Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall) > Рабочие конфигурации

Важная информация

Ответ
 
Опции темы
Старый 12.11.2008, 13:31   #1
det
 
Аватар для det
 
Регистрация: 12.11.2008
Адрес: Казахстан
Сообщений: 8
По умолчанию LAN (Client) -> KWF -> Inet -> KWF -> LAN (Terminal Server)

Ситуация такая. Есть две фирмы А и Б, расположенные в разных городах. Обе имеют одноранговые локальные сети (рабочие группы), в которые раздают интернет при помощи WRF 6.

В локалке фирмы А расположен терминальный сервер. Необходимо открыть доступ к этому терминальному серверу из интернета (для бухгалтеров фирмы Б). Соответственно, в фирме Б для этого необходимо открыть доступ в интернет по протоколу RDP.

IP у обоих фирм динамический, статический провайдер не предоставляет.

Пытался вот с такими настройками (во вложении) - не работает ну вообще никак( А шеф подгоняет...
Изображения
Тип файла: jpg Б.jpg (63.5 Кб, 651 просмотров)
det вне форума   Ответить с цитированием Вверх
Старый 12.11.2008, 13:43   #2
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,515
По умолчанию

динамический IP - не проблема
уже давно все используют системы динамических ДНС (DynDNS к примеру)
- регистриуешься на сервисе динамического днс ( например Dyndns.com)
- заводишь себе имена для обоих филиалов (например firma1.dyndns.com, firma2.dyndns.com)
- на каждый server ставишь клиент, который следит за изменением IP и сразу правит ДНС-зону

в итоге адрес у тебя динамический, но постоянно доступен по одному и тому же имени

после этого:
- в одном филиале (откуда доступ) делаешь правило разрешающее РДП куда нужно и кому нужно
- во втором филиале (куда доступ) делаешь правило соответствующее (оно на картинке второе, состевлено правильно)
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 12.11.2008, 13:46   #3
С.С. Горбунков
Clairvoyant
 
Аватар для С.С. Горбунков
 
Регистрация: 19.07.2006
Адрес: Пенза-Москва
Сообщений: 6,919
По умолчанию

det,
неправильно выпускаешь клиентов из сети Б
надо так:
"Подключение по локальной сети" -> Megaline : RDP : Permit : NAT

а для победы над динамическими айпи придуман сервис no-ip.com, где нада зарегиться, создать 2 А-записи, и в дальнейшем доступ осуществлять по ДНС-именам (клиент no-ip.com бесплатный, работает сервисом)
__________________

керио
С.С. Горбунков вне форума   Ответить с цитированием Вверх
Старый 12.11.2008, 14:12   #4
det
 
Аватар для det
 
Регистрация: 12.11.2008
Адрес: Казахстан
Сообщений: 8
По умолчанию

Спасибо за DynDNS, обязательно попробую.

Была проблема с внутренним фаерволом ethernet-модема, поставил обычный на принимающей стороне и в логах KWF стали появляться записи о входящем подключении.

Также переписал правило, как подсказал С.С. Горбунков:
Цитата Подключение по локальной сети" -> Megaline : RDP : Permit : NAT
Изменилось лишь то, что в логах Connection на принимающей стороне вместо записи:
Код:
[12/Nov/2008 16:50:36] [ID] 1976 [Rule] TERMINAL [Service] RDP [Connection] TCP 95.58.131.187:10385 -> 192.168.1.74:3389 [Duration] 90 sec [Bytes] 144/0/144 [Packets] 3/0/3
появляется запись:
Код:
[12/Nov/2008 17:04:20] [ID] 2246 [Rule] TERMINAL [Service] RDP [Connection] TCP 95.58.131.187:11354 -> TERMINAL:3389 [Duration] 90 sec [Bytes] 144/0/144 [Packets] 3/0/3
То есть вместо IP комьютера - его NETBIOS-имя.

