Terminal Server

FernandoFaria

Boa tarde pessoal,

Li vários posts aqui no fórum, mas eu AINDA não consegui fazer funcionar o TS aqui na empresa acessando de fora.
Tenho a seguinte estrutura:

Wan1 - TIM (Principal) - 192.168.2.1
Wan2 - NET (Secundario) - 192.168.1.1
Load Balance - 192.168.3.1
pfSense: 192.168.3.2 (Versão 2.3.2)
Servidor Interno (AD): 192.168.0.2 - Windows Server 2008 R2

Além dessa estrutura, tenho um ddns configurado e já confirmei que está funcionando, porque estando fora da empresa eu consigo pingar o dominio e o ip que ele retorna é o meu ip de conexão.

O que eu preciso é acessar, via mstsc, o meu servidor (192.168.0.2) para que alguns usuários possam usar o nosso sistema ERP remotamente.

Alguém poderia me ajudar?

Obrigado
Fernando

reinaldo.feitosa

Qual o tipo de conexão da Wan1 e Wan2? PPOe ou Roteador?

Pelo que entendi é um roteador e depois ainda tem mais um load balance roteando para o pfsense. O que precisa fazer é um DMZ do Roteador da TIM e da NET para seu load Balance e do load Balance para seu PFSense para que os pacotes chegam até o pfsense para que vc consiga configurar o seu NAT no pfsense

FernandoFaria

@Reinaldo:

Qual o tipo de conexão da Wan1 e Wan2? PPOe ou Roteador?

Pelo que entendi é um roteador e depois ainda tem mais um load balance roteando para o pfsense. O que precisa fazer é um DMZ do Roteador da TIM e da NET para seu load Balance e do load Balance para seu PFSense para que os pacotes chegam até o pfsense para que vc consiga configurar o seu NAT no pfsense

Reinaldo,

Embora eu tenha 2 links externos (TIM e NET) conectados em um load balance, eu não estou usando este recurso.
O 2o link (NET) só "entra" quando o 1o (TIM) cai, então à principio seria:

Link TIM (roteador) –> Load Balance --> pfSense --> Servidor TS (AD)

Sendo assim eu ainda preciso fazer algo no roteador TIM e no Load Balance antes de configurar o pfSense?

Obrigado
Fernando

reinaldo.feitosa

@FernandoFaria:

@Reinaldo:

Qual o tipo de conexão da Wan1 e Wan2? PPOe ou Roteador?

Pelo que entendi é um roteador e depois ainda tem mais um load balance roteando para o pfsense. O que precisa fazer é um DMZ do Roteador da TIM e da NET para seu load Balance e do load Balance para seu PFSense para que os pacotes chegam até o pfsense para que vc consiga configurar o seu NAT no pfsense

Reinaldo,

Embora eu tenha 2 links externos (TIM e NET) conectados em um load balance, eu não estou usando este recurso.
O 2o link (NET) só "entra" quando o 1o (TIM) cai, então à principio seria:

Link TIM (roteador) –> Load Balance --> pfSense --> Servidor TS (AD)

Sendo assim eu ainda preciso fazer algo no roteador TIM e no Load Balance antes de configurar o pfSense?

Obrigado
Fernando

Sim, pois tanto seu roteador como o load balance estão fazendo NAT o correto é fazer um DMZ para o próximo nat até chegar no pfSense.
DMZ do roteador da NET para o Load Balance e DMZ do Load Balance para o pfsense e NAT do pfsense para seu servidor TS

FernandoFaria

@Reinaldo:

@FernandoFaria:

@Reinaldo:

Qual o tipo de conexão da Wan1 e Wan2? PPOe ou Roteador?

Pelo que entendi é um roteador e depois ainda tem mais um load balance roteando para o pfsense. O que precisa fazer é um DMZ do Roteador da TIM e da NET para seu load Balance e do load Balance para seu PFSense para que os pacotes chegam até o pfsense para que vc consiga configurar o seu NAT no pfsense

Reinaldo,

Embora eu tenha 2 links externos (TIM e NET) conectados em um load balance, eu não estou usando este recurso.
O 2o link (NET) só "entra" quando o 1o (TIM) cai, então à principio seria:

Link TIM (roteador) –> Load Balance --> pfSense --> Servidor TS (AD)

Sendo assim eu ainda preciso fazer algo no roteador TIM e no Load Balance antes de configurar o pfSense?

