RDP с 2 каналов интернета

dvserg

@Shurik_KAM:

@dvserg:

Можно все, если структура сети не экзотическая.

Не знаю что здесь экзотичного. Две машины одна под 2003, другая под pfsense. Два разных провайдера, один подключен к 2003, второй к pfsense. Между машинами сетка. На 2003 поднят RDP.
Вопрос: как на RDP подключатся с 2 разных провайдеров одновременно?

Ну со второй попытки получилось объяснить.
Можно попытаться настроить portmapping на WAN + NAT для сокрытия адреса-источника.

Shurik_KAM

@dvserg:

@Shurik_KAM:

@dvserg:

Можно все, если структура сети не экзотическая.

Не знаю что здесь экзотичного. Две машины одна под 2003, другая под pfsense. Два разных провайдера, один подключен к 2003, второй к pfsense. Между машинами сетка. На 2003 поднят RDP.
Вопрос: как на RDP подключатся с 2 разных провайдеров одновременно?

Ну со второй попытки получилось объяснить.
Можно попытаться настроить portmapping на WAN + NAT для сокрытия адреса-источника.

Спасибо. Слова понятные, а как сделать не пойму. Сутки инет рыл. Как в pfsense можно скрыть адрес источника? Или это все делается средствами freebsd. Я внем полный ноль. Может кто ссылку кинет или объяснит чайнику.

Нашел вот это:

С.2.1.6.4.3. TCP proxy

Можно произвести проксирование TCP соединений при помощи приложений из userspace. Приложение перехватывает соединение, устанавливает соединение с сервером и далее пробрасывает данные через себя. Простейший пример можно сделать при помощи inetd(8) (см. Раздел 5.17.2, «Суперсервер inetd(8)»)и nc(1) (см. Раздел 6.4.4, «telnet(1), nc(1)»). Следующая строка в /etc/inetd.conf(5) создаёт сокет привязанный к кольцевому интерфейсу, порт номер 5000. Соединение пробрасывается на 80-й порт машины 192.168.1.10:
127.0.0.1:5000 stream tcp nowait nobody /usr/bin/nc nc -w 20 192.168.1.10 80

Теперь на внутреннем интерфейсе мы можем связать 80-й порт с нашим proxy-сервером:
rdr on $int_if proto tcp from $int_net to $ext_if port 80 ->
  127.0.0.1 port 5000

это не по моей ли теме?

dvserg

Маппинг пробрасывает соединения клиента с интерфейса на указанный IP:port путем замены destIP/destPort в пакетах.
NAT маскирует соединения клиента путем замены srcIP/srcPort на свои.

Клиент из внешней сети подключается на WAN - пакеты [src ipCL:portCL][dest ipWAN:portWAN].
После применения порт-маппинга - пакеты [src ipCL:portCL][dest ipSERVER:portSERVER].
Но в таком виде Server будет кидать ответ для SRC на шлюз по умолчанию, коим pfSense не является.

Применяем NAT  - пакеты [src ipPFSENSE:portPFSENSE][dest ipSERVER:portSERVER].
Ответ сервера будет идти на pfsense, который расположен в той-же сети

Что нужно сделать - зайти в меню NAT и настроить портмаппинг (SRCclient->WAN->DESTserver) на WAN, и Outbound NAT (SRCwan->LAN->DESTserver) на LAN

Shurik_KAM

Спасибо все заработало!!!

В NAT нарисовал так:
WAN TCP * * WAN address 3389 (MS RDP) 192.168.2.8 3389 (MS RDP)
что вообщемто было сделано сразу

в Outbound:
LAN   any * 192.168.2.8/32 3389 * * NO

dvserg

Добавил в FAQ

dr.gopher

@Shurik_KAM:

В NAT нарисовал так:
WAN TCP * * WAN address 3389 (MS RDP) 192.168.2.8 3389 (MS RDP)
что вообщемто было сделано сразу

в Outbound:
LAN   any * 192.168.2.8/32 3389 * * NO

Чет не работает.
1. В шапке Ip 192.168.2.2 , а в правилах 192.168.2.8
2. Прописан ли шлюз на (виндовой машине) 192.168.2.8 и какой?

Shurik_KAM

1. В шапке вопрос ставился теоретически, а правилах прописано для конкретной машины 192.168.2.8. RDP поднят на ней.
2. На виндовой машине прописан шлюз на второго провайдера.

dr.gopher

@Shurik_KAM:

2. На виндовой машине прописан шлюз на второго провайдера.

Следовательно, на виндовом сервере поднят нат и локольный интерфес 192.168.2.8 не имеет шлюза?

