Клиент не может подключиться к серверу по RDP



  • Ребят, может подскажете, что за проблема. У нас был обычный настроенный роутер Zyxel, и всё работало как надо. Поставил вместо него шлюз с pfsense, настроил проброс портов для подключения из внешки по RDP через порт (к примеру 11111) к серверу с адресом 192.168.1.2. Все наши пользователи нормально подключаются из внешки, а у одного проблема, вылетает стандартная виндовая ошибка "Удаленному рабочему столу не удалось подключиться к удаленному компьютеру по одной из следующих причин…", ни одна из этих причин не имеет место в реальности, всё включено, всё подключено, но подключение не проходит, хотя до замены шлюза всё прекрасно работало с теми же самыми настройками. Я бы понял, если бы все удаленные пользователи получили такую ошибку, но нет же, только один, причем этот один пробовал с двух разных ПК и оба не смогли подключиться.




  • на wan в рулесах правило добавилось?
    все правильно, должно работать, попроси кого нить другого зайти, может что не так клиет у себя набирает-вписал.



  • на wan в рулесах правило добавилось?

    Вроде добавилось, только смущает звездочка в графе Port, так и должно быть?

    все правильно, должно работать, попроси кого нить другого зайти, может что не так клиет у себя набирает-вписал.

    Я сам лично по удаленке проверял настройки подключения, там у них всё правильно.




  • Да звездочка, все правильно.



  • Откл антивирус\fw на стороне пол-ля. И встроенный fw от MS тоже.

    Далее. Вкл. логирование правил fw на pf и смотрите логи. Вполне возможно, что пол-ль формирует неверный tcp-пакет при попытке подкл.
    В отличие от Зюхеля pf этого не любит.

    Всегда! ВСЕГДА! Смотрите логи.



  • Простите за глупый вопрос, не могли бы вы поподробнее объяснить, где и как включаются логи и на что там смотреть? Я просто pfsense три дня как поставил, ещё не везде всё знаю.



  • Галка Log (Log packets that are handled by this rule) в правиле.
    Если нужно отследить то, чего нет в запрещающем правиле, создайте разрешающее и отметьте включите в нем Log.

    В Status: System logs: Settings
    Log Firewall Default Blocks - поставить нужные галки
    Можно и увеличить GUI Log Entries to Display

    Смотреть  -  Status: System logs: Firewall



  • Только для начала необходимо проверить что трафик доходит — и не проходит через pfSense, иначе смысла выставление логирования нету.



  • Только для начала необходимо проверить что трафик доходит — и не проходит через pfSense, иначе смысла выставление логирования нету.

    А как убедиться? Пинг от клиента до нашего внешнего IP доходит.

    Смотреть  -  Status: System logs: Firewall

    Только что опять позвонил клиент с такой же проблемой, не может подключиться. Смотрю в логи, а там вообще последняя запись 4 часа назад сделана и нет записей, содержащих заданный порт (11111), только отклоненные попытки подключения через всякие левые порты. Логирование включено на правиле, которое собственно и должно разрешать подключение из внешки по RDP на порт 11111. Специально проверил с отдельного ноутбука через usb модем Мегафон - поключение проходит нормально! Чего им, блин, не хватает.

    Вполне возможно, что пол-ль формирует неверный tcp-пакет при попытке подкл.
    В отличие от Зюхеля pf этого не любит.

    Не понял, что значит неправильный? А как его сделать правильным, если винда сама там себе на уме всё решает?




  • @LehaMechanic:

    Чего им, блин, не хватает.

    В обычной ситуации осталось бы грешить на провайдера, так же пробовать альтернативный порт, предподчтительно 443 или 80.
    А какой версии pfSense 2.3? Может в этом загвоздка?



  • pfSense 2.2.6

    так же пробовать альтернативный порт, предподчтительно 443 или 80.

    Пробовал разные порты, не проходит.



  • Кстати, а проверьте MTU.
    Вчера сам с такой фигней столкнулся. Провайдер что-то поменял и большие пакеты через стандартный MTU=1492 для PPPoE перестали проходить.


Log in to reply