Удаленное подключение к рабочему столу
 

Ситуация следующая:
Есть статический внешний (Internet) IP 89.x.x.x
На нем висит роутер: LinkSYS WRT 54 GS. Соответственно внешний IP 89.x.x.x, внутренний 192.168.x.1.
В локалке контроллер домена Win 2008, IP 192.168.x.2.
NAS: 192.168.x.3 (NAS несет функции web-server, File-station, управляющая).

Соответственно на роутере настроен проброс портов:
Web-server:порт: 80 IP: 192.168.x.3
File-station: порт: 7001 IP: 192.168.x.3
Управляющий: порт: 5000 IP: 192.168.x.3
RDP: порт: 3389 IP: 192.168.x.2

Удаленное подключение к рабочему столу (192.168.x.2) в локалке работает прекрасно.

С NAS тоже проблем нет (хоть с луны подключайся).

А вот из дома никак не получается подключиться к рабочему столу Win 2008.

Где копать?

для начала покажите как настроено подключение к удаленному рабочему столу на Win 2008 и какая ошибка выдается при подключении либо на каком этапе виснет подключение. какая ОС и защитное ПО дома стоит?

Использую mstsc, вбиваю 89.x.x.x
Сообщение: Не удается подключиться к удаленному компьютеру.
Если по умолчанию стучится на порт 3389, то не понятно почему не работает. В противном случае вообще не пойму где этот порт указать. Ведь по умолчанию вбивая в браузере 89.x.x.x попадаю на web-страничку (192.168.x.3:80)
Дома XP pro SP3. Брендмауэр отключен. Антивирь не работает.

через двоеточие после адреса. ну так как настроен удаленный доступ на сервере?

89.x.x.x:3389 - это первое что было попробовано. Но результат тот же: Не удается подключиться к удаленному компьютеру.

а вообще простой тест на открытость порта хотя бы через телнет проводился?

может порт кто то по пути режет, может сетевуха сервера *.*.*.2 все блочит. но я думаю просто стоит что т овроде не принимать подключения извне. (но на сколько помню такое можно только на брендмауэре сделать)
Хотя скорей все го что то не совсем правильно настроено на железке (шлюз)
На скокльо я помню порт не TCP, а UDP ( такая ошибка тоже была у меня)

TCP

Я с локального компа подрубаюсь в серваку 192.168.х.2. Все Ок.
Подрубаюсь с этого же компа через 89.х.х.х (Не удается подключиться к удаленному компьютеру.)
К сожалению из дома роутером управлять не могу (хотя может что-то не догоняю, но WRT54GS не предусматривает администрирование через WAN).
Про UDP проверю, спасибо.

Если не сложно о тесте через telnet поподробнее.

Роутер не умеет из локальной сети замыкаться на себя через внешний IP-адрес!


telnet 89.x.x.x 3389

Если дома ХРень то в ней все по умолчанию стоит и не надо никуда леть

telnet 89.х.х.х 3389
если есть коннект - то это будет понятно, если нет то он тебе так и скажет соединение установить не удалось

telnet 89.х.х.х 3389
Подключение к 89.х.х.х...Не удалось открыть подключение к этому узлу, на
порт 3389: Сбой подключения

типа того...

если семёрка, то надо добавлять через установку удаление программ этот сервис, его зачем то как и пинг заблочини по умолчанию

...
эээ да если ты из внутреней сети пытаешься подрубиться на 89.х.х.х роутер пути не свяжет, только из дома. или любой другой сети

telnet
o 89.x.x.x 3389
Не удалось открыть подключение к этому узлу, на порт 3389: Сбой подключения

o 89.x.x.x 21
220 Server_name FTP server ready


o 89.x.x.x 80
Подключение к 89.x.x.x... (при вводе любого символа выдает что-то похожее на HTML и сообщение: Подключение к узлу утеряно)

Telnet поддерживает работу с FTP сервером?

Значит, явно не настроен роутер. Ещё раз внимательно пройдитесь по настройкам проброса порта 3389 в локальную сеть.

Вот у мнея именно так!

telnet 89.х.х.х 21
220 Server_name FTP server ready

Значит в принципе все работает, а вот по 3389 - не пускают.

Где посоветуете смотреть?

