RDP через прокси со стороны сервера. Можно ли? #555252

товарищи айтишники, может быть, все просто, но я что-то не догоняю. первый комп подключен к инету через адсл в режиме бридж. на нем стоит бесплатный HandyCache и без проблем дает всем инет и почту. к нему подключен еще один комп с сервером терминалов на 2003. можно ли настроить первый комп, чтобы он через себя пропускал коннект на второй по рдп с внешки? радмин может, но использует промежуточный сервер. тимвьюер использует http. а рдп как сделать? раньше был другой модем, который позволял перенаправлять порты, он наверное, справился бы, но увы, сгорел. купили D-Link 2500, который глючит во всех режимах, кроме бридж (по заверениям самого провайдера, тупого как пробка), там ничего подобного нет, есть только указание статических маршрутов. в хэндикэше есть портмаппинг, но он может работать в обе стороны? итак, куда копать, в сторону модема, в сторону другой прокси или вообще переносить хэндикэш на сервер терминалов?

>на нем стоит бесплатный HandyCache /facepalm купи роутер и сделай PortForward

нельзя. этот модем единственный, который разрешает провайдер. реально другие глючат. я уже с ними ругался как мог, но они отказывают в техподдержке, если модем не этот. жду, пока другого провайдеа протянут, но работать как-то надо. и денег минимум.

какой бы ты рекомендовал? надо больше 8 портов.

1-ый вариант: купи роутер и подключи к модему от провайдера (он же в режиме бридж). И техподдержка и инет будет. 2-ой вариант: в машинку с проксей поставь вторую сетевуху и уже от нее на остальные машины - тогда роутером будет сам компьютер с проксей. Тут уже делай что хочешь: и проброс портов, и ВПН-сервер, и почтовик/веб и тп порты наращиваются любым свитчем

нафига роутер с 8-ю портами? 4 за глаза. на крайний случай все верно описал. p.s. что за "провайдер" такой с которым все модемы "глючат"? может просто найти знающего человека который знает "нужное кунг-фу" и настроит роутер правильно?

Д-линки - дешевки, которые часто под нагрузкой зависают. Подозреваю что ТС вовсю торентами балуется - а они роутер нагружат прилично - вот Д-линк и работает нормально только в режиме моста

Модем перепрошить крайней прошивкой, настроить роутером и не трахать мозги честным людям. Провайдеру можно. После чего настроить VPN как нормальные люди делают. Проверять при помощи . Правда, для этого нужен белый IP. Снаружи должен быть открыт только порт 1723. Он же пробрасывается на сервер 2003. У меня D-Link DSL-500T. Перепрошивал, молотит роутером круглые сутки. Не помню когда перезагружал.

Да, для нормального доступа в сеть снаружи в любом случае белый IP нужен будет. Или программы типа TW будут использовать свои сервера для двустороннего коннекта.

да, вы правы нет, торрентов нет, маленький фтп сервер. нагрузка небольшая, но скоро увеличится. айпи белый ессно, впн еще ни разу не настраивал, не доводилось просто. в режиме бридж от прошивки толку мало. сам провайдер в виде девочки на ресепшене требует именно такое соединение, но, я однако, по-своему перетр...настрою.

сетку перетягивать не буду, но получается, лучший вариант - модем(бридж) - роутер 4порта - в одном из свитч.

как по мне - так лучше из тачки с проксей сервак сделать

Раз IP есть, самый верный способ - использовать встроенные средства, и не использовать левые, типа TV или RAdmin. Проброс портов (NAT) и Firewall есть во всех самых захудалых DSL модемах. Сетку перетягивать не надо. Как я сделал у себя. Сервер 2003 подключен к сети одной сетевой платой. Внутренний ИП статический. На него проброс 1723 порта с модема. Поднимаем RRAS (инструкций в инете полно), настраиваем VPN подключение на любом компе снаружи. После чего входим в сеть и запускаем вожделенный терминал.

да я тут такой человек )) самые умные люди нашего города приходят и говорят, надо линуховый сервер ставить, платите тыщ 20 и абонентка тыщ 5. мне этого добра еще не хватало. старый модем хорошо работал. но провайдер объединился с другим провайдером и инет начал страшно глючить, вылетать, зависать, месяц с ними перепирались, пока они не поставили этот модем в режиме бриджа, пока все работает, ломать не охота. почему я и хотел хэндикэшем настроить. фактически так оно сейчас и есть. он коннектится и инет всем раздает. а вот рдп пока еще нет...

Лучший вариант как я описал. Этого достаточно. Любой DSL модем в режиме роутера умеет работать как FireWall. В режиме бриджа это открытая дырка снаружи в вашу сеть.

