Russian Users MikroTik | Форум пользователей MikroTik

Друзья, возник такой вопрос.
Можно ли в принципе сделать это:

Возникла мысль сделать из роутера некий шлюз для удаленных рабочих столов Windows.

1 Роутер принимает RDP запрос на подключение
2 Сам проверяет авторизацию через LDAP на сервере домена внутри периметра
3 При удачной авторизации перенаправляет на указанный сервер
4 При неудачной авторизации и попытке скажем выше 5 добавляем IP в список для запрета подключений.

Или это все мои фантазии?

На севере вы авторизуетесь уже после того, как с ним установлено соединение. Соответственно вы хотите что бы маршрутизатор умел как минимум часть протокола RDP, да еще так, что бы он потом эту авторизацию передал северу... Думаю вы уже поняли что это фантастика?)
Я так понимаю, вы хотите доп. безопасности? Тогда, как вариант, смените просто порт для подключения, пусть клиенты стучат допустим на 3388, а микротик уже переключит порт на нужный. Или, посложней но и покруче, слышал от местных гуру, можно смонстрячить следующее - если "постучать" на определенный порт микротика, то он откроет для этого адреса доступ к нужному порту, в вашем случае 3389. Т.е. по умолчанию вас вообще не пускает на 3389, но каким то образом (не помню) вы просто отсылаете нужный пакет на, допустим, порт 22222 и после этого для вашего адреса открывается порт 3389.

KARaS'b писал(а):сли "постучать" на определенный порт микротика, то он откроет для этого адреса доступ к нужному порту, в вашем случае 3389.

Фишка называется port knocking , https://litl-admin.ru/zhelezo/mikrotik- ... kciya.html

Спасибо за ответы. Порт и так сменен на другой, но продолжают иногда перебирать. Если стоит на сервере RDP SSL\TSL то в логи не показывается IP адрес. Приходится этот адрес по логам firewall'а виндового искать и вручную в адрес лист микротика добавлять. Хотелось как-то автоматизировать это...

Поищите в гугле защита от брутфорса для Микротик. Не хочется повторять чужие опусы, я у себя только ssh прикрываю, мне больше не надо...