День добрый.
Имеется сервак, к нему подключаемся по стат. ip. Возникла необходимость поставить ещё один сервак. Нужно чтобы к обоим можно было подключаться через инет. Если к первому подключаемся просто по ip, то ко второму нужно через порт. Вот какой и как порт пробросить (или теперь для обоих требуются порты?)? (Модем D-Link)

Порты потребуются для обоих. У нас настроено 3 сервака на одном ip+сервер видеонаблюдения.

(1) А у нас в квартире sslh

Порты для обоих:например ХХХ.ХХ.ХХХ.ХХ:2323 или ХХХ.ХХ.ХХХ.XX:2324

(0) открою тайну -- к первому ты тоже через порт подключаешься

Порты какие писать? Вообще от балды можно взять? (11111 даже такой?)

(0) Во первых для подключения нужен белый адрес.
Во вторых нужно пробросить порты с модема до нужного сервера.
Как и какой порт пробросить зависит от вас, и от ваших задач.
В принципе можно любой.

(4) Ага там 3389

(5) Конечно

Ок. Благодарствую всем.

Нужно просто понимать технологию процесса.
В любом случае ты подключаешься не к серверу, а к роутеру имеющему белый адрес.
На какой то порт роутера.

Так вот роутеру можно сказать чтобы он все подключения приходящие на порт номер XXX перекидывал на IP a.a.a.a и порт YYY

Пользуй Team Viewer

(11) Да, дай доступ ЦРУ/АНБ для своих данных )) не жмись

(11) Лучше по старому через RDP)

(11) Накуй тимвьювер, если есть RDP?
Вот реально не понимаю.

У меня купленный тимвьювер, и мне не жалко денег которые я отдаю за него, ибо он окупает эти деньги.
Только вот он совсем для других целей.

В данном случае RDP идеальный вариант.

Для настройки просто требуется в (D-Link) Advacet Setup -> Nat -> Virtual Servers добавить в таблице строку с указанием сетевого ip сервера и любой порт? И всё?

(15)нет, тебе еще потребуется изменить у службы удаленного рабочего стола порт по умолчанию 3389 на другие на втором и последующих серверах, и при обращении к ним указывать этот порт.
сейчас у тебя по умолчанию служба удаленного рабочего стола на всех серверах настроена на порт 3389, а нужно ее настроить на разные порты.

(16)Где это менять?

Для начала ТСу нужно понимать как это работает. Либо позвать системного/сетевого администратора. Либо описать подробно, что и как у него сейчас работает и что он хочет получить в итоге.

(17) не читай (16) - там бред какой-то.

(19) То есть на самом сервере ничего не менять?

(17)пример для 2008 сервера
http://windowsnotes.ru/windows-server-2008/izmenenie-porta-rdp-po-umolchaniyu/

RDP (Remote Desktop Protocol), или протокол удалённого рабочего стола —  это протокол прикладного уровня, использующийся для обеспечения удаленного доступа к серверам и рабочим станциям Windows. По умолчанию для подключения по RDP используется порт TCP 3389, но иногда может возникнуть необходимость его изменить, например по соображениям безопасности.


Сама процедура выглядит следующим образом:

Запускаем редактор Regedit и идем в раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp.

Выбираем параметр PortNumber, переключаемя в десятичный формат и задаем любой порт (в пределах разумного).

При выборе порта имейте ввиду, что все номера портов разделены на три категории:

• Известные порты (от 0 до 1023) — назначаются и контролируются IANA (Internet Assigned Numbers Authority), и обычно используются низкоуровневыми системными программами;
• Зарегистрированные порты (от 1024 до 49151) — также назначаются и контролируются IANA, но выделяются для частных целей;
• Динамические и/или приватные порты (от 49152 до 65535) — могут быть использованы любым процессом с любой целью. Часто, программа, работающая на зарегистрированном порту (от 1024 до 49151) порождает другие процессы, которые используют эти динамические порты.

(21) вот зачем ты это написал? К чему?