в роутере...все в нём только. так как из внутреней сетки, как вы писали, все открыто
предлагаю удалить все записи о RDP сервере на роутере и создать их по новой. может где то запятую вместо точки постивил, или где то цифирку случайно не ту поставил вот и результат. Тот роутер что вы описываете мне лично не знаком. я все как то по Д-линкам

kirgb,
Покажите скрин настроек с веб-интерфейса роутера находящихся на закладке Applications & Gaming->Port Range Forward

может тупо галочка не стоит напротив правила...

Настройки на роутере

Может в Security какую галку надо убрать?

x Block Anonymous Internet Requests
x Filter Multicast
0 Filter Internet NAT Redirection
x Filter IDENT(Port 113)

x- галочка установлена

kirgb,
Вывод ipconfig /all с сервера покажите.

Вот:

kirgb,
Если не используете IPv6 то лучше его отключить. 192.168.4.1 это внутренний ip роутера правильно? Файрвол на сервере включен? Из локалки с какой системы подключаетесь с Windows XP ?

Шестую версию отключил. ...4.1 - роутер. Фаервол включен (если имеется ввиду брендмауер, создано исключение на порту 3389).
Из локалки с XP, sp3.
Спецом пробовал подключаться к 192.168.4.2:3389 - Ок.

Если из дому идет пинг Вашего сервера, но Вы не можете до него достучаться по RDP, то вероятно у Вас не настроен шлюз удаленных терминалов, либо в настройках RDP соединения стоит подключение по сетевой карте которая смотрит в локалку, либо запрещено удаленное соединение.

Для данного правила и правила "Дистанционное управление рабочим столом (TCP - входящий)" покажите скрин с закладок "Область" и "Пользователи и компьютеры".

McRae., не пудрите человеку мозги! Читайте внимательно тему.
Какие сетевые карты? Какой шлюз столов, если у него роутер с проброшенными портами?!

"Дистанционное управление рабочим столом" - отмечено в исключениях (возможности указать TCP или UDP нет, только описание).
Что имеется ввиду под закладкой "Оласть"? И что вы хотите увидеть в "Пользователях и компьютерах"?

Интересно, как я могу пропинговать сервер из дома? Где настраивается RDP соединение? Где разрешается удаленное соединение???

Смоделировал у себя такую же конфигурацию , только проброс портов сделал через комп, тоже не работает)))

Пуск->Администрирование->Брандмауэр Windows в режиме повышенной безопасности->Правила для входящих подключений ищем там правило "Дистанционное управление рабочим столом (TCP - входящий)" профиль "Домен" щелкаем по нему два раза мышкой и смотрим закладки "Область" и "Пользователи и компьютеры" и скрины выкладываем.
Мой компьютер->Свойства->Настройка удаленного доступа->Удаленное использование.

у меня та же самая ситуация работает. Но я настраивал через D-link 804
Сейчас через FW 203 их же сделал VPN и так же к рабочему столу полключаюсь, что бы порт 3389 на улицу не торчал.

самое просто попробуй на врея отключить локальный брендмауэр, если пакеты пройдут, ответ будет ясен. А так можно долго гадать в чём причина

Хм, все же теперь у меня остается такой вопрос. ЗАчем тогда MIcrosoft придумали шлюз удаленных рабочих столов, если прописав на роутере или гейте внешку можно пробросить порт RDP, получается что как то глупо все. Не расчитывали же они что, тот же TS сервер , он же будет гейтом или иметь внешний IP адрес.?

Шлюз удаленных рабочих столов придуман совсем для другого и один из случаев когда он используется если Вас внутри сети несколько терминальных серверов вот так он и нужен.

Вот:

ХМ, всегда думал, что шлюз удаленных рабочих столов требуется как раз для подключения из вне к ТС без создания VPN сессии.
А тут получается, что у парня висит роутер, который перекидывает RDP на локальный адрес ТС сервера и получается если все будет работать как он хочет, то его ТС сервер будет открыть для вся руси?

Выключение брендмауэра ничего не дало. И как проверить идут пакеты или нет?

И для этого тоже, трафик RDP передается по тунелю SSL через 443 порт.
Да будет открыт для всех,ограничевается настройками файрвола на сервере путем указания ip адресов с которых можно подключаться.
Посмотрите в Web интерфейсе роутера в разделе Administration->Log логи у Вас включены? Не может ли Ваш провайдер блокировать соединение по 3389 порту?

