RDP с 2 каналов интернета



  • Добрый день.
    Есть 2003 сервер, на нем доступ в инет. (белый IP и естественно шлюз). Поднят RDP
    Он же по локалке связан с машиной с PFSENSE. (ип сервера 192.168.2.2, Pfsense 192.168.2.1)
    Как мне прокинуть RDP еще и через PFSENSE.
    Сделал правило в NAT.
    Если я на 2003 ставлю шлюзом 192.168.2.1, то начинает работать через PFSENSE, но падает через канал инета который напрямую проведен к серваку.
    Может ли PFSENSE пробрасывать пакеты так, что бы сервак считал что пакет пришел не с инета, а с IP PFSENSE. Чтото типа proxy port.



  • Можно все, если структура сети не экзотическая.



  • @dvserg:

    Можно все, если структура сети не экзотическая.

    Не знаю что здесь экзотичного. Две машины одна под 2003, другая под pfsense. Два разных провайдера, один подключен к 2003, второй к pfsense. Между машинами сетка. На 2003 поднят RDP.
    Вопрос: как на RDP подключатся с 2 разных провайдеров одновременно?



  • @Shurik_KAM:

    @dvserg:

    Можно все, если структура сети не экзотическая.

    Не знаю что здесь экзотичного. Две машины одна под 2003, другая под pfsense. Два разных провайдера, один подключен к 2003, второй к pfsense. Между машинами сетка. На 2003 поднят RDP.
    Вопрос: как на RDP подключатся с 2 разных провайдеров одновременно?

    Ну со второй попытки получилось объяснить.
    Можно попытаться настроить portmapping на WAN + NAT для сокрытия адреса-источника.



  • @dvserg:

    @Shurik_KAM:

    @dvserg:

    Можно все, если структура сети не экзотическая.

    Не знаю что здесь экзотичного. Две машины одна под 2003, другая под pfsense. Два разных провайдера, один подключен к 2003, второй к pfsense. Между машинами сетка. На 2003 поднят RDP.
    Вопрос: как на RDP подключатся с 2 разных провайдеров одновременно?

    Ну со второй попытки получилось объяснить.
    Можно попытаться настроить portmapping на WAN + NAT для сокрытия адреса-источника.

    Спасибо. Слова понятные, а как сделать не пойму. Сутки инет рыл. Как в pfsense можно скрыть адрес источника? Или это все делается средствами freebsd. Я внем полный ноль. Может кто ссылку кинет или объяснит чайнику.

    Нашел вот это:

    С.2.1.6.4.3. TCP proxy

    Можно произвести проксирование TCP соединений при помощи приложений из userspace. Приложение перехватывает соединение, устанавливает соединение с сервером и далее пробрасывает данные через себя. Простейший пример можно сделать при помощи inetd(8) (см. Раздел 5.17.2, «Суперсервер inetd(8)»)и nc(1) (см. Раздел 6.4.4, «telnet(1), nc(1)»). Следующая строка в /etc/inetd.conf(5) создаёт сокет привязанный к кольцевому интерфейсу, порт номер 5000. Соединение пробрасывается на 80-й порт машины 192.168.1.10:
    127.0.0.1:5000 stream tcp nowait nobody /usr/bin/nc nc -w 20 192.168.1.10 80

    Теперь на внутреннем интерфейсе мы можем связать 80-й порт с нашим proxy-сервером:
    rdr on $int_if proto tcp from $int_net to $ext_if port 80 ->
      127.0.0.1 port 5000

    это не по моей ли теме?



  • Маппинг пробрасывает соединения клиента с интерфейса на указанный IP:port путем замены destIP/destPort в пакетах.
    NAT маскирует соединения клиента путем замены srcIP/srcPort на свои.

    Клиент из внешней сети подключается на WAN - пакеты [src ipCL:portCL][dest ipWAN:portWAN].
    После применения порт-маппинга - пакеты [src ipCL:portCL][dest ipSERVER:portSERVER].
    Но в таком виде Server будет кидать ответ для SRC на шлюз по умолчанию, коим pfSense не является.

    Применяем NAT  - пакеты [src ipPFSENSE:portPFSENSE][dest ipSERVER:portSERVER].
    Ответ сервера будет идти на pfsense, который расположен в той-же сети

    Что нужно сделать - зайти в меню NAT и настроить портмаппинг (SRCclient->WAN->DESTserver) на WAN, и Outbound NAT (SRCwan->LAN->DESTserver) на LAN



  • Спасибо все заработало!!!

    В NAT нарисовал так:
    WAN TCP * * WAN address 3389 (MS RDP) 192.168.2.8 3389 (MS RDP)
    что вообщемто было сделано сразу

    в Outbound:
    LAN   any * 192.168.2.8/32 3389 * * NO



  • Добавил в FAQ



  • @Shurik_KAM:

    В NAT нарисовал так:
    WAN TCP * * WAN address 3389 (MS RDP) 192.168.2.8 3389 (MS RDP)
    что вообщемто было сделано сразу

    в Outbound:
    LAN   any * 192.168.2.8/32 3389 * * NO

    Чет не работает.
    1. В шапке Ip 192.168.2.2 , а в правилах 192.168.2.8
    2. Прописан ли шлюз на (виндовой машине) 192.168.2.8 и какой?



