Автор Тема: Переброс портов RDP  (Прочитано 24786 раз)

Valbeshnik

  • Newbie
  • *
  • Сообщений: 16
    • Просмотр профиля
Переброс портов RDP
« : Апрель 11, 2011, 07:32:12 pm »
Понимаю что есть темы по такому вопросу но изучение не помогло в решении вопроса
Есть прокси с установленным IPCOP 1.4.21 без аадонов
RED интерфейс подключен к провайдеру через PPPoE имеет постоянный IP ХХХ.ХХХ.ХХХ.ХХХ
GREEN интерфейс смотрит в сеть с постоянным IP YYY.YYY.YYY.YYY
Есть Терминал сервер RDP с постоянным ZZZ.ZZZ.ZZZ.ZZZ
Адреса ZZZ.ZZZ.ZZZ.ZZZ и YYY.YYY.YYY.YYY из одной подсетки
NAT отключен, пользователи выходят в интернет используя данные YYY.YYY.YYY.YYY:8080

Пытаюсь организовать доступ из вне (RED интерфейс) к Терминальному серверу:
Открываю порт (пока стандартный) "Файрвол - внешний доступ"3389
Делаю перенаправление порта:  ip назначения:ZZZ.ZZZ.ZZZ.ZZZ Порт Назначения: 3389 

Сохраняю,пытаюсь подключиться, не пускает.
почему, решения не могу найти

raven6

  • Global Moderator
  • Sr. Member
  • *****
  • Сообщений: 394
    • Просмотр профиля
Re: Переброс портов RDP
« Ответ #1 : Апрель 11, 2011, 09:00:49 pm »
Цитировать
Открываю порт (пока стандартный) "Файрвол - внешний доступ"3389
Этого делать не нужно. Удалите созданное в этом разделе правило. Внешний доступ, он - исключительно к маршрутизатору относится, т.е. описанные правилом пакеты в Green не попадают.
Просто настройте проброс порта 3389 (но лучше любого другого) на IP-адрес терминального сервера, порт 3389. После этого все должно работать.  Подключиться пытаетесь снаружи или из внутренней сети? Проверьте, не заблокирован ли порт на терминальном сервере.
« Последнее редактирование: Апрель 11, 2011, 09:32:46 pm от raven6 »

Valbeshnik

  • Newbie
  • *
  • Сообщений: 16
    • Просмотр профиля
Re: Переброс портов RDP
« Ответ #2 : Апрель 11, 2011, 09:27:21 pm »
Цитировать
Удалите созданное в этом разделе правило
Сделал
Цитировать
Просто настройте проброс порта 3389 (но лучше любого другого) на IP-адрес терминального сервера, порт 3389

Порт временный тестирую на время, потом ясно дело поменяю. Правило прописано, но не перебрасывает
Цитировать
Подключиться пытаетесь снаружи или из внутренней сети?
Из внешней сети пытаюсь подключиться во внутреннюю.

Update.
на самом терминальном сервере порт открыт, до того как поставил IPCOP, стоял UBUNTU с форвардером портов rinetd, порты перебрасывались. Удаленный доступ работал.
но возникали некоторые проблемы с самой проксей, решений не нашлось, а IPCOP стоял до этого в других организациях и у меня проблем не вызывал.
« Последнее редактирование: Апрель 11, 2011, 09:37:15 pm от Valbeshnik »

raven6

  • Global Moderator
  • Sr. Member
  • *****
  • Сообщений: 394
    • Просмотр профиля
Re: Переброс портов RDP
« Ответ #3 : Апрель 11, 2011, 11:04:52 pm »
Только что проверил - с настройками проброса портов, аналогичными Вашим все работает. (Правило - во вложенном файле)
Как вариант - возможно провайдер блокирует порт 3389. Попробуйте-таки пробрасывать другой порт, например 36020. Подключаться к терминальному серверу в этом случае проще всего командой
mstsc /v:Red_IP:36020Еще один вариант - порт на самом терминальном сервере закрыт каким-нибудь софтовым брандмауэром (KIS, брандмауэр Windows и т.п.).

