Стоит дома зюксель с белым постоянным ip, на нём поднят VPN сервер.
К этому серверу подключен клиент, к которому я из интернета хочу иметь доступ по RDP.
На зюкселе настроил постоянный адрес VPN клиента вида: 192.168.6.39 и в нате зюкселя создал правило, при подключении с int на указанный порт 12345 переадресовывать на 192.168.6.39:3389.

Вроде всё логично но как только подключаюсь к своему белому ip на порт 12345 через рдп клиент и vpn соединение резко вышибает.
Помогите с настройкой.

ты путаешь проброс портов и впн

(1) В смысле?

Вот смотри, у меня есть комп без белого айпи за натом, делаю ему подключение к vpn роутеру с белым ip

на роутере сделал настройки, но они чет вот не работают как я хочу (

ап

(0) какая-то мешанина. Если вы подняли VPN (кстати, какой?), то тогда вам проброс портов не нужен. Поднимаете VPN и дальше коннектитесь на локальный IP по RDP безо всякого проброса

(5) Ты не понял, я хочу из интернета по ip иметь rdp доступ к тачке которая за натом

т.е. есть:
1) тачка с интернетом но за натом (мегафон модем)
2) vpn роутер с белым ip и поднятым впн
3) любой компьютер в интрнете, с которого я хочу получить доступ к RDP 1-й тачки через роутер 2

(6) так vpn для этого не нужен, достаточно проброса/перенаправления портов

(8) см (7)

(7) тебе надо тогда на vpn сервере настроить маршрутизацию между клиентами. хз как это на зукселе, лучше взять микротик или циску

1) тачка вообще в другом конце России (Магадан), мегафон модем
2) vpn роутер в Челнах
3) Комп вообще в любой точке мира гипотетический.

(10) Вот как? переброс порта до vpn клиента через нат я уже сделал но как только я подключаюсь сразу же вышибает впн соединение у компа 1.

Рисуйте в паинте карту сети, так ничего не понятно и теряется суть.

(13) ща

Если что это настройки ната: https://cdn1.savepice.ru/uploads/2018/3/20/07814a59de80ef88ce4ff049596d6a1e-full.png

Порт 3389 лучше не использовать. Полно сканнеров ищущих открытые рдп сервера с последущей ломкой и шифрованием.
И ваще это серьезно вопрос безопасности, лучше сделать впн + рдп.

(12) тебе уже в (10) посоветовали. Когда ты проброс портов делаешь, то зухель не понимает, что это сеть в впн'е (почему отключает соединение - нет версий).
Попробуй тоже по впн подключиться и через него просто по локальному айпи подключить рдп

(7) я бы советовал с компа (3) на комп (2) подключаться тоже по VPN и настроить маршрутизацию между туннелями. На корпоративном зухеле (USG 100) это делается достаточно легко и именно так сейчас и работает у меня в конторе.

проброс портов в этой схеме также не нужен

Вот схема: https://cdn1.savepice.ru/uploads/2018/3/20/539b04d22c43024a5911dfb761f92a53-full.png

(17) Зюксель все понимает только где то косячит и выключает rdp, изначально рдп соединение поднимается.

Нужно именно рдп, если что рпд соединение по максимуму защищенно.

(20) принципиально любой комп не соединять сначала с впн?

(22) Да

С впн то я уже настроил, работает.

нет, так не делал. У меня RDP вообще никак не защищен и вся защита только на VPN, поэтому ни о каких хождениях снаружи нет и речи.

Перевелись админы на мисте? (

у Вас сервак у клиента клиентская часть ?)
клиент подключается к серваку, пинги ходят в другую локалку ? локалки надеюсь отличаются ?

(27) Да, типа того
всё ходит, локалки везде отличаются.

а модель какая зюкселя?

Keenetic Start II

(20) открытая в интернет RDP-морда - к беде.

ну раз пинги ходят, думаю Вы перестарались с защитой РДП и поэтому падает всё при RDP в расшаренные папки даёт заходить ?

