(3) aserg, Блин я как только не пробовал, приведите пример пожалуйста, я так понимаю, допустим с 22 порта перенаправить в 3389, и подключатся по ip:22? так тоже пытался!
(5) seregapplk, В настройках роутера (На втором рисунке) указать порт сервиса - наружный порт, внутренний порт - 3389, ip адрес - адрес сервера в локальной сети
(14) aserg, Да да такое впечатление что роутер не открывает порт, взял другой роутер завтра попробую, но мне кажется что то в настройках на сервере, знать бы что,
ВСЕМ спасибо что откликнулись конечно!
два дня просто бьюсь в стену, пипец просто!
В двум местах в роутере - в port mapping (virtual server) и в брандмауэре.
Настоятельно советую пробрасывать нестандартный порт: открытый снаружи стандартный порт RDP привлечет внимание роботов, rdp начнут брутфорсить, из-за чего начнутся перебои с подключением снаружи, а когда подберут пароль - залезут, сдампят все сохраненные пароли всех пользователей сервака, включая браузеры, и зальют трояна шифровальщика. Не шучу. Без нормального антивируса на сервере и бэкапов за пределы сервера (только не на на подключенный сетевой диск) даже и не думайте.
http://yandex.ru/internet покажет Ваш внешний IP в сети интернет, тот самый, через который идёт подключение снаружи, noip только помогает его отслеживать, так как не реже раза в сутки он меняется.
Обычно внешний статический IP не такая уж и дорогая услуга, особенно для организации.
(18) v3rter, взял у провайдера IP прописываю на другом компе все равно, не подключается?
Взял другой комп, залил туда винду, поднял сервер терминалов, перенастроил пере адресацию портов в роутере, не подключается!!!
завтра снесу винду и установлю заново.
В роутере, кроме проброса портов, необходимо включить брандмауэр. Мне так кажется. Правила в брандмауэре можно настроить, чтобы все разрешали. Могу подключиться к роутеру удаленно, ну если будет такая необходимость.
Тут Windows переустанавливать не надо. Если есть доступ к РДП из локальной сети, то должен быть и из инета. Если из локалки есть, а из инета нет, то надо копать в роутере. Как вариант - сбросить настройки к заводским. Сегодня проконсультируюсь со спецом на счет того, какие могут быть подводные камни при настройке. Он на TP-Linkах собаку съел
На всякий случай:
1. тестировать проброс надо вне локальной сети, с мобильного интернета, например,
или с домашнего компа через запущенную на нём удалёнку
(upd. ахтунг!! TeamViewer взломан http://forum.infostart.ru/forum16/topic152921/ )
2. у некоторых очень местных провайдеров проброс порта заработает только после покупки услуги внешний белый IP.
(25) aserg, В общем, от провайдера мне назначен ip допустим 10,10,3,104(IP роутера получается), когда регистрирую DDNS Высвечивает Ваш IP 176.121.237.22(IP Компьютера я так понимаю), и тут начинается интересное из соседнего помещения где тот же провайдер подключен я свободно захожу на 10,10,3,104 но не могу на 176.121.237.22, на 10,10,3,104 входит роутер перенаправляет на мой шз в локальной сети 192,168,0,102 и есть контакт, но из другого провайдера я не могу зайти ни на один IP
Вот в чем трабла!
(26) seregapplk, По ходу, вне локальной сети провайдера тоже - отключайте комп от сети, подключайте к своему мобильному интернету "свистком" или проводом и пробуйте. Если не получится - придется как минимум посоветоваться с ТП провайдера и скорее всего купить внешний IP.
(26) seregapplk, Все правильно. Из внутренней сети провайдера можно подключиться по внутреннему адресу (10.10.ХХХ.ХХХ), а из внешней сети необходимо указывать не ip-адрес, а DNS-имя, которое указано в личном кабинете на сайте noip.com. И уже к этому имени можно добавлять всяческие номера портов. А ip 176.121.237.22 - это адрес, через который провайдер выводит своих клиентов в интернет, т.е.к нему подключаться смысла нет - это адрес такого же роутера, только у провайдера. Настроить проброс портов на нем может сам провайдер, за дополнительную плату, разумеется. Чтобы не зависеть от прихотей своего поставщика Интернет мы и получаем DDNS.
Связался с провайдером, вчера , до сих пор не ответа ни привета, хотя обещали найти инженера и перезвонить, шаражкина контора, но увы других нет, покуда! ждемс!
