Как подключиться к терминальному серверу Server2008 R2 через интернет?
Ответы
Подписаться на ответы
Инфостарт бот
Сортировка:
Древо развёрнутое
Свернуть все
ip адрес шлюза постоянный или динамический, нужный порт (по умолчанию 3389) до терминального сервера проброшен? Порт файрволом закрыт или нет? Если статический ip и порт проброшен, то в соединении указываем ip_шлюза:номерпорта и вперед. Если адрес назначается динамически, то регистрируйся на noip, dyndns и тому подобных сервисах динамического днс. И соединятся уже нужно будет по адресу ваш_логин.dyndns.org:номер_порта.
(7) raven30,
подсказка для тебя на роуте есть правило нат, сделай перекидку нужного порта (любого в теминале клиент указывает его через ":" , а если ничего то порт 3389 по умолчанию) на IP(сетевой) сервера и порт 3389.
Все будет работать, а отключать ничего не нужно, дурноя привычка. Если блокирует, то создавай исключение в этих программах (файервол, антивирус и т.д.)
подсказка для тебя на роуте есть правило нат, сделай перекидку нужного порта (любого в теминале клиент указывает его через ":" , а если ничего то порт 3389 по умолчанию) на IP(сетевой) сервера и порт 3389.
Все будет работать, а отключать ничего не нужно, дурноя привычка. Если блокирует, то создавай исключение в этих программах (файервол, антивирус и т.д.)
raven30 пишет:
Есть Server2008 R2 на котором настроен терминальный сервер.
Домена нет. Создана рабочая группа.
В локалке все работает нормально. Нужно теперь сделать чтобы один удаленный комп подключался через интернет.
Помогите разобраться как это сделать. Что то ничего не выходит.
Есть Server2008 R2 на котором настроен терминальный сервер.
Домена нет. Создана рабочая группа.
В локалке все работает нормально. Нужно теперь сделать чтобы один удаленный комп подключался через интернет.
Помогите разобраться как это сделать. Что то ничего не выходит.
Совершенно не понятно каким образом настроен доступ в интернет.
Распишите подробнее.
Прежде всего необходим статический IP (видимый из интернета).
Подключаться комп из инета будет с помощью VPN.
Можно заставить раздавать инет в локалку 2008, настроив на нем VPN на интерфейсе в "мир".
Если инет раздает другой комп - поднимаешь на нем VPN и прописываешь маршрут на 2008.
Если боязно открывать 2008 в "мир", поставь Ideco на каком-нить старом железе. Процедура настройки VPN на Ideco подробно описана в семинарах на сайте в разделе "Записи семинаров".
Если железо мощное - можно поставить 2008 в режиме core Hiper-V, на нем поднять виртуальный 2008 терминальный и виртуальный Ideco, или виртуальный 2008 терминальный и виртуальный 2008 в виде шлюза. Но это для тех - кто любит "погорячее". Все варианты требуют тщательной настройки. Граблей или много, или очень много.
Подключаться комп из инета будет с помощью VPN.
Можно заставить раздавать инет в локалку 2008, настроив на нем VPN на интерфейсе в "мир".
Если инет раздает другой комп - поднимаешь на нем VPN и прописываешь маршрут на 2008.
Если боязно открывать 2008 в "мир", поставь Ideco на каком-нить старом железе. Процедура настройки VPN на Ideco подробно описана в семинарах на сайте в разделе "Записи семинаров".
Если железо мощное - можно поставить 2008 в режиме core Hiper-V, на нем поднять виртуальный 2008 терминальный и виртуальный Ideco, или виртуальный 2008 терминальный и виртуальный 2008 в виде шлюза. Но это для тех - кто любит "погорячее". Все варианты требуют тщательной настройки. Граблей или много, или очень много.
kdj пишет:
Прежде всего необходим статический IP (видимый из интернета).
Если боязно открывать 2008 в "мир", поставь Ideco на каком-нить старом железе. Процедура настройки VPN на Ideco подробно описана в семинарах на сайте в разделе "Записи семинаров".
Если железо мощное - можно поставить 2008 в режиме core Hiper-V, на нем поднять виртуальный 2008 терминальный и виртуальный Ideco, или виртуальный 2008 терминальный и виртуальный 2008 в виде шлюза. Но это для тех - кто любит "погорячее". Все варианты требуют тщательной настройки. Граблей или много, или очень много.
Прежде всего необходим статический IP (видимый из интернета).
Если боязно открывать 2008 в "мир", поставь Ideco на каком-нить старом железе. Процедура настройки VPN на Ideco подробно описана в семинарах на сайте в разделе "Записи семинаров".
Если железо мощное - можно поставить 2008 в режиме core Hiper-V, на нем поднять виртуальный 2008 терминальный и виртуальный Ideco, или виртуальный 2008 терминальный и виртуальный 2008 в виде шлюза. Но это для тех - кто любит "погорячее". Все варианты требуют тщательной настройки. Граблей или много, или очень много.
вы щас тут насоветуете.