(22) видимо, ТС хочет подключаться по рдп с какого-нибудь любого рандомного АйПадла или Андройда.

(26) + (30)  - плохо контактируют.
ты либо железяку корп-уровня купи, либо сервер нормальный поставь. тогда можешь сетовать на админов.
либо пыл поумерь, и юзай что зюхель дает. большего от него все равно не добиться.

(34) Хорошо, как это сделать на микротике? )

(35) тебе нужно готовый конфиг скинуть?)

блина "я подключаюсь сразу же вышибает впн соединение у компа 1" сессия рвется юзера же вроде, попробуй пробросить внц какой и проверить, чтоб не было релога

(37) у 1 ПК сразу же отключается VPN соединение, вот прям сразу же.

(38) там поднять сервер терминалов или происходит релог обычного юзера? мысль что происходит релог и рвется впн при релоге

Я даже имя не успеваю сбросить, однако сессия RDP, если запущена была то прерывается. Т.е. коннект проходит но почему то сразу VPN перрываеться (

(39) Аааа, интересная мысль

(41) поэтому люди и сочинили TeamViewer...

Блин точно, при релоге рвёт RDP соединение, вот блин (((

Проблема в винде (

(44) потести через внц, это быстро, как выход вроде ставить опенвпн как сервис

(45) Работает сволочь, похоже OpenVPN придётся мудрить (
Может VPN соединение как службу можно настроить?

https://openvpn.net/index.php/access-server/docs/admin-guides/383-how-to-run-the-openvpn-client-in-service-mode.html лет дцать назад что то такое взлетало вроде, но я бы поставил на тот комп внц, настроил сжатие и не мудрил https://www.tightvnc.com/download.php

(0) vpn сервер на зюкселе поднят?

(48) Да, да разобрались уже, проблема в vpn клиенте винды, она при логоне его сбрасывает (

(49) ага клиенту тоже зуксель поставить

(47) угу самое простое через vnc

(51) На узком канале VPN+RDP будет в разы быстрее

в свое время пробовал играться с VNC - показалось тормоз дикий. Даже со сжатием. Хуже чем TeamViewer. Хотя, возможно, руки были кривоваты, но вот так.

(53) Он реально такой к сожалению

вот это http://www.litemanager.ru/support/help_ru/first_start/ шутрее внц и тима, но рдп конечно лучше

(55) Знаю пробовал но хочется минимум клиентского и стороннего ПО

(56) все равно колеса квадратные, зато свои конечно

Еще рекомендую попробовать AnyDesk, типа тима но файлик всего 3 мб, в отличие от...

(58) Да нафик, RDP защищяем - ширование все дела, меняем порты и вуаля.

Ну бэкапчеги, желательно и в облако и локально это святое.

А клиент VPN нельзя, как службу запустить?..
https://openvpn.net/index.php/access-server/docs/admin-guides/383-how-to-run-the-openvpn-client-in-service-mode.html

(59) Откуда берутся имена/номера портов?

(62) В смысле? Стандартный меняешь и всё.

C OpenVPN засада, эта сволочь к сожалению не хочет работать как я хочу (
Тунель между двумя подсетями можно создать а вот как ресурсы этого туннеля вывести через основной шлюз я не догоняю к сожалению (

(63) Правильно понимаю что задача:

Имея некий сервер (с белым ip), сделать через него удаленный доступ к клиентам. Причем эти клиенты с серыми ip.

?

(64) ДААА! Но без VPN у третьих лиц, с впн я уже разобрался как делать (

(65) "man iptables" уже пробовал?

(66)+ Лично у меня VPS под дебианом у firstvds

(67)+ обязательно KVM а не более дешевую OpenVZ

Ну если уж ничего не попрёт легкими силами то придётся и так, хотя я склоняюсь сейчас просто взять и поставить второй кинетик и там уже переброс ему дополнительный сделать )

Похоже так и придётся сделать (

(69) Это самое простое и удобное, у кинетиков есть доступ через облако к админке.

