Имеется терминальный сервер 2008 R2, из локалки все работает без проблем. Поднялся вопрос подключиться из внешки. У нас адрес динамический.  Был приобретен mikrotik, и на нем был поднят ddns, который он сам реализует постоянный динамическое имя. Настроили проброс портов на 3389. Неделя работал, и потом перестал работать, даже пинги не идут. Сделали проброс на другой комп, там прекрасно работает. Микротике пакеты идут, но терминальный сервер что то блокирует. В сети ничего не менялся. В чем может быть проблема?

Какие пинги? Что вы пингуете?

Вот и поговорили...

как какие? (2) который находится за микротиком, сам микротик пингуется из интернета. А за микротиком стоит терминалный сервер, вот он не пингуется.

(2) А другой комп за мироктиком, прекрасно пингуется и заходит по RDP

(0) "Вредный" совет - перезагрузить сервер/микротик.
"Обычный" совет - проверить обращение не по имени от ddns, а по IP

(3)да он и не должен пинговаться из инета в принципе

Впн сделай и доступ как из локалки

(3) А вот интересно как вы снаружи пингуете сервер за шлюзом?
И самое интересное, раньше пинги у вас на внутренний сервер шли?

(5) ddns пингуется, мы достаем до нашего микротика но не достаем до сервера.

(8)  да шли без проблем. и щас работает на другом компе. Токо что то терминалный сервер блокирует

(7) ? это как понять

(6) другой комп пингуется без проблем. токо терм сервер.

(12) а можете команду выложить? ping ...

Во-первых, смотрим Firewall на сервере.
Во-вторых, смотрим журнал обновлений сервера, чтобы понять, что поменялось.

(10) Покажите как пинговали снаружи терминальный сервер внутри сети и другой сервер внутри сети.

(13) пинг как пинг. Это реализовано на уровне микротика

(15) обычный пинг, реализовано обединение двух сетей на уровне микротика.

(14) брандмаузер отключен. Нету и не было антивируса, обновление сервера не делается.

не знаю как устроено ddns
голое предположение: комп(клиент) запомнил в кэше старый ip и обращается по нему

я бы попробовал
ipconfig /flushdns
на клиенте

(0) 1. Что то я не понял - VPN на microtik'е поднят или нет?
2. На Win2008 точно порт 3389 открыт для сети microtik'а?

(17)В терм сервере случайно тип сети не стоит - "Общественная"? Поставьте - "Сеть предприятия"

(19) пробовал из разных компа клиентов. До микротика идут пакеты, потом бац, нету доступа

(21) можно подробнее. Из локалки по RDP все работает, без проблем. Нужно ли еще открывать порты для микротика это как? Мы на микротике делали проброс портов, чтобы из внешки подключались на 3389 порт.

(22) не должен. Кажись стоит доменная

Щас на время стоит хамачи. А что делать? Надо же работать люди. Но он гонит.

(24) В настройках файрвола Win2008 руками добавь запись для входящих подключений на порт 3389 из любой сети - разрешить.

(24) Если у Вас RDP открыт из инета - увольте накуй админа, т.к. он бракованный.

(0) эээ проброс портов rdp через микротик на сервер? Вы беззалаберные извращенцы ))

ЗЫ нормальные (не чурающиеся безопасности) люди поднимают vpn сервер (в любом виде pptp, l2tp, openvpn) и уже попадая в сетку стучатся до rdp по ip ))

ЗЗЫ рекомендую l2tp (многа где клиенты есть)

ЗЗЗЫ или хотя бы порты смените стандартные )) и защиту в виде сложных паролей на сервак свой ))

(28)+100500

(0) у сервера в качестве шлюза указан этот роутер?

(29) +100500

(31) да

(29) Да наверно он бракованный, он же из майдана. Но все учатся.
Значит поднять vpn на самом терминальном сервере?
2X Remote Application Server может ли помочь в моем случае?
Микротик делает работу как и no-ip, придает имени динам. адресу.

А как понимает терминальный сервер что ему стучаться из внешки. Так как мы 33236 порт из внешки перенаправили на 3389.

(34) 1) Про админа, который не понимает основные принципы сетевой безопасности и работы TCP/IP - см (28).
2) По (27) что?
3) Microtik универсальная машина - может сделать практически все с сетевыми пакетами (обеспечить VPN/проброс портов и пр), но что бы она работала правильно см п.1.

(35) попытаюсь поднять vpn завтра на терм сервере. Отпишусь завтра.

(36) На microtike не проще?

+(37) Выводить Windows машины в инет - зло еще то.

(37) все просто - когда понимаешь что делаешь

(38)
Есть арендованные сервера за рубежом виндовые.
Если настроено,что можно заходить только с определенных ip в чем зло?

все лишнее отключено, порты стандартные заменены, имя админа не стандартное, пароль постоянно меняется

Или обязательно для этого ставить никсы и винду в виртуалку?

(40) Если правильно настроено - хорошо, но не стоит забывать, что дырок в винде поболее чем в *NIX'ах. Любая ошибка в настройках/недокументированная дырка - и здрасте.

+(40) Хотя ядро Win7/2008 и старше довольно не плохо переработано в плане устойчивости к эксплойтам, но на каждую хитрую ж... - нет гарантий, что какой нить индус не забыл какую нить мелочь.

(42) На счет багов это да ...

http://habrahabr.ru/company/eset/blog/255779/

просто дырища в http.sys

Как раз одно из обновлений этого набора убивает загрузку )

(43) http://habrahabr.ru/company/eset/blog/256037/

С другой стороны и опенсорс вскрываются постоянно критически баги

Только отшумела шумиха на счет SSL

(43) Теперь и хамач перестал пинганут. Как можно увидить и кликнуть чтобы входящие принимались из вне?

(43) мда..
(46) настрой уже впн и будешь внутри сидеть.

(47) Хамачи так и не заработал. Но заработал терминалный сервер из внешки. Дело было в том что у менявведено 2 ip 2 шлюза на одном сетевом карте. Оставил одну и все заработало. Остается вопрос перенаправление принтеров

Можно ли тут поставить РЕШЕНО?

(49) Можно поставить "КРИВО РЕШЕНО".

(50) Это почему?

(51) При наличии microtik'а проброс RDP без использования VPN - зло.

(52) согласен, попробую настроить VPN. Если в сети будет хорошое руководства

(53) Пошаговых мануалов как грязи. Если настроишь то см. (49).