Не могу подключиться к Удаленному рабочему столу в вин2003

Внимание! Тема закрыта. Добавлять сообщения в закрытую тему запрещено.
1. сергей воробьёв (seregapplk) 01.06.16 14:12 Сейчас в теме
пинг проходит до узла, трассировка тоже,
такое впечатление что порт не открыт, но по локальной сети все работает на ура! помогите пожалуйста!
Вознаграждение за ответ
Показать полностью
Ответы
2. Рашида Равильевна Калеева (uk09) 01.06.16 14:32 Сейчас в теме
seregapplk, добрый день!

Пользователь в группе "Пользователи удаленного рабочего стола" ?
4. сергей воробьёв (seregapplk) 01.06.16 14:53 Сейчас в теме
(2) uk09,Имя пользователя и пароль пусты,я введу их после подключения,
3. Сергей (aserg) 32 01.06.16 14:39 Сейчас в теме
В роутера необходимо настроить перенаправление портов с внешнего интерфейса на адрес сервера, причем желательно чтобы внешний порт отличался от rdp
5. сергей воробьёв (seregapplk) 01.06.16 14:56 Сейчас в теме
(3) aserg, Блин я как только не пробовал, приведите пример пожалуйста, я так понимаю, допустим с 22 порта перенаправить в 3389, и подключатся по ip:22? так тоже пытался!
11. Сергей (aserg) 32 01.06.16 15:59 Сейчас в теме
(5) seregapplk, В настройках роутера (На втором рисунке) указать порт сервиса - наружный порт, внутренний порт - 3389, ip адрес - адрес сервера в локальной сети
13. сергей воробьёв (seregapplk) 01.06.16 17:58 Сейчас в теме
(11) aserg, но по всем правилам должен же я подключится через 3389, потом поменять нет проблемм почему не подключается так, вот в чем вопрос!???
14. Сергей (aserg) 32 01.06.16 19:00 Сейчас в теме
(13) seregapplk, Получается, что роутер не делает переадресацию. Возможно нужно включить брандмауэр.
15. сергей воробьёв (seregapplk) 01.06.16 22:14 Сейчас в теме
(14) aserg, Да да такое впечатление что роутер не открывает порт, взял другой роутер завтра попробую, но мне кажется что то в настройках на сервере, знать бы что,
ВСЕМ спасибо что откликнулись конечно!
два дня просто бьюсь в стену, пипец просто!
6. Рашида Равильевна Калеева (uk09) 01.06.16 14:56 Сейчас в теме
Если ни одному пользователю не назначены права "Пользователи удаленного рабочего стола", никто не сможет войти. У Вас домен на 2003 ?
7. сергей воробьёв (seregapplk) 01.06.16 14:58 Сейчас в теме
(6) uk09, ну как же не назначены если по локалке работают люди! и я вобще под админом админов захожу!
8. Роберт В е р т и н с к и й (v3rter) 01.06.16 15:05 Сейчас в теме
В двум местах в роутере - в port mapping (virtual server) и в брандмауэре.

Настоятельно советую пробрасывать нестандартный порт: открытый снаружи стандартный порт RDP привлечет внимание роботов, rdp начнут брутфорсить, из-за чего начнутся перебои с подключением снаружи, а когда подберут пароль - залезут, сдампят все сохраненные пароли всех пользователей сервака, включая браузеры, и зальют трояна шифровальщика. Не шучу. Без нормального антивируса на сервере и бэкапов за пределы сервера (только не на на подключенный сетевой диск) даже и не думайте.
9. Рашида Равильевна Калеева (uk09) 01.06.16 15:19 Сейчас в теме
seregapplk, если дело касается настройки портов в коммуникационном оборудовании, то - не проще настроить vpn ? Тогда перенаправление портов ненужно
10. Сергей (aserg) 32 01.06.16 15:51 Сейчас в теме
22-ой порт занят - стандартный порт SSH. Нужен свободный, например 9384, 13012 или другой. Свободные порты можно выбрать здесь https://ru.wikipedia.org/wiki/%D0%A1%D0%BF%D0%B8%D1%81%D0%BE%D0%BA_%D0%BF%D0%BE%D­1%80%D1%82%D0%BE%D0%B2_TCP_%D0%B8_UDP
12. Роберт В е р т и н с к и й (v3rter) 01.06.16 16:17 Сейчас в теме
https://habrahabr.ru/sandbox/66438/
Переходим в Forwarding => Port Triggering.
Trigger Port равен порту который нужно открыть, его запишем и в Incoming Ports.