Ну и старые добрые ssh туннели https://www.itefix.net/copssh

(71)+ https://habrahabr.ru/post/331348/
там конечно тоже не все просто но пашет

Я для таких целей обычные ssh-туннели использую.
SSH сервер поднят на Zyxel Keenetic.
В качестве клиента ssh использую Bitvise, не putty и не plink, т.к., в комплекте Bitvise есть оч. удобна утилита retry, которая автоматически восстанавливает прерванное соединение. Все автоматизируется по самое нехочу, пароли в зашифрованном виде в реестре сохраняются. Скрипт для подключения можно в автозагрузку закинуть.
Для вашего случая я бы использовал реверс-туннель со стороны удаленного клиента... Т.е., он открывает порт 3389 на вашем роутере, кликнув на ярлык у себя (или при входе в систему). Вы коннектитесь на этот порт своего роутера и попадаете к нему.

(73) Ммм, подробнее можно?

(73) Гм не знал про Bitvise, юзал AutoSSH

(74) В (72) "2) Remote TCP forwarding"

(74)  Погуглите reverse ssh tunneling или обратные ssh туннели. Там ничего сложного.
В Bitvise это все настраивается в GUI, сохраняется в шифрованный файл и потом удобно запускать клиент, работающий из командной строки с указанием пути к настройкам.
Реверс-туннель в GUI - это закладка C2S...

(77)  s2c закладка (опечатался)

(73)  + В Bitvise тоже есть возможность аутентификации на ssh сервере по файлу ключа, даже из командной строки, пароль от ключа можно в реестре сохранить зашифрованным. Что, я собственно и использую для пущей секурности.

У меня есть сервак который без впн с открытым рдп в интернте уже 3 года висит, никто ничего не взломал не залез =) Маниакалы вы какие то

Колитесь кто вебки изолентой заклеил?)

И камеры телефона заклеили небось уже) И номер пластиковой карты тоже заклеили?) Кругом хацкеры)))))

(80) Вы просто везунчик. Это вопрос времени, когда влезут туда и зашифруют всё и вся.
Ну, и кроме того, тут еще вопрос в сером ip удаленного клиента, который в случае c ssh легко и просто сам открывает вам удобный путь к себе...

(46) создавай ВПН соединение не индивидуально для этого юзера, а для всех юзеров. Тогда не должно рвать при релоге

(83) На то делаются бекапы на нас, ну они делаются на случай поломки компа нежели со страха шифровки.
Как показывает практика, если шифровальщика не запустить - сам изниоткуда не придёт =)
Всегда поражаюсь тем кто защищает себя со всех сторон и пользуется айфоном например =) Всё что  нужно - о вас уже знают, все данные что необходимо - всё равно будут получены.

Спите спокойно и не переживайте =)

(85) А в логах перебора паролей нет? А то проверь, вдруг тебя грызут помаленьку...

(85) Ну вы вообще-то зря поражаетесь. Взломов айклауда, таких чтобы именно раздербанили сложный пароль и взломали или использовали какую-то уязвимость - я чет не примпомню. Социнжинерия была, да, но вот чтобы именно взлом по хардкору - я лично не знаю. Если знаете - поделитесь. Я знаю что был очень сильный баттхерт у спецслужб, когда им это реально понадобилось. Даже с эпплом судились.

также не припомню чтобы когда-то заломали VPN, защищенный AES256 или даже AES128. А вот залезания на чужие RDP - полна коробочка. Задаем вопрос - почему? Или даже не так: что делается не так и что сделать чтобы так не было?

В похожей ситуации помогло вот это: https://support.microsoft.com/en-us/help/158909/how-to-keep-ras-connections-active-after-logging-off

(88) Пароли надо делать нормальные.

(90) Там не в паролях дело а в багах. У меня (поднятые мной и выставленные RDP в инет серваки) два раза ломали.

Хорошо попались порядочные ломщики, ничего не попортили, только назаводили своих учеток и юзали сервак "для себя" как проксю.

(91) Винда какая была?

