Здравствуйте. Мне необходимо провести удаленый доступ к терминалу через Интернет(ADSL) из одной удаленой на большое растояние сети в другую. У обоих сетей одинаковая структура. За подключение к интернет отвечает DSL-2500U в режиме роутера, он через ethernet подключен к компьютеру(в дальнейшем шлюз), который раздает интернет для оставшихся в сети машин.Как на роутере, так и на компьютере применена технология NAT. У сети в которой находится терминал статический IP адрес, у второй сети динамический. В сети с терминалом я произвел такие настройки - на роутере пробросил порт 3389 на IP адрес шлюза 192.168.1.2, на шлюзе сделал проброс 3389 на компьютер-терминал(192.168.0.11). Так как филиалы достаточно отдалены друг от друга работоспособность терминала из интернет проверял с помощью соединения мегафон-модем с ноутбука, ноутбук к локальной сети не подключен. Все отлично заработало. Но как настраивать два NAT во второй сети, чтобы они пропускали исходящие соединения клиентов к удаленому терминалу я не знаю. Хотел сделать проброс 3389 со шлюза на роутер, а с роутера на статический ip первой сети, но при попытке это сделать на роутере выдало сообщение, что возможно использовать только локальные адреса(192.168.1.2 - 192.168.1.254). Как мне можно настроить два нат второй(клиентской) сети.
http://imglink.ru/show-image.php?id=2439f7627eed8d83d02f4166541e75e1 1, 2 - шлюзы win2003 - NAT 3, 4 - ADSL Router, NAT 5 - сервер терминалов 6, 7 - клиенты терминалов Так вот клиенты(6,7) должны подключаться к серверу терминалов(5). Проброс порта 3389 внутрь сети с терминалом на шлюзе и роутере(2, 4) сделан. Вопрос как настроить шлюз и роутер клиентской сети, чтобы клиентские машины(6, 7) могли подключаться к терминалу в другой сети. Я думаю над таким вариантом, на клиенте прописать свой шлюз(1), со шлюза сделать проброс 3389 на роутер(3). Но вот как настроить этот роутер на проброс этих пакетов на интерфейс роутера другой сети. У роутера сети с терминалом статический адрес.
Согласен, что ничего делать не надо, но поскольку это секюрити форум дам несколько советов. Порт 3389 так-же как 22 постоянно сканируется и брутфорсится. И это не целенаправленная атака, а скан целых сетей на открытые порты по которым можно легко получить доступ к сети. Поскольку в твоём случае речь идёт о работающем персонале, который чаще всего использует лёгкие и одинаковые ко всему на свете пароли, смею предположить, что брутфорс очень быстро увенчается успехом. Поэтому не советую открывать этот порт, а форвардить траффик на одном из роутеров с любого другого порта на 3389 и коннектиться к примеру так: rdp://123.123.123.123:45512 Если форвардить не удаётся, слушающий rdp порт можно поменять в регистре терминала. Как вариант можно использовать rdp через ssh. CopSSH для сервера и Bitvise Tunnelier для клиента. Все порты в них так-же можно изменить и оби проги бесплатные. http://www.itefix.no/i2/copssh http://www.bitvise.com/tunnelier
