Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Доступ снаружи к терминальному серверу

    Scheduled Pinned Locked Moved Russian
    17 Posts 6 Posters 6.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      dvserg
      last edited by

      Source - порт источника

      SquidGuardDoc EN  RU Tutorial
      Localization ru_PFSense

      1 Reply Last reply Reply Quote 0
      • S
        sereoga
        last edited by

        @dvserg:

        Source - порт источника

        Тоже разные.

        Если сделать проброс отдельного порта для каждого клиента т.е
        Клиент 1 х.х.х.х:12345 NAT 1.2.3.4:3389
        Клиент 2 y.y.y.y:12346 NAT 1.2.3.4:3389
        и т.д
        то все работает, но такой вариант не применим при больших количествах внешних пользователей.

        А вообще такая схема когда все пользователи коннектятся на x.x.x.x:12345 и всех NATит на терминал должна работать или может у меня с PF что-то нетак ?

        1 Reply Last reply Reply Quote 0
        • D
          DasTieRR
          last edited by

          В логах сервера терминалов нет ничего интересного? Мой партнёр по лицензированию, говорил, что для доступа к терминалу через инет нужны другие коллы (или типа этого).

          А вообще, правила достаточно в нате достаточно одного, и в файере в ван должен быть разрешён этот порт - 12345.

          1 Reply Last reply Reply Quote 0
          • D
            dvserg
            last edited by

            @DasTieRR:

            В логах сервера терминалов нет ничего интересного? Мой партнёр по лицензированию, говорил, что для доступа к терминалу через инет нужны другие коллы (или типа этого).

            А вообще, правила достаточна в нате достаточно одного, и в файере в ван должен быть разрешён этот порт - 12345.

            В правилах WAN должен быть разрешен доступ ANY:* > ANY(или LAN subnet):RDP .
            Фаер видит уже промаскированные портмапингом порты. Посмотрите на автоматически-создаваемые правила.

            SquidGuardDoc EN  RU Tutorial
            Localization ru_PFSense

            1 Reply Last reply Reply Quote 0
            • D
              DasTieRR
              last edited by

              @dvserg:

              @DasTieRR:

              В логах сервера терминалов нет ничего интересного? Мой партнёр по лицензированию, говорил, что для доступа к терминалу через инет нужны другие коллы (или типа этого).

              А вообще, правила достаточна в нате достаточно одного, и в файере в ван должен быть разрешён этот порт - 12345.

              В правилах WAN должен быть разрешен доступ ANY:* > ANY(или LAN subnet):RDP .
              Фаер видит уже промаскированные портмапингом порты. Посмотрите на автоматически-создаваемые правила.

              Это мне? :)

              1 Reply Last reply Reply Quote 0
              • D
                dvserg
                last edited by

                @DasTieRR:

                @DasTieRR:

                А вообще, правила достаточна в нате достаточно одного, и в файере в ван должен быть разрешён этот порт - 12345.

                Это мне? :)

                Получается да

                SquidGuardDoc EN  RU Tutorial
                Localization ru_PFSense

                1 Reply Last reply Reply Quote 0
                • D
                  DasTieRR
                  last edited by

                  @dvserg:

                  @DasTieRR:

                  @DasTieRR:

                  А вообще, правила достаточна в нате достаточно одного, и в файере в ван должен быть разрешён этот порт - 12345.

                  Это мне? :)

                  Получается да

                  У меня с этим проблем нет, я высказал предложение автору тему.

                  1 Reply Last reply Reply Quote 0
                  • S
                    sereoga
                    last edited by

                    Правило создается. Проблема в том что нормально может подключиться только 1,2 пользователя, у остальных пишет "Не удалось подключиться".

                    1 Reply Last reply Reply Quote 0
                    • D
                      dvserg
                      last edited by

                      @DasTieRR:

                      @dvserg:

                      @DasTieRR:

                      @DasTieRR:

                      А вообще, правила достаточна в нате достаточно одного, и в файере в ван должен быть разрешён этот порт - 12345.

                      Это мне? :)

                      Получается да

                      У меня с этим проблем нет, я высказал предложение автору тему.

                      Я поправил ваше предложение, так как разрешать порты 12345 не имеет смысла. Портмапинг обрабатывает пакеты раньше фильтра, в фильтр пакет попадет уже с портом назначения RDP (3389).

                      SquidGuardDoc EN  RU Tutorial
                      Localization ru_PFSense

                      1 Reply Last reply Reply Quote 0
                      • D
                        dvserg
                        last edited by

                        @sereoga:

                        Правило создается. Проблема в том что нормально может подключиться только 1,2 пользователя, у остальных пишет "Не удалось подключиться".

                        Смотрите логи pfSense и сервера на который направляется подключение. Что шлюзом у целевого сервера стоит?

                        SquidGuardDoc EN  RU Tutorial
                        Localization ru_PFSense

                        1 Reply Last reply Reply Quote 0
                        • D
                          DasTieRR
                          last edited by

                          @dvserg:

                          @DasTieRR:

                          @dvserg:

                          @DasTieRR:

                          @DasTieRR:

                          А вообще, правила достаточна в нате достаточно одного, и в файере в ван должен быть разрешён этот порт - 12345.

                          Это мне? :)

                          Получается да

                          У меня с этим проблем нет, я высказал предложение автору тему.

                          Я поправил ваше предложение, так как разрешать порты 12345 не имеет смысла. Портмапинг обрабатывает пакеты раньше фильтра, в фильтр пакет попадет уже с портом назначения RDP (3389).

                          Спасибо, не знал о приоритете портмаппинга. (век живи - век учись :) )

                          1 Reply Last reply Reply Quote 0
                          • E
                            Eugene
                            last edited by

                            @sereoga:

                            Правило создается. Проблема в том что нормально может подключиться только 1,2 пользователя, у остальных пишет "Не удалось подключиться".

                            Если один может, то и другие должны мочь.
                            Прямая дорога к тиспидампу. Запусти```
                            tcpdump -ni <lan interface=""> port 3389</lan>

                            и пробуй подключиться вторым-третьим пользователем. Что кажет?

                            http://ru.doc.pfsense.org

                            1 Reply Last reply Reply Quote 0
                            • H
                              Hurep
                              last edited by

                              Может у терминалки стоит ограничение по подключениям с одного ИП??? У меня на один порт 5 клиентов садаться с 1 ИП.

                              1 Reply Last reply Reply Quote 0
                              • First post
                                Last post
                              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.