Цитировать
NAT отключен, пользователи выходят в интернет используя данные YYY.YYY.YYY.YYY:8080
NAT отключен каким образом? Правилами Iptables? Возможно именно в этом и кроется проблема.
По уму надо наверное кроме проброса порта еще прописать правило, что-то вроде
iptables -t nat -A POSTROUTING -p tcp -d LOCAL_IP --dport 3389 -j SNAT --to-source RED_IP
Где LOCAL_IP - IP-адрес терминального сервера
RED_IP - красный интерфейс Ipcop'а.
« Последнее редактирование: Апрель 11, 2011, 11:30:54 pm от raven6 »

Valbeshnik

  • Newbie
  • *
  • Сообщений: 16
    • Просмотр профиля
Re: Переброс портов RDP
« Ответ #4 : Апрель 12, 2011, 06:32:44 pm »
Цитировать
Только что проверил - с настройками проброса портов, аналогичными Вашим все работает.
Не пашет
Смена портов не помогла, из локалки цепляюсь "На Ура!"
Цитировать
Еще один вариант - порт на самом терминальном сервере закрыт каким-нибудь софтовым брандмауэром (KIS, брандмауэр Windows и т.п.).
Не используется,  я уже описывал
Цитировать
на самом терминальном сервере порт открыт, до того как поставил IPCOP, стоял UBUNTU с форвардером портов rinetd, порты перебрасывались. Удаленный доступ работал.
но возникали некоторые проблемы с самой проксей, решений не нашлось, а IPCOP стоял до этого в других организациях и у меня проблем не вызывал.
Цитировать
NAT отключен каким образом
В смысле не используется  :)
Цитировать
iptables -t nat -A POSTROUTING -p tcp -d LOCAL_IP --dport 3389 -j SNAT --to-source RED_IP
Не помогло...

Блин даже и не знаю в какую сторону копать

raven6

  • Global Moderator
  • Sr. Member
  • *****
  • Сообщений: 394
    • Просмотр профиля
Re: Переброс портов RDP
« Ответ #5 : Апрель 12, 2011, 07:38:23 pm »
Цитировать
Не используется,  я уже описывал
Цитировать
на самом терминальном сервере порт открыт, до того как поставил IPCOP, стоял UBUNTU с форвардером портов rinetd, порты перебрасывались. Удаленный доступ работал.
но возникали некоторые проблемы с самой проксей, решений не нашлось, а IPCOP стоял до этого в других организациях и у меня проблем не вызывал.

У меня уверенности такой нет.
Попробуйте из интернета подключится telnet'ом к проброшенному на терминальный сервер порту, отдав из командной строки Windows команду
telnet red_ip 3389 где RED_IP - IP-адрес красного интерфейса Ipcop'а, а вместо 3389 нужно указать номер порта, который проброшен в Ipcop'е на порт 3389 терминального сервера.
Если соединение пройдет нормально, то появится окно с мигающим курсором в правом верхнем углу. Его можно закрыть и копать в сторону настроек RDP-клиента.  Если подключение не удастся, то будет выдано сообщение, что-то вроде
Подключение к x.x.x.x...Не удалось открыть подключение к этому узлу, на порт 3389: Сбой подключения
Это значит что порт закрыт, и, скорее всего, это происходит на терминальном сервере. Допустим в фаерволле задано правило, разрешающее доступ по порту 3389 только определенным IP, в список которых Green Ipcop'а не входит.


Valbeshnik

  • Newbie
  • *
  • Сообщений: 16
    • Просмотр профиля
Re: Переброс портов RDP
« Ответ #6 : Апрель 12, 2011, 08:32:47 pm »
Вообщем попробовал с другой машины в локальной сети приконектится через telnet к терминальному серверу- > ОК
Пробую удаленно достучатся до порта telnet-ом до порта 3389 - > FALL
Пробую удаленно достучатся до порта telnet-ом до порта на котором крутится WEB-интерфейс (IP_RED:445) - > ОК

Думаю что IPCOP блокирует порт 3389, где копать?

Цитировать
Допустим в фаерволле задано правило, разрешающее доступ по порту 3389 только определенным IP, в список которых Green Ipcop'а не входит.
фаерволл на терминале полностью выключен.

UPDATE
на 2ip.ru проверяю порт 445(web) и 222(ssh) они открыты
3389 закрыт
« Последнее редактирование: Апрель 12, 2011, 09:19:02 pm от Valbeshnik »

raven6

  • Global Moderator
  • Sr. Member
  • *****
  • Сообщений: 394
    • Просмотр профиля
Re: Переброс портов RDP
« Ответ #7 : Апрель 12, 2011, 09:30:44 pm »
Я уже окончательно запутался.
Вы сейчас находитесь в зеленой сети IPCop'а или нет?
Порт 445 и 222 Ipcop'а  Вы наружу открыли?
IP-адрес, указанный у Вас в правиле, тот который на скрине - это точно локальный IP Вашего терминального сервера или это RED IPCop'а?

Valbeshnik

  • Newbie
  • *
  • Сообщений: 16
    • Просмотр профиля
Re: Переброс портов RDP
« Ответ #8 : Апрель 12, 2011, 09:39:24 pm »
Цитировать
Вы сейчас находитесь в зеленой сети IPCop'а или нет?
Проверяю порты, подключаясь средствами TeamViewer 6 к локальной машине на работе, которая находится в зеленой сетке. и с рабочей машины проверяю через браузер.
Сам нахожусь соответственно за красным интерфейсом. и пытаюсь подключится к терминальному серверу находящимуся за IPCOP в зеленой зоне
Цитировать
Порт 445 и 222 Ipcop'а  Вы наружу открыли?

да открыты (интересно что пытаюсь открыть другие порты и они оказываются заблокированными)
Цитировать
IP-адрес, указанный у Вас в правиле, тот который на скрине - это точно локальный IP Вашего терминального сервера или это RED IPCop'а?
это IP терминального сервера
« Последнее редактирование: Апрель 12, 2011, 09:42:55 pm от Valbeshnik »

raven6

  • Global Moderator
  • Sr. Member
  • *****
  • Сообщений: 394
    • Просмотр профиля
Re: Переброс портов RDP
« Ответ #9 : Апрель 12, 2011, 10:48:52 pm »
По пунктам.
1)Удалите все правила кроме правил о 445 и 222 портах из раздела Файрвол - внешний доступ веб-интерфейса.
2)Удалите все правила проброса портов, за исключением того, которое нужно TeamViewer'у
3)Удалите правило, о котором я писал выше. То, которое
Цитировать
iptables -t nat -A POSTROUTING -p tcp -d LOCAL_IP --dport 3389 -j SNAT --to-source RED_IP
.
4)Перезапустите IpCop (на всякий пожарный).
5)Установите на Ipcop аддон nmap отсюда.
6)Зайдите на Ipcop по SSH и выполните команду:
nmap -p 3389 IP_терминального_сервераВ ответ по идее Вы должны получить что-то вроде
Interesting ports on 192.168.1.2:
PORT     STATE SERVICE
3389/tcp open  ms-term-serv
Если статус порта - filtered, значит что-то на Вашем терминальном сервере не дает Ipcop'у получить доступ к этому порту.
Если статус порта - open, значит Ipcop может до этого порта достучаться. Тогда продолжаем
6)Настройте проброс порта 35020 на порт 3389 терминального сервера в разделе Фаерволл-перенаправление портов.
6)Попробуйте подключиться к терминальному серверу с помощью RDP-клиента. 
Для rdp-клиента Win XP SP3 это проще всего сделать командой
mstsc /v:Red_IP:35020

Valbeshnik

  • Newbie
  • *
  • Сообщений: 16
    • Просмотр профиля
Re: Переброс портов RDP
« Ответ #10 : Апрель 13, 2011, 06:21:26 am »
1. Сделал по пунктам 1-4

2. Сделал по пунктам 4-6
Цитировать
Starting Nmap 5.00 ( http://nmap.org ) at 2011-04-13 12:04 CEST
Interesting ports on  (172.16.13.1):
PORT     STATE SERVICE
3389/tcp open  ms-term-serv
MAC Address: 00:18:8B:E6:CB:AC (Dell)
3. Сделал по пункту 7

4. Подключаюсь (Windows 7): Fall  :o

Потряс провайдера, он сказал что все ок!, он блокировкой портов не занимается.

raven6

  • Global Moderator
  • Sr. Member
  • *****
  • Сообщений: 394
    • Просмотр профиля
Re: Переброс портов RDP
« Ответ #11 : Апрель 13, 2011, 08:44:51 am »
Проверьте тем же 2ip.ru порт 35020, он должен быть открыт.

Цитировать
4. Подключаюсь (Windows 7): Fall
Как терминальный клиент настраиваете? У семерки параметры командной строки mstsc могут отличаться от XP.


Valbeshnik

  • Newbie
  • *
  • Сообщений: 16
    • Просмотр профиля
Re: Переброс портов RDP
« Ответ #12 : Апрель 13, 2011, 09:10:56 am »
Цитировать
Проверьте тем же 2ip.ru порт 35020, он должен быть открыт.
Какой бы порт не открывал [35020 или 35000] (перенаправление портов) порт заблокирован.
Работаю только те порты которые указанны в "Внешний доступ"
Режет где-то на уровне файерволла

Valbeshnik

  • Newbie
  • *
  • Сообщений: 16
    • Просмотр профиля
Re: Переброс портов RDP
« Ответ #13 : Апрель 13, 2011, 09:12:43 am »
Подключаюсь указывая в строке подключения IP_REd:Port
Из точки подключения к IP_REd прокси не стоит и файервол выключен на время теста

raven6

  • Global Moderator
  • Sr. Member
  • *****
  • Сообщений: 394
    • Просмотр профиля
Re: Переброс портов RDP
« Ответ #14 : Апрель 13, 2011, 09:58:37 am »
В консоли Ipcop'а отдайте команду
iptables -L > iptab.txtСодержимое файла iptab.txt выложите сюда.