Вход | Регистрация

  1  2   
Информационные технологии :: Администрирование

RDP доступ к VPN клиенту через Zyxel

RDP доступ к VPN клиенту через Zyxel
Я
   DGorgoN
 
20.03.18 - 14:27
Стоит дома зюксель с белым постоянным ip, на нём поднят VPN сервер.
К этому серверу подключен клиент, к которому я из интернета хочу иметь доступ по RDP.
На зюкселе настроил постоянный адрес VPN клиента вида: 192.168.6.39 и в нате зюкселя создал правило, при подключении с int на указанный порт 12345 переадресовывать на 192.168.6.39:3389.

Вроде всё логично но как только подключаюсь к своему белому ip на порт 12345 через рдп клиент и vpn соединение резко вышибает.
Помогите с настройкой.
 
 
   Звездец
 
1 - 20.03.18 - 14:31
ты путаешь проброс портов и впн
   DGorgoN
 
2 - 20.03.18 - 14:31
(1) В смысле?
   DGorgoN
 
3 - 20.03.18 - 14:32
Вот смотри, у меня есть комп без белого айпи за натом, делаю ему подключение к vpn роутеру с белым ip

на роутере сделал настройки, но они чет вот не работают как я хочу (
   DGorgoN
 
4 - 20.03.18 - 14:36
ап
   spectre1978
 
5 - 20.03.18 - 14:43
(0) какая-то мешанина. Если вы подняли VPN (кстати, какой?), то тогда вам проброс портов не нужен. Поднимаете VPN и дальше коннектитесь на локальный IP по RDP безо всякого проброса
   DGorgoN
 
6 - 20.03.18 - 14:46
(5) Ты не понял, я хочу из интернета по ip иметь rdp доступ к тачке которая за натом
   DGorgoN
 
7 - 20.03.18 - 14:47
т.е. есть:
1) тачка с интернетом но за натом (мегафон модем)
2) vpn роутер с белым ip и поднятым впн
3) любой компьютер в интрнете, с которого я хочу получить доступ к RDP 1-й тачки через роутер 2
   Звездец
 
8 - 20.03.18 - 14:47
(6) так vpn для этого не нужен, достаточно проброса/перенаправления портов
   DGorgoN
 
9 - 20.03.18 - 14:49
(8) см (7)
   Звездец
 
10 - 20.03.18 - 14:49
(7) тебе надо тогда на vpn сервере настроить маршрутизацию между клиентами. хз как это на зукселе, лучше взять микротик или циску
 
 Рекламное место пустует
   DGorgoN
 
11 - 20.03.18 - 14:50
1) тачка вообще в другом конце России (Магадан), мегафон модем
2) vpn роутер в Челнах
3) Комп вообще в любой точке мира гипотетический.
   DGorgoN
 
12 - 20.03.18 - 14:51
(10) Вот как? переброс порта до vpn клиента через нат я уже сделал но как только я подключаюсь сразу же вышибает впн соединение у компа 1.
   Trotter
 
13 - 20.03.18 - 14:55
Рисуйте в паинте карту сети, так ничего не понятно и теряется суть.
   DGorgoN
 
14 - 20.03.18 - 14:56
(13) ща
   DGorgoN
 
15 - 20.03.18 - 14:57
   g00d
 
16 - 20.03.18 - 15:02
Порт 3389 лучше не использовать. Полно сканнеров ищущих открытые рдп сервера с последущей ломкой и шифрованием.
И ваще это серьезно вопрос безопасности, лучше сделать впн + рдп.
   probably
 
17 - 20.03.18 - 15:02
(12) тебе уже в (10) посоветовали. Когда ты проброс портов делаешь, то зухель не понимает, что это сеть в впн'е (почему отключает соединение - нет версий).
Попробуй тоже по впн подключиться и через него просто по локальному айпи подключить рдп
   spectre1978
 
18 - 20.03.18 - 15:03
(7) я бы советовал с компа (3) на комп (2) подключаться тоже по VPN и настроить маршрутизацию между туннелями. На корпоративном зухеле (USG 100) это делается достаточно легко и именно так сейчас и работает у меня в конторе.
   spectre1978
 
19 - 20.03.18 - 15:04
проброс портов в этой схеме также не нужен
   DGorgoN
 
20 - 20.03.18 - 15:04
   DGorgoN
 
21 - 20.03.18 - 15:06
(17) Зюксель все понимает только где то косячит и выключает rdp, изначально рдп соединение поднимается.