2 kirgb:

первое что сказал гугл

http://2ip.ru/check-port/

2 Telepuzik:
Идея с провайдером имеет место быть, эти заразы вечно заботятся о нас когда нам это не надо

Вот что выдал log:

Первая строка - это когда я с локалки пытался подключиться к серверу через внешний IP: 89.x.x.x:3389

Три следующих, когда подключался удаленно (из дома) так же с подключением к 89.х.х.х:3389
Странно то на какие порты стучит и дома: 5060, 135, 445

И откуда взялись еще два IP из 89 Сети?

Я правильно понял что при подключении из дома у Вас нет в логах записи о том что идет соединение на порт 3389?

Он говорит что у меня на всех компах порт 3389 закрыт ;))) Значит мне снится что я управляю сервером (хоть и из локалки, ведь именно по 3389 идет поток)
А на рабочем компе у меня вообще брендмауэр выключен, а при включении и попытке насильно открыть порт, говорит что он уже открыт для "ударенного подключения к рабочему столу"

Вот и я удивляюсь. Совсем запутался. Хоть создавай новую тему "Лучшее ПО для удаленной работы и администрирования"

Естественно он это и говорит, видит то сайт только твой внешний адрес. с чего вдруг он твои локальные данные будет проверять. Посмотри чтьо он скажет 80 и 7001 ... Я так подозреваю скажет что открыты, что и будет правдой. Открытость порта определяется только ответом на запрос на него, тоесть то чт оты его открыл на роутере еще ничего не значит если сервер не дает ответа. Собственно что и ддемонстрирует сайт. Если из внутреней сети telnet *server* 3389 - подключиться то остается только настройка сетевой карты сервера ( что по моему врядли, но возможно групповой политикой. Но на сколько знаю это только ручками делается, по умолчанию выключено, хотя я 2008 ещё не на столько досконально знаю) либо роутер, но почему он не пропускает не знаю. нет у меня такой циски

ещё одно предположение, хотя и глупое, но бывает всякое. А прошивку обновлять не пробовал?

http://homesupport.cisco.com/en-us/wireless/lbc/WRT54GS
уже даже ссылку отрыл

kirgb, а в брандмауэре сервера не указан ли диапазон адресов, с которых разрешено подключение? Может статься, что внутренний адрес роутера оттуда выбивается. ;)

Тогда скорее всего порт заблокирован провайдером.

он его несколько постов до этого через сайт смотрел, результат - закрыт порт. Думаю домашний провайдер не причём. Хотя может быть это не домашний провайдер а рабочий как раз провайдер, домашние ленивые очень, а те кто фирмам предоставляют часто страхуются от того что клиенты звонят и говорят что "на них аттаку проводят". Ну бывало такое при открытых интересных портах вроде 3389

я бы попросил версию роутера а то документацию даже не знаю какую читать... там 10 вариаций от 1.0 до 7.2 ( и это не прошивка, а именно Ревьюжн так сказать)

WRT54GS Firmware Version: v7.50.2

Открыты порты:
21, 80, 5000, 7001

23, 3389 - закрыт

Может правда провайдер? Отключили telnet & RDP

Я же просил версию роутера, а не его прошивки. Ну да ладно методом исключения установил что это 7.0

Есть вариант проверить, достать кабель кросс, подрубись вместо кабеля интернета и проверь телнетом :)
Самое удобное конечно ноутбук, но что уж есть. Кабель по любому прийдётся делать уже года этак ... давно вообщем, не видел их в продаже

Есть еще вариант сменить порт RDP на сервере.

ну кому что проще, у меня кабелей море, я бы просто подрубился. а так искать заведомо открытый, менять порт. Потом в любом случае возвращать :)

Дома экспериментировал с открытием портов. У меня роутер 3com.
Сначала были все закрыты... Настроил пробросы на роутере, включил брендмауэр, наставил галочек.
Открыл 21, 80, 3389 (http://2ip.ru/check-port/ - этим проверил)
А вот 23 (telnet-овский) не захотел открываться. Провайдер клялся что ничего не закрыто.