Obrigado
Fernando

Sim, pois tanto seu roteador como o load balance estão fazendo NAT o correto é fazer um DMZ para o próximo nat até chegar no pfSense.
DMZ do roteador da NET para o Load Balance e DMZ do Load Balance para o pfsense e NAT do pfsense para seu servidor TS

Reinaldo,

Sem querer abusar da sua paciência e ajuda, você poderia me explicar como exatamente eu deveria fazer essa DMZ?
Eu nunca fiz uma DMZ e fico meio perdido neste assunto. Sem contar que depois de fazer a DMZ você cita que eu devo fazer o NAT no pfSense.

Como eu disse no meu primeiro post, vi vários tópicos aqui no fórum, mas confesso que fiquei bem perdido porque a maioria dos exemplos que vi são de versões antigas do pfSense e algumas opções eu não achei na versão que eu uso.

Se preferir, quiser e puder, podemos conversar por skype.

Abraço
Fernando

RogersCrazy

Olá.

Se o acesso é para os funcionários da empresa acessar um terminal Windows via RDP para acessar o ERP da empresa, não seria mais prático fazer esse acesso por VPN?

Bomsao

Boa noite Fernando.

A estrutura que voce tem é bem mais simples do que voce imagina, tenho uma igualzinha a sua.

A principio voce deveria considerar que a expressão correta para o que voce quer seria fail-over e não load-balance.

Estou imaginando que seus modens não permita coloca-los em bridge, o que tecnicamente voce está tendo ciclos de roteamento. Então o que realmente voce deveria fazer é habilitar o DMZ nos aparelhos(modens) informando o IP da interface do pfsense.

Não entendi a rede 192.168.3.0, acredito que seja /24

Eu não sei como está sua estrutura de rede interna 192.168.0.0, acreditando que seja /24, mas eu usaria outra subrede. se voce for perceber essa rede tmbm é /16.

Quem está no meio dos seus modens e do pfsense ?

Sei que não respondi a sua duvida de como resolver o acesso as sua rede por mstsc, mas se voce entender a sua estrutura, acredito que não ira ter problemas mas para fazer direciomento de porta no futuro.

FernandoFaria

@bomsao:

Boa noite Fernando.

A estrutura que voce tem é bem mais simples do que voce imagina, tenho uma igualzinha a sua.

A principio voce deveria considerar que a expressão correta para o que voce quer seria fail-over e não load-balance.

Estou imaginando que seus modens não permita coloca-los em bridge, o que tecnicamente voce está tendo ciclos de roteamento. Então o que realmente voce deveria fazer é habilitar o DMZ nos aparelhos(modens) informando o IP da interface do pfsense.

Não entendi a rede 192.168.3.0, acredito que seja /24

Eu não sei como está sua estrutura de rede interna 192.168.0.0, acreditando que seja /24, mas eu usaria outra subrede. se voce for perceber essa rede tmbm é /16.

Quem está no meio dos seus modens e do pfsense ?

Sei que não respondi a sua duvida de como resolver o acesso as sua rede por mstsc, mas se voce entender a sua estrutura, acredito que não ira ter problemas mas para fazer direciomento de porta no futuro.

Olá bomsao,

Sim, é dessa forma que estou usando aqui, com fail-over ao invés de load-balance entre os 2 links externos.
A rede 192.168.3.0 está justamente no roteador tp-link que recebe os dois links de internet e manda pro pfsense, ou seja:
Modem TIM: 192.168.2.1
Modem NET:192.168.1.1
Roteador TP-Link: 192.168.3.1 –> Este recebe os 2 links de internet e envia pro pfsense
pfSense: 192.168.3.2 (ip fixo, vindo do TP-link) e 192.168.0.150 (IP fixo, vindo do dhcp)
Servidor TS: 192.168.0.2
Rede interna: 192.168.0.0/16

FernandoFaria

@RogersCrazy:

Olá.