Нужно именно рдп, если что рпд соединение по максимуму защищенно.
   Йохохо
 
22 - 20.03.18 - 15:07
(20) принципиально любой комп не соединять сначала с впн?
   DGorgoN
 
23 - 20.03.18 - 15:11
(22) Да
   DGorgoN
 
24 - 20.03.18 - 15:12
С впн то я уже настроил, работает.
   spectre1978
 
25 - 20.03.18 - 15:14
нет, так не делал. У меня RDP вообще никак не защищен и вся защита только на VPN, поэтому ни о каких хождениях снаружи нет и речи.
   DGorgoN
 
26 - 20.03.18 - 15:20
Перевелись админы на мисте? (
   Trotter
 
27 - 20.03.18 - 15:25
у Вас сервак у клиента клиентская часть ?)
клиент подключается к серваку, пинги ходят в другую локалку ? локалки надеюсь отличаются ?
   DGorgoN
 
28 - 20.03.18 - 15:27
(27) Да, типа того
всё ходит, локалки везде отличаются.
   Йохохо
 
29 - 20.03.18 - 15:28
а модель какая зюкселя?
   DGorgoN
 
30 - 20.03.18 - 15:30
Keenetic Start II
   lodger
 
31 - 20.03.18 - 15:32
(20) открытая в интернет RDP-морда - к беде.
   Trotter
 
32 - 20.03.18 - 15:33
ну раз пинги ходят, думаю Вы перестарались с защитой РДП и поэтому падает всё при RDP в расшаренные папки даёт заходить ?
   lodger
 
33 - 20.03.18 - 15:33
(22) видимо, ТС хочет подключаться по рдп с какого-нибудь любого рандомного АйПадла или Андройда.
 
 
   lodger
 
34 - 20.03.18 - 15:36
(26) + (30)  - плохо контактируют.
ты либо железяку корп-уровня купи, либо сервер нормальный поставь. тогда можешь сетовать на админов.
либо пыл поумерь, и юзай что зюхель дает. большего от него все равно не добиться.
   DGorgoN
 
35 - 20.03.18 - 15:37
(34) Хорошо, как это сделать на микротике? )
   probably
 
36 - 20.03.18 - 15:41
(35) тебе нужно готовый конфиг скинуть?)
   Йохохо
 
37 - 20.03.18 - 15:42
блина "я подключаюсь сразу же вышибает впн соединение у компа 1" сессия рвется юзера же вроде, попробуй пробросить внц какой и проверить, чтоб не было релога
   DGorgoN
 
38 - 20.03.18 - 15:48
(37) у 1 ПК сразу же отключается VPN соединение, вот прям сразу же.
   Йохохо
 
39 - 20.03.18 - 15:50
(38) там поднять сервер терминалов или происходит релог обычного юзера? мысль что происходит релог и рвется впн при релоге
   DGorgoN
 
40 - 20.03.18 - 15:51
Я даже имя не успеваю сбросить, однако сессия RDP, если запущена была то прерывается. Т.е. коннект проходит но почему то сразу VPN перрываеться (
   DGorgoN
 
41 - 20.03.18 - 15:51
(39) Аааа, интересная мысль
   lodger
 
42 - 20.03.18 - 15:52
(41) поэтому люди и сочинили TeamViewer...
   DGorgoN
 
43 - 20.03.18 - 15:53
Блин точно, при релоге рвёт RDP соединение, вот блин (((
   DGorgoN
 
