проброс RDP

Обсуждение оборудования и его настройки
Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

сервер с rdp получает интернет от микротика на котором делаете проброс?


AntonB
Сообщения: 9
Зарегистрирован: 06 сен 2013, 08:51

plin2s писал(а):Ну раз правило срабатывает, то либо вы неправильно указали внутренний адрес, либо со служой rdp у вас беда. Изнутри к rdp подцепиться получается?

Изнутри все прекрасно цепляется , даже через второй ip с внешки тоже все цепляется, может есть какая то особенность по настройке firewell rb750gl


AntonB
Сообщения: 9
Зарегистрирован: 06 сен 2013, 08:51

simpl3x писал(а):сервер с rdp получает интернет от микротика на котором делаете проброс?

Интернет получает сервер rdp на который я делаю пробросс


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

AntonB писал(а):
plin2s писал(а):Ну раз правило срабатывает, то либо вы неправильно указали внутренний адрес, либо со служой rdp у вас беда. Изнутри к rdp подцепиться получается?

Изнутри все прекрасно цепляется , даже через второй ip с внешки тоже все цепляется, может есть какая то особенность по настройке firewell rb750gl

нету никаких особенностей. про второй ip подробнее, у вас два подключения к интернету.
AntonB писал(а):тернет получает сервер rdp на который я делаю пробросс

свой ответ и мой вопрос перечитайте =)


AntonB
Сообщения: 9
Зарегистрирован: 06 сен 2013, 08:51

тему можно закрыть, вопрос снят, настроил все через 2 ip


master3sid3
Сообщения: 7
Зарегистрирован: 01 фев 2013, 15:00

Может конечно и поздновато но на будущие может кому-то пригодиться. Сам мучился с пробросом портов.
Для правильного проброса необходимо 2 NAT правила:

1. ip firewall nat add chain=srcnat src-address=192.168.0.5 protocol=tcp dst-port=3389 action=src-nat to-addresses=195.55.55.55 to-ports=3389

2. ip firewall nat add chain=dstnat protocol=tcp dst-port=3389 in-interface=ether1-gateway action=dst-nat to-addresses=192.168.0.5 port=3389

192.168.0.5 - ip машины на которую нужно пробросить порт
195.55.55.55 - внешний ip
ether1-gateway - WAN порт


Zee0n
Сообщения: 2
Зарегистрирован: 03 окт 2013, 20:04

master3sid3 писал(а):Может конечно и поздновато но на будущие может кому-то пригодиться. Сам мучился с пробросом портов.
Для правильного проброса необходимо 2 NAT правила:

1. ip firewall nat add chain=srcnat src-address=192.168.0.5 protocol=tcp dst-port=3389 action=src-nat to-addresses=195.55.55.55 to-ports=3389

2. ip firewall nat add chain=dstnat protocol=tcp dst-port=3389 in-interface=ether1-gateway action=dst-nat to-addresses=192.168.0.5 port=3389

192.168.0.5 - ip машины на которую нужно пробросить порт
195.55.55.55 - внешний ip
ether1-gateway - WAN порт


Возникла аналогичная проблема - проброс наружу внутреннего RDP порта, на старом микротике v3.22 всё работает, приобрели железку с 6.4, прописал то же правило публикации порта из локалки наружу - байты идут в файрволле, а эффекта никакого, может бридж виноват? На старой железке бриджа не было.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

ну а зачем сейчас сделали? бридж правильно настроен? выкладывайте настроки.


Zee0n
Сообщения: 2
Зарегистрирован: 03 окт 2013, 20:04

simpl3x писал(а):ну а зачем сейчас сделали? бридж правильно настроен? выкладывайте настроки.

Бридж норм, заработало, когда добавил внутренний сервер с RDP в полный лист доступа фильтров файрволла. Странно, почему правило /ip firewall filter add chain=forward dst-address-list="SERVER"
protocol=tcp src-port=3389 action=accept comment="Allow RDP for group SERVER (in)" не срабатывает...
Разобрался, надо /ip firewall filter add chain=forward dst-address-list="SERVER" protocol=tcp dst-port=3389 action=accept comment="Allow RDP for group SERVER (in)"


ullquiorra
Сообщения: 9
Зарегистрирован: 25 апр 2013, 17:26

master3sid3 писал(а):Может конечно и поздновато но на будущие может кому-то пригодиться. Сам мучился с пробросом портов.
Для правильного проброса необходимо 2 NAT правила:

1. ip firewall nat add chain=srcnat src-address=192.168.0.5 protocol=tcp dst-port=3389 action=src-nat to-addresses=195.55.55.55 to-ports=3389

Эту же функцию способен отрулить самый обычный маскарад. В Вашем случае это скорее всего означало, что основным шлюзом для девайса, на который прокидывается порт, микротик НЕ являлся. Столкнулся с подобным, когда настраивал роутеры после установки нескольких видеорегистраторов местечковой конторой.

В аттаче пример проброса порта для rdp, на версии ROS 6.4
192.168.10.0 - впн сеть для удаленного доступа, подключается к девайсу с внешним ип, в ваших случаях вместо этого адреса используем внешний ип адрес интерфейса, используемого в качестве wan.
Красным выделено (единственное!) правило - проброс самого порта
Синим - маскарадинг для девайса, основным шлюзом которого не является роутер.
Вложения
rdp_dstnat.jpg
(210.88 КБ) 0 скачиваний


Ответить