Особого смысла в vpn нет, rdp протокол достаточно надежен. Нужно только поменять стандартную учетку Администратора. Ставьте роутер и пробрасывайте в нем только один нужный порт и всё. Да и статический ip необязателен. многие роутеры уже в своей прошивке имеют поддержку сервиса динамического днс, и сами регистрируют текущий ip. Если в дальнейшем задумаете ставить отдельный шлюз с прокси, то есть много вариантов класса "дешево, надежно и сердито", например zentyal, linux-дистрибутив для организации SOHO-сервера. Настраивается прекрасно через веб-морду, денег не стоит, работает на очень слабом железе, надежен.
(15) raven30, у роутера ASUS RT-N10 есть функция впн-сервера, правда вот учеток только 10. Через впн и безопасность выше и обращаться можно будет по локальному ip, будут доступны и другие ресурсы локальной сети (удобно для ноутов, которые сотрудника таскают). а проблема с динамическим ip, легко решается при помощи dyndns... главное, чтобы ip внешним был (в противном случае, поможет только хамачи).
закладка WAN
интернет-соединение забил данные провайдера
есть закладка переключение портов и закладка виртуальные сервер
на закладке виртуальный сервер заполнил
имя службы RDP
диапазон портов 3389
локальный адрес ip адрес карты
локальный порт 3389
протокол tcp
интернет-соединение забил данные провайдера
есть закладка переключение портов и закладка виртуальные сервер
на закладке виртуальный сервер заполнил
имя службы RDP
диапазон портов 3389
локальный адрес ip адрес карты
локальный порт 3389
протокол tcp
внешняя карта которая смотрит в инет не пингуется, а которая локальная пингуется.
Может это быть из-за разных настроек сети.
роутер ip 192.168.x.x mask 255.255.255.0
Внешная карта ip 192.168.x.x, mask 255.255.255.0
локальная карта ip 10.0.x.x, mask 255.0.0.0
Может это быть из-за разных настроек сети.
роутер ip 192.168.x.x mask 255.255.255.0
Внешная карта ip 192.168.x.x, mask 255.255.255.0
локальная карта ip 10.0.x.x, mask 255.0.0.0
1. На роутере нужно настроить проброс порта 3389 на ип, на котором находится сервер (внешний ип).
2. На сервере в настройках антивиря и фаервола открыть входящие соединения на порт 3389.
3. На сервере проверить что учетные записи которые могут на него заходить имеют сложные пароли.
у вас ошибка в том что настроили на роутере локальный ип сервера, надо тот который в той же сети что и роутер.
2. На сервере в настройках антивиря и фаервола открыть входящие соединения на порт 3389.
3. На сервере проверить что учетные записи которые могут на него заходить имеют сложные пароли.
у вас ошибка в том что настроили на роутере локальный ип сервера, надо тот который в той же сети что и роутер.
Можно было обойтись без роутера, т.к. роутер это тот же фаерволл что и на сервере. Главное открыть в антивире/роутере порт 3389, и проверить что в настройках терминальных служб стоит доступ со всех сетевых карт, хотя если при отключенных антивирях все работало, там все ок.
(26) raven30,
на роутере в меню wan есть закладка переключатель портов и там поля
описание - любой текст
переключаемый порт - 3389
протокол - TCP
входящий порт - 3389
протокол - TCP
Только должен еще быть адрес внутреннего сервера где-то. После этих настроек роутер должен весь TCP трафик, поступающий на WAN интерфейс на порт 3389 пересылать на порт 3389 сервера, соответственно из инета можно будет сделать Пуск - выполнить - mstsc -v XXX.XX.XXX.XXX и подключиться к этому серверу. Только надо чтобы все учетки, которые имеют доступ на этот сервер имели адекватный пароль.
на роутере в меню wan есть закладка переключатель портов и там поля
описание - любой текст
переключаемый порт - 3389
протокол - TCP
входящий порт - 3389
протокол - TCP
Только должен еще быть адрес внутреннего сервера где-то. После этих настроек роутер должен весь TCP трафик, поступающий на WAN интерфейс на порт 3389 пересылать на порт 3389 сервера, соответственно из инета можно будет сделать Пуск - выполнить - mstsc -v XXX.XX.XXX.XXX и подключиться к этому серверу. Только надо чтобы все учетки, которые имеют доступ на этот сервер имели адекватный пароль.
оптимально с т.зр. безопасности будет поднять VPN на сервере, и подключиться к нему, затем работать как обычно.