  • 1. В шапке вопрос ставился теоретически, а правилах прописано для конкретной машины 192.168.2.8. RDP поднят на ней.
    2. На виндовой машине прописан шлюз на второго провайдера.



  • @Shurik_KAM:

    2. На виндовой машине прописан шлюз на второго провайдера.

    Следовательно, на виндовом сервере поднят нат и локольный интерфес 192.168.2.8 не имеет шлюза?



  • @dr.gopher:

    @Shurik_KAM:

    2. На виндовой машине прописан шлюз на второго провайдера.

    Следовательно, на виндовом сервере поднят нат и локольный интерфес 192.168.2.8 не имеет шлюза?

    да. почти так :)

    если точно, то в конкретно эта виндовая машина имеет  1 сетевую плату с 2 ип 192.168.1.8 и 192.168.2.8 и шлюзом 192.168.1.1



  • @Shurik_KAM:

    виндовая машина имеет  1 сетевую плату с 2 ип 192.168.1.8 и 192.168.2.8 и шлюзом 192.168.1.1

    Попытка реализации.

    Pfsense
    WAN x.x.x.x/xx
    GW x.x.x.x
    **LAN 192.168.1.1/24

    Win xp** два айпи на одном интерфейсе.
    IP-1 192.168.0.12/24
    GW 192.168.0.15

    IP-2
    192.168.1.12/24
    GW отсутствует

    Правила NAT

    Где неправильно?



  • IP-2
    192.168.1.12/24
    GW отсутствует = 192.168.1.1



  • @dvserg:

    IP-2
    192.168.1.12/24
    GW отсутствует = 192.168.1.1

    Тогда это стандартная ситуация и без доп. телодвижений все работает!

    Мы рассматриваем проброс порта в ситуации когда Pfsense не является шлюзом по умолчанию!?
    Или я ошибся?



  • @dr.gopher:

    @dvserg:

    IP-2
    192.168.1.12/24
    GW отсутствует = 192.168.1.1

    Тогда это стандартная ситуация и без доп. телодвижений все работает!

    Мы рассматриваем проброс порта в ситуации когда Pfsense не является шлюзом по умолчанию!?
    Или я ошибся?

    Не читал сверху..
    Тогда дополнительные телодвижения заключаются в организации обратного NAT на внутреннем интерфейсе pfSense в дополнение к портфорварду.
    Просто портфорвард транслирует пакеты от имени внешнего источника и RDP сервер пытается ответить через шлюз по умолчанию. Добавление внутреннего NAT сделает источником пакетов LAN интерфейс PFSense, а он находится в одной сети с сервером и хорошо ему известен.



  • @dvserg:

    Добавление внутреннего NAT сделает источником пакетов LAN интерфейс PFSense, а он находится в одной сети с сервером и хорошо ему известен.

    Я так понял это и есть внутренний нат. Возможно еще какие-то условия упущены.
    Firewall: NAT: Outbound



  • Ага, вроде оно… чего-то, не внимательно посмотрел..



  • @dvserg:

    Добавил в FAQ

    Есть подозрения, что необоснованно.  ;)



  • Как я понял чтото не работает?

    А вот так это выглядит на сервере
    C:\Documents and Settings\Администратор>netstat  -n

    Активные подключения

    Имя    Локальный адрес        Внешний адрес          Состояние
    ….........
     TCP    192.168.1.8:3389      46.241.95.60:26786     ESTABLISHED
    ............
     TCP    192.168.2.8:3389       192.168.2.1:59253      ESTABLISHED
    ............

    Да для начала проверь проблема в pfsense или в виндовой машине, из сети то RDP на ип 192.168.1.12 и 192.168.0.12 поднимается?






  • @Shurik_KAM:

    Да для начала проверь проблема в pfsense или в виндовой машине, из сети то RDP на ип 192.168.1.12 и 192.168.0.12 поднимается?

    Шайтан! Правила одинаковые. РДП работат из обеих подсетей. Правила брендамуера всё всем. Но не работает редирект.  :(
    В понедельник переустановлю ПФ и отпишусь.

    Может роут где то прописывали, или чекбасик гдето убрали поставили?



  • @dr.gopher:

    @Shurik_KAM:

    Да для начала проверь проблема в pfsense или в виндовой машине, из сети то RDP на ип 192.168.1.12 и 192.168.0.12 поднимается?

    Шайтан! Правила одинаковые. РДП работат из обеих подсетей. Правила брендамуера всё всем. Но не работает редирект.  :(
    В понедельник переустановлю ПФ и отпишусь.

    Может роут где то прописывали, или чекбасик гдето убрали поставили?

    Да нет вроде не каких чекбоксов не ставил.
    Попробуй на видовой машине шлюз прописать на pfsense, а на pfsense сделай только правило для NAT: portforwars.
    Если все заведется, убей шлюз и допиши правило в NAT: Outbound.



  • @Shurik_KAM:

    Да нет вроде не каких чекбоксов не ставил.

    Разобрался!
    Условие при котором работает редирект

    Хе..
    Но при этом отвалился инет.
    А в режиме  Automatic outbound NAT rule generation редирект не работает.



  • Ручное правило обычного ната требуется для инета.



  • @dvserg:

    Ручное правило обычного ната требуется для инета.

    Спасибо. Добавил уже.   :)

    Оформил статейку http://thin.kiev.ua/index.php?option=com_content&view=article&id=456:222&catid=50:pfsense&Itemid=81


Log in to reply