Доступ снаружи к терминальному серверу



  • Добрый день.
    Возникла необходимость сделать доступ к TS из инета.
    Создал правило для NAT
    Interface: Wan
    Ext.Address: Interface Address
    Protocol: TCP
    Ext.Port Range: 12345
    NAT IP: 1.2.3.4
    Local Port: 3389

    Пользователи подключаются сответственно  wanip:12345
    Вроде все работает,но нормально пускает только 1 пользователя у остальных пишет "Не удается подключится к удаленному компьютеру". Если долго пытатся подключиться то может пустить 2 и все.
    Вопрос: В чем может быть проблема и как можно исправить ?

    Спасибо.



  • У тебя они часом не на один логин лезут?



  • Они часом не с одним IP и одним source-port лезут?



  • @Evgeny:

    Они часом не с одним IP и одним source-port лезут?

    Ип разные
    source-port это порт на который они подключаются или с которого идет подключение ?



  • Source - порт источника



  • @dvserg:

    Source - порт источника

    Тоже разные.

    Если сделать проброс отдельного порта для каждого клиента т.е
    Клиент 1 х.х.х.х:12345 NAT 1.2.3.4:3389
    Клиент 2 y.y.y.y:12346 NAT 1.2.3.4:3389
    и т.д
    то все работает, но такой вариант не применим при больших количествах внешних пользователей.

    А вообще такая схема когда все пользователи коннектятся на x.x.x.x:12345 и всех NATит на терминал должна работать или может у меня с PF что-то нетак ?



  • В логах сервера терминалов нет ничего интересного? Мой партнёр по лицензированию, говорил, что для доступа к терминалу через инет нужны другие коллы (или типа этого).

    А вообще, правила достаточно в нате достаточно одного, и в файере в ван должен быть разрешён этот порт - 12345.



  • @DasTieRR:

    В логах сервера терминалов нет ничего интересного? Мой партнёр по лицензированию, говорил, что для доступа к терминалу через инет нужны другие коллы (или типа этого).

    А вообще, правила достаточна в нате достаточно одного, и в файере в ван должен быть разрешён этот порт - 12345.

    В правилах WAN должен быть разрешен доступ ANY:* > ANY(или LAN subnet):RDP .
    Фаер видит уже промаскированные портмапингом порты. Посмотрите на автоматически-создаваемые правила.



  • @dvserg:

    @DasTieRR:

    В логах сервера терминалов нет ничего интересного? Мой партнёр по лицензированию, говорил, что для доступа к терминалу через инет нужны другие коллы (или типа этого).

    А вообще, правила достаточна в нате достаточно одного, и в файере в ван должен быть разрешён этот порт - 12345.

    В правилах WAN должен быть разрешен доступ ANY:* > ANY(или LAN subnet):RDP .
    Фаер видит уже промаскированные портмапингом порты. Посмотрите на автоматически-создаваемые правила.

    Это мне? :)



  • @DasTieRR:

    @DasTieRR:

    А вообще, правила достаточна в нате достаточно одного, и в файере в ван должен быть разрешён этот порт - 12345.

    Это мне? :)

    Получается да



  • @dvserg:

    @DasTieRR:

    @DasTieRR:

    А вообще, правила достаточна в нате достаточно одного, и в файере в ван должен быть разрешён этот порт - 12345.

    Это мне? :)

    Получается да

    У меня с этим проблем нет, я высказал предложение автору тему.



  • Правило создается. Проблема в том что нормально может подключиться только 1,2 пользователя, у остальных пишет "Не удалось подключиться".



  • @DasTieRR:

    @dvserg:

    @DasTieRR:

    @DasTieRR:

    А вообще, правила достаточна в нате достаточно одного, и в файере в ван должен быть разрешён этот порт - 12345.

    Это мне? :)

    Получается да

    У меня с этим проблем нет, я высказал предложение автору тему.

    Я поправил ваше предложение, так как разрешать порты 12345 не имеет смысла. Портмапинг обрабатывает пакеты раньше фильтра, в фильтр пакет попадет уже с портом назначения RDP (3389).



  • @sereoga:

    Правило создается. Проблема в том что нормально может подключиться только 1,2 пользователя, у остальных пишет "Не удалось подключиться".

    Смотрите логи pfSense и сервера на который направляется подключение. Что шлюзом у целевого сервера стоит?



  • @dvserg:

    @DasTieRR:

    @dvserg:

    @DasTieRR:

    @DasTieRR:

    А вообще, правила достаточна в нате достаточно одного, и в файере в ван должен быть разрешён этот порт - 12345.

    Это мне? :)

    Получается да

    У меня с этим проблем нет, я высказал предложение автору тему.

    Я поправил ваше предложение, так как разрешать порты 12345 не имеет смысла. Портмапинг обрабатывает пакеты раньше фильтра, в фильтр пакет попадет уже с портом назначения RDP (3389).

    Спасибо, не знал о приоритете портмаппинга. (век живи - век учись :) )



  • @sereoga:

    Правило создается. Проблема в том что нормально может подключиться только 1,2 пользователя, у остальных пишет "Не удалось подключиться".

    Если один может, то и другие должны мочь.
    Прямая дорога к тиспидампу. Запусти```
    tcpdump -ni <lan interface=""> port 3389</lan>

    и пробуй подключиться вторым-третьим пользователем. Что кажет?


  • Может у терминалки стоит ограничение по подключениям с одного ИП??? У меня на один порт 5 клиентов садаться с 1 ИП.


Log in to reply