Более извращенный способ, если между сервером и инетом есть роутер - это использование туннеля через Zebedee, я где-то выкладывал доку, как его надо настроить. Необходимо будет пробросить любой порт до сервера, и через этот порт настроить туннель. Затем на клиенте запускаешь зибиди, и коннектишься на localhost
Более извращенный способ, если между сервером и инетом есть роутер - это использование туннеля через Zebedee, я где-то выкладывал доку, как его надо настроить. Необходимо будет пробросить любой порт до сервера, и через этот порт настроить туннель. Затем на клиенте запускаешь зибиди, и коннектишься на localhost
Изнутри сети (из локалки) Вы внешнюю не припингуете. Пинговать внешнюю нужно из "мира". Судя по настроенным 192.168. - у Вас динамический IP. Этот адрес вы с "мира" нмкогда не пропингуете. Он "в тени" Вашего провайдера. Воспользуетесь советом от t1313: "Если адрес назначается динамически, то регистрируйся на noip, dyndns и тому подобных сервисах динамического днс. И соединятся уже нужно будет по адресу ваш_логин.dyndns.org:номер_порта.".
Можно просто открыть порт 3389 в фаерволе и хорошо его(фаервол) настроить.
А в открытии порта 3389 наружу ничего глупого нет.
Если есть предрассудки есть множество способов (сложный пароль никто не отменял):
можно разрешить доступ только определённым IP адресам
есть технология port knocking, которая открывает порт после определённых действий и т.д.
А в открытии порта 3389 наружу ничего глупого нет.
Если есть предрассудки есть множество способов (сложный пароль никто не отменял):
можно разрешить доступ только определённым IP адресам
есть технология port knocking, которая открывает порт после определённых действий и т.д.
Самый простой и надежный способ это через VPN.
У провайдера получили статистический внешний IP/
На терминале установили Kerio VPN, на клиентской установли клиентскую Kerio VPN.
Уже как год пользуются проблем не возникало.
У провайдера получили статистический внешний IP/
На терминале установили Kerio VPN, на клиентской установли клиентскую Kerio VPN.
Уже как год пользуются проблем не возникало.
t1313 пишет:
Особого смысла в vpn нет, rdp протокол достаточно надежен. Нужно только поменять стандартную учетку Администратора. Ставьте роутер и пробрасывайте в нем только один нужный порт и всё. Да и статический ip необязателен. многие роутеры уже в своей прошивке имеют поддержку сервиса динамического днс, и сами регистрируют текущий ip....
Особого смысла в vpn нет, rdp протокол достаточно надежен. Нужно только поменять стандартную учетку Администратора. Ставьте роутер и пробрасывайте в нем только один нужный порт и всё. Да и статический ip необязателен. многие роутеры уже в своей прошивке имеют поддержку сервиса динамического днс, и сами регистрируют текущий ip....
Правильно излагает, у меня такая же фигня и все работает. и ничего мудрить не надо с хамачи. кстати на хамачи чет скорость падает, на тимвивере быстрее работает, все стандартными средствами отлично идет. кстати главное что бы пароль не был 123 или 321...
VPN это для больших организаций. в рамках рабочей группы будет достаточно RDP 6.1 с сертификатом. Для надежности советую сменить RDP порт стандартный на нестандартный насколько осилит ваш мозг :) вообще, не советую использовать всякие тимвиверы и прочую ерунду, тратится много трафика и передается информация на серваки тимвивера например. сессии ведь там хранятся. для дома да, удобно )
Я бы взял маршрутизатор типа Mikrotik, стоит недорого, а функций вагон и впн поднять можно и защита гораздо серьезней, чем сервер с открытым портом 3389 для инета, а то и вообще со всеми портами. Да и админить проще всю сеть если ты к ней подключен через ВПН.
Реальный сервер подключать к внешней сети напрямую нельзя ни в коем случае. 2 Dlink DI-804HV(DIR100,DFL200), разные подсети. Поднять между ними VPN и закрыть все остальное. На сервере прописать командой route -p ... статический маршрут к подсети удаленных машин через шлюз Dlink, на удаленных просто указать свой Dlink основным шлюзом. RDP коннектить по ip сервера, а не по имени, также подключать и принтеры. По-тренироваться с поднятием VPN лучше сначала в родной локалке, а то иногда без перепрошивки "мозгов" на последний релиз Dlink работает нестабильно. Если нет возможности получить постоянный ip у провайдеров - поднимите один раз VPN на присвоенных ip и не выключайте маршрутизаторы (хороший ИБП не помешает). Если провайдер один, можно договориться об организации локальной сети на его оборудовании.
когда статический IP и комп-шлюз Kerio WinRoute - Kerio VPN + RDP
когда статический IP и маршрутизатор - проброс портов + RDP
когда динамический IP - teamviewer через комп с winXP или win7, а дальше RDP
можно OpenVPN, но опять нужен статический IP
когда статический IP и маршрутизатор - проброс портов + RDP
когда динамический IP - teamviewer через комп с winXP или win7, а дальше RDP
можно OpenVPN, но опять нужен статический IP
В 2008 Server появилась возможность публикации отдельно самого приложения в добавок к рабочему столу. И работать можно через протокол HTTPS, не выставляя порт RDP в интернет. В роли удаленного рабочего стола сервера выбрать пункт "шлюз удаленного рабочего стола". Очень удобно.