В остальном все осталось по-прежнему - при попытке подключения вылетает ошибка:
Код:
Удаленный рабочий стол отключен. Клиенту не удалось подключиться к удаленному компьютеру.
Разбор пакетов:
Код:
[12/Nov/2008 17:47:04] PERMIT "TERMINAL" packet from Megaline, proto:TCP, len:48, ip/port:95.58.131.187:12534 -> 89.218.178.25:3389, flags: SYN , seq:638655478 ack:0, win:65535, tcplen:0
[12/Nov/2008 17:47:04] PERMIT "TERMINAL" packet to Подключение по локальной сети, proto:TCP, len:48, ip/port:95.58.131.187:12534 -> 192.168.1.74:3389, flags: SYN , seq:638655478 ack:0, win:65535, tcplen:0
[12/Nov/2008 17:47:07] PERMIT "TERMINAL" packet from Megaline, proto:TCP, len:48, ip/port:95.58.131.187:12534 -> 89.218.178.25:3389, flags: SYN , seq:638655478 ack:0, win:65535, tcplen:0
[12/Nov/2008 17:47:07] PERMIT "TERMINAL" packet to Подключение по локальной сети, proto:TCP, len:48, ip/port:95.58.131.187:12534 -> 192.168.1.74:3389, flags: SYN , seq:638655478 ack:0, win:65535, tcplen:0
[12/Nov/2008 17:47:13] PERMIT "TERMINAL" packet from Megaline, proto:TCP, len:48, ip/port:95.58.131.187:12534 -> 89.218.178.25:3389, flags: SYN , seq:638655478 ack:0, win:65535, tcplen:0
[12/Nov/2008 17:47:13] PERMIT "TERMINAL" packet to Подключение по локальной сети, proto:TCP, len:48, ip/port:95.58.131.187:12534 -> 192.168.1.74:3389, flags: SYN , seq:638655478 ack:0, win:65535, tcplen:0

Последний раз редактировалось det; 13.11.2008 в 08:51. Причина: Прошу прощения, перепутал советчиков(
det вне форума   Ответить с цитированием Вверх
Старый 13.11.2008, 08:42   #5
det
 
Аватар для det
 
Регистрация: 12.11.2008
Адрес: Казахстан
Сообщений: 8
Радость

На самом деле задача была решена еще вчера, и я даже отписался вариантом ее решения. Только при тестировании я допустил небольшую ошибку, в результате чего очень огорчился, напился пьан и удалил псто.

А между тем, все работает. Надо было лишь настроить правило на принимающей стороне: в поле Translation установить переключатель Source NAT в положение Translate to ip address of interface и выбрать интерфейс локальной сети из выпадающего списка.

Дополнительно сегодня настроил Dynamic DNS: на подключающейся стороне в конфигурации роутера (ADSL-модем с портами Ethernet и фаерволом), а на подключаемой - при помощи службы DynDNS Updater (там Dial-Up ADSL-модем). Чую, что при установке роутера на подключаемой стороне (сети, в которой находится сервер терминалов) придется настраивать на нем переадресацию портов, но это будет уже другая история

В правиле на подключающейся стороне поэкспериментировал, указывая вместо интерфейса локальной сети в качестве источника пакетов отдельных пользователей (бухгалтеров), а вместо исходящего интерфейса в качестве получателя пакета - hostname подключаемой стороны, все работает!

Измененные правила прилагаются. Всем огромное спасибо
Изображения
Тип файла: jpg Rules.jpg (39.3 Кб, 388 просмотров)

Последний раз редактировалось det; 13.11.2008 в 08:47. Причина: Йа олбанский сотона, съел двоичного слона
det вне форума   Ответить с цитированием Вверх
Старый 13.11.2008, 12:09   #6
det
 
Аватар для det
 
Регистрация: 12.11.2008
Адрес: Казахстан
Сообщений: 8
Вопрос

Цитата:
Сообщение от С.С. Горбунков Посмотреть сообщение
возможно, стоило выложить ipconfig /all с терминала.
Замотался малость, упустил. Дело в том, что у нас в сети два компьютера с KWF и прямым доступом в Интернет. Один из них раздает всем высокоскоростной, но не безлимитный инет. Второй раздает в разы более медленную, но безлимитку избранным (то есть мне и тем оболтусам, которым не жалко за это вкусняг доброму админу, то есть мне). Желательно обеспечить возможность подключаться удаленно через оба два компьютера.

Вот:
Код:
Microsoft Windows [Версия 5.2.3790]
(С) Корпорация Майкрософт, 1985-2003.

C:\Documents and Settings\Администратор>ipconfig /all

Настройка протокола IP для Windows

   Имя компьютера  . . . . . . . . . : terminal
   Основной DNS-суффикс  . . . . . . :
   Тип узла. . . . . . . . . . . . . : неизвестный
   IP-маршрутизация включена . . . . : нет
   WINS-прокси включен . . . . . . . : нет

Подключение по локальной сети - Ethernet адаптер:

   DNS-суффикс этого подключения . . :
   Описание  . . . . . . . . . . . . : Intel(R) PRO/1000 PM Network Connection
   Физический адрес. . . . . . . . . : 00-16-76-90-71-87
   DHCP включен. . . . . . . . . . . : нет
   IP-адрес  . . . . . . . . . . . . : IP_СЕРВЕРА
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз . . . . . . . . . . : НЕ_IP_МАШИНЫ_С_KWF
Когда прописал в качестве основного шлюза IP той машины, через KWF которой пытался подключиться - все заработало и без Source NAT. Попытался при этом подключиться через KWF другой машины - тишина. Прописал ее IP, как второй основной шлюз на сервере терминалов - тишина.