Блинский. Если я пропишу порт для 2-го сервера например 11111, то зайти на сервак введя 222.222.222.222:11111 я смогу? При этом на 1-ый попаду так 222.222.222.222:3389?

(22)делаешь на каждом сервере для rdp свой порт, отличный от других, и в таблице правил форвардинга указываешь, что при запросе на такой-то порт перенаправлять на такой-то IP. в итоге можно работать по rdp с несколькими серверами.

(20) Не надо.
Опиши, как для дураков, как и что работает сейчас. По типу: я из дома запускаю "Удалённоё подключение к рабочему столу". Там  ввожу циферки, затем пару логин/пароль. Попадаю на рабочий стол сервера.
Со стороны работы есть модем (модель и производитель такие-то), есть сервер, подключенный к этому модему...
Но это всё мои догадки. Вдруг там не модем соединение с интернетом инициализирует, а сам сервер. И белый ip присваивается именно серверу, а не модему.
Чтобы не было догадок, нужна максимально подробная информация от вас. Либо же ищите админа.

(24) класс ))) пойду все серваки перенастрою по твоей рекомендации. А то что это они все на 3389 порту по рдп работают, не порядок )))

(25)роутер поднимает интернет соединение, у него белый IP. в сетке за ним есть несколько серверов, с каждым нужно работать по рдп.

(27) это ты сам видел, или твои догадки? Вариант с dsl модемом и инициализирующим интернет сессию сервером не учёл?

(27) Ага

(26)хотя стоп-стоп, в правилах роутера ведь можно указывать, порт запроса и порт перенаправления, то есть запрашивать любой свой порт, а в правиле указывать, что при запросе ан этот порт перенаправлять на такой-то IP на порт 3389

(29) что ага? В (0) это модем, теперь это уже маршрутизатор?

то есть порт запроса и порт перенаправления могут не совпадать.

(30) можно. Но мы не знаем, что на стороне серверов и ТСа. Поэтому - это всё наши догадки.

(33)он же написал на мое (29) утвердительный ответ

D-Link DSL-2500U

(29) смотри (30), при обращении по рдп указываешь порт, а в таблице роутера в правиле указываешь, что при обращении по этому порту пробрасывать на IP такой-то на порт 3389.

(34) видишь. Фигню он тебе в (29) написал.

(35) интернет от сервера зависит? Выключить сервер - интернет остаётся?

(38) От сервера не зависит. Останется

(39) http://dlink.ru/ru/faq/160/139.html - читай внимательно!
External Port - у тебя разные, какие захочешь.
Internal Port - на оба твоих сервера одинаковые - 3389

+ (40) и строка подключения из "дома", т.е. через интернет к твоим серверам будет выглядеть так: ххх.ххх.ххх.ххх:порт
Порт - это External Port, который ты укажешь в настройках.

(40-41) Ок. Понял. Благодарю за науку.

Вот хорошо сегодня уточнил, а то бы попарился)

А настроить vpn еще не предлагали?
И заодно не светить rdp  в инет?

(43) Готовься читать в логах безопасности подбор паролей с китайских ip.

(44) я IP не засветил)

Все ip вымышлены, все совпадения с реальными адресами абсолютно случайны!)))

(47) Да ладно. И так постоянно всё пространство интернета сканируется. Главное помнить, что вся твоя сеть защищена настолько, насколько защищён самый слабый её узел.

(16) Зачем менять у службы?

Например у меня в офисе 5 компьютеров, и к каждому надо подключаться по RDP.
Идем в роутер, который получает к примеру белый адрес  95.120.3.172  от провадера и настраиваем проброс портов.
Порт 3002 роутера пробросить на порт 3389 компьютера с адресом 192.168.0.2
Порт 3003 роутера пробросить на порт 3389 компьютера с адресом 192.168.0.3
Порт 3004 роутера пробросить на порт 3389 компьютера с адресом 192.168.0.4
Порт 3005 роутера пробросить на порт 3389 компьютера с адресом 192.168.0.5
Порт 3006 роутера пробросить на порт 3389 компьютера с адресом 192.168.0.6
И все!