(31) seregapplk, нужно:
1. Купит белый IP.
2. Организовать ВПН.
3. Подключиться со своего компа по ВПН в сеть конторы.
4. Подключиться к IP сервера. Сети сервера и дома должны быть в разных подсетях (дома 192,168,1,х/24, в конторе 192,168,2,х/24 например).
Тянуть RDP напрямую во внешнюю сеть для виндомашин равнозначно самоубийству апстену, ибо скан портов никто не отменял.
я изменю порты поставлю сложные имена пароли и фильтр подключения по мак адресу! надеюсь этого хватит
И vpn я что то сомневаюсь, в компе 1 сетевая плата, а по моему для интернета нужно отдельная (может и нет, я честно говоря не силен в поднятии vpn) но я понял одно что нужен белый IP по любому!
(34) starik-2005, Ну что Вы страху то нагоняете-то? Для обеспечения безопасности в роутере можно прописать, что подключение из инета возможно только с конкретного ip-адреса. Для подключения по RDP нужно использоваться нестандартный порт. Конечно, для регулярной работы из интернета лучше настроить VPN, но и RDP имеет место быть при некоторых предосторожностях.
RDP имеет место быть при некоторых предосторожностях.
тут проблема не только в безопасности как указывают выше, а в банальнейшем отказе в обслуживании со стороны сервера RDP у винды, который после очередного брутфорса откажется обслуживать в том числе и вас, несмотря на то что вы в белом списке. можно ЕМНИП в политиках изменить только время, в течение которого он будет терпеть такое безобразие.
(42) cool.vlad4, + еще проблема не только во взломе, в том что RDP (по крайней мере версии, которая на W2003) не рассчитан на работу таким образом и никоим образом не спасает от проблемы MITM, я ни разу в этом не спец, но подозреваю что каким-нибудь Wireshark или чем-нибудь подобным можно засниффить траффик со всеми вытекающими. из вики
Возможность использовать 128-битовое шифрование по алгоритмам RC4, AES или 3DES с проверкой целостности хешем MD5 или SHA1, по умолчанию не используется, значение безопасности RDP в Windows 2003 по умолчанию — RC2 (56 бит) c хешем MD5 с откатом на DES (40 бит). (Из-за слабого шифрования RC2 и DES при использовании настройки по умолчанию трафик может быть расшифрован по пути, см. тип уязвимости «man-in-the-middle vulnerability»);
не совсем по теме , но помнится тут как-то статью кто-то опубликовал про свою конфигурацию 1С , работающую чсерез интернет, и можно было демку посмотреть, достаточно быстро в пределах одного дня, доступ к базе смогли получить, и вроде бы даже доступ к самой машинке разработчика. это я про то что , не стоит пренебрегать простейшими правилами безопасности.
(37) starik-2005, Да, старый добрый троллинг, попытка набрать стартмани на болтовне?
На данный момент ТС и сам не может подключиться к своему серверу, что уж говорить о каких-то злоумышленниках...
Вот в детстве нам всем говорили, что надо мыть руки перед едой, чтобы не заразиться каким нибудь микробом. Но если нас захочет кто-то отравить, то, скорее всего, у него это получится.
Так же и с ситуацией с удаленным доступом. Если соблюдать определенные меры предосторожности, то случайная зараза в наш сервер не попадет, а если какой нибудь злодей озадачится нам нагадить, то даже VPN не спасет. Даже полное отсутствие связи с глобальной сетью не может быть гарантией от потери или утечки информации. Неужели Вам этого не говорили на уроках по информационной безопасности?
По теме помочь можете? Если нет, то проходите мимо...
(38) aserg, я по теме помог))) Что это Вас так заводит? Да и информационной безопасности в наши годы в школах не преподавали, да и информатику, собственно, тоже не особо, а вот программировать учили. Учили и учиться, что современному поколению, ИМХО, сильно недостает - все норовят на все вопросы ответы получить здесь и сейчас, лучше в виде видео, где показано, на какие кнопки жать. Информационная безопасность от этого, конечно, увеличивается )))
(40) starik-2005, Прошу извинить меня за резкий тон. Но тут человек задает конкретный вопрос, а мы начинаем учить его совсем другому. На счет VPN согласен, что это более предпочтительный вариант, особенно если организовывать работу двух удаленных офисов в одной сети. Если же нужно периодически (не постоянно, а иногда) подключаться, например, из дома к рабочему серверу, то достаточно настроить RDP с определенными мерами предосторожности. Это и нужно сейчас ТС и у него это не получается. Почему не получается - это мы здесь и выясняем. Возможно, что в настройках роутера необходимо поставить какую-нибудь галочку, возможно, провайдер, в целях безопасности, закрыл некоторые порты, возможно в настройках личного кабинета на сайте noip.com необходимо что-нибудь изменить.