Необходимо, как уже было выше написано, открыть порт 3389 - и пробросить его на внутрнний IP вашего сервера. Проверить открыть или нет порт можно на сайте 2ip.ru
Далее, когда наконец то у вас будет окно авторизации, и вы логинитесь на сервер. то вместо, например. администратор, надо будет написать имя_компютера\администратор
Далее, когда наконец то у вас будет окно авторизации, и вы логинитесь на сервер. то вместо, например. администратор, надо будет написать имя_компютера\администратор
NNF пишет:
В 2008 Server появилась возможность публикации отдельно самого приложения в добавок к рабочему столу. И работать можно через протокол HTTPS, не выставляя порт RDP в интернет. В роли удаленного рабочего стола сервера выбрать пункт "шлюз удаленного рабочего стола". Очень удобно.
В 2008 Server появилась возможность публикации отдельно самого приложения в добавок к рабочему столу. И работать можно через протокол HTTPS, не выставляя порт RDP в интернет. В роли удаленного рабочего стола сервера выбрать пункт "шлюз удаленного рабочего стола". Очень удобно.
вот именно этим а лучше службой сервера шлюза удаленных рабочих столов и пользуйтесь как советует -
- только не забывайте про количество терминальных лицензий
А лучше всего организовать VPN соединение с рабочей сетью, а затем уже подключаться к серверу терминалов. Кроме того, если использовать Port Mapping (без VPN соединения) то еще неплохо перемапить порты с 3389 (стнандартный RDP порт), скажем на 3390. Еще неплохо узнать у провайдера, открыты ли у него нужные Вам порты, некоторые провайдеры грешат закрытием как им кажется ненужных портов
Лично я использовал простую связку с аппаратно-программным маршрутизатором. Практически на всех них есть функция, того, что если обращаешься на статический внешний IP с определённым портом, то он перебрасывает тебя на нужный тебе (внутренний IP сервера RDP)с нужным тебе стандартным портом.
farhod54 пишет:
Самый простой и надежный способ это через VPN.
У провайдера получили статистический внешний IP/
На терминале установили Kerio VPN, на клиентской установли клиентскую Kerio VPN.
Уже как год пользуются проблем не возникало.
Самый простой и надежный способ это через VPN.
У провайдера получили статистический внешний IP/
На терминале установили Kerio VPN, на клиентской установли клиентскую Kerio VPN.
Уже как год пользуются проблем не возникало.
именно так и сделал - уже лет 5 назад
есть вариант настройки шлюза на подключение по определенному порту к ip терминального сервера внутри локальной сети и при этом при внешнем соединении на xxx.xxx.xxx.xxx:3398(к примеру) будет направление от шлюза на конект до необходимого сервера
во-первых, необходим статический IP-адрес, по его получению надо уточнить у провайдера, у многих эта процедура платная (рублей 300). Далее как организован доступ в интернет? напрямую или через маршрутизатор? если последнее, то необходимо сделать проброску портов. Также необходимо добавить пользователя который будет подключаться удалённо в список пользователей удалёного рабочего стола. Ну и последнее, на месте пользователя в удалёном рабочем столе прописать статический IP и настроить подключение
Как вариант можно посмотреть в сторону Remote Manipulator System. Удобная программулина, стоимость почти в два раза меньше Radmina? не нужен переброс портов, работает по ID-Internet, примерно как и в TeamViwer, только защищенность до 2Кб-ключа.
1. Если сетевой интерфейс смотрит в Инет, просто в РДП-клиенте указывай внешний айпи и ентер!!!
2. Если сервак (2008) спрятан за шлюзом(роутером...) то тебе нужно настроить перенаправление порта РДП с внешнего айпи на айпи своего СРВ2008. Настройка редиректа может осуществляться по разному в зависимости от того какой у тебя шлюз, поище в нете при желании найдешь 100%.
3. Наверно самый простой использовать тимвьювер, или хамачи.
4. ВПН...
Эти три способа очень не безопасны особенно первые два, для хакера уровня ниже среднего не составит труда прослушать твой пароль для РДП. А третий способ вообще отдает весь твой траффик третьей стороне(кто их знает чем ОНИ там занимаются))))
Мое мнение: Безусловно лучше организовать ВПН тоннель. Если это оценят твои шефы))).
Удачи!!!
2. Если сервак (2008) спрятан за шлюзом(роутером...) то тебе нужно настроить перенаправление порта РДП с внешнего айпи на айпи своего СРВ2008. Настройка редиректа может осуществляться по разному в зависимости от того какой у тебя шлюз, поище в нете при желании найдешь 100%.
3. Наверно самый простой использовать тимвьювер, или хамачи.
4. ВПН...
Эти три способа очень не безопасны особенно первые два, для хакера уровня ниже среднего не составит труда прослушать твой пароль для РДП. А третий способ вообще отдает весь твой траффик третьей стороне(кто их знает чем ОНИ там занимаются))))
Мое мнение: Безусловно лучше организовать ВПН тоннель. Если это оценят твои шефы))).
Удачи!!!
mulyukov_rd пишет:
1. Если сетевой интерфейс смотрит в Инет, просто в РДП-клиенте указывай внешний айпи и ентер!!!