Надо подключиться к компьютеру с адресом 192.168.0.4  - создаем RDP подклчение вида  95.120.3.172:3004
И все - коннект идет на роутер, роутер перебрасывает порт 3004 на порт 3389 компьютера с адресом 192.168.0.4
Просто и удобно.

(49) К такому потом и пришли.

(50) Так чего к этому приходить, ежели оно очевидно.
По другому сложно сделать.

А порт у службы меняется по другим причинам - например когда службы используют один порт и конфликтуют.
Или как простейшая защита от перебора (не очень эффективная) - убрать RDP на другой порт когда айпишник наружу смотрит.

(50) Мой совет, потрать час на изучение и настрой простейший Vpn.
Через vpn сможешь обращаться к сети по внутренним адресам.

У вас чо, реально у всех рдп голой жёппой в инет смотрит ? оО

(53) ну если тут очивидную хрень на 50 постов развели....

(53) Все надеются, что у провайдера не может работать "любопытный студент", кот. с легкостью прочитает нешифрованный трафик.

Или обычное незнание? хз, скорее всего просто забивают ...

ПС: Может еще про WiFi рассказать? ) или напомнить про бэкапы и шифровальщики?

(52) Нафиг?
(53) Что в этом плохого?

(55) С фига ли в RDP не шифрованный трафик?

(57) А перехватывают не сам трафик, а начальные пакеты приветствий.
На текущий момент есть несколько уязвимостей. Правда есть и патчи (но не на все), но у всех ли они стоят?

Это при настройках по умолчанию.
Есть настройки, как обезопасить rdp, гуглим "безопасность rdp"

(56) Да ничего, продолжайте пользоваться

(0) пробрасывать  на прямую RDP порт 3389 не кошерно! Вирусы хакеры и.т.д. Надо VPN-сервер поднять и тогда к сервам будешь по внутренним адресам обращаться, как будто ты в сети находишься.

(58) Ну при настройках по умолчанию вообще пароля на систему нет.
Если нужна безопасность настраивают безопасно, а не по умолчанию.
И протокол RDP имеет все средства для настройки безопасности.

VPN имеет смысл использовать в паре с RDP для каких-то техничееских сетевых решений, а не для повышения безопасности, ибо безопасность и без него достаточная.

(59) Ну так вы аргументируйте где слабые места если считаете что RDP небезопасен.
И чем VPN безопаснее?.
А я конечно продолжаю пользоваться.

(60) Аргументируйте.
Поднимите вы VPN - вирусы, хакеры, или чего вы еще там опасаетесь, они куда денутся?

(63) Банальное отсечение лишних вирусов и хакеров, открытый порт будут ломать все кому не лень и сломают таки (были случаи).

А сначала попадать в vpn-ку чтобы потом ломать еще это уже сложнее ))

(64)(62) да и дело по большому счету не в этом. Одно дело когда только сам пользуешься паролем типа "ndwNDn@!#nmsdnj@123asdnmj1e!@3dmi1j324" и когда тупой узер ставит/просит/конючит пароль "111111"

(63) Двойная авторизация пользователя при VPN
дополнительное шифрование трафика алгоритмом который нравится. Плюс работа в сети более комфортна чем в RPD и Easy print и.т.д.

(64) Банальная настройка файервола с прописаными разрешенными IP.
При невозможности fail2ban на шлюзе, или ts_block непосредственно на машине.
Port knocking вообще идеален - позволяет держать порты банально закрытыми.

И никаких лишних сущностей вроде заворачиваня трафика в тоннель, если того не требует ситуация.

(65) Ну это вопрос безопасности - хотите безопасности, ставьте нормальные пароли юзерам, и запрещайте менять, или включайте контроль паролей.