Se o acesso é para os funcionários da empresa acessar um terminal Windows via RDP para acessar o ERP da empresa, não seria mais prático fazer esse acesso por VPN?

Olá RogersCrazy,

Até acredito que sim, mas da mesma forma que o acesso RDP, não sei como fazer uma VPN pelo pfSense (risos)

reinaldo.feitosa

@FernandoFaria:

@Reinaldo:

@FernandoFaria:

@Reinaldo:

Qual o tipo de conexão da Wan1 e Wan2? PPOe ou Roteador?

Pelo que entendi é um roteador e depois ainda tem mais um load balance roteando para o pfsense. O que precisa fazer é um DMZ do Roteador da TIM e da NET para seu load Balance e do load Balance para seu PFSense para que os pacotes chegam até o pfsense para que vc consiga configurar o seu NAT no pfsense

Reinaldo,

Embora eu tenha 2 links externos (TIM e NET) conectados em um load balance, eu não estou usando este recurso.
O 2o link (NET) só "entra" quando o 1o (TIM) cai, então à principio seria:

Link TIM (roteador) –> Load Balance --> pfSense --> Servidor TS (AD)

Sendo assim eu ainda preciso fazer algo no roteador TIM e no Load Balance antes de configurar o pfSense?

Obrigado
Fernando

Sim, pois tanto seu roteador como o load balance estão fazendo NAT o correto é fazer um DMZ para o próximo nat até chegar no pfSense.
DMZ do roteador da NET para o Load Balance e DMZ do Load Balance para o pfsense e NAT do pfsense para seu servidor TS

Reinaldo,

Sem querer abusar da sua paciência e ajuda, você poderia me explicar como exatamente eu deveria fazer essa DMZ?
Eu nunca fiz uma DMZ e fico meio perdido neste assunto. Sem contar que depois de fazer a DMZ você cita que eu devo fazer o NAT no pfSense.

Como eu disse no meu primeiro post, vi vários tópicos aqui no fórum, mas confesso que fiquei bem perdido porque a maioria dos exemplos que vi são de versões antigas do pfSense e algumas opções eu não achei na versão que eu uso.

Se preferir, quiser e puder, podemos conversar por skype.

Abraço
Fernando

Fernando, você tem acesso as configurações dos modens? Procura nele em Firewall ou NAT pela função DMZ. No seu roteador TP-Link também vai ter esta opção, inclusive na sua estrutura vc pode eliminar este TP-Link e fazer o Failover ou load balance direto no pfSense.

A configuração correta seria os modens em Bridge e fazer o Load Balance ou Failover. Neste caso era só configurar o NAT para o TS.

Estou respondendo aqui, pois pode ajudar outras pessoas com as mesmas dúvidas.

Bomsao

@FernandoFaria:

@bomsao:

Boa noite Fernando.

A estrutura que voce tem é bem mais simples do que voce imagina, tenho uma igualzinha a sua.

A principio voce deveria considerar que a expressão correta para o que voce quer seria fail-over e não load-balance.

Estou imaginando que seus modens não permita coloca-los em bridge, o que tecnicamente voce está tendo ciclos de roteamento. Então o que realmente voce deveria fazer é habilitar o DMZ nos aparelhos(modens) informando o IP da interface do pfsense.

Não entendi a rede 192.168.3.0, acredito que seja /24

Eu não sei como está sua estrutura de rede interna 192.168.0.0, acreditando que seja /24, mas eu usaria outra subrede. se voce for perceber essa rede tmbm é /16.

Quem está no meio dos seus modens e do pfsense ?

Sei que não respondi a sua duvida de como resolver o acesso as sua rede por mstsc, mas se voce entender a sua estrutura, acredito que não ira ter problemas mas para fazer direciomento de porta no futuro.