если в компе с хендикешем 2 сетевухи (одна в модем, другая в локалку) то проброс портов легко настраивается. Для Вин-серверов через RRAS см, для юзерских через "общий доступ к интернету". А еще лучше на этой машине ВПН подними и не парься

"На него проброс 1723 порта с модема." дак мне вот это и надо. но там нет этого. вот скрин. что там пробрасывать?

одна... однако, в сторону впн надо смотреть...

WinXP в качестве сервера не тру. :) Тем более, что 2003 уже есть.

Должон быть. Сейчас 2500 достану, поковыряюсь.

там тоже 2003. у меня два сервака.

Тогда убей HandyCache. Все своими силами делается.

так в чем вообще вопрос? поставь вторую сетевую (деньги смешные) и вперед. Хенди можно и не убивать - она ж еще и кеширует

просто тупо общий доступ всем сделать? а как искать софт, который лезет не туда куда надо? в хэнди кэше (да и в любой другой проксе) удобно мониторить и логи ведутся. в стандартном я этого не знаю где искать

окей, завтра попробую. просто не могу себе представить, устал очень. модем(адсл) => сервак 2003 с хэндикэшем и второй сетевухой => терминальный сервак 2003 а где проброс порта снаружи? где указать, что 123.45.67.89 должен по порту 1723 на 192.168.1.100 коннектиться?

В Win 2003 это называется "Маршрутизация и удаленный доступ". Там все есть. Наверное. Уже ищу.

вот с 192.168.1.100 наружу коннектиться через прокси, все понятно. а наоборот?

посмотри что у тебя в разделе Advanced Option - LAN

А... у тебя бридж поднят зачем что, сделай чтобы модем инет раздавал

"Маршрутизация и удаленный доступ - IP маршрутизация - NAT/Простой брендмауер - на внешнем интерфейсе ПКМ - закладка "Службы и порты". А лучше там же ВПН сделай и не нужно будет никаких пробросов.

да що ви говорите? D-link овно? может ви таки не умеете его готовить? у меня dir-320 уже 1.5 года пашет как папа карло в режиме 24/7. и торренты качает и раздает. и не виснет и не греется. может я что-то не так делаю? ну линуховый сервер - это скажем излише....мягко говоря. начнем с простого - сколько хомячков в сетке? и сколько из них пользуют интернеты?

ой славик че-т я очкую эту хрень поднимать.. сторонние прокси как-то привычнее.. одно время на юзергейте сидел, но он выше 2.8 версии стабильным ни разу не был. а мне и соксы нужны и хтппс. а 2.8 на это не способен. Local Area Network (LAN) Setup Configure the DSL Router IP Address and Subnet Mask for LAN interface.  Save button only saves the LAN configuration data.  Save/Reboot button saves the LAN configuration data and reboots the router to make the new configuration effective. IP: Mask: Enable IGMP Snooping Disable Enable

"но он выше 2.8 версии стабильным ни разу не был" - пи#дежь

ну дир 320 я умею настраивать, на нем у меня все летает и порты пробрасываются. хотя 1 модель из четырех страшно глючит. слава аллаху, продавец их меняет без проволочек. хомячков - 9. инет нужен всем. на одном из них фтп и апач. они работают тьфутьфутьфу пока что. 4 из них коннектятся к одному серваку, остальные к другому (разные фирмы, заводить на один сервак низя).

работает пару месяцев и инет колом встает, не помогает даже чистка. а какая у него уродская админка, е-мое. обязательно картинки надо в иксплорере включать. а версии 5.0-5.2 вообще виснут даже на установке. плюнул и ушел в халяву.

Я бы очковал на сервер TeamViewer ставить. И не поставил, собственно. Поэтому и VPN поднимал, чтобы всякими левыми прогами не пользоваться. Короче, в режиме роутера с включенным NAT в Advanced Setup появляется раздел NAT. Также там есть пункт DMZ Host. Поковыряйся. Как я уже сказал, настройка портов проверяется

+ Крайнюю прошивку с DLink.com скачать обязательно.

ерунду какую то пишешь. у меня отработал 3 года на 30 пользователях 24/7 и проброс портов там беспроблемный Админка там вообще отдельным клиентом сделана, при чем тут IE

ну хорошо. а что в ТВ и РА такого? мне пока еще ни один человек не объяснил, чем это опасно. как пароль мне могут сломать? перебором? да я знаю этот сайт. короче, в режиме роутера мне нельзя.

ну если нужно решение бюджетное и своими силами, то роутер в режим бриджа (в этом режиме кстате не нужно пробрасывать порт) и сделать PPPoE(или PPTP) соединение общедоступным (служба брэндмауэра windows должна быть запущена иначе не взлетит).

а настройки с ие общие. отключаешь в ие картинки, и админка превращается... превращается админка.. ну может, это на той версии было, когда я бросил его. достал он меня. за ним постоянно следить надо и юзеры жалуются. поставил хэнди кэш и забыл. разве только списки при установке все надо отключить - дело пары секунд.