(63)
1) У rpd без доп настройки, есть несколько открытых уязвимостей, одна из них входила в чило 0-day.
Они закрываются патчами. Зависит от версии 2008/2012.
Насчет конкретных, гуглить лень. Надо найдете, например на securitylab.ru

2)Доп настройки закрывают все известные дыры.
Гуглить "безопасность rdp"
Пример статьи http://www.atraining.ru/windows-rdp-tuning/
Настройка на безопасность в rdp вполне достаточна, vpn тогда будет лишним.

3)Без доп настроек rdp можно безнаказанно брутфорсить, а имея простой пароль и попасть.

ПС: У нормальных Vpn открытых уязвимостей не видел, если есть, они оперативно исправляются.

ПС2: Все забыли про Port knocking

Если пароли будут 123, никакая VPN вам не поможет.

(66) Чем лучше двойная, если и одиночная достаточно безопасна?
Почему бы тогда не сделать тройную? Или раз пять упаковать трафик в тоннель?

Какая разница нравится алгоритмы или нет?
Мне вообще ни один алгоритм не нравится. Мне девушки как то больше нравятся.
А алгоритмы я выбираю по принципу - устраивает по характеристикам или нет.

Насчет работы в сети - нужна сеть делайте ее с помощью VPN, кто же запрещает? Это очень удобно.
Но у нас тут спор зашел чисто про безопасность.
Работа в сети и виртуальная сеть она не всем нужна.

(70) Так никто и не спорит, что настроенный rdp хуже vpn+rdp

Просто "новичкам", кот. пробрасывают порт с дефолтными настройками на "старинном" D-Link (у кот. кстати тоже есть открытые уязвимости) нужно знать о рисках. И о способах минимизировать эти риски.

Мы и должны не ругаться и спорить, а рассказать как, где и что сделать.

(69) Все уязвимости известны и закрыты.
Они есть не только у RDP, но и у VPN тоннелей.

Разумеется нужно настраивать, если хочется безопасности.
И надо не гуглить, а знать.
Без знаний и опыта, чисто на гуглежке,  можно такого настроить, что с одной стороны будет офигенно безопасно, а с другой стороны дыра будет.

(69) Насчет настроек и забытого стука по портам см. (67)

(72) Вот уже лучше.
О чем я и говорю.
RDP достаточно хорош в плане безопасности, просто нужно уметь его готовить.

А если не уметь, то и VPN не панацея.

а еще можно rdp gate поднять
https://technet.microsoft.com/en-us/library/cc770690(v=ws.11).aspx

(67) Если клиенты через сотовые операторы без белых адресов?
Если твой ip попадет в "базы скана" твой fail2ban повесит средний роутер, если fail2ban средствами оси аналогично

Port knocking супер ) Там можно для особо мнительных цепочки делать. Вначале стучим в порт 1, открываем порт 2, стучим в 2, открывает порт 3 и т.д.

(0) D-Link 2500 Обязательно надо прошить последней прошивкой, а лучше альтернативной. Там было несколько дырок.

Гугли "dlink 2500 уязвимость"

(63) Ну вот 0-day была, и будет возможно новую накопают.
Ничто не вечно под виндой...
Был случай со взломом клиентов у них 3389 по дефолту болтался снаружи (ужас то какой и им посоветовал принять меры, а они экономщики вот и все) По сему сейчас без VPN никуда, а то у многих даже админа в штате нет. А проблемы железа программистов не касаются!

(77) Если клиенты через сотовые операторы без белых адресов, то для этих целей есть VPN.
Поднимаете сервер там где есть белый адрес, и не паритесь.
Fail2ban используется обычно на достаточно мощном шлюзе, VPN знаешь ли тоже нагрузку дает, трафик то шифровать надо.

Инструмент выбирается под задачу, иногда когда адреса известны банально на файерволе разрешение только для определенных адресов делаешь и все.

(79) Ну я то больше админ, чем программист.
И как раз я это и настраиваю в некоторых случаях - у тех кто на абонентке.
Раз настроил, получил деньги, потом просто мониторишь, чтобы все ок было, и получаешь копеечку в месяц стабильно, нифига не делая.