Но мне кажется, надо ещё внимательно покопаться в разделе "безопасность"
16. Роберт В е р т и н с к и й (v3rter) 02.06.16 09:12 Сейчас в теме
Можно проверить по IP: узнаете свой IP, например http://yandex.ru/internet , затем вводите его тут http://portscan.ru/ и проверяете порт 3389
17. сергей воробьёв (seregapplk) 02.06.16 11:03 Сейчас в теме
(16) v3rter, Начинаю вникать, мне не нужен мой IP мне нужен IP роутера, который перенаправит порт на мой внутренний IP в локалке,
18. Роберт В е р т и н с к и й (v3rter) 02.06.16 12:12 Сейчас в теме
http://yandex.ru/internet покажет Ваш внешний IP в сети интернет, тот самый, через который идёт подключение снаружи, noip только помогает его отслеживать, так как не реже раза в сутки он меняется.

Обычно внешний статический IP не такая уж и дорогая услуга, особенно для организации.
19. сергей воробьёв (seregapplk) 02.06.16 12:33 Сейчас в теме
(18) v3rter, взял у провайдера IP прописываю на другом компе все равно, не подключается?
Взял другой комп, залил туда винду, поднял сервер терминалов, перенастроил пере адресацию портов в роутере, не подключается!!!
завтра снесу винду и установлю заново.
20. Сергей (aserg) 32 02.06.16 18:35 Сейчас в теме
В роутере, кроме проброса портов, необходимо включить брандмауэр. Мне так кажется. Правила в брандмауэре можно настроить, чтобы все разрешали. Могу подключиться к роутеру удаленно, ну если будет такая необходимость.
21. Сергей (aserg) 32 03.06.16 04:13 Сейчас в теме
22. Сергей (aserg) 32 03.06.16 04:26 Сейчас в теме
Тут Windows переустанавливать не надо. Если есть доступ к РДП из локальной сети, то должен быть и из инета. Если из локалки есть, а из инета нет, то надо копать в роутере. Как вариант - сбросить настройки к заводским. Сегодня проконсультируюсь со спецом на счет того, какие могут быть подводные камни при настройке. Он на TP-Linkах собаку съел
23. сергей воробьёв (seregapplk) 03.06.16 10:28 Сейчас в теме
Спасибо, не буду спешить с виндой!
24. Роберт В е р т и н с к и й (v3rter) 03.06.16 11:08 Сейчас в теме
На всякий случай:
1. тестировать проброс надо вне локальной сети, с мобильного интернета, например,
или с домашнего компа через запущенную на нём удалёнку
(upd. ахтунг!! TeamViewer взломан http://forum.infostart.ru/forum16/topic152921/ )

2. у некоторых очень местных провайдеров проброс порта заработает только после покупки услуги внешний белый IP.
25. Сергей (aserg) 32 03.06.16 12:11 Сейчас в теме
(24) v3rter, Белый IP - это то что надо. И стоит, как правило, недорого
26. сергей воробьёв (seregapplk) 03.06.16 13:40 Сейчас в теме
(25) aserg, В общем, от провайдера мне назначен ip допустим 10,10,3,104(IP роутера получается), когда регистрирую DDNS Высвечивает Ваш IP 176.121.237.22(IP Компьютера я так понимаю), и тут начинается интересное из соседнего помещения где тот же провайдер подключен я свободно захожу на 10,10,3,104 но не могу на 176.121.237.22, на 10,10,3,104 входит роутер перенаправляет на мой шз в локальной сети 192,168,0,102 и есть контакт, но из другого провайдера я не могу зайти ни на один IP
Вот в чем трабла!
27. Роберт В е р т и н с к и й (v3rter) 03.06.16 13:45 Сейчас в теме
(26) seregapplk, По ходу, вне локальной сети провайдера тоже - отключайте комп от сети, подключайте к своему мобильному интернету "свистком" или проводом и пробуйте. Если не получится - придется как минимум посоветоваться с ТП провайдера и скорее всего купить внешний IP.
29. Сергей (aserg) 32 04.06.16 05:10 Сейчас в теме
(26) seregapplk, Все правильно. Из внутренней сети провайдера можно подключиться по внутреннему адресу (10.10.ХХХ.ХХХ), а из внешней сети необходимо указывать не ip-адрес, а DNS-имя, которое указано в личном кабинете на сайте noip.com. И уже к этому имени можно добавлять всяческие номера портов. А ip 176.121.237.22 - это адрес, через который провайдер выводит своих клиентов в интернет, т.е.к нему подключаться смысла нет - это адрес такого же роутера, только у провайдера. Настроить проброс портов на нем может сам провайдер, за дополнительную плату, разумеется. Чтобы не зависеть от прихотей своего поставщика Интернет мы и получаем DDNS.
28. сергей воробьёв (seregapplk) 03.06.16 22:57 Сейчас в теме
Самое интересное что ip пингуется из дому.
30. Сергей (aserg) 32 04.06.16 05:10 Сейчас в теме
31. сергей воробьёв (seregapplk) 04.06.16 10:38 Сейчас в теме
Связался с провайдером, вчера , до сих пор не ответа ни привета, хотя обещали найти инженера и перезвонить, шаражкина контора, но увы других нет, покуда! ждемс!
32. Sergey Andreev (starik-2005) 1334 04.06.16 11:07 Сейчас в теме
(31) seregapplk, нужно:
1. Купит белый IP.
2. Организовать ВПН.
3. Подключиться со своего компа по ВПН в сеть конторы.
4. Подключиться к IP сервера. Сети сервера и дома должны быть в разных подсетях (дома 192,168,1,х/24, в конторе 192,168,2,х/24 например).