а для чего тебе удаленка нужна?

а нахрена вообще это хэнди кэш ставил, а не стандартными средствами WinXP воспользовался?

"У меня D-Link DSL-500T. Перепрошивал, молотит роутером круглые сутки. Не помню когда перезагружал." Аналогично. Года 4 уже. Причем, торренты ему нипочем.. и ip-tv по другому виртуальному каналу параллельно гоняет.

да с инетом все в поряде ) мне на вход рдп надо перекинуть на определенный адрес... общедоступное подключение этого ведь не даст, так?

как для чего? физически я доступ на серваки закрыть не могу. если уронят сервер терминалов, так хоть я через радмин его поднять смогу. ТВ у меня кстати на серваке нет, только на самом дальнем компе. РА есть везде. удобный блин..

Любая левая прога, постоянно работающая на твоем компе потенциально опасна. Как минимум тем, что сейчас работает, а завтра они сервер отключили и все. Или отладили наконец и прикрыли бесплатный доступ. Ну а то, что может перехватить ввод любых паролей и отправить куда угодно, ежу понятно. Особенно, если она как раз сидит на раздаче интернета.

ТВ там мне нужен только для одной цели. поймать новый айпишник, если он поменяется. а это раз в месяц случается. а в основном юзаю РА.

Кстати, есть бесплатная альтернатива РА с открытым кодом. Называется VNC.

ну не знаю, может для постоянной работы удаленный доступ нужен - тут ни ТВ ни РА не катят

не сильно уверен, но может быть брэндмауэр windows умеет это. если нет, то нужно думать о проге которая так может (из тех с кем работал на ум приходи Kerio WinRoute, но она денег стоит, хотя удобная зараза)

волков бояться в лес не ходить. надо как-то трезво оценивать шансы вероятности взлома сервера кем-нибудь (да кому нах это нужно???) с усилиями, затраченными на обеспечение безопасности. ну если по договору я там должен сидеть не больше 10 часов в месяц, и все это почти уходит на 1Ску, что я еще могу там настроить за их копейки? могу только по-быстрому настроить, то что хорошо знаю и умею. был бы фикси, наворотил бы там делов с безопасностью и все такое.

По умолчанию используется порт TCP 3389

а в чем проблема модем в режим роутера перевести?

Судя по вашей логике опасно все! начиная от загрузчика ОС и включая блокнот, а 1С - это вообще сплошь "радиоактивная зона". вы работаете на счетах? и прямо с них пишете в форум?

не смог даже установить. а юзеры ее тем более поставить не смогут. а для ТВ достаточно юзеру послать смс с адресом сайта и сказать чтобы он три раза интер нажал и протиктовал 11 цифр. все дело в простоте и удобстве. главное - скорость. а с внц он не разберется.

Да. Если бы мог, я бы всех на Linux перевел. Но пока кишка тонка. Но на сервере у меня нет ни Skype, ни TV, ни RA, ни даже аськи с MRA. На сервере SQL и 1С вообще ничего, кроме терминала для админа.

+ 500. я уже написал скриптик, который отсылает мне письмо на электронку при попытке установки любой проги в систему. этот вариант реагирования намного эффективнее (сразу с размаху по рукам и главное в режиме онлайн и не отвертится), чем полгода настраивать до уровня *все на автомате безопасно запрещено*, а потом логи изучать неделями...

а у меня юзеры даже в опере сидят в терминале. главное антивирь хороший поставить (кис, например). и сказать, что когда выскакивает сообщение - доверяете ли вы этой программе - срочно звонить мне. самый эффективный способ пока что.

Linux тоже опасен. алсо на сервере таки не должно быть "ни Skype, ни TV, ни RA, ни даже аськи с MRA" за их наличие нужно отрубать руки по колено и ссылать в поселок Большие Пуки администрировать местное отделение Почты России

ну ведь ни одно опасное действие на компе без воли на то юзера не произойдет по причине недостаточности уровня безопасности. а ведь у нас есть провайдер, с которого атаки на комп идут страшные, и ниче, живем, как-то. скайп на сервере - это по меньшей мере глупо. а РА почему там не должно быть? как через РА взломать сервер? я что, пароль 12345678 поставлю? пока что все три сайта которые выскакивают в яндексе по поводу взлома компа через РА предлагают тупой причем ВРУЧНУЮ перебор частых паролей. а кривыми пакетами винду уронить проще простого и без РА, ТВ и МРА

Иллюстрация к : На днях настраиваю модем у клиентов. Захожу на 192.168.1.1, вижу только IP-TV. Удивляюсь, добавляю соединение роутером, все дела настраиваю. Модем перезагружается. Смотрю снова: бридж. Удивляюсь. Настраиваю еще раз, перезагружаю, работает. На следующий день звонят - не работает. После нескольких часов танцев с бубном и общением с техподдержкой провайдера, выясняется, что первый раз я настроил какой-то ДРУГОЙ модем, и теперь он подключается в инет вместо нас. Сменили пароль, на следующий день перепрошил модем (предварительно отключив от линии), настроил роутером и все в шоколаде.

