4. Доступ снаружи к терминальному серверу

Доступ снаружи к терминальному серверу

  • S

    Добрый день.
    Возникла необходимость сделать доступ к TS из инета.
    Создал правило для NAT
    Interface: Wan
    Ext.Address: Interface Address
    Protocol: TCP
    Ext.Port Range: 12345
    NAT IP: 1.2.3.4
    Local Port: 3389

    Пользователи подключаются сответственно  wanip:12345
    Вроде все работает,но нормально пускает только 1 пользователя у остальных пишет "Не удается подключится к удаленному компьютеру". Если долго пытатся подключиться то может пустить 2 и все.
    Вопрос: В чем может быть проблема и как можно исправить ?

    Спасибо.

    0
  • V

    У тебя они часом не на один логин лезут?

    0
  • E

    Они часом не с одним IP и одним source-port лезут?

    0
  • S

    @Evgeny:

    Они часом не с одним IP и одним source-port лезут?

    Ип разные
    source-port это порт на который они подключаются или с которого идет подключение ?

    0
  • D

    Source - порт источника

    0
  • S

    @dvserg:

    Source - порт источника

    Тоже разные.

    Если сделать проброс отдельного порта для каждого клиента т.е
    Клиент 1 х.х.х.х:12345 NAT 1.2.3.4:3389
    Клиент 2 y.y.y.y:12346 NAT 1.2.3.4:3389
    и т.д
    то все работает, но такой вариант не применим при больших количествах внешних пользователей.

    А вообще такая схема когда все пользователи коннектятся на x.x.x.x:12345 и всех NATит на терминал должна работать или может у меня с PF что-то нетак ?

    0
  • D

    В логах сервера терминалов нет ничего интересного? Мой партнёр по лицензированию, говорил, что для доступа к терминалу через инет нужны другие коллы (или типа этого).

    А вообще, правила достаточно в нате достаточно одного, и в файере в ван должен быть разрешён этот порт - 12345.

    0
  • D

    @DasTieRR:

    В логах сервера терминалов нет ничего интересного? Мой партнёр по лицензированию, говорил, что для доступа к терминалу через инет нужны другие коллы (или типа этого).

    А вообще, правила достаточна в нате достаточно одного, и в файере в ван должен быть разрешён этот порт - 12345.

    В правилах WAN должен быть разрешен доступ ANY:* > ANY(или LAN subnet):RDP .
    Фаер видит уже промаскированные портмапингом порты. Посмотрите на автоматически-создаваемые правила.

    0
  • D

    @dvserg:

    @DasTieRR:

    В логах сервера терминалов нет ничего интересного? Мой партнёр по лицензированию, говорил, что для доступа к терминалу через инет нужны другие коллы (или типа этого).

    А вообще, правила достаточна в нате достаточно одного, и в файере в ван должен быть разрешён этот порт - 12345.

    В правилах WAN должен быть разрешен доступ ANY:* > ANY(или LAN subnet):RDP .
    Фаер видит уже промаскированные портмапингом порты. Посмотрите на автоматически-создаваемые правила.

    Это мне? :)

    0
  • D

    @DasTieRR:

    @DasTieRR:

    А вообще, правила достаточна в нате достаточно одного, и в файере в ван должен быть разрешён этот порт - 12345.

    Это мне? :)

    Получается да

    0
  • D

    @dvserg:

    @DasTieRR:

    @DasTieRR:

    А вообще, правила достаточна в нате достаточно одного, и в файере в ван должен быть разрешён этот порт - 12345.

    Это мне? :)

    Получается да

    У меня с этим проблем нет, я высказал предложение автору тему.

    0
  • S

    Правило создается. Проблема в том что нормально может подключиться только 1,2 пользователя, у остальных пишет "Не удалось подключиться".

    0
  • D

    @DasTieRR:

    @dvserg:

    @DasTieRR:

    @DasTieRR:

    А вообще, правила достаточна в нате достаточно одного, и в файере в ван должен быть разрешён этот порт - 12345.

    Это мне? :)

    Получается да

    У меня с этим проблем нет, я высказал предложение автору тему.

    Я поправил ваше предложение, так как разрешать порты 12345 не имеет смысла. Портмапинг обрабатывает пакеты раньше фильтра, в фильтр пакет попадет уже с портом назначения RDP (3389).

    0
  • D

    @sereoga:

    Правило создается. Проблема в том что нормально может подключиться только 1,2 пользователя, у остальных пишет "Не удалось подключиться".

    Смотрите логи pfSense и сервера на который направляется подключение. Что шлюзом у целевого сервера стоит?

    0
  • D

    @dvserg:

    @DasTieRR:

    @dvserg:

    @DasTieRR:

    @DasTieRR:

    А вообще, правила достаточна в нате достаточно одного, и в файере в ван должен быть разрешён этот порт - 12345.

    Это мне? :)

    Получается да

    У меня с этим проблем нет, я высказал предложение автору тему.

    Я поправил ваше предложение, так как разрешать порты 12345 не имеет смысла. Портмапинг обрабатывает пакеты раньше фильтра, в фильтр пакет попадет уже с портом назначения RDP (3389).

    Спасибо, не знал о приоритете портмаппинга. (век живи - век учись :) )

    0
  • E

    @sereoga:

    Правило создается. Проблема в том что нормально может подключиться только 1,2 пользователя, у остальных пишет "Не удалось подключиться".

    Если один может, то и другие должны мочь.
    Прямая дорога к тиспидампу. Запусти```
    tcpdump -ni <lan interface=""> port 3389</lan>

    и пробуй подключиться вторым-третьим пользователем. Что кажет?
    0
  • H

    Может у терминалки стоит ограничение по подключениям с одного ИП??? У меня на один порт 5 клиентов садаться с 1 ИП.

    0
Log in to reply
 

Products

Services

Support

News

Resources

Company

Our Mission

We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2002 - 2019 Rubicon Communications, LLC | Privacy Policy