(45) aserg, ну если топикастеру нужно было просто подключаться, то тимвьвер рулит. Но ему зачем-то нужен RDP, что и вызвало вопросы дополнительные и на них дополнительные ответы.
то достаточно настроить RDP с определенными мерами предосторожности
вам про эти меры предосторожности и рассказывают. вам говорят про VPN+RDP , а VPN нужен , потому что траффик , в том числе через RDP , будет шифрованным. с другой стороны пускай сначала напрямую подключится после того как IP получит белый. в качестве проверки. а потом уже можно усложнять.
(37) starik-2005, Вся почта и серфинг будут запрещены, только рабочая среда и удаленное подключение для административных функций, это не банк, да и машинка для дедиков слабовата!
(33) seregapplk, Можно настроить и DDNS, но он будет работать всегда только если будет платная подписка на услуги. А так: 50 на 50. Может работать, может нет. И если не работает, то не всегда понятно по чьей вине... Все таки белый ip - более надежная вещь.
(33) seregapplk, без белого ip было странно тему начинать. vpn если не можете сами поднять, то есть два совершеннейше простых способа, это купить (или быть может уже есть) роутер , у которого есть vpn, и у которого в веб панели это все просто настраивается, либо установить дистрибутив типа Zentyal, который аналогично уже из коробки позволяет только в веб панели кликами мыши донастроить. помимо vpn имеет смысл, также дать доступ через ssh с доступом на машину администратора. можно тогда и RDP через ssh пробросить как раз на тот всякий случай.
тимвивер не подходит, нужно, допустим, бухгалтеру получать отчеты, и иногда набивать накладные из офиса в другом городе, да и тим вивер будет мешать если там буде работать оператор!
Разговоры не пустые, я многое почерпнул, поднял VPN? но опять же, из сети провайдера работает, удаленно нет, буду терзать оператора по поводу белого IP! Всем спасибо за ответы
С такими проблемами сталкивались неоднократно.
Для начала всегда проверяли права пользователей.
Далее аналогично новым версиям Windows Server частой проблемой является параметр "разрешить подключения с проверкой на уровне сети".
Попробуйте сменить на машине порт RDP с 3389 на другой и проверить работу например через RDPWrap.
Отключите временно брандмауэр на сервере.
(49) whoze, RDPWrap немного не то, у меня windows server2003, клиенты из сети провайдера подключаются легко, по IP роутера, то есть перенаправление портов работает, нет внешнего подключения!
привет всем, короче, с белым IP мне ничего не светит, война, анархия полнейшая, три раза оставлял заявку провайдеру, три раза мне обещали связаться! Других провайдеров пока нет, если не считать укртелеком, но он через dsl, там мрак полный с скоростью!
Может через Хамачи как то замутить, или посоветуйте другие варианты. тимвивер работает отлично, но нужен именно Удаленный рабочий стол
(51) seregapplk, как вариант , сделать белый ip там где это можно, хоть дома и сделать там vpn . тогда подключить всех через этот vpn сервер (работу и удаленных пользователей), а рабочий стол открывать в рамках общей виртуальной сети. (надо чтобы vpn был настроен, чтобы позволял клиентам видеть других клиентов). минус данного подхода, очевиден. если на работе слетит коннект у клиента vpn , то удаленки не будет и надо будет как-то переподключать. (через teamviewer например)
Попробуй lan2lan.ru
Сам пользуюсь - бесплатно до трех пользователей в одной виртуальной подсети. Регистрация на email.
Есть еще RMS. Там бесплатно до 10 пользователей. Если использовать взломанный вьювер - ограничений нет.
Все вышеприведенное используется мной лично и проверено на практике. И там и там есть RDP.
А в RMS еще и можно ограничений кучу настроить - или только по RDP или польный доступ или... и т.п.
Выделенный сервер не нужен.
Рекомендую.