на сайт
на сайт

Поиск  Правила  Войти
Главная страница » Главный раздел » Traffic Inspector - технические вопросы.
Страницы: 1 2 След.
RSS
Проброс RDP
 
#1
0
26.07.2017 10:43:00
Помогите пожалуйста настроить проброс в ТИ 3.0.2.916.
ТИ на машине с Win 7 prof, две сетевые карты - wan: 192.168.1.3, в интернет выходит через роутер с внутренним IP: 192.168.1.1 и локалка: 192.168.0.5
Необходимо пробросить извне RDP доступ к машине 192.168.0.2:3389 в локальной сети. Снаружи планируемый порт доступа: 6600
Что я сделал:
1. В firewall роутера прописал проброс порта: входящий 6600 на 192.168.1.3:6600
2. В ТИ опубликовал службу: "адрес в вашей сети"-192.168.0.2, внешний порт: 6600, внутренний порт: 3389. 
3. Соответственно создалось правило внешнего сетевого экрана: внешняя сторона и сторона сервера - любой IP, внешний порт: любой, порт сервера: 6600.
Что то мне показалось, что правило некорректное, и пока сделал так: внешняя сторона: любой, сторона сервера 192.168.0.2, любой трафик разрешен.
4. Привязал публикацию к пользователю. У пользователя стоит галочка "отключить запрещающие правила".
В общем, не могу пробиться к машине. Службу ТИ останавливаю - заходит, запускаю - не заходит. Что еще посмотреть?
 
 
 
#2
0
27.07.2017 08:18:00
правило корректно. пользователя нужно авторизовать по ип адресу+ отключить ВСЕ действующие на пользователя или группу, в которую он входит, запрещающие правила(т.к. скорее всего есть некорректные) и проверять.. снаружи проверять.
галка "отключить ..правила.." действует только на трафик между пользователем и шлюзом с ти(внимательнее читайте описание "...  и внутренний сетевой экран", грубо -  "на сам сервер", а Вы делаете публикацию во ВНЕШНЕМ сетевом экране). 
в мануале есть пример публикации порта+на сайте есть видео инструкция. достаточно ознакомиться более внимательно.


DmitryPC2017-07-27 08:19:55
 
 
 
#3
0
27.07.2017 15:36:00
Проверяю я конечно снаружи - захожу со смартфона. Галочка "отключить все запреты" поставлена еще и потому, что данный пользователь - админ ТИ, и, согласно инструкции, "чтоб не потерять контроль над ТИ". Пользователь авторизуется по MAC-адресу. 

Другие порты проброшены, на видеорегистратор например, но там порт и снаружи 34567 и внутренний 34567 - все нормально работает. А здесь, с изменением порта какая то засада. 
rust172017-07-27 15:44:52
 
 
 
#4
0
27.07.2017 15:50:00


чудес не бывает. скрины настроек пользователя и фильтров выкладывайте. что мешает проверить без внешнего фв(если заработает - виноваты правила внешнего фв), без внутреннего фв(если заработает виноваты правила внутреннего фв).. а если не работает в принципе - при чем тут ти? может порт опубликовали некорректно в ICS.
гадать можно бесконечно - без фактов. факт=скриншот.  надеюсь доступно...
 
ps. чтобы не потерять контроль над ти читать : "...при доступе с интерфейсов определенных как внутренние".
 
1. отключить ти, пробросить порт в ICS(тсп 6600 на 3389 на 192,168,0,2), проверить.. если работает - >
2. запустить ти, авторизовать пользователя по ип(лучший варинант для "сервера") или мак, на время отключить внешний и внутренний фв ти - проверить, если работает ->
3. включить внутренний фв ТИ - проверить,  - работать должно если
а. сервис активен на конечном устройстве,
б. сервис ничем не заблокирован на конечном устройстве,
в. с конечного устройства есть беспрепятственный выход на внешние сети(и желательно без проксирования)
если работает ->
4. включить внешний фв ти, создать правильное правило.. в случае наличия NAT на машине с ти публикуется порт 6600, в случае наличия на машине с ти только роутинга - порт 3389(или тот который назначен на конечном устройстве в качестве порта сервиса).
 
как то так.
 
Цитата
3. Соответственно создалось правило внешнего сетевого экрана: внешняя сторона и сторона сервера - любой IP, внешний порт: любой, порт сервера: 6600.
Что то мне показалось, что правило некорректное, и пока сделал так: внешняя сторона: любой, сторона сервера 192.168.0.2, любой трафик разрешен.
правило корректно, некорректно то что показалось.. если бы на машине с ти не было ната, то Ваши изменения в правиле были бы корректны(+ можно было бы указать и порт), а покуда на машине с ти тоже есть преобразования нат, то верните ка то правило которое создал сам билинг.. или просто выключите внешний фв ти(у Вас ведь есть фв на вышестоящем роутере).




DmitryPC2017-07-27 16:03:39
 
 
 
#5
0
28.07.2017 07:52:00
Заработало.
ТИ, как я уже писал - отключал. В ICS проброс был, и без ТИ все прекрасно работало. Т.е. проблема в разрешениях ТИ.
Авторизация у меня только по MAC для всех пользователей.

Я поставил информационный счетчик на  порт 6690 со стороны сервера. По нему видно было, что пакеты шли до машины, но назад ответа не было.
Для пользователя создал правило: порт источника 3389, назначение - любой, и после этого заработало.
 
 
 
#6
0
28.07.2017 08:24:00

то у Вас порт 6600 то 6690.. определились бы. неважно.. [off]скрины нужно выкладывать..значит есть что-то что запрещает(если при отключении внешнего фв начинает работать значит правила внешнего фв, если отключаете внутренний фв и начинает работать значит правила действующие на пользователя или на группу или на всех пользователей - прозрачная же логика фильтрации)[/off]
 
 
 
#7
0
28.07.2017 12:57:00
да, ошибся - 6600 конечно.
 
 
 
#8
0
20.01.2018 11:59:00
Цитата
в мануале есть пример публикации порта+на сайте есть видео инструкция. достаточно ознакомиться более внимательно.



Ссылку на видео не подскажите, надо пробросить 6 портов, а ТИ вижу впервые )))
 
 
 
#9
0
22.01.2018 07:08:00
ссылка
 
 
 
#10
0
23.01.2018 08:22:00
Цитата
ссылка


пересмотрела все видео, не увидела о пробросе портов, на ютубе видео есть, но под старую версию, делаю по инструкции но проброса нет, порты стандартные, 22, 80, 443, 1701 и еще пару, наружняя сеть - белые адреса, внутренняя как обычно 192.168.х.х, может с пользователем накосячила?
 
 
 
Страницы: 1 2 След.
Читают тему (гостей: 2)