2. Если сервак спрятан за шлюзом(роутером...) то тебе нужно настроить перенаправление порта РДП с внешнего айпи на айпи своего СРВ2008. Настройка редиректа может осуществляться по разному в зависимости от того какой у тебя шлюз, поище в нете при желании найдешь 100%.
3. Наверно самый простой использовать тимвьювер, или хамачи.
4. ВПН...
Эти три способа очень не безопасны особенно первые два, для хакера уровня ниже среднего не составит труда прослушать твой пароль для РДП. А третий способ вообще отдает весь твой траффик третьей стороне(кто их знает чем ОНИ там занимаются))))
Мое мнение: Безусловно лучше организовать ВПН тоннель. Если это оценят твои шефы))).
Удачи!!!
Показать1. Если сетевой интерфейс смотрит в Инет, просто в РДП-клиенте указывай внешний айпи и ентер!!!
2. Если сервак спрятан за шлюзом(роутером...) то тебе нужно настроить перенаправление порта РДП с внешнего айпи на айпи своего СРВ2008. Настройка редиректа может осуществляться по разному в зависимости от того какой у тебя шлюз, поище в нете при желании найдешь 100%.
3. Наверно самый простой использовать тимвьювер, или хамачи.
4. ВПН...
Эти три способа очень не безопасны особенно первые два, для хакера уровня ниже среднего не составит труда прослушать твой пароль для РДП. А третий способ вообще отдает весь твой траффик третьей стороне(кто их знает чем ОНИ там занимаются))))
Мое мнение: Безусловно лучше организовать ВПН тоннель. Если это оценят твои шефы))).
Удачи!!!
если нет статического ИП, +100500 за ВПН!
Хотя VPN все чаще рассматривается в качестве безопасного решения для удаленного доступа, оно имеет известное число слабостей, таких, например, как перехват сессии, что вполне может использоваться атакующим. Использование VPN в беспроводных сетях может привести к целостности общего объема данных, но если внедрить эту технологию не так, как это следует делать, она может лишь увеличить проблемы с безопасностью. Это особенно справедливо, когда речь идет об установлении VPN с теми, кто работает издалека или из дома. Из-за недостатка управляемого контроля в процессе установки VPN большинство внедрений VPN заканчиваются некорректной установкой драйверов или других ошибок в конфигурации. Опытный атакующий может использовать все эти слабости в своих интересах.
На своем интернет-шлюзе надо сделать проброс портов. Открыть проброс порта 3389 (это порт по которому по-умолчанию ходит протокол RDP). Если сервер имеет адрес 192,168,0,1 то проброс надо сделать именно на этот адрес. В модемах ADSL или роутерах, что там у Вас, не знаю, есть опции типа Port Forwarding. Как правило в разделе NAT или Сеть. Пробрасываете с любого адреса (или жестко укажите с какого), на IP вашего сервера по порту 3389. Учтите, что WAN - адрес для шлюза у вас может быть динамическим и меняться со временем. Если статик, то все ок, если динамик, то закажите провайдеру статик. или воспользуйтесь халявгыми сервисами, типа NO-IP
Я делал на роутере какой нить порт, а затем его прокидывал на сервак, получается что когда ты с инета подключаешься указываешь порт не стандартный 3389, а тот который прокинул, так безопасней. Например делаеешь проброс порт 8886 на 3389, а при подключении указываешь внешний адрес:8886 и все у тебя будет нормально подключаться.
1. маршрутизация и удаленный доступ - организуете на базе win2008 vpn сервер
2. настраиваете пользователей, которые смогут подключаться с серверу через ВПН
3. используете статический внешний IP или службу типа dyndns
4. подключаетесь к этому компьютеру через VPN
работаете. подробные инструкции в документации винды или на сайте траффик инспектора
2. настраиваете пользователей, которые смогут подключаться с серверу через ВПН
3. используете статический внешний IP или службу типа dyndns
4. подключаетесь к этому компьютеру через VPN
работаете. подробные инструкции в документации винды или на сайте траффик инспектора
1) Hamachi
2) Если инет идет с прокси то надо делать туннель, типа идет коннект 78.78.89.98:5000, а инетный комп перенаправляет все данные с 5000 порта в на локальный ип 1с сервера.
3) ВПН, настроить на инетном серваке/роутере
4) Тем виевер
Самый ладомный вариант 3, за ним идет 2. Самый не геморойный 1.
2) Если инет идет с прокси то надо делать туннель, типа идет коннект 78.78.89.98:5000, а инетный комп перенаправляет все данные с 5000 порта в на локальный ип 1с сервера.
3) ВПН, настроить на инетном серваке/роутере
4) Тем виевер
Самый ладомный вариант 3, за ним идет 2. Самый не геморойный 1.