Тянуть RDP напрямую во внешнюю сеть для виндомашин равнозначно самоубийству апстену, ибо скан портов никто не отменял.
33. сергей воробьёв (seregapplk) 04.06.16 12:18 Сейчас в теме
я изменю порты поставлю сложные имена пароли и фильтр подключения по мак адресу! надеюсь этого хватит
И vpn я что то сомневаюсь, в компе 1 сетевая плата, а по моему для интернета нужно отдельная (может и нет, я честно говоря не силен в поднятии vpn) но я понял одно что нужен белый IP по любому!
34. Sergey Andreev (starik-2005) 1334 04.06.16 17:24 Сейчас в теме
(33) seregapplk, хотите, покажу, как менять МАК-адрес компа? Очень просто...
35. Сергей (aserg) 32 04.06.16 18:41 Сейчас в теме
(34) starik-2005, Ну что Вы страху то нагоняете-то? Для обеспечения безопасности в роутере можно прописать, что подключение из инета возможно только с конкретного ip-адреса. Для подключения по RDP нужно использоваться нестандартный порт. Конечно, для регулярной работы из интернета лучше настроить VPN, но и RDP имеет место быть при некоторых предосторожностях.
42. Ийон Тихий (cool.vlad4) 42 05.06.16 00:18 Сейчас в теме
(35) aserg,
RDP имеет место быть при некоторых предосторожностях.

тут проблема не только в безопасности как указывают выше, а в банальнейшем отказе в обслуживании со стороны сервера RDP у винды, который после очередного брутфорса откажется обслуживать в том числе и вас, несмотря на то что вы в белом списке. можно ЕМНИП в политиках изменить только время, в течение которого он будет терпеть такое безобразие.
44. Ийон Тихий (cool.vlad4) 42 05.06.16 00:37 Сейчас в теме
(42) cool.vlad4, + еще проблема не только во взломе, в том что RDP (по крайней мере версии, которая на W2003) не рассчитан на работу таким образом и никоим образом не спасает от проблемы MITM, я ни разу в этом не спец, но подозреваю что каким-нибудь Wireshark или чем-нибудь подобным можно засниффить траффик со всеми вытекающими. из вики

Возможность использовать 128-битовое шифрование по алгоритмам RC4, AES или 3DES с проверкой целостности хешем MD5 или SHA1, по умолчанию не используется, значение безопасности RDP в Windows 2003 по умолчанию — RC2 (56 бит) c хешем MD5 с откатом на DES (40 бит). (Из-за слабого шифрования RC2 и DES при использовании настройки по умолчанию трафик может быть расшифрован по пути, см. тип уязвимости «man-in-the-middle vulnerability»);