44 - 20.03.18 - 15:53
Проблема в винде (
   Йохохо
 
45 - 20.03.18 - 15:53
(44) потести через внц, это быстро, как выход вроде ставить опенвпн как сервис
   DGorgoN
 
46 - 20.03.18 - 15:59
(45) Работает сволочь, похоже OpenVPN придётся мудрить (
Может VPN соединение как службу можно настроить?
   Йохохо
 
47 - 20.03.18 - 16:05
https://openvpn.net/index.php/access-server/docs/admin-guides/383-how-to-run-the-openvpn-client-in-service-mode.html лет дцать назад что то такое взлетало вроде, но я бы поставил на тот комп внц, настроил сжатие и не мудрил https://www.tightvnc.com/download.php
   Garykom
 
48 - 20.03.18 - 16:06
(0) vpn сервер на зюкселе поднят?
   DGorgoN
 
49 - 20.03.18 - 16:07
(48) Да, да разобрались уже, проблема в vpn клиенте винды, она при логоне его сбрасывает (
 
 Рекламное место пустует
   Garykom
 
50 - 20.03.18 - 16:08
(49) ага клиенту тоже зуксель поставить
   Garykom
 
51 - 20.03.18 - 16:10
(47) угу самое простое через vnc
   spectre1978
 
52 - 20.03.18 - 16:14
(51) На узком канале VPN+RDP будет в разы быстрее
   spectre1978
 
53 - 20.03.18 - 16:16
в свое время пробовал играться с VNC - показалось тормоз дикий. Даже со сжатием. Хуже чем TeamViewer. Хотя, возможно, руки были кривоваты, но вот так.
   DGorgoN
 
54 - 20.03.18 - 16:20
(53) Он реально такой к сожалению
   Йохохо
 
55 - 20.03.18 - 16:29
вот это http://www.litemanager.ru/support/help_ru/first_start/ шутрее внц и тима, но рдп конечно лучше
   DGorgoN
 
56 - 20.03.18 - 16:32
(55) Знаю пробовал но хочется минимум клиентского и стороннего ПО
   Йохохо
 
57 - 20.03.18 - 16:35
(56) все равно колеса квадратные, зато свои конечно
   Salimbek
 
58 - 20.03.18 - 16:46
Еще рекомендую попробовать AnyDesk, типа тима но файлик всего 3 мб, в отличие от...
   DGorgoN
 
59 - 20.03.18 - 17:08
(58) Да нафик, RDP защищяем - ширование все дела, меняем порты и вуаля.
   DGorgoN
 
60 - 20.03.18 - 17:08
Ну бэкапчеги, желательно и в облако и локально это святое.
   xaozai
 
61 - 20.03.18 - 18:02
   aka AMIGO
 
62 - 20.03.18 - 18:34
(59) Откуда берутся имена/номера портов?
   DGorgoN
 
63 - 20.03.18 - 22:32
(62) В смысле? Стандартный меняешь и всё.

C OpenVPN засада, эта сволочь к сожалению не хочет работать как я хочу (
Тунель между двумя подсетями можно создать а вот как ресурсы этого туннеля вывести через основной шлюз я не догоняю к сожалению (
   Garykom
 
64 - 20.03.18 - 22:42
(63) Правильно понимаю что задача:

Имея некий сервер (с белым ip), сделать через него удаленный доступ к клиентам. Причем эти клиенты с серыми ip.

?
   DGorgoN
 
65 - 20.03.18 - 22:49
(64) ДААА! Но без VPN у третьих лиц, с впн я уже разобрался как делать (
   Garykom
 
66 - 20.03.18 - 22:54
(65) "man iptables" уже пробовал?
   Garykom
 
67 - 20.03.18 - 22:55
(66)+ Лично у меня VPS под дебианом у firstvds
   Garykom
 
68 - 20.03.18 - 22:57
(67)+ обязательно KVM а не более дешевую OpenVZ
   DGorgoN
 
69 - 20.03.18 - 22:59
Ну если уж ничего не попрёт легкими силами то придётся и так, хотя я склоняюсь сейчас просто взять и поставить второй кинетик и там уже переброс ему дополнительный сделать )
   DGorgoN
 
70 - 20.03.18 - 23:16
Похоже так и придётся сделать (
   Garykom
 
71 - 20.03.18 - 23:18
(69) Это самое простое и удобное, у кинетиков есть доступ через облако к админке.

Ну и старые добрые ssh туннели https://www.itefix.net/copssh
   Garykom
 
72 - 20.03.18 - 23:23
(71)+ https://habrahabr.ru/post/331348/
там конечно тоже не все просто но пашет
   xaozai
 
73 - 20.03.18 - 23:24
Я для таких целей обычные ssh-туннели использую.
SSH сервер поднят на Zyxel Keenetic.
В качестве клиента ssh использую Bitvise, не putty и не plink, т.к., в комплекте Bitvise есть оч. удобна утилита retry, которая автоматически восстанавливает прерванное соединение. Все автоматизируется по самое нехочу, пароли в зашифрованном виде в реестре сохраняются. Скрипт для подключения можно в автозагрузку закинуть.
Для вашего случая я бы использовал реверс-туннель со стороны удаленного клиента... Т.е., он открывает порт 3389 на вашем роутере, кликнув на ярлык у себя (или при входе в систему). Вы коннектитесь на этот порт своего роутера и попадаете к нему.
   DGorgoN
 
74 - 20.03.18 - 23:27
(73) Ммм, подробнее можно?
   Garykom
 
75 - 20.03.18 - 23:28
(73) Гм не знал про Bitvise, юзал AutoSSH
   Garykom
 
76 - 20.03.18 - 23:28
(74) В (72) "2) Remote TCP forwarding"
   xaozai
 
77 - 20.03.18 - 23:39
(74)  Погуглите reverse ssh tunneling или обратные ssh туннели. Там ничего сложного.
В Bitvise это все настраивается в GUI, сохраняется в шифрованный файл и потом удобно запускать клиент, работающий из командной строки с указанием пути к настройкам.
Реверс-туннель в GUI - это закладка C2S...
   xaozai
 
78 - 20.03.18 - 23:40
(77)  s2c закладка (опечатался)
   xaozai
 
79 - 20.03.18 - 23:53
(73)  + В Bitvise тоже есть возможность аутентификации на ssh сервере по файлу ключа, даже из командной строки, пароль от ключа можно в реестре сохранить зашифрованным. Что, я собственно и использую для пущей секурности.
   volfy
 
80 - 20.03.18 - 23:54
У меня есть сервак который без впн с открытым рдп в интернте уже 3 года висит, никто ничего не взломал не залез =) Маниакалы вы какие то
   volfy
 
81 - 20.03.18 - 23:54
Колитесь кто вебки изолентой заклеил?)
   volfy
 
82 - 20.03.18 - 23:55
И камеры телефона заклеили небось уже) И номер пластиковой карты тоже заклеили?) Кругом хацкеры)))))
   xaozai
 
83 - 20.03.18 - 23:58
(80) Вы просто везунчик. Это вопрос времени, когда влезут туда и зашифруют всё и вся.
Ну, и кроме того, тут еще вопрос в сером ip удаленного клиента, который в случае c ssh легко и просто сам открывает вам удобный путь к себе...
   Fram
 
84 - 21.03.18 - 00:00
(46) создавай ВПН соединение не индивидуально для этого юзера, а для всех юзеров. Тогда не должно рвать при релоге
   volfy
 
85 - 21.03.18 - 00:35
(83) На то делаются бекапы на нас, ну они делаются на случай поломки компа нежели со страха шифровки.
Как показывает практика, если шифровальщика не запустить - сам изниоткуда не придёт =)
Всегда поражаюсь тем кто защищает себя со всех сторон и пользуется айфоном например =) Всё что  нужно - о вас уже знают, все данные что необходимо - всё равно будут получены.

Спите спокойно и не переживайте =)
   Salimbek
 
86 - 21.03.18 - 10:41
(85) А в логах перебора паролей нет? А то проверь, вдруг тебя грызут помаленьку...
   spectre1978
 
87 - 21.03.18 - 12:00
(85) Ну вы вообще-то зря поражаетесь. Взломов айклауда, таких чтобы именно раздербанили сложный пароль и взломали или использовали какую-то уязвимость - я чет не примпомню. Социнжинерия была, да, но вот чтобы именно взлом по хардкору - я лично не знаю. Если знаете - поделитесь. Я знаю что был очень сильный баттхерт у спецслужб, когда им это реально понадобилось. Даже с эпплом судились.
   spectre1978
 
88 - 21.03.18 - 12:01
также не припомню чтобы когда-то заломали VPN, защищенный AES256 или даже AES128. А вот залезания на чужие RDP - полна коробочка. Задаем вопрос - почему? Или даже не так: что делается не так и что сделать чтобы так не было?
   Криэйтор
 
89 - 21.03.18 - 12:05
   DGorgoN
 
90 - 21.03.18 - 21:35
(88) Пароли надо делать нормальные.
   Garykom
 
91 - 21.03.18 - 23:14
(90) Там не в паролях дело а в багах. У меня (поднятые мной и выставленные RDP в инет серваки) два раза ломали.

Хорошо попались порядочные ломщики, ничего не попортили, только назаводили своих учеток и юзали сервак "для себя" как проксю.
   DGorgoN
 
92 - 22.03.18 - 04:39
(91) Винда какая была?
   arsik
 
93 - 22.03.18 - 09:31
(0) Достаточно просто реализуется на опенвпн. Тем более он встроен в кенетик
   DGorgoN
 
94 - 22.03.18 - 10:50
(93) Не реализуется он просто, к сожалению. Опен ВПН мост создаёт но кенетик шлюзов моста не видит сволочь такая а до iptables кинетика достучатся не могу. Ну или скилла не хватает настроить.
В общем суть - когда делаешь переброс порта к Опен ВПН шлюзу (удаленному или не очень) или к удаленной тачке то не работает. Со встроенным pptp фокус прокатывает.
   arsik
 
95 - 22.03.18 - 10:52
(94) client-to-client - в конфиге сервера указал?
   DGorgoN
 
96 - 22.03.18 - 10:52
Взял другой кинетик вчера. Попробую настроить.
P.S. Я с этими граблями уже научился 2-мя способами OpenWrt устанавливать с luci и если бы не глючные роутеры то продолжал бы наблюдения )
   DGorgoN
 
97 - 22.03.18 - 10:54
(95)

dev tun

ifconfig 10.1.0.1 10.1.0.2

cipher AES-128-CBC
# Our pre-shared static key
<secret>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
бла бла бла
-----END OpenVPN Static key V1-----
</secret>
; port 1194

; user nobody
; group nobody
; comp-lzo
; ping 15
; ping 15
; ping-restart 45
; ping-timer-rem
; persist-tun
; persist-key

verb 3
route 192.168.7.0 255.255.255.0
   Salimbek
 
98 - 22.03.18 - 10:55
+(86) Меня вот грызут какие-то гады...
http://storage2.static.itmages.com/i/18/0322/h_1521704773_4154540_4f2e647ac7.png
   DGorgoN
 
99 - 22.03.18 - 10:55
(95) Нет, а чем поможет? Сам кинетик не может почему то обратится к ресурсам 10.1.0.2 или стоящей за ней сети но ПИНГУЕТ и другие компы спокойно коннектяться из подсети микротика или из другого впн.
   DGorgoN
 
100 - 22.03.18 - 10:58
Да ладно другой кинетик старт стоит 1500 руб.
  1  2   

Список тем форума
Рекламное место пустует  Рекламное место пустует
Закон Брукера: Даже маленькая практика стоит большой теории.
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.
Тема не обновлялась длительное время, и была помечена как архивная. Добавление сообщений невозможно.
Но вы можете создать новую ветку и вам обязательно ответят!
Каждый час на Волшебном форуме бывает более 2000 человек.
Рекламное место пустует