И обязательно создать на сервере нового пользователя, добавить его в группу подключения удаленного доступа и задать ему пароль. При правильной настройке при подключении указать логин этого польователя, пароль и вместо домена имя сервера
Советую сначала разобрать матчасть - маршрутизация, удаленный доступ, проброс портов и т.п. А по теме, нужен роутер с возможностью проброса портов, статический айпи адрес и немного терпения для настройки удаленного рабочего стола на w2k8 ) а именно, включить "удаленное управление рабочим столом" добавить пользователя в группу администраторов. А вообще, если касаться безопасности..... Нужен VPN сервер или девайс чтобы пускать людей во внутреннюю сеть и разрешатьим доступ на определенные ресурсы.
Существует два варианта:
1. сделать внешний ip адрес, авторизацию по логин - пароль + сертификат, но это не безопасно для сети.
2. сделать vpn подключение к серверу - это очень безопасно для сети.
Подключить у провайдера внешний статический ip адрес + зарегистрировать в dns или в dyndns.org.
1. сделать внешний ip адрес, авторизацию по логин - пароль + сертификат, но это не безопасно для сети.
2. сделать vpn подключение к серверу - это очень безопасно для сети.
Подключить у провайдера внешний статический ip адрес + зарегистрировать в dns или в dyndns.org.
сначала подключиться к роутеру, а уж потом он нас соединит с нужным компьютером.
Нужно узнать у провайдера (организация, которая Вам предоставляет услуги интернет) есть ли у Вас внешний статический ip-адрес. Если нет, то чтобы не мучиться с динамически выдаваемыми ip-адресами, нужно подключить услугу внешний статический ip-адрес. (У моего провайдера она стоит 150 руб./месяц.)
Допустим Вы уже знаете ip адрес компьютера к которому собираетесь подключаться. Отлично!
1) Ping-Pong
Для начала – давайте проверим доступность компьютера из сети интернет.
Для этого зайдите в Пуск -> Выполнить:
В открывшемся окне наберите в английской раскладке cmd и нажмите OK
Откроется окно командной строки MS-DOS:
Вам нужно убедиться, что у вас стоит английская раскладка клавиатуры, и набрать ping ip-адрес и нажать Enter. Здесь вместо ip вам нужно ввести Ваш внешний ip-адрес.
Например: ping 213.180.193.1 и нажать Enter и подождать несколько секунд.
Если вы видите статистику, как на картинке выше – 0% потерь, то компьютер, к которому вы хотите подключиться «пингуется». Это означает, что компьютер виден из сети интернет.
Если результат пинга похож на эту картинку – Превышен интервал ожидания для запроса – значит либо вы ошиблись в наборе ip адреса, либо компьютер действительно недоступен из интернета.
2) Включаем удаленный рабочий стол
Теперь переходим к компьютеру, к которому хотим подключиться.
Заходим в свойства «Моего компьютера» (Правой кн. мыши на ярлыке «Мой компьютер» на рабочем столе) и переходим на вкладку удаленные сеансы и ставим галочку «Разрешить удаленный доступ к этому компьютеру».
Здесь же нажимаем кнопку «Выбрать удаленных пользователей»
Если в списке никого нет, тогда жмем кнопку «Добавить»
Затем нажмите кнопку «Дополнительно…» Откроется следующее окно:
Нажмите кнопку «Поиск«, чтобы найти всех пользователей данного компьютера.
Выберите нужного Вам пользователя, чтобы разрешить ему подключаться через удаленный рабочий стол. Затем нажмите ОК. Затем нажмите ОК. Затем нажмите ОК. Затем нажмите ОК. =)
Примечание: Выбранный пользователь должен быть с паролем. (Установить его можно в разделе Пуск-> Панель управления-> Учетные записи пользователей -> Изменение учетной записи – > Создание пароля / Изменение пароля)
3) Проверяем Открыт ли порт 3389
Настройка данного компьютера почти закончена. Еще нужно проверить, открыт ли порт 3389 (стандартный порт удаленного рабочего стола). Провереть порт можно тут. В окошке наберите 3389 и нажмите кнопку проверить. Если все хорошо, то вам сообщат, что порт открыт.
Если порт закрыт, то Вам нужно попробовать отключить Firewall (файрвол), Брандмауэр Windows, Антивирус. И снова проверить порт на доступность.
4) Настраиваем роутер
В данном случае я настраиваю роутер D-link Dir 100
Заходим по адресу настройки роутера. Обычно это или
Вбиваем имя пользователя и пароль доступа к роутера, а затем переходим в раздел PortForwading или Переброска Портов
Заполняем поля так, как показано на рисунке. Здесь IP адерес – это адрес компьютера к которому будем подключаться. Чтобы его определить нужно на компьютере к которому будем подключаться нажать на «мониторчики» рядом с часикам.
В открывшемся окошке переходим на вкладку «Поддержка»
Это и есть тот самый ip-адрес, который нужна забить в правило переброски портов в роутере.
