 14 ноя 2018, 19:14

Доброго времени суток всему сообществу!
Курил-курил форум, но то-то ничего подходящего не нашел. Если проглядел - ткните носом, плз, а топик снесите))))
Итак, задача - есть локалка с Микротиком, в ней имеется терминальный сервер (TERM) с адресом 192.168.8.155 и пользовательская машина (USER-PC) с адресом 192.168.8.11. Как сделать, чтобы при запуске подключения к удаленному рабочему столу (RDP) на машине USER-PC проходило бы подключение только на адрес 192.168.8.155 (TERM), а все остальные адреса тихо умирали бы? Это вообще решаемо или я слишком много хочу?
Заранее спасибо за любую инфу)))))


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

derryk писал(а): 18 мар 2019, 00:52 Доброго времени суток всему сообществу!
Курил-курил форум, но то-то ничего подходящего не нашел. Если проглядел - ткните носом, плз, а топик снесите))))
Итак, задача - есть локалка с Микротиком, в ней имеется терминальный сервер (TERM) с адресом 192.168.8.155 и пользовательская машина (USER-PC) с адресом 192.168.8.11. Как сделать, чтобы при запуске подключения к удаленному рабочему столу (RDP) на машине USER-PC проходило бы подключение только на адрес 192.168.8.155 (TERM), а все остальные адреса тихо умирали бы? Это вообще решаемо или я слишком много хочу?
Заранее спасибо за любую инфу)))))
А при чём тут роутер и Микротик в частности?
У Вас запрос внутри локальной сети, компьютеры между собой, в рамках одной адресации
(при одинаковой маски сети) общаются между собой напрямую, такой трафик НЕ идёт
через роутер. Это основы сетей.

Хотите ограничивать подключения, значит Вы на терминальном сервере должны в
файрволе явно описать кому можно, а все остальные попытки подключения
с других адресов явно отклонять.
Роутер может ограничивать подключения либо с "чужой" сети, либо частично/комплексно
ограничивать подключения с Интернета.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
derryk
Сообщения: 8
Зарегистрирован: 14 ноя 2018, 19:14

Сорри, возможно неправильно выразился. Внутри локалки как раз все хорошо, речь идет об RDP на внешние адреса. Т.е. юзер на машине USER-PC запускает RDP, вводит адрес 192.168.8.155, все ок, попадает на терминальный сервер. Но если он захочет попасть на какой-то внешний адрес по RDP (параллельно делать еще что-то), то коннекта чтобы не было. Если USER-PC закрыть RDP порт наружу, поможет?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

derryk писал(а): 18 мар 2019, 10:02 Сорри, возможно неправильно выразился.
Очень неправильно.
derryk писал(а): 18 мар 2019, 10:02 Внутри локалки как раз все хорошо, речь идет об RDP на внешние адреса. Т.е. юзер на машине USER-PC запускает RDP, вводит адрес 192.168.8.155, все ок, попадает на терминальный сервер.
Это локальное взаимодействие, по "прямой", роутер тут не участвует.
derryk писал(а): 18 мар 2019, 10:02 Но если он захочет попасть на какой-то внешний адрес по RDP (параллельно делать еще что-то), то коннекта чтобы не было.
Если USER-PC закрыть RDP порт наружу, поможет?
У Вас итак порт на роутере закрыт (по-умолчанию) с внешней стороны.

Вы должны поймать это подключение(исходящее с него на внешнее по RDP), и запретить его до
основного разрешающего правила работы в Интернете.
Но скажу честно, это всё элементарно обходиться, можно использовать другой порт.
Поэтому в идеале, надо пользователю, которого Вы так хотите контролировать, отключить весь Интернет,
а разрешать лишь то, что надо, и этот момент тоже не простой, но в любом случаи, он более жёсткий,
и узко-направленный.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
derryk
Сообщения: 8
Зарегистрирован: 14 ноя 2018, 19:14

Спасибо за информацию, придется просто похоронить эту идею и поставить над пользователем надзирателя с палкой)))))


Ответить