Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Доступ снаружи к терминальному серверу

    Russian
    6
    17
    6381
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      sereoga last edited by

      Добрый день.
      Возникла необходимость сделать доступ к TS из инета.
      Создал правило для NAT
      Interface: Wan
      Ext.Address: Interface Address
      Protocol: TCP
      Ext.Port Range: 12345
      NAT IP: 1.2.3.4
      Local Port: 3389

      Пользователи подключаются сответственно  wanip:12345
      Вроде все работает,но нормально пускает только 1 пользователя у остальных пишет "Не удается подключится к удаленному компьютеру". Если долго пытатся подключиться то может пустить 2 и все.
      Вопрос: В чем может быть проблема и как можно исправить ?

      Спасибо.

      1 Reply Last reply Reply Quote 0
      • V
        Valar last edited by

        У тебя они часом не на один логин лезут?

        1 Reply Last reply Reply Quote 0
        • E
          Eugene last edited by

          Они часом не с одним IP и одним source-port лезут?

          1 Reply Last reply Reply Quote 0
          • S
            sereoga last edited by

            @Evgeny:

            Они часом не с одним IP и одним source-port лезут?

            Ип разные
            source-port это порт на который они подключаются или с которого идет подключение ?

            1 Reply Last reply Reply Quote 0
            • D
              dvserg last edited by

              Source - порт источника

              1 Reply Last reply Reply Quote 0
              • S
                sereoga last edited by

                @dvserg:

                Source - порт источника

                Тоже разные.

                Если сделать проброс отдельного порта для каждого клиента т.е
                Клиент 1 х.х.х.х:12345 NAT 1.2.3.4:3389
                Клиент 2 y.y.y.y:12346 NAT 1.2.3.4:3389
                и т.д
                то все работает, но такой вариант не применим при больших количествах внешних пользователей.

                А вообще такая схема когда все пользователи коннектятся на x.x.x.x:12345 и всех NATит на терминал должна работать или может у меня с PF что-то нетак ?

                1 Reply Last reply Reply Quote 0
                • D
                  DasTieRR last edited by

                  В логах сервера терминалов нет ничего интересного? Мой партнёр по лицензированию, говорил, что для доступа к терминалу через инет нужны другие коллы (или типа этого).

                  А вообще, правила достаточно в нате достаточно одного, и в файере в ван должен быть разрешён этот порт - 12345.

                  1 Reply Last reply Reply Quote 0
                  • D
                    dvserg last edited by

                    @DasTieRR:

                    В логах сервера терминалов нет ничего интересного? Мой партнёр по лицензированию, говорил, что для доступа к терминалу через инет нужны другие коллы (или типа этого).

                    А вообще, правила достаточна в нате достаточно одного, и в файере в ван должен быть разрешён этот порт - 12345.

                    В правилах WAN должен быть разрешен доступ ANY:* > ANY(или LAN subnet):RDP .
                    Фаер видит уже промаскированные портмапингом порты. Посмотрите на автоматически-создаваемые правила.

                    1 Reply Last reply Reply Quote 0
                    • D
                      DasTieRR last edited by

                      @dvserg:

                      @DasTieRR:

                      В логах сервера терминалов нет ничего интересного? Мой партнёр по лицензированию, говорил, что для доступа к терминалу через инет нужны другие коллы (или типа этого).

                      А вообще, правила достаточна в нате достаточно одного, и в файере в ван должен быть разрешён этот порт - 12345.

                      В правилах WAN должен быть разрешен доступ ANY:* > ANY(или LAN subnet):RDP .
                      Фаер видит уже промаскированные портмапингом порты. Посмотрите на автоматически-создаваемые правила.

                      Это мне? :)

                      1 Reply Last reply Reply Quote 0
                      • D
                        dvserg last edited by

                        @DasTieRR:

                        @DasTieRR:

                        А вообще, правила достаточна в нате достаточно одного, и в файере в ван должен быть разрешён этот порт - 12345.