Какие в подобной ситуации минусы у моего решения и какие еще решения возможны?
det вне форума   Ответить с цитированием Вверх
Старый 13.11.2008, 12:16   #7
С.С. Горбунков
Clairvoyant
 
Аватар для С.С. Горбунков
 
Регистрация: 19.07.2006
Адрес: Пенза-Москва
Сообщений: 6,919
По умолчанию

Цитата:
Сообщение от det Посмотреть сообщение
Когда прописал в качестве основного шлюза IP той машины, через KWF которой пытался подключиться - все заработало и без Source NAT.
ну никто не сомневался!
Цитата:
Сообщение от det Посмотреть сообщение
Прописал ее IP, как второй основной шлюз на сервере терминалов - тишина.
это ересь. основной шлюз в винде ОДИН!
другое дело - можешь прописать СТАТИЧЕСКИЙ МАРШРУТ на терминальном сервере до нужного хоста в интернете через другой комп с KWF. В твоем случае конкретно к хосту не получится наверно, потому как айпи динамический, и заранее неизвестен. поэтому надо прописывать маршрут в подсеть.
__________________

керио
С.С. Горбунков вне форума   Ответить с цитированием Вверх
Старый 13.11.2008, 12:24   #8
det
 
Аватар для det
 
Регистрация: 12.11.2008
Адрес: Казахстан
Сообщений: 8
По умолчанию

Цитата:
Сообщение от С.С. Горбунков Посмотреть сообщение
это ересь. основной шлюз в винде ОДИН!
Значит, это виндузная ересь, потому как:

Код:
Microsoft Windows [Версия 5.2.3790]
(С) Корпорация Майкрософт, 1985-2003.

C:\Documents and Settings\Администратор>ipconfig /all

Настройка протокола IP для Windows

   Имя компьютера  . . . . . . . . . : terminal
   Основной DNS-суффикс  . . . . . . :
   Тип узла. . . . . . . . . . . . . : неизвестный
   IP-маршрутизация включена . . . . : нет
   WINS-прокси включен . . . . . . . : нет

Подключение по локальной сети - Ethernet адаптер:

   DNS-суффикс этого подключения . . :
   Описание  . . . . . . . . . . . . : Intel(R) PRO/1000 PM Network Connection
   Физический адрес. . . . . . . . . : 00-16-76-90-71-87
   DHCP включен. . . . . . . . . . . : нет
   IP-адрес  . . . . . . . . . . . . : 192.168.1.74
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз . . . . . . . . . . : 192.168.1.7
                                       192.168.1.3
И вот даже картиночка имеется во вложении.
Изображения
Тип файла: jpg Ересь.jpg (22.1 Кб, 191 просмотров)
det вне форума   Ответить с цитированием Вверх
Старый 13.11.2008, 12:33   #9
С.С. Горбунков
Clairvoyant
 
Аватар для С.С. Горбунков
 
Регистрация: 19.07.2006
Адрес: Пенза-Москва
Сообщений: 6,919
По умолчанию

det,
я не пойму, ты мне что-то пытаешься доказать? Не надо. Особенно насчет 2-х основных шлюзов в системе. Это хорошо, что другие не видят пока.

Повторяю, в твоей ситуации нужно оставить у терминала один основной шлюз, а возможность подключаться к терминалу через другой шлюз обеспечит статический маршрут.
route -p add subnet_of_remote_clients mask subnet_mask_of_remote_clients Internal_IP_of_other_KWF
__________________

керио
С.С. Горбунков вне форума   Ответить с цитированием Вверх
Старый 13.11.2008, 13:23   #10
det
 
Аватар для det
 
Регистрация: 12.11.2008
Адрес: Казахстан
Сообщений: 8
Радость

Зачем мне чего-то кому-то доказывать? Вы специалисты, а я в этом деле новичок, и я просто хочу получить ответ на вопрос:

Цитата:
Сообщение от det Посмотреть сообщение
Какие в подобной ситуации минусы у моего решения и какие еще решения возможны?
Почему лучше лезть на сервант, прописывать там маршруты до айпишников, которые вообще могут быть разными (вдруг я через дайлап выйду, но под тем же DynDNS-именем?), чем поставить Source NAT на KWF и наслаждаться, а сервант вообще не трогать.
det вне форума   Ответить с цитированием Вверх
Старый 13.11.2008, 13:45   #11
С.С. Горбунков
Clairvoyant
 
Аватар для С.С. Горбунков
 
Регистрация: 19.07.2006
Адрес: Пенза-Москва
Сообщений: 6,919
По умолчанию

det,
то есть, если я правильно понял, при указании в правиле Source NAT
законнектиться к терминалу можно через другой шлюзовой комп?
__________________

керио
С.С. Горбунков вне форума   Ответить с цитированием Вверх
Старый 13.11.2008, 13:48   #12
det
 
Аватар для det
 
Регистрация: 12.11.2008
Адрес: Казахстан
Сообщений: 8
По умолчанию

Да, в том то и дело :-)
det вне форума   Ответить с цитированием Вверх
Старый 14.11.2008, 11:17   #13
det
 
Аватар для det
 
Регистрация: 12.11.2008
Адрес: Казахстан
Сообщений: 8
По умолчанию Подробные инструкции

Ввиду затишья в теме и работоспособности представленной конфигурации вопрос прошу считать закрытым. Если кому интересно, во вложении приведены подробные инструкции по решению поставленного вопроса, включая настройку Dynamic DNS и аппаратных роутеров.