Shurik_KAM

@dr.gopher:

@Shurik_KAM:

2. На виндовой машине прописан шлюз на второго провайдера.

Следовательно, на виндовом сервере поднят нат и локольный интерфес 192.168.2.8 не имеет шлюза?

да. почти так :)

если точно, то в конкретно эта виндовая машина имеет  1 сетевую плату с 2 ип 192.168.1.8 и 192.168.2.8 и шлюзом 192.168.1.1

dr.gopher

@Shurik_KAM:

виндовая машина имеет  1 сетевую плату с 2 ип 192.168.1.8 и 192.168.2.8 и шлюзом 192.168.1.1

Попытка реализации.

Pfsense
WAN x.x.x.x/xx
GW x.x.x.x
**LAN 192.168.1.1/24

Win xp** два айпи на одном интерфейсе.
IP-1 192.168.0.12/24
GW 192.168.0.15

IP-2
192.168.1.12/24
GW отсутствует

Правила NAT

Где неправильно?

dvserg

IP-2
192.168.1.12/24
GW отсутствует = 192.168.1.1

dr.gopher

@dvserg:

IP-2
192.168.1.12/24
GW отсутствует = 192.168.1.1

Тогда это стандартная ситуация и без доп. телодвижений все работает!

Мы рассматриваем проброс порта в ситуации когда Pfsense не является шлюзом по умолчанию!?
Или я ошибся?

dvserg

@dr.gopher:

@dvserg:

IP-2
192.168.1.12/24
GW отсутствует = 192.168.1.1

Тогда это стандартная ситуация и без доп. телодвижений все работает!

Мы рассматриваем проброс порта в ситуации когда Pfsense не является шлюзом по умолчанию!?
Или я ошибся?

Не читал сверху..
Тогда дополнительные телодвижения заключаются в организации обратного NAT на внутреннем интерфейсе pfSense в дополнение к портфорварду.
Просто портфорвард транслирует пакеты от имени внешнего источника и RDP сервер пытается ответить через шлюз по умолчанию. Добавление внутреннего NAT сделает источником пакетов LAN интерфейс PFSense, а он находится в одной сети с сервером и хорошо ему известен.

dr.gopher

@dvserg:

Добавление внутреннего NAT сделает источником пакетов LAN интерфейс PFSense, а он находится в одной сети с сервером и хорошо ему известен.

Я так понял это и есть внутренний нат. Возможно еще какие-то условия упущены.
Firewall: NAT: Outbound

dvserg

Ага, вроде оно… чего-то, не внимательно посмотрел..

dr.gopher

@dvserg:

Добавил в FAQ

Есть подозрения, что необоснованно.  ;)

Shurik_KAM

Как я понял чтото не работает?

А вот так это выглядит на сервере
C:\Documents and Settings\Администратор>netstat  -n

Активные подключения

Имя    Локальный адрес        Внешний адрес          Состояние
….........
 TCP    192.168.1.8:3389      46.241.95.60:26786     ESTABLISHED
............
 TCP    192.168.2.8:3389       192.168.2.1:59253      ESTABLISHED
............

Да для начала проверь проблема в pfsense или в виндовой машине, из сети то RDP на ип 192.168.1.12 и 192.168.0.12 поднимается?

dr.gopher

@Shurik_KAM:

Да для начала проверь проблема в pfsense или в виндовой машине, из сети то RDP на ип 192.168.1.12 и 192.168.0.12 поднимается?

Шайтан! Правила одинаковые. РДП работат из обеих подсетей. Правила брендамуера всё всем. Но не работает редирект.  :(
В понедельник переустановлю ПФ и отпишусь.

Может роут где то прописывали, или чекбасик гдето убрали поставили?

Shurik_KAM

@dr.gopher:

@Shurik_KAM:

Да для начала проверь проблема в pfsense или в виндовой машине, из сети то RDP на ип 192.168.1.12 и 192.168.0.12 поднимается?

Шайтан! Правила одинаковые. РДП работат из обеих подсетей. Правила брендамуера всё всем. Но не работает редирект.  :(
В понедельник переустановлю ПФ и отпишусь.

Может роут где то прописывали, или чекбасик гдето убрали поставили?

Да нет вроде не каких чекбоксов не ставил.
Попробуй на видовой машине шлюз прописать на pfsense, а на pfsense сделай только правило для NAT: portforwars.
Если все заведется, убей шлюз и допиши правило в NAT: Outbound.

dr.gopher

@Shurik_KAM:

Да нет вроде не каких чекбоксов не ставил.

Разобрался!
Условие при котором работает редирект

Хе..
Но при этом отвалился инет.
А в режиме  Automatic outbound NAT rule generation редирект не работает.