5) Настраиваем подключение к удаленному рабочему столу
На компьютере с которого мы собираемся подключаться к удаленному рабочему столу заходим Пуск-> Все программы-> Стандартные-> Связь-> Подключение к удаленному рабочему столу или если там нет, то Пуск-> Все программы-> Стандартные-> Подключение к удаленному рабочему столу
В строке Компьютер введите внешний статический ip адреc, который мы пинговали в самом начале этой статьи. Затем нажмите «Подключить«. Далее вам будет предложено ввести имя пользователя и пароль. Тут нужно вписать имя и пароль пользователя, которому мы разрешили подключаться к удаленному рабочему столу.
Если все сделано правильно, то Вы должны подключиться к удаленному рабочему столу. Успехов!
Нужно узнать у провайдера (организация, которая Вам предоставляет услуги интернет) есть ли у Вас внешний статический ip-адрес. Если нет, то чтобы не мучиться с динамически выдаваемыми ip-адресами, нужно подключить услугу внешний статический ip-адрес. (У моего провайдера она стоит 150 руб./месяц.)
Допустим Вы уже знаете ip адрес компьютера к которому собираетесь подключаться. Отлично!
1) Ping-Pong
Для начала – давайте проверим доступность компьютера из сети интернет.
Для этого зайдите в Пуск -> Выполнить:
В открывшемся окне наберите в английской раскладке cmd и нажмите OK
Откроется окно командной строки MS-DOS:
Вам нужно убедиться, что у вас стоит английская раскладка клавиатуры, и набрать ping ip-адрес и нажать Enter. Здесь вместо ip вам нужно ввести Ваш внешний ip-адрес.
Например: ping 213.180.193.1 и нажать Enter и подождать несколько секунд.
Если вы видите статистику, как на картинке выше – 0% потерь, то компьютер, к которому вы хотите подключиться «пингуется». Это означает, что компьютер виден из сети интернет.
Если результат пинга похож на эту картинку – Превышен интервал ожидания для запроса – значит либо вы ошиблись в наборе ip адреса, либо компьютер действительно недоступен из интернета.
2) Включаем удаленный рабочий стол
Теперь переходим к компьютеру, к которому хотим подключиться.
Заходим в свойства «Моего компьютера» (Правой кн. мыши на ярлыке «Мой компьютер» на рабочем столе) и переходим на вкладку удаленные сеансы и ставим галочку «Разрешить удаленный доступ к этому компьютеру».
Здесь же нажимаем кнопку «Выбрать удаленных пользователей»
Если в списке никого нет, тогда жмем кнопку «Добавить»
Затем нажмите кнопку «Дополнительно…» Откроется следующее окно:
Нажмите кнопку «Поиск«, чтобы найти всех пользователей данного компьютера.
Выберите нужного Вам пользователя, чтобы разрешить ему подключаться через удаленный рабочий стол. Затем нажмите ОК. Затем нажмите ОК. Затем нажмите ОК. Затем нажмите ОК. =)
Примечание: Выбранный пользователь должен быть с паролем. (Установить его можно в разделе Пуск-> Панель управления-> Учетные записи пользователей -> Изменение учетной записи – > Создание пароля / Изменение пароля)
3) Проверяем Открыт ли порт 3389
Настройка данного компьютера почти закончена. Еще нужно проверить, открыт ли порт 3389 (стандартный порт удаленного рабочего стола). Провереть порт можно тут. В окошке наберите 3389 и нажмите кнопку проверить. Если все хорошо, то вам сообщат, что порт открыт.
Если порт закрыт, то Вам нужно попробовать отключить Firewall (файрвол), Брандмауэр Windows, Антивирус. И снова проверить порт на доступность.
4) Настраиваем роутер
В данном случае я настраиваю роутер D-link Dir 100
Заходим по адресу настройки роутера. Обычно это или
Вбиваем имя пользователя и пароль доступа к роутера, а затем переходим в раздел PortForwading или Переброска Портов
Заполняем поля так, как показано на рисунке. Здесь IP адерес – это адрес компьютера к которому будем подключаться. Чтобы его определить нужно на компьютере к которому будем подключаться нажать на «мониторчики» рядом с часикам.
В открывшемся окошке переходим на вкладку «Поддержка»
Это и есть тот самый ip-адрес, который нужна забить в правило переброски портов в роутере.
5) Настраиваем подключение к удаленному рабочему столу
На компьютере с которого мы собираемся подключаться к удаленному рабочему столу заходим Пуск-> Все программы-> Стандартные-> Связь-> Подключение к удаленному рабочему столу или если там нет, то Пуск-> Все программы-> Стандартные-> Подключение к удаленному рабочему столу
В строке Компьютер введите внешний статический ip адреc, который мы пинговали в самом начале этой статьи. Затем нажмите «Подключить«. Далее вам будет предложено ввести имя пользователя и пароль. Тут нужно вписать имя и пароль пользователя, которому мы разрешили подключаться к удаленному рабочему столу.
Если все сделано правильно, то Вы должны подключиться к удаленному рабочему столу. Успехов!
(90)У меня вопрос по этому поводу. Раньше был 1 сервак и я в правиле (на роутере) прописал проброс портов на внутренний адрес сети 10.0.0.2. Теперь появился второй сервак. Просто создать для него правило с пробросом на 10.0.0.3 не проканает, естественно, тогда как?