не совсем по теме , но помнится тут как-то статью кто-то опубликовал про свою конфигурацию 1С , работающую чсерез интернет, и можно было демку посмотреть, достаточно быстро в пределах одного дня, доступ к базе смогли получить, и вроде бы даже доступ к самой машинке разработчика. это я про то что , не стоит пренебрегать простейшими правилами безопасности.
36. Сергей (aserg) 32 04.06.16 18:44 Сейчас в теме
(34) starik-2005, Изменить Mak адрес несложно, сложно узнать на какой менять. Это ведь не WiFi
37. Sergey Andreev (starik-2005) 1334 04.06.16 19:33 Сейчас в теме
(36) aserg, узнать-то как раз легко - достаточно фишингового ресурса и письма добру молодцу. Это ж венда...
38. Сергей (aserg) 32 04.06.16 20:51 Сейчас в теме
(37) starik-2005, Да, старый добрый троллинг, попытка набрать стартмани на болтовне?
На данный момент ТС и сам не может подключиться к своему серверу, что уж говорить о каких-то злоумышленниках...
Вот в детстве нам всем говорили, что надо мыть руки перед едой, чтобы не заразиться каким нибудь микробом. Но если нас захочет кто-то отравить, то, скорее всего, у него это получится.
Так же и с ситуацией с удаленным доступом. Если соблюдать определенные меры предосторожности, то случайная зараза в наш сервер не попадет, а если какой нибудь злодей озадачится нам нагадить, то даже VPN не спасет. Даже полное отсутствие связи с глобальной сетью не может быть гарантией от потери или утечки информации. Неужели Вам этого не говорили на уроках по информационной безопасности?
По теме помочь можете? Если нет, то проходите мимо...
seregapplk; +1 Ответить
40. Sergey Andreev (starik-2005) 1334 04.06.16 21:10 Сейчас в теме
(38) aserg, я по теме помог))) Что это Вас так заводит? Да и информационной безопасности в наши годы в школах не преподавали, да и информатику, собственно, тоже не особо, а вот программировать учили. Учили и учиться, что современному поколению, ИМХО, сильно недостает - все норовят на все вопросы ответы получить здесь и сейчас, лучше в виде видео, где показано, на какие кнопки жать. Информационная безопасность от этого, конечно, увеличивается )))
seregapplk; +1 1 Ответить
45. Сергей (aserg) 32 05.06.16 10:10 Сейчас в теме
(40) starik-2005, Прошу извинить меня за резкий тон. Но тут человек задает конкретный вопрос, а мы начинаем учить его совсем другому. На счет VPN согласен, что это более предпочтительный вариант, особенно если организовывать работу двух удаленных офисов в одной сети. Если же нужно периодически (не постоянно, а иногда) подключаться, например, из дома к рабочему серверу, то достаточно настроить RDP с определенными мерами предосторожности. Это и нужно сейчас ТС и у него это не получается. Почему не получается - это мы здесь и выясняем. Возможно, что в настройках роутера необходимо поставить какую-нибудь галочку, возможно, провайдер, в целях безопасности, закрыл некоторые порты, возможно в настройках личного кабинета на сайте noip.com необходимо что-нибудь изменить.
seregapplk; +1 1 Ответить
46. Sergey Andreev (starik-2005) 1334 05.06.16 11:06 Сейчас в теме
(45) aserg, ну если топикастеру нужно было просто подключаться, то тимвьвер рулит. Но ему зачем-то нужен RDP, что и вызвало вопросы дополнительные и на них дополнительные ответы.
48. Ийон Тихий (cool.vlad4) 42 05.06.16 15:15 Сейчас в теме
(45) aserg,
то достаточно настроить RDP с определенными мерами предосторожности
вам про эти меры предосторожности и рассказывают. вам говорят про VPN+RDP , а VPN нужен , потому что траффик , в том числе через RDP , будет шифрованным. с другой стороны пускай сначала напрямую подключится после того как IP получит белый. в качестве проверки. а потом уже можно усложнять.
seregapplk; +1 Ответить
39. сергей воробьёв (seregapplk) 04.06.16 21:06 Сейчас в теме
(37) starik-2005, Вся почта и серфинг будут запрещены, только рабочая среда и удаленное подключение для административных функций, это не банк, да и машинка для дедиков слабовата!
41. Сергей (aserg) 32 04.06.16 21:57 Сейчас в теме
