Страница печати | Закрыть окно

Проброс RDP

Распечатать форум: Форум компании Смарт-Софт
Категория: Главный раздел
Название форума: Traffic Inspector - технические вопросы.
Описание форума: Вопросы по установке, настройке, возможностям и т.п.
URL: http://forum.smart-soft.ru/forum_posts.asp?TID=24071
Дата печати: 25-Ноя-20 в 22:33
Версия ПО: Web Wiz Forums 10.14 - http://www.webwizforums.com


Тема: Проброс RDP
Автор: rust17
Тема: Проброс RDP
Дата отправки: 26-Июл-17 в 10:43
Помогите пожалуйста настроить проброс в ТИ 3.0.2.916.
ТИ на машине с Win 7 prof, две сетевые карты - wan: 192.168.1.3, в интернет выходит через роутер с внутренним IP: 192.168.1.1 и локалка: 192.168.0.5
Необходимо пробросить извне RDP доступ к машине 192.168.0.2:3389 в локальной сети. Снаружи планируемый порт доступа: 6600
Что я сделал:
1. В firewall роутера прописал проброс порта: входящий 6600 на 192.168.1.3:6600
2. В ТИ опубликовал службу: "адрес в вашей сети"-192.168.0.2, внешний порт: 6600, внутренний порт: 3389. 
3. Соответственно создалось правило внешнего сетевого экрана: внешняя сторона и сторона сервера - любой IP, внешний порт: любой, порт сервера: 6600.
Что то мне показалось, что правило некорректное, и пока сделал так: внешняя сторона: любой, сторона сервера 192.168.0.2, любой трафик разрешен.
4. Привязал публикацию к пользователю. У пользователя стоит галочка "отключить запрещающие правила".
В общем, не могу пробиться к машине. Службу ТИ останавливаю - заходит, запускаю - не заходит. Что еще посмотреть?



Ответов:
Автор: DmitryPC
Дата отправки: 27-Июл-17 в 08:18
правило корректно. пользователя нужно авторизовать по ип адресу+ отключить ВСЕ действующие на пользователя или группу, в которую он входит, запрещающие правила(т.к. скорее всего есть некорректные) и проверять.. снаружи проверять.
галка "отключить ..правила.." действует только на трафик между пользователем и шлюзом с ти(внимательнее читайте описание "...  и внутренний сетевой экран", грубо -  "на сам сервер", а Вы делаете публикацию во ВНЕШНЕМ сетевом экране). 
в мануале есть пример публикации порта+на сайте есть видео инструкция. достаточно ознакомиться более внимательно.


Автор: rust17
Дата отправки: 27-Июл-17 в 15:36
Проверяю я конечно снаружи - захожу со смартфона. Галочка "отключить все запреты" поставлена еще и потому, что данный пользователь - админ ТИ, и, согласно инструкции, "чтоб не потерять контроль над ТИ". Пользователь авторизуется по MAC-адресу. 
Другие порты проброшены, на видеорегистратор например, но там порт и снаружи 34567 и внутренний 34567 - все нормально работает. А здесь, с изменением порта какая то засада. 


Автор: DmitryPC
Дата отправки: 27-Июл-17 в 15:50
чудес не бывает. скрины настроек пользователя и фильтров выкладывайте. что мешает проверить без внешнего фв(если заработает - виноваты правила внешнего фв), без внутреннего фв(если заработает виноваты правила внутреннего фв).. а если не работает в принципе - при чем тут ти? может порт опубликовали некорректно в ICS.
гадать можно бесконечно - без фактов. факт=скриншот.  надеюсь доступно...
 
ps. чтобы не потерять контроль над ти читать : "...при доступе с интерфейсов определенных как внутренние".
 
1. отключить ти, пробросить порт в ICS(тсп 6600 на 3389 на 192,168,0,2), проверить.. если работает - >
2. запустить ти, авторизовать пользователя по ип(лучший варинант для "сервера") или мак, на время отключить внешний и внутренний фв ти - проверить, если работает ->
3. включить внутренний фв ТИ - проверить,  - работать должно если
а. сервис активен на конечном устройстве,
б. сервис ничем не заблокирован на конечном устройстве,
в. с конечного устройства есть беспрепятственный выход на внешние сети(и желательно без проксирования)
если работает ->
4. включить внешний фв ти, создать правильное правило.. в случае наличия NAT на машине с ти публикуется порт 6600, в случае наличия на машине с ти только роутинга - порт 3389(или тот который назначен на конечном устройстве в качестве порта сервиса).
 
как то так.
 
Исходное сообщение rust17 rust17 :

3. Соответственно создалось правило внешнего сетевого экрана: внешняя сторона и сторона сервера - любой IP, внешний порт: любой, порт сервера: 6600.
Что то мне показалось, что правило некорректное, и пока сделал так: внешняя сторона: любой, сторона сервера 192.168.0.2, любой трафик разрешен.
правило корректно, некорректно то что показалось.. если бы на машине с ти не было ната, то Ваши изменения в правиле были бы корректны(+ можно было бы указать и порт), а покуда на машине с ти тоже есть преобразования нат, то верните ка то правило которое создал сам билинг.. или просто выключите внешний фв ти(у Вас ведь есть фв на вышестоящем роутере).


Автор: rust17
Дата отправки: 28-Июл-17 в 07:52
Заработало.
ТИ, как я уже писал - отключал. В ICS проброс был, и без ТИ все прекрасно работало. Т.е. проблема в разрешениях ТИ.
Авторизация у меня только по MAC для всех пользователей.

Я поставил информационный счетчик на  порт 6690 со стороны сервера. По нему видно было, что пакеты шли до машины, но назад ответа не было.
Для пользователя создал правило: порт источника 3389, назначение - любой, и после этого заработало.


Автор: DmitryPC
Дата отправки: 28-Июл-17 в 08:24

то у Вас порт 6600 то 6690.. определились бы. неважно.. [off]скрины нужно выкладывать..значит есть что-то что запрещает(если при отключении внешнего фв начинает работать значит правила внешнего фв, если отключаете внутренний фв и начинает работать значит правила действующие на пользователя или на группу или на всех пользователей - прозрачная же логика фильтрации)[/off]



Автор: rust17
Дата отправки: 28-Июл-17 в 12:57
да, ошибся - 6600 конечно.


Автор: Надежда
Дата отправки: 20-Янв-18 в 11:59
Исходное сообщение DmitryPC DmitryPC :

в мануале есть пример публикации порта+на сайте есть видео инструкция. достаточно ознакомиться более внимательно.


Ссылку на видео не подскажите, надо пробросить 6 портов, а ТИ вижу впервые )))


Автор: DmitryPC
Дата отправки: 22-Янв-18 в 07:08
http://www.smart-soft.ru/support/documentation/video/" rel="nofollow - ссылка


Автор: Надежда
Дата отправки: 23-Янв-18 в 08:22
Исходное сообщение DmitryPC DmitryPC :

http://www.smart-soft.ru/support/documentation/video/" rel="nofollow - ссылка


пересмотрела все видео, не увидела о пробросе портов, на ютубе видео есть, но под старую версию, делаю по инструкции но проброса нет, порты стандартные, 22, 80, 443, 1701 и еще пару, наружняя сеть - белые адреса, внутренняя как обычно 192.168.х.х, может с пользователем накосячила?


Автор: DmitryPC
Дата отправки: 23-Янв-18 в 11:02
со времён "старой" версии ничего не изменилось. 
выключить ти. настроить БЕЗ ти. проверить БЕЗ ти. если всё работает - включить ти. настроить в ти.



Страница печати | Закрыть окно