                        Это мне? :)

                        Получается да

                        1 Reply Last reply Reply Quote 0
                        • D
                          DasTieRR last edited by

                          @dvserg:

                          @DasTieRR:

                          @DasTieRR:

                          А вообще, правила достаточна в нате достаточно одного, и в файере в ван должен быть разрешён этот порт - 12345.

                          Это мне? :)

                          Получается да

                          У меня с этим проблем нет, я высказал предложение автору тему.

                          1 Reply Last reply Reply Quote 0
                          • S
                            sereoga last edited by

                            Правило создается. Проблема в том что нормально может подключиться только 1,2 пользователя, у остальных пишет "Не удалось подключиться".

                            1 Reply Last reply Reply Quote 0
                            • D
                              dvserg last edited by

                              @DasTieRR:

                              @dvserg:

                              @DasTieRR:

                              @DasTieRR:

                              А вообще, правила достаточна в нате достаточно одного, и в файере в ван должен быть разрешён этот порт - 12345.

                              Это мне? :)

                              Получается да

                              У меня с этим проблем нет, я высказал предложение автору тему.

                              Я поправил ваше предложение, так как разрешать порты 12345 не имеет смысла. Портмапинг обрабатывает пакеты раньше фильтра, в фильтр пакет попадет уже с портом назначения RDP (3389).

                              1 Reply Last reply Reply Quote 0
                              • D
                                dvserg last edited by

                                @sereoga:

                                Правило создается. Проблема в том что нормально может подключиться только 1,2 пользователя, у остальных пишет "Не удалось подключиться".

                                Смотрите логи pfSense и сервера на который направляется подключение. Что шлюзом у целевого сервера стоит?

                                1 Reply Last reply Reply Quote 0
                                • D
                                  DasTieRR last edited by

                                  @dvserg:

                                  @DasTieRR:

                                  @dvserg:

                                  @DasTieRR:

                                  @DasTieRR:

                                  А вообще, правила достаточна в нате достаточно одного, и в файере в ван должен быть разрешён этот порт - 12345.

                                  Это мне? :)

                                  Получается да

                                  У меня с этим проблем нет, я высказал предложение автору тему.

                                  Я поправил ваше предложение, так как разрешать порты 12345 не имеет смысла. Портмапинг обрабатывает пакеты раньше фильтра, в фильтр пакет попадет уже с портом назначения RDP (3389).

                                  Спасибо, не знал о приоритете портмаппинга. (век живи - век учись :) )

                                  1 Reply Last reply Reply Quote 0
                                  • E
                                    Eugene last edited by

                                    @sereoga:

                                    Правило создается. Проблема в том что нормально может подключиться только 1,2 пользователя, у остальных пишет "Не удалось подключиться".

                                    Если один может, то и другие должны мочь.
                                    Прямая дорога к тиспидампу. Запусти```
                                    tcpdump -ni <lan interface=""> port 3389</lan>

                                    и пробуй подключиться вторым-третьим пользователем. Что кажет?
                                    1 Reply Last reply Reply Quote 0
                                    • H
                                      Hurep last edited by

                                      Может у терминалки стоит ограничение по подключениям с одного ИП??? У меня на один порт 5 клиентов садаться с 1 ИП.

                                      1 Reply Last reply Reply Quote 0
                                      • First post
                                        Last post

                                      Products

                                      • Platform Overview
                                      • TNSR
                                      • pfSense
                                      • Appliances

                                      Services

                                      • Training
                                      • Professional Services

                                      Support

                                      • Subscription Plans
                                      • Contact Support
                                      • Product Lifecycle
                                      • Documentation

                                      News

                                      • Media Coverage
                                      • Press
                                      • Events

                                      Resources

                                      • Blog
                                      • FAQ
                                      • Find a Partner
                                      • Resource Library
                                      • Security Information

                                      Company

                                      • About Us
                                      • Careers
                                      • Partners
                                      • Contact Us
                                      • Legal
                                      Our Mission

                                      We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

                                      Subscribe to our Newsletter

                                      Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

                                      © 2021 Rubicon Communications, LLC | Privacy Policy