(0) Достаточно просто реализуется на опенвпн. Тем более он встроен в кенетик

(93) Не реализуется он просто, к сожалению. Опен ВПН мост создаёт но кенетик шлюзов моста не видит сволочь такая а до iptables кинетика достучатся не могу. Ну или скилла не хватает настроить.
В общем суть - когда делаешь переброс порта к Опен ВПН шлюзу (удаленному или не очень) или к удаленной тачке то не работает. Со встроенным pptp фокус прокатывает.

(94) client-to-client - в конфиге сервера указал?

Взял другой кинетик вчера. Попробую настроить.
P.S. Я с этими граблями уже научился 2-мя способами OpenWrt устанавливать с luci и если бы не глючные роутеры то продолжал бы наблюдения )

(95)

dev tun

ifconfig 10.1.0.1 10.1.0.2

cipher AES-128-CBC
# Our pre-shared static key
<secret>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
бла бла бла
-----END OpenVPN Static key V1-----
</secret>
; port 1194

; user nobody
; group nobody
; comp-lzo
; ping 15
; ping 15
; ping-restart 45
; ping-timer-rem
; persist-tun
; persist-key

verb 3
route 192.168.7.0 255.255.255.0

+(86) Меня вот грызут какие-то гады...
http://storage2.static.itmages.com/i/18/0322/h_1521704773_4154540_4f2e647ac7.png

(95) Нет, а чем поможет? Сам кинетик не может почему то обратится к ресурсам 10.1.0.2 или стоящей за ней сети но ПИНГУЕТ и другие компы спокойно коннектяться из подсети микротика или из другого впн.

Да ладно другой кинетик старт стоит 1500 руб.

ну и сетевушка 500 = 2000 руб.

(99) А ну так в кинетике нужно указать. Смотри в мануале "interface security-level" - он у тебя для опенвпн долже быть в "public"

(99)брр, так какая конфигурация уже? и микротик и подсети другие и сервер впн, уже ничего не понятно

(96) Зачем опенврт? В кинетике есть opkg. Я через него все ставлю. Главное что бы в устройстве был усб для флешки

(103) ну там микрот ещё есть не суть:
1) кинетик -> pptp на сервере при RDP отрубает RDP и танцы с бубном не помогают
2) подсеть А <-> vpn кинетика|OpenVPN кинетика <-> серв -
подсеть А видит сервер, сервер видит посдсеть А, кинетик редиска не хочет перенаправлять порт как в варианте 1.

(104) Не, я параллельно пытался поднять глючных роутера и в итоге плюнул из-за зависонов, кстати там впн тоже без бубнов не заводится к сожалению и модем пришлось перепрошивать и в конфиги через wincsp лазить )

2 глючных роутера.
P.S. все двухлетние тп линки и длинки можно смело в мусорку, ящик лежит уже.

(105) ссш не взлетел как советовали? http://keenetic.zyxmon.org/wiki/doku.php/wiki:dostup_iz_interneta_k_routeru_i_resursam_domashnej_seti_s_ispolzovaniem_ssh-tunelej

(108) Я не разобрался как в iptables кинетика залеть если честно, модифицировать прошивку не хочу да и на самом деле пофик, включю через туннель второго миротика.

(107) Готовить не умеем может быть? OpenWRT использовал? Хотя не факт что можно воткнуть ее.

(110) Чего её готовить? Роутры виснутЪ ( Печалька (

кстати, опенвпн у микротика жутко тормозной, как и SSTP. наверно, потому в микротике они только через TCP реализованы. и мощный проц не спасает. поднимал виртуалку на ксеоне.

(113) Глюк. МистаРидер подвела.
(112) Полностью согласен. Дома на кинетик все перевел с микротика, ОпенВПН летает.
Ждем ROS v7

Но ведь у кинетика он тоже вроде только за счёт проца.

шифрование можно попроще сделать, а можно и выключить, оставить только туннель. А так была нагрузка до 70% если 70 клиентов впн к микротику и 1% если делать туннель микротик микротик и всех прятать

(116) Впн без шифрования? Смысла в нём не особо )

(117) а какой смысл в шифровании? кто то перехватит пакеты? кто то кому они очень нужны)