RDP доступ извне



  • помогите новичку
    есть роутер, внутри сети есть терминальный сервак
    подскажите как правильно ето все организовать или  правило помогите составить, а то у меня что то не получается
    плюс понять не могу как сделать доступ к GUI извне

    Заранее спасибо



  • GUI нет, есть вебинтерфейс

    правило:
    firewall -> NAT

    скрин: http://img509.imageshack.us/img509/9994/gwradio27firewallnatpor.png



  • спасибо, завтра попробую это правило
    а с интерфейсом подскажите!!)))



  • @T®U:

    спасибо, завтра попробую это правило
    а с интерфейсом подскажите!!)))

    а какая проблема, я просто беру и подключаюсь
    http://your_wan_ip/



  • @T®U:

    а с интерфейсом подскажите!!)))

    System -> General Setup -> webGUI protocol -> HTTPS



  • пробовал я к IP WAN подключаться, не сканало, только к ssh подключается)))))

    System -> General Setup -> webGUI protocol -> HTTPS

    неее, его я пробовал, вещь конечно рикольная, однако у меня в локалке тормоза были нереальные, представляю че будет через инет



  • @T®U:

    пробовал я к IP WAN подключаться, не сканало, только к ssh подключается)))))

    System -> General Setup -> webGUI protocol -> HTTPS

    неее, его я пробовал, вещь конечно рикольная, однако у меня в локалке тормоза были нереальные, представляю че будет через инет

    скрины General Setup в студию



  • скрин какого именно места??



  • @T®U:

    скрин какого именно места??

    во ступил то))))))




  • чего то ни чего понять не могу
    работает только SSH
    интерфейс по HTTPS из вне не канает
    RDP - тоже извне не соединяет, уже подозреваю что дело в настройках серва, ток где и что понять не могу, вроде все везде нормально, привязок к внутренней сети не вижу, либо провайдер режет порт, хотя не должен, все таки юр.лицо, не физическое
    поделитесь идеями какими нибудь

    Заранее спасибо))



  • @T®U:

    чего то ни чего понять не могу
    работает только SSH
    интерфейс по HTTPS из вне не канает
    RDP - тоже извне не соединяет, уже подозреваю что дело в настройках серва, ток где и что понять не могу, вроде все везде нормально, привязок к внутренней сети не вижу, либо провайдер режет порт, хотя не должен, все таки юр.лицо, не физическое
    поделитесь идеями какими нибудь

    Заранее спасибо))

    покажи теперь скриншот фаервола ВАН интерфейса



  • @zar0ku1:

    покажи теперь скриншот фаервола ВАН интерфейса

    сегодня уже не смогу, уехал из офиса
    если ток через ssh как то можно, подскажи плз))



  • про веб-интерфейс как-то так
    а RDP решается "в лоб" :)








  • Хм.. а просто разрешить на WAN доступ к порту GUI без всяких портфорвардов на LAN не пробовали?



  • @dvserg:

    Хм.. а просто разрешить на WAN доступ к порту GUI без всяких портфорвардов на LAN не пробовали?

    дааа… не перевелись еще извращенцы на земле русской... а потом такие топики создают
    P.S. ушел плакать



  • без форварда не работает, сейчас перепроверил.
    работает как есть, пусть и выглядит странно. "по-извращенски", как заметили ценители



  • @transcendentor:

    без форварда не работает, сейчас перепроверил.
    работает как есть, пусть и выглядит странно. "по-извращенски", как заметили ценители

    Дело в том, что изначально GUI слушает все интерфейсы, только вот разрешающее правило на Лане. Я на Wan просто добавляю разрешающее правило и все доступно.. хотя какая разница как сделать, главное чтобы работало.



  • да пусть хотя бы по извращенски будет, мне результат нужен))))
    а то уже недели 2 результата добиться не могу, а с меня тресут)))
    спасибо за участие, завтра попробую)))

    @transcendentor:

    а RDP решается "в лоб" :)

    что имеешь ввиду??



  • @dvserg:

    Я на Wan просто добавляю разрешающее правило и все доступно.. хотя какая разница как сделать, главное чтобы работало.

    поподробней можно)))
    где, что и как))))



  • @transcendentor:

    без форварда не работает, сейчас перепроверил.
    работает как есть, пусть и выглядит странно. "по-извращенски", как заметили ценители

    как же оно работает если ты на вебморду зайти не можешь?
    тебе нужно повесить вебгуи допустим на 3000 порт и прописать правило в ВАН интерфейсе
    разрешить доступ с внешки на ВАН интерфейс порт 3000 - без всяких НАТов ;)

    а вот это http://forum.pfsense.org/index.php?action=dlattach;topic=20711.0;attach=6848;image извращение



  • могу зайти, еще как
    и из внутрисети, и из внешки. без форварда - не работает, с форвардом - работает.



  • @transcendentor:

    могу зайти, еще как
    и из внутрисети, и из внешки. без форварда - не работает, с форвардом - работает.

    молодец, что работает… но не молодец если считаешь что это нормально

    хотя это дело каждого

    Проблему решили?



  • @dvserg:

    Хм.. а просто разрешить на WAN доступ к порту GUI без всяких портфорвардов на LAN не пробовали?

    пробовал первым делом, не сработало. после добавления неочевидного портфорварда добился желаемого %)



  • @zar0ku1:

    @dvserg:

    Хм.. а просто разрешить на WAN доступ к порту GUI без всяких портфорвардов на LAN не пробовали?

    дааа… не перевелись еще извращенцы на земле русской... а потом такие топики создают
    P.S. ушел плакать

    Не плачь, жизнь прекрасна! объясни лучше в чём извращение.



  • блин, так и не добрался я сегодня до етого ненавистного мною офиса
    А ето все ваще реально по терминалу замутить?? ни кто не пробовал??



  • @Eugene:

    Не плачь, жизнь прекрасна! объясни лучше в чём извращение.

    Да не все нормально, давайте теперь всегда так делать
    вместо чтобы разрешить 80 порт на ване, будет пробрасывать его в лан и разрешать

    Вещи должны быть настолько простыми, насколько это возможно, но не проще этого
    А. Эйнштейн



  • transcendentor, просто сделайте все как написано тут: How can I access the webGUI from the WAN?http://doc.pfsense.org/index.php/How_can_I_access_the_webGUI_from_the_WAN%3F
    и все.



  • @zar0ku1:

    @Eugene:

    Не плачь, жизнь прекрасна! объясни лучше в чём извращение.

    Да не все нормально, давайте теперь всегда так делать
    вместо чтобы разрешить 80 порт на ване, будет пробрасывать его в лан и разрешать

    Вещи должны быть настолько простыми, насколько это возможно, но не проще этого
    А. Эйнштейн

    Где ж dvserg сказал про это? Он сказал

    Хм.. а просто разрешить на WAN доступ к порту GUI без всяких портфорвардов на LAN не пробовали?

    Т.е. подход "просто, насколько это возможно". -)



  • @Eugene:

    Где ж dvserg сказал про это? Он сказал

    Хм.. а просто разрешить на WAN доступ к порту GUI без всяких портфорвардов на LAN не пробовали?

    Т.е. подход "просто, насколько это возможно". -)

    А ты считаешь этот подход неверным?

    P.S. можем продолжить флуд в асе или джаббере



  • @zar0ku1:

    @Eugene:

    Где ж dvserg сказал про это? Он сказал

    Хм.. а просто разрешить на WAN доступ к порту GUI без всяких портфорвардов на LAN не пробовали?

    Т.е. подход "просто, насколько это возможно". -)

    А ты считаешь этот подход неверным?

