Доступ снаружи к терминальному серверу
-
Добрый день.
Возникла необходимость сделать доступ к TS из инета.
Создал правило для NAT
Interface: Wan
Ext.Address: Interface Address
Protocol: TCP
Ext.Port Range: 12345
NAT IP: 1.2.3.4
Local Port: 3389Пользователи подключаются сответственно wanip:12345
Вроде все работает,но нормально пускает только 1 пользователя у остальных пишет "Не удается подключится к удаленному компьютеру". Если долго пытатся подключиться то может пустить 2 и все.
Вопрос: В чем может быть проблема и как можно исправить ?Спасибо.
-
У тебя они часом не на один логин лезут?
-
Они часом не с одним IP и одним source-port лезут?
-
Они часом не с одним IP и одним source-port лезут?
Ип разные
source-port это порт на который они подключаются или с которого идет подключение ? -
Source - порт источника
-
Source - порт источника
Тоже разные.
Если сделать проброс отдельного порта для каждого клиента т.е
Клиент 1 х.х.х.х:12345 NAT 1.2.3.4:3389
Клиент 2 y.y.y.y:12346 NAT 1.2.3.4:3389
и т.д
то все работает, но такой вариант не применим при больших количествах внешних пользователей.А вообще такая схема когда все пользователи коннектятся на x.x.x.x:12345 и всех NATит на терминал должна работать или может у меня с PF что-то нетак ?
-
В логах сервера терминалов нет ничего интересного? Мой партнёр по лицензированию, говорил, что для доступа к терминалу через инет нужны другие коллы (или типа этого).
А вообще, правила достаточно в нате достаточно одного, и в файере в ван должен быть разрешён этот порт - 12345.
-
В логах сервера терминалов нет ничего интересного? Мой партнёр по лицензированию, говорил, что для доступа к терминалу через инет нужны другие коллы (или типа этого).
А вообще, правила достаточна в нате достаточно одного, и в файере в ван должен быть разрешён этот порт - 12345.
В правилах WAN должен быть разрешен доступ ANY:* > ANY(или LAN subnet):RDP .
Фаер видит уже промаскированные портмапингом порты. Посмотрите на автоматически-создаваемые правила. -
В логах сервера терминалов нет ничего интересного? Мой партнёр по лицензированию, говорил, что для доступа к терминалу через инет нужны другие коллы (или типа этого).
А вообще, правила достаточна в нате достаточно одного, и в файере в ван должен быть разрешён этот порт - 12345.
В правилах WAN должен быть разрешен доступ ANY:* > ANY(или LAN subnet):RDP .
Фаер видит уже промаскированные портмапингом порты. Посмотрите на автоматически-создаваемые правила.Это мне? :)
-
-
-
Правило создается. Проблема в том что нормально может подключиться только 1,2 пользователя, у остальных пишет "Не удалось подключиться".
-
А вообще, правила достаточна в нате достаточно одного, и в файере в ван должен быть разрешён этот порт - 12345.
Это мне? :)
Получается да
У меня с этим проблем нет, я высказал предложение автору тему.
Я поправил ваше предложение, так как разрешать порты 12345 не имеет смысла. Портмапинг обрабатывает пакеты раньше фильтра, в фильтр пакет попадет уже с портом назначения RDP (3389).
-
Правило создается. Проблема в том что нормально может подключиться только 1,2 пользователя, у остальных пишет "Не удалось подключиться".
Смотрите логи pfSense и сервера на который направляется подключение. Что шлюзом у целевого сервера стоит?
-
А вообще, правила достаточна в нате достаточно одного, и в файере в ван должен быть разрешён этот порт - 12345.
Это мне? :)
Получается да
У меня с этим проблем нет, я высказал предложение автору тему.
Я поправил ваше предложение, так как разрешать порты 12345 не имеет смысла. Портмапинг обрабатывает пакеты раньше фильтра, в фильтр пакет попадет уже с портом назначения RDP (3389).
Спасибо, не знал о приоритете портмаппинга. (век живи - век учись :) )
-
Правило создается. Проблема в том что нормально может подключиться только 1,2 пользователя, у остальных пишет "Не удалось подключиться".
Если один может, то и другие должны мочь.
Прямая дорога к тиспидампу. Запусти```
tcpdump -ni <lan interface=""> port 3389</lan>и пробуй подключиться вторым-третьим пользователем. Что кажет? -
Может у терминалки стоит ограничение по подключениям с одного ИП??? У меня на один порт 5 клиентов садаться с 1 ИП.