инет начинает валиться несколько раз в день раз, сбрасывваются сами по себе пароли админа на модеме - два (вотафак??), провайдер отказывает в техподдержке (не было ни единовго РАЗРЫВААААААА) - три

Для этого существуют политики. Небось все юзеры на клиентских компах с правами админа сидят? "Лучше день потерять, потом за пять минут долететь". Когда мне приходится повторять одни и те же действия, я начинаю задумываться, как это дело автоматизировать. Но это уже философия. Поэтому я и талдычу про крайнюю прошивку. Еще и еще раз. Решает она такие проблемы, вот чесслово, решает. А еще надо закрыть возможность входа на модем из WAN. А еще пароль на модеме поставить зубодробительный, а не admin - admin.

Да, еще у меня адрес DNS прописан не модем, а DNS провайдера. После этого тьфу-тьфу - "не помню когда перезагружал".

RA на сервере - это ПОТЕНЦИАЛЬНАЯ дыра в безопасности.

на серваке они пользователи, ессно. у себя, админы, скорее всего. я на их компы даже не заглядываю, только когда траблы появляются, или на мониторе прокси что-то подозрительное вылазит. день на что тратить? мне б настроить, чтоб хотя бы заработало. за настройку я ответственности не несу. мне нужен только инет и доступ к 1С. прошивку тоже ставлю всегда последнюю. только эти уроды почему-то иногда забывают, для чего номер версии нужен. вон, на 320-й уже пятая подряд прошивка выходит, с одним и тем же номером версии 1.21. а сам модем радостно заявляет - у вас последняя!! через ван доступ на модем закрыт, есснсо. коннекчусь на него через сервак по РА. пароль сложный, буквы-цифры-символы-длинный, но слово админ низя менять, это, конечно, жаль. что я еще забыл? вот ты тоже так говоришь. а в чем она заключается? и что взамен тогда? ну надо мне админить сервак, а рдп новый сеанс открывает, а не тот, который на консоли...

хорошо бы он еще был бы..

в том то и дело, что потенциальная. винда - одна сплошная дыра в безопасности. во-вторых, у меня по статистике серваки со столов чаще падают, чем от взлома хакеров.

все то же но по VPN со своими ключами и сертификатами

ладно, спасибо всем за внимание, у меня уже пол-третьего ночи, спать охота, и все-таки, вы подтвердили то, что я подозревал, завтра меня ждет чудный денек с перенастройкой модема. а на вечные вопросы моего бытия ответов я так и не получил, наверное, это и к лучшему ;) завтра продолжу, если будет актуально, пока!

п.с. на впн пусть админа ищут себе или платят мне реальные бабки, у меня по 1С по горло работы... я не жадный, просто время - деньги....

ну коли ты не админ - зачем тебе геморрой из ? непонимат.

В самом деле, работа должна соответствовать оплате. Но с другой стороны, повышая свою квалификацию, осваивая новые знания, становишься крутым спецом. Для админа знание всяких серверных приблуд типа VPN, RRAS, AD - большущий плюс. В том числе и к зарплате. В любом случае - удачи.

а больше некому все это дело делать. у нас в городишке спецы считают верхом совершенства ставить зверька и сваливать, даже не подключив принтер. а уж чтоб данные перенести со старой системы, так это уж вообще высший пилотаж. а знающие спецы не по карману мелким конторкам, вот и приходится крутиться. однако, мне все эти знания нужны, естественно, я с удовольствием все изучаю, не люблю только это делать в авральных полевых условиях. я и с впн работал, но сам с нуля не поднимал, и ад настраивал, и политики все перетряхивал, однако мне 1Ска интереснее, какое-никакое а программирование все-таки..

+ эта ссылка получше будет. предыдущая была версия для печати.

это я давно знаю. мне в обратную сторону надо. но уже проблема в другом. я все перенастроил, теперь не могу понять. сервер не пингуется с интернета и РДП его не видит, а РА видит. подключил через бридж

так сделай в обратную сторону. перенаправление портов для того и предназначено. тебе надо смапить порт 3389 с компа 1 на порт 3389 на комп 2. можешь для безопасности сделать перенаправление например с порта 33890 на 3389, тогда из внешки РДП будет доступно по порту 33890.

да все работает. перепутал IGMP с ICMP. теперь надо безопасность настраивать. один прикол. если подключиться к консольному юзеру по рдп и после этого лучайно завершить сеанс, вырубается инет, ессно, и сервак становится недоступным ;)