    P.S. можем продолжить флуд в асе или джаббере

    Это не флуд, это поиск истины.
    Я неправильно интерпретировал твой ответ. Я так понял, что тебе не понравился ответ dvserg'а. Приношу свои глубочайшие извинения.
    Кстати, подход технически верный, но с точки зрения безопасности я бы поостерёгся…



  • запретите все извне, да разрешите только pptp и все а там и rdp и все что хочишь ))



  • @Eugene:

    Это не флуд, это поиск истины.
    Я неправильно интерпретировал твой ответ. Я так понял, что тебе не понравился ответ dvserg'а. Приношу свои глубочайшие извинения.
    Кстати, подход технически верный, но с точки зрения безопасности я бы поостерёгся…

    извинения приняты =) я тоже не заметил, что там про DvSerg



  • @Eugene:

    Кстати, подход технически верный, но с точки зрения безопасности я бы поостерёгся…

    С точки зрения безопасности сама идея доступа к гую по Wan небезопасно хоть с форвардом хоть без-одно и то-же коромысло. Тогда уж лучше по заходить VPN..



  • @dvserg:

    С точки зрения безопасности сама идея доступа к гую по Wan небезопасно хоть с форвардом хоть без-одно и то-же коромысло. Тогда уж лучше по заходить VPN..

    согласен, но чем отличается подбор впн юзера от подбора basic auth?



  • @zar0ku1:

    @dvserg:

    С точки зрения безопасности сама идея доступа к гую по Wan небезопасно хоть с форвардом хоть без-одно и то-же коромысло. Тогда уж лучше по заходить VPN..

    согласен, но чем отличается подбор впн юзера от подбора basic auth?

    Длиной используемого ключа и методом шифрования. Базик зачастую останавливается на 6-8 символах.



  • @dvserg:

    длиной используемого ключа и методом шифрования. Базик зачастую останавливается на 6-8 символах.

    ха-ха, это наверно у тебя, у меня стандартные пароли от 15 символов и про какой метод шифрования ты говоришь? если там тупо брутить?

    @ToXaNSK:

    А использование фильтра по ИП не увеличит безопасность.

    правда?! попади в админку http://ssros.ru



  • @zar0ku1:

    @dvserg:

    длиной используемого ключа и методом шифрования. Базик зачастую останавливается на 6-8 символах.

    ха-ха, это наверно у тебя, у меня стандартные пароли от 15 символов и про какой метод шифрования ты говоришь? если там тупо брутить?

    Тупо брутить на VPN никто не будет (если конечно не задаться целью взломать) - это сложнее технически, а вот порт 80 и 22 сканеров в сети хоть отбавляй.
    @zar0ku1:

    @ToXaNSK:

    А использование фильтра по ИП не увеличит безопасность.

    правда?! попади в админку http://ssros.ru

    Как "фильтр по ИП" связан с "попади в админку" я тебя умоляю?!
    Использование фильтра по ИП увеличит безопасность. Точка.



  • А переход на https увеличит ее еще больше ::)



  • @ToXaNSK:

    Кто сказал, что админка должна быть на 80/443 порту а SSH на 22!?
    У меня не так плюс фильтр по ИП.

    +1, поддерживаю целиком и полностью!

    @dvserg:

    А переход на https увеличит ее еще больше ::)

    чем же? https защищает только от mim атак, или нет?
    что с http, что с https формочка ввода пароля одна

    @Eugene:

    Как "фильтр по ИП" связан с "попади в админку" я тебя умоляю?!
    Использование фильтра по ИП увеличит безопасность. Точка.

    тем что четко прописано с каких айпи туда можно попасть, тоже самое тебе никто не запрещает прописать в pfsense



  • @zar0ku1:

    @dvserg:

    А переход на https увеличит ее еще больше ::)

    чем же? https защищает только от mim атак, или нет?
    что с http, что с https формочка ввода пароля одна

    :o Думаю есть повод почитать про https, vpn.. Ты в курсе как передаются твои пароли в HTTP протоколе и что такое сниффер? Весь вопрос в шифровании трафика, другой вопрос если это Неуловимый Джо (как в анекдоте).


Locked