Вообще этот вопрос вытекает из другого вопроса: чтобы удаленно подключаться терминалом AD по сути поднимать не нужно, но при подключении можно указать домен. Тогда в принципе правило на роутере менять не надо, ведь 10.0.0.2 - это PDC, а 10.0.0.3 SDC, то есть при подключении я буду писать Домен1 и коннектиться к PDC или домен2 и тогда PDC по локалке сроутит меня на SDC. Так ли это?
Это все я к чему? Сейчас купили 2 б/у сервака, на них AD не поднят, вот я мучаюсь поднимать или нет? С одной стороны для терминала вроде как и не надо и все пользователи будут на Сервер1. Но мне (удаленно) надо будет и на сервер2 заходить (с интернета, если не понятно написал).
И всё это пораждает другой вопрос. На имеющемся сейчас сервере (будет убран из сети) я поднял AD вообще лишь с одной целью - чтобы дать пользователям права на доступ к различным (на сервере) файловым ресурсам. А без поднятия AD это возможно? Думаю нет. Вот такая вот замороченная ситуация.
Как я понимаю мне на обоих серваках все же придется поднять AD и собственно вопроса с доступом из вне не будет (пишу в rdp-клиенте домен1 или домен2 и всё). Так?
Вообще этот вопрос вытекает из другого вопроса: чтобы удаленно подключаться терминалом AD по сути поднимать не нужно, но при подключении можно указать домен. Тогда в принципе правило на роутере менять не надо, ведь 10.0.0.2 - это PDC, а 10.0.0.3 SDC, то есть при подключении я буду писать Домен1 и коннектиться к PDC или домен2 и тогда PDC по локалке сроутит меня на SDC. Так ли это?
Это все я к чему? Сейчас купили 2 б/у сервака, на них AD не поднят, вот я мучаюсь поднимать или нет? С одной стороны для терминала вроде как и не надо и все пользователи будут на Сервер1. Но мне (удаленно) надо будет и на сервер2 заходить (с интернета, если не понятно написал).
И всё это пораждает другой вопрос. На имеющемся сейчас сервере (будет убран из сети) я поднял AD вообще лишь с одной целью - чтобы дать пользователям права на доступ к различным (на сервере) файловым ресурсам. А без поднятия AD это возможно? Думаю нет. Вот такая вот замороченная ситуация.
Как я понимаю мне на обоих серваках все же придется поднять AD и собственно вопроса с доступом из вне не будет (пишу в rdp-клиенте домен1 или домен2 и всё). Так?
(93) Sevish,
Если у вас какой либо фаервол или програмный роутер (типа Керио)? Если есть на нем прописываем доступ к локальному серваку и порт RDp.
Если возможность все это делать на железе (маршрутизаторе)? Если есть прописываем там адрес и порт сервака.
АД подымать нет смысла, а вот домен нужно 100%.
А без поднятия AD это возможно? Конечно возможно, доступ и безопасность, групповые политики.
Если у вас какой либо фаервол или програмный роутер (типа Керио)? Если есть на нем прописываем доступ к локальному серваку и порт RDp.
Если возможность все это делать на железе (маршрутизаторе)? Если есть прописываем там адрес и порт сервака.
АД подымать нет смысла, а вот домен нужно 100%.
А без поднятия AD это возможно? Конечно возможно, доступ и безопасность, групповые политики.
Подключаться комп из инета будет с помощью VPN.
Можно заставить раздавать инет в локалку 2008, настроив на нем VPN на интерфейсе в "мир".
Если инет раздает другой комп - поднимаешь на нем VPN и прописываешь маршрут на 2008.
Если боязно открывать 2008 в "мир", поставь Ideco на каком-нить старом железе. Процедура настройки VPN на Ideco подробно описана в семинарах на сайте в разделе "Записи семинаров".
Если железо мощное - можно поставить 2008 в режиме core Hiper-V, на нем поднять виртуальный 2008 терминальный и виртуальный Ideco, или виртуальный 2008 терминальный и виртуальный 2008 в виде шлюза. Но это для тех - кто любит "погорячее". Все варианты требуют тщательной настройки. Граблей или много, или очень много.
Можно заставить раздавать инет в локалку 2008, настроив на нем VPN на интерфейсе в "мир".
Если инет раздает другой комп - поднимаешь на нем VPN и прописываешь маршрут на 2008.
Если боязно открывать 2008 в "мир", поставь Ideco на каком-нить старом железе. Процедура настройки VPN на Ideco подробно описана в семинарах на сайте в разделе "Записи семинаров".
Если железо мощное - можно поставить 2008 в режиме core Hiper-V, на нем поднять виртуальный 2008 терминальный и виртуальный Ideco, или виртуальный 2008 терминальный и виртуальный 2008 в виде шлюза. Но это для тех - кто любит "погорячее". Все варианты требуют тщательной настройки. Граблей или много, или очень много.
Для получения уведомлений об ответах подключите телеграм бот:
Инфостарт бот