Так и не понял почему 23 не открылся... Может в настройках на роутере есть запрет на открытие 23 порта?

на некоторых был, но 3сом я тоже давно мучал и не омню особенностей настроек

Собственно чем все закончилось то ? Очень хотелось бы узнать решение этой проблемы....

Я в ступоре...
На рабочей машине включил удаленное подключение (3389). настроил брендмауэр, пробросил порт на роутере.
Хрен!!!
3389 - закрыт.
Зато открыты 21, 80 , 5000, 7001

Тоже самое на серваке ;((
Но в брендмауэре нет разрешения на эти порты (что на РС, что Серваке). И роутер не настроен на проброс портов на эти IP.

Начинаю грешить на NAS (Synology RS409). Со странной функцией: Конфигурация маршрутизатора
Там открыты 21 и 5000 порты.
Может из-за конфликта роутера и включенной функции на NAS такая фигня происходит?

Может кто знает можно ли удаленно подключаться к WRT54GS, а то я дома не могу ничего делать. а на работе не так много времени вдыется...

Посмотрите в Web-интерфейсе раздел Administration->Management->Remote Router Access у меня правда не WRT54GS а WRT54G но думаю что они мало чем отличаются.

Я спекся ;((( В голове полный бардак.
Провайдер поверил и сказал что ничего не закрыто.

Может есть у кого желание возмездно оказать помощь?
Две головы лучше ;)
Располагаюсь Москва, район Марьино.

Контакты можете бросить в личку.

Главное отпишись потом сюда, что же было, потому как такая же проблемка! Нехочу серваку давать белый IP и настраивать шлюхз терминалов))

Выясняются следующие подробности:
NAS и правда перехватывает функции роутера. Если его (NAS) отключить и провести тест на открытые порты (http://2ip.ru/port-scaner/), то все порты закрыты. Если включить порты FTP, Telnet, www и тд открываются.

Но самое не приятное то, что при отключенном NAS перенаправления портов роктером (WRT54GS) не происходит. Что не делай с таблицей Port Range Forward, а ни один порт не открывается ;((

Подключил комп непосредственно к роутеру (удалив всю сетевую инфраструктуру). Так ни один порт и не открылся.
Вывод: роутер блокирует все внешние соединения (даже с полностью отколоченным фаерволом). Никакие пробросы портов не помогают.

вообще аномалия какая то ну обнови мозх железке, тут или железка умерла либо ты что то не так настраиваешь. хотя железка стандартная абсолютно и в чём дело пока не понятно, "пробуй на кошках" мой тебе совет. Собери простую систему без серверов на тех же XP-шках и пробуй удалёнку с этой железкой просто с одной машины управлять другой.
Ну по плану вообщем сначала пинг на железку с наружи, проверить видит ли. потом уже пробовать проброс. но без интернета и других заморочек. Наверняка все просто, вроде сломанного роутера. По количеству страниц я думал уже проблему то решили, ан нет все ещё борятся...

В гости не поеду, далеко больно. Но если есть желание могу попробовать помочь удалённо её помучать. Пиши в личку, подумаем.

Поменял роутер... Открыл FTP, telnet, http, https.... RDP (3389)
Все работает так как и задумывалось, кроме RDP ;(((
(Не удается подключиться к удаленному компьютеру)

В логах роутера стуки по порту 3389 то отбражаются, то нет.
Зато лог бозопасности выдает следующее:
Security Log (none) Nov 16 08:15:29 DoS attacking : [25560]: Detect the syn-flood attack
(none) Nov 16 08:15:29 klogd: To stop GPIO 3 blinking ... successful
(none) Nov 16 08:15:29 klogd: To stop GPIO 3 blinking ... successful

Есть еще проблема: на маршруте находится два устройства с одинаковыми MAC-адресами.
Внешний MAC роутера подключающегося и внетрений MAC роутера в локалке (не спрашивайте как... так получилось...).

Ситуация разрешилась!!!

Делаю вывод:
1) Роутер WRT54GS - "битый". То есть некорректная работа с "виртуальными серверами"
2) Если по какой то причине на маршруте находится два одинаковых MAC адреса - система защиты RDP (или фаервола роутеров) запрещает устанавливать связь.

Всем спасибо за поддержку!