Olá bomsao,

Sim, é dessa forma que estou usando aqui, com fail-over ao invés de load-balance entre os 2 links externos.
A rede 192.168.3.0 está justamente no roteador tp-link que recebe os dois links de internet e manda pro pfsense, ou seja:
Modem TIM: 192.168.2.1
Modem NET:192.168.1.1
Roteador TP-Link: 192.168.3.1 –> Este recebe os 2 links de internet e envia pro pfsense
pfSense: 192.168.3.2 (ip fixo, vindo do TP-link) e 192.168.0.150 (IP fixo, vindo do dhcp)
Servidor TS: 192.168.0.2
Rede interna: 192.168.0.0/16

Brother, elimina esse TPlink e coloca uma interface no seu pfsense. Ele é um router tplink ou um router wifi tplink? Não me recordo da tplink vender roteadores, isso está muito estranho.

Se voce não conseguir colocar os seus modens em bridge, pelo menos habilita a dmz nos dois, mas tira esse tplink do meio.

Douglas Araujo

Boa noite, vamos com calma
o ideal seria vc tirar o tplink pra não ficar com tanto gargado de links
se não puder colocar 2 placas de rede no pfsense não tem problema
siga os procedimentos

1 primeiro vc verifica que ips dos modens está chegando nas WANS e habilita a DMZ nos modens para o IP. (Caso esteja com TPlink tera que ativa DMZ dele para o linux tbm apontando para o ip da wan do linux).

2 agora vc configura o nat ex
TUDO QUE VIM PELAS WANS
na port 3389
redirect 192.168.0.2 servidor TS
port 3389

ok

3 para que funciona via ddns vc tem que liberar  em system > advanced >
DNS Rebind Check
para liberar acesso ddns ou apenas coloca o ddns especifico na linha

Browser HTTP_REFERER enforcement
quando tenta acessar externo ele da um erro pedindo para liberar.

4 agora em WANS E BOM LIBERAR TBM

interfaces

Block private networks and loopback addresses

Block bogon networks
desativa

5 para verificar se a porta está liberada use http://ping.eu/port-chk/
vc pode pegar seu note ou PC liberar RDP e ir testando DMZ modem 1 ok…. DMZ modem 2 ok .....
DMZ tplink ok....
entendeu

e nois mano

Abç.

FernandoFaria

@Douglas:

Boa noite, vamos com calma
o ideal seria vc tirar o tplink pra não ficar com tanto gargado de links
se não puder colocar 2 placas de rede no pfsense não tem problema
siga os procedimentos

1 primeiro vc verifica que ips dos modens está chegando nas WANS e habilita a DMZ nos modens para o IP. (Caso esteja com TPlink tera que ativa DMZ dele para o linux tbm apontando para o ip da wan do linux).

2 agora vc configura o nat ex
TUDO QUE VIM PELAS WANS
na port 3389
redirect 192.168.0.2 servidor TS
port 3389

ok

3 para que funciona via ddns vc tem que liberar  em system > advanced >
DNS Rebind Check
para liberar acesso ddns ou apenas coloca o ddns especifico na linha

Browser HTTP_REFERER enforcement
quando tenta acessar externo ele da um erro pedindo para liberar.

4 agora em WANS E BOM LIBERAR TBM

interfaces

Block private networks and loopback addresses

Block bogon networks
desativa

5 para verificar se a porta está liberada use http://ping.eu/port-chk/
vc pode pegar seu note ou PC liberar RDP e ir testando DMZ modem 1 ok…. DMZ modem 2 ok .....
DMZ tplink ok....
entendeu

e nois mano

Abç.

Olá Douglas,

Agradeço imensamente sua ajuda, mas eu acabei desistindo de usar o TS.
Estou batendo cabeça pra usar o OpenVPN. Consegui configurar certinho, mas de casa não consigo autenticar.
Cheguei a postar uma dúvida em um tópico sobre isso, inclusive.
O link é: https://forum.pfsense.org/index.php?topic=74506.msg654580#msg654580

Obrigado
Fernando

Douglas Araujo

Boa tarde,

não desista amigo e bom tentar descobrir o que pode ser.

portas que precisa liberar
lembrando que tbm precisa liberar o protocola GREE ok .

http://www.hardware.com.br/tutoriais/openvpn/pagina4.html