Скромно предлагаю перенести тему в раздел [Для просмотра данной ссылки нужно зарегистрироваться].
Вложения
Тип файла: rar RDP через Интернет.rar (32.0 Кб, 275 просмотров)
det вне форума   Ответить с цитированием Вверх
Старый 25.11.2008, 08:01   #14
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,586
По умолчанию

Я почитал эту статью и считаю, что она неверна, ИМХО.
На мой взгляд спорно следующее.
Цитата 2. Обеспечение доставки пакетов до сервера.
[skip]
• Трансляция сетевых адресов (NAT) должна быть включена, а инспектор трафика, наоборот, отключен.
могу продемонстрировать, что НАТ включать не нужно и протокол инспектор выключать - тоже. Скорее всего, подобное требовалось афтару статьи только из-за того, что в его случае терминальный сервер имел шлюзом не один хост, а несколько - по числу его шлюзов в локалке.
Цитата 2. Обеспечение доставки пакетов до сервера.
[skip]
Если в локальной сети сервера выход в Интернет производится сразу с нескольких компьютеров, и доступ к серверу из Интернета необходимо обеспечить более чем с одного из них, необходимо для правила трансляции сетевых адресов также указать в качестве Source NAT интерфейс локальной сети, как это показано на рисунке ниже:
Очень и очень спорно. Но говорить, что делать так нельзя - я не стану. Нет возможности провериться. Но другими словами, автор хочет сказать, что, если в локальной сети есть ДВА физических шлюза и нужно обеспечить доступ к севреру внутри локальной сети с любого из них, то нужно всего лишь добавить НАТ в правило с МАПингом. Я не вижу этому логического объяснения, хоть убейте.

Также в его статье ни разу не сказано, что при таком развале шлюзов у сервера внутри локалки должно быть два (поручеги, молчать... ), но у одного сетевого интерфейса. И как будет работать интернет, в таком случае на сервере терминалов, мне не ясно ни разу. Пакет уйдет в первый же шлюз и таки попадет, куда надо, ведь он рабочий шлюз то.

Приглашаю к дискуссии.
__________________
керио

Последний раз редактировалось EnMan; 25.11.2008 в 08:11.
EnMan вне форума   Ответить с цитированием Вверх
Старый 25.11.2008, 08:13   #15
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,586
По умолчанию

Ну уж и называться эта статья никак не должна "Удаленное управление через интернет". Это узкий случай автора.
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 25.11.2008, 12:50   #16
Valery12
Одменестрадор
 
Аватар для Valery12
 
Регистрация: 21.11.2006
Адрес: Владимир, Россия
Сообщений: 2,935
По умолчанию

Как мне кажется предложенная автором система работоспособна, по крайней мере на сетевом уровне.
Как я это понимаю: у автора в локальной сети два шлюза КВФ1 и КВФ2 на разных провайдеров и он хочет чтобы через любой из них был доступ из внешней сети до терминального сервера в локалке,
даже если он добавляет на терминальном сервере оба КВФ как шлюзы по умолчанию работать он будет только через один (с меньшей метрикой) и только в случае его недоступности через второй
это значит что в случае обычного маппирования на запрос пришедший с КВФ2 сервер отправит ответ через КВФ1
если кроме маппирования включить и НАТ - КВФ2 заменит внешний IP хоста с которого пришел запрос на свой внутренний и серверу терминалов пользоваться маршрутами по умолчанию не нужно (они в одной подсети)он отправит ответ КВФ2 а тот согласно своей таблице НАТ отправит пакет нужному адресату во внешке
Другой вопрос, как при этом будет работать терминальный сервер в большим количеством пользователей, ведь для него они все будут локальными КВФ1 и КВФ2, трудно будет с сессиями разбираться.
Valery12 вне форума   Ответить с цитированием Вверх
Старый 02.02.2011, 02:06   #17
p0m
 
Аватар для p0m
 
Регистрация: 27.09.2010
Сообщений: 1
По умолчанию

А как можно реализовать отправку е-майла с помощью cronnt? Чтобы сразу после смены IP слал мыло с новым IP.
p0m вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 23:36. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях