Настройка удаленого терминала через интернет

Discussion in 'Windows' started by Andrey4453, 15 Dec 2009.

  1. Andrey4453

    Andrey4453 New Member

    Joined:
    9 Jun 2009
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Здравствуйте. Мне необходимо провести удаленый доступ к терминалу через Интернет(ADSL) из одной удаленой на большое растояние сети в другую. У обоих сетей

    одинаковая структура. За подключение к интернет отвечает DSL-2500U в режиме роутера, он через ethernet подключен к компьютеру(в дальнейшем шлюз), который раздает интернет для оставшихся в сети машин.Как на роутере, так и на компьютере применена технология NAT. У сети в которой находится терминал статический IP адрес, у второй сети динамический. В сети с терминалом я произвел такие настройки - на роутере пробросил порт 3389 на IP адрес шлюза 192.168.1.2, на шлюзе сделал проброс 3389 на компьютер-терминал(192.168.0.11). Так как филиалы достаточно отдалены друг от друга работоспособность терминала из интернет проверял с помощью соединения мегафон-модем с ноутбука, ноутбук к локальной сети не подключен. Все отлично заработало. Но как настраивать два NAT во второй сети, чтобы они пропускали исходящие соединения клиентов к удаленому терминалу я не знаю. Хотел сделать проброс 3389 со шлюза на роутер, а с роутера на статический ip первой сети, но при попытке это сделать на роутере выдало сообщение, что возможно использовать только локальные адреса(192.168.1.2 - 192.168.1.254). Как мне можно настроить два нат второй(клиентской) сети.
     
  2. SpangeBoB

    SpangeBoB Elder - Старейшина

    Joined:
    12 Jul 2008
    Messages:
    1,680
    Likes Received:
    393
    Reputations:
    102
    Схему сети привести,а то тут ничего не понятно.
     
  3. Andrey4453

    Andrey4453 New Member

    Joined:
    9 Jun 2009
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    http://imglink.ru/show-image.php?id=2439f7627eed8d83d02f4166541e75e1

    1, 2 - шлюзы win2003 - NAT
    3, 4 - ADSL Router, NAT
    5 - сервер терминалов
    6, 7 - клиенты терминалов

    Так вот клиенты(6,7) должны подключаться к серверу терминалов(5). Проброс порта 3389 внутрь сети с терминалом на шлюзе и роутере(2, 4) сделан. Вопрос как настроить шлюз и роутер клиентской сети, чтобы клиентские машины(6, 7) могли подключаться к терминалу в другой сети. Я думаю над таким вариантом, на клиенте прописать свой шлюз(1), со шлюза сделать проброс 3389 на роутер(3). Но вот как настроить этот роутер на проброс этих пакетов на интерфейс роутера другой сети. У роутера сети с терминалом статический адрес.
     
    #3 Andrey4453, 16 Dec 2009
    Last edited: 16 Dec 2009
  4. SpangeBoB

    SpangeBoB Elder - Старейшина

    Joined:
    12 Jul 2008
    Messages:
    1,680
    Likes Received:
    393
    Reputations:
    102
    На 1,3 ничего делать не надо,только если не заблокирован порт .
     
  5. Azazel

    Azazel Заведующий всем

    Joined:
    17 Apr 2005
    Messages:
    918
    Likes Received:
    213
    Reputations:
    154
    Согласен, что ничего делать не надо, но поскольку это секюрити форум дам несколько советов.
    Порт 3389 так-же как 22 постоянно сканируется и брутфорсится. И это не целенаправленная атака, а скан целых сетей на открытые порты по которым можно легко получить доступ к сети.
    Поскольку в твоём случае речь идёт о работающем персонале, который чаще всего использует лёгкие и одинаковые ко всему на свете пароли, смею предположить, что брутфорс очень быстро увенчается успехом.

    Поэтому не советую открывать этот порт, а форвардить траффик на одном из роутеров с любого другого порта на 3389 и коннектиться к примеру так: rdp://123.123.123.123:45512
    Если форвардить не удаётся, слушающий rdp порт можно поменять в регистре терминала.

    Как вариант можно использовать rdp через ssh.
    CopSSH для сервера и Bitvise Tunnelier для клиента.
    Все порты в них так-же можно изменить и оби проги бесплатные.
    http://www.itefix.no/i2/copssh
    http://www.bitvise.com/tunnelier