(33) seregapplk, Можно настроить и DDNS, но он будет работать всегда только если будет платная подписка на услуги. А так: 50 на 50. Может работать, может нет. И если не работает, то не всегда понятно по чьей вине... Все таки белый ip - более надежная вещь.
seregapplk; +1 Ответить
43. Ийон Тихий (cool.vlad4) 42 05.06.16 00:28 Сейчас в теме
(33) seregapplk, без белого ip было странно тему начинать. vpn если не можете сами поднять, то есть два совершеннейше простых способа, это купить (или быть может уже есть) роутер , у которого есть vpn, и у которого в веб панели это все просто настраивается, либо установить дистрибутив типа Zentyal, который аналогично уже из коробки позволяет только в веб панели кликами мыши донастроить. помимо vpn имеет смысл, также дать доступ через ssh с доступом на машину администратора. можно тогда и RDP через ssh пробросить как раз на тот всякий случай.
seregapplk; +1 Ответить
47. сергей воробьёв (seregapplk) 05.06.16 13:30 Сейчас в теме
тимвивер не подходит, нужно, допустим, бухгалтеру получать отчеты, и иногда набивать накладные из офиса в другом городе, да и тим вивер будет мешать если там буде работать оператор!
Разговоры не пустые, я многое почерпнул, поднял VPN? но опять же, из сети провайдера работает, удаленно нет, буду терзать оператора по поводу белого IP! Всем спасибо за ответы
49. Влад Авдеев (whoze) 06.06.16 11:50 Сейчас в теме
С такими проблемами сталкивались неоднократно.
Для начала всегда проверяли права пользователей.
Далее аналогично новым версиям Windows Server частой проблемой является параметр "разрешить подключения с проверкой на уровне сети".
Попробуйте сменить на машине порт RDP с 3389 на другой и проверить работу например через RDPWrap.
Отключите временно брандмауэр на сервере.
52. сергей воробьёв (seregapplk) 13.06.16 16:35 Сейчас в теме
(49) whoze, RDPWrap немного не то, у меня windows server2003, клиенты из сети провайдера подключаются легко, по IP роутера, то есть перенаправление портов работает, нет внешнего подключения!
50. Alex Alex (s0nya) 06.06.16 12:06 Сейчас в теме
По теме, все очень сильно смахивает на маскарадинг со стороны провайдера. В таком случае единственное решение - покупка статического айпишника.
51. сергей воробьёв (seregapplk) 13.06.16 16:30 Сейчас в теме
привет всем, короче, с белым IP мне ничего не светит, война, анархия полнейшая, три раза оставлял заявку провайдеру, три раза мне обещали связаться! Других провайдеров пока нет, если не считать укртелеком, но он через dsl, там мрак полный с скоростью!
Может через Хамачи как то замутить, или посоветуйте другие варианты. тимвивер работает отлично, но нужен именно Удаленный рабочий стол
55. Ийон Тихий (cool.vlad4) 42 15.06.16 22:03 Сейчас в теме
(51) seregapplk, как вариант , сделать белый ip там где это можно, хоть дома и сделать там vpn . тогда подключить всех через этот vpn сервер (работу и удаленных пользователей), а рабочий стол открывать в рамках общей виртуальной сети. (надо чтобы vpn был настроен, чтобы позволял клиентам видеть других клиентов). минус данного подхода, очевиден. если на работе слетит коннект у клиента vpn , то удаленки не будет и надо будет как-то переподключать. (через teamviewer например)
forSmitt; +1 Ответить
53. LeXX R (LeXXik) 14.06.16 14:15 Сейчас в теме
Смотрите в сторону VPN-соединения плюс IPv4HOST - так должно получиться без белого IP. В любом случае, без знания IP сервера тут не взлетит, имхо.
54. Merlin Free (merlin1975) 2 15.06.16 21:41 Сейчас в теме
Попробуй lan2lan.ru
Сам пользуюсь - бесплатно до трех пользователей в одной виртуальной подсети. Регистрация на email.
Есть еще RMS. Там бесплатно до 10 пользователей. Если использовать взломанный вьювер - ограничений нет.
Все вышеприведенное используется мной лично и проверено на практике. И там и там есть RDP.
А в RMS еще и можно ограничений кучу настроить - или только по RDP или польный доступ или... и т.п.
Выделенный сервер не нужен.
Рекомендую.
seregapplk; +1 Ответить
56. сергей воробьёв (seregapplk) 16.06.16 13:47 Сейчас в теме
(54) merlin1975, Супер RMS Это же то что нужно. КЛАСС СПАСИБО ОГРОМНОЕ!!!
57. сергей воробьёв (seregapplk) 16.06.16 13:48 Сейчас в теме
ВСЕМ ВСЕМ СПАСИБО ВЫХОД НАЙДЕН ТЕМА ЗАКРЫТА!!!