Всем привет , помогите решить проблему , есть домашний роутер асус , в сети подключаюсь с телефона по рдп к компу виндовс10 все ок , через мобильный интернет не как не хочет , я уже и антивирус отключал , и в файерволе прописывал в искючения порт 3389 , в настройках роутера пробрасывал порты, ничего не получаеться. Подскажите люди добрые, что делать ?

пароли всех пользователей на ПК надежны? а то может шифровальщик прилететь

(4) откуда такая уверенность?

это пример , вы по делу чтото скажите товарищи

У тебя не белый ip, проверь не включен ли файрвол на маршрутизаторе

(7) вопрос если адрес компа 192.168.1.1, то какой адрес роутера в сети?

(13)интрига )))

фаер вол отключен на маршрутизаторе , я так понимаю это в настройках брандмауера роутера должно выключено стоять .
адрес роутера типо 95.108.11.602

(15) локальный адрес роутера какой?

(15)а должен быть 192.168.1.2, например. какой адрес шлюза в параметрах сетевого подключения на ПК?

Локальный 192.168.1,1
адрес шлюза пк 192,168,1,1
адрес компа 192.168.1....

(18)значит пророс порта не верен, нужна указывать адрес ПК, а не адрес роутера

+(19)Имя службы  -- rdp

Source Target -- не знаю что это оставил поле пустым..
Диапазон портов -- 3389
Локальный IP-адрес 192,168,1,...
Локальный порт -- 3389
Протокол -- BOTH

так я там и узазываю так , к примеру
адрес компа 192.168.1.150
и там где проброс портов Локальный айпи адрес я такойже указываю как и компа

В (7) ты другое написал.
Если действительно указываешь айпи компа, и на компе отключил брендмауэр, то причина только одна - серый айпи. Вряд ли провайдеры на пути закрывают порт 3389

пробовал товарищей приконектится с других сетей тоже не получается , выдает ошибку

ну на роутере же стоит на WAN IP 98.132.11.330 к примеру это же белый

Сделай tracert ya.ru с компа

(24)НЕ ФАКТ, скрин с 2ip.ru покажи

(26)скрин он не захочет, адреса же приводит примерные. ТС, сам сравни WAN IP роутера, и IP отображаемый на сайтах проверки IP

не ну скрин это сильно …
какую строчку нужно назвать , там все айпишники не совпадают с тем который на роутере

(28)Ну не чудо ли?

и типо это не белый ? Как тогда сделать белый себе

(30)почему скрин-то боитесь? пароли на пользователях ОС сильные? если нет, то делайте срочно. чтобы шифровальщиков нахватать вовсе не нужно кому-то сообщать свой IP, они сами перебором достучатся

(30)Позвонить провайдеру и потребовать белый айпи, если попросит денег - дать.

(30)по адресу с сайта https://2ip.ru/ "Ваш IP адрес:" попробуйте подключиться по rdp

пароли то сильные , но для перестраховки ...

(34)IP-то у Вас динамический? если да, то прервете затем сессию на некоторое время, чтобы IP сменился. зато сейчас сразу станет понятно, могут другие подключиться или нет

походу динамический , а мне получается нужно статический получить ? , что бы был такой как на роутере и такой как в интернете ?

(36) Нет белого динамического вполне достаточно.

Попробуй не 3389 а 80 порт пробрасывать, апач поставь для проверки он It works из коробки.

(36) Да, через провайдера.
50-100 р в месяц

Если не получается то можно через внешний сервер и маршрутизацию-проброску на нем, у себя на роутере vpn до внешнего сервера.
Чуть сложнее в настройке (и дороже) но даже без белого ip пашет.

(37) Это уже от настроек провайдера зависит.
Те, которые были у меня такие фокусы не разрешали.

(40) Запретить это сильно сложно, если белый ip действительно белый.
Там по протоколу на низком уровне не понять кто был инициатором, пакеты то одинаковые и просто имеют адрес отправителя и адрес получателя.

Скорее всего роутер блочит, для проверки разрешить временно доступ из wan и управление из wan.
И обязательно ВКЛЮЧИТЬ файервол! С настройкой правил.

Если файрвол на роутере выключен то маршрутизация не работает же. Это такой прикол на линуксе.

(42)+ В смысле ping разрешить и пингануть снаружи

(41) Я про серый.
С белым все ок.

А кто белый динамический дает?

(44) С серым только через (39) но там сразу понятно по wan ip на роутере из 10.чего то там или еще как.

(45) У меня на ростелекоме такой и всегда такой был для физиков.
Для юриков они дают статику.

Вообщем позвонил провайдеру обьеснил ситуацию что я хочу , он сказал только через внешний адрес подключить. Оставил заявку , может завтра перекинут . Всем спасибо огромное , помогли разобраться.

(47) 200 руб в Ростелекоме и будет тебе статика :)

(49) Нахрена если я оптический терминал в режим бриджа-модема перевел и мой старенький роутер асус получает внешний ip и ddns из коробки на бесплатном http://iplookup.asus.com/nslookup.php

я еще так не умею танцы с бубном проводить )

если обьяснишь по пунктам что куда нажимать буду оргомнейше признателен

(51) Ты (42) сделай

Надеюсь у тебя роутер (где проброску настраивал) точно сам внешний wan ip адрес получает?
Перед ним что стоит?

(54)+ На девайсе перед ним тоже надо проброску или перевести в режим бриджа.

у меня в интернете к примеру такой айпи  53.385.10.166, а на роутере другой 20.122.888.209

на роутере я имею ввиду там где WAN IP, и в настройка роутера у меня стоит получать айпи адрес автоматически

(57) Марка/Модель роутера?

(56) Второй (на роутере) не на 10 начинается или не на 192 ?

(59)+ https://ru.wikipedia.org/wiki/Частный_IP-адрес
10
100
172
169

Это не белый ip а "серый".

(60) *192 а не 169

на роутере на 10. начинается

(62) Тогда забей у тебя нет белого ip, тебе нужен внешний белый ip на сервере с vpn как (39)

Для клиента я арендовал VDS Старт (обязательно на KVM не OVZ) у
https://firstvds.ru/products/vds_vps_hosting#__virtualization_kvm
за 199р в месяц, там все что надо настроил.

Вообщем нужно заказать у провайдера белый айпи  ?

(64) Если есть такая услуга

(65)+ У некоторых хитрых провайдеров на безлимитных тарифах за внешний белый ip ценник неразумный или даже по трафику.

Спасибо парни огромное за помощь. God job ) VPN для меня одного разворачивать это слишком шикарно

Мне сказали от 50 до 100 р.

(68)провайдер то какой? уж этот то не секрет же ))) Вы не Сноуден часом? )))

Облтелеком ) не не сноуден ) Программист 1С )

(70) На сайте твоего прова 50 рублей цена за выделенный ИП

(70)верим, верим, тебе все равно признаваться нельзя, спокойной ночи, Эд.

Самое главное что бы помогло, я вообще для чего это делалаю тестирую у себя,а клиенту нужно будет сделать такую штуку , У него тоже роутер , пароль он от роутера не помнит , стандартные не подходят , прийдется сбрасывать настройки до заводских и настраивать все заново и если тоже такая херня нужно будет заказывать внешний айпи , и он хочет к базе 1С подключаться по РДП , с другой сети удаленно через этот роутер

И вам спокойной ночи )

Ребята , всем привет , мне уже выделили айпи адрес , он совпадает с таким как на роутере и в инттернете всеравно не заходит нихрена

(75)файервол в роутере включен?

(76)в правилах файервола правило для порта настроено?

На роутере выключен , в правилах указано

может я не так порты пробросил , или может нужно снять пароль с роутера ? ИЛИ по рдп я не то указываю скорее всего

(78) см (42)
"И обязательно ВКЛЮЧИТЬ файервол! С настройкой правил.
Если файрвол на роутере выключен то маршрутизация не работает же. Это такой прикол на линуксе."

(79)в пробросе портов указываете в качестве локального IP-адреса адрес ПК?

работает , Касперский блочил , теперь нужно правильно настроить , я же не могу с выключченным каспером оставить, как сделать это подскажите

(82)версия Каспера какая?
https://sysadmin.ru/articles/kaspersky-endpoint-security-10-razreshaem-podklyucheniya-k-udalennomu-rabochemu-stolu

только вот чтото пару минут работает потом сессия прерывается ,как настроить время сессии

и как настроить так что бы только я мог подключится ?

(84)интернет-канал с обоих сторон стабильный?

(85)правило файервола?

может с телефона глючит , касперский у меня 19

настроил , красота )спасибо всем

В чем затык-то был, удалось понять?

Или как обычно - бубен, магия и само завелось? ))

Клиенту или ВПН поднимай, или в файерволе прописуй конкретные ИП с каких можно по РДП подключаться. Даже при надежных паролях и измененных портах с внешнего мира регулярно ломятся кул хакерцы которые начинают пароли перебирать. Даже если пароли надежные , меняются раз в неделю и вероятность взлома низкая машину перегружают, иногда довольно сильно и все начинает типа глючить подтормаживать, службы печати останавливаются и т.п.

(92) "Клиенту или ВПН поднимай, или в файерволе прописуй конкретные ИП с каких можно по РДП подключаться" // Неужели нет выхода, когда заранее неизвестно с какого ИП будет подключение (проще говоря он в каждую новую секунду может быть произвольным), а ВПН не работает?

(93)"Неужели нет выхода, когда заранее неизвестно с какого ИП будет подключение"

а если MAC-адреса прописать, которым разрешено подключаться?

Не может он быть любым каждую секунду пропиши диапазон ип которые выдает провайдер список адресов с которого могут ломиться сволочи и соответственно их численность и риски сократятся на несколько порядков.
Cyberarms Intrusion Detection Admin как вариант на сервере поставить и настроить.
Регулярно смотреть логи и блокировать обнаруженных хулиганов.
Админ который настроит ВПН возьмет за это 50-100 у.е. платить за белые ип всех подключающихся + прописывать ИП если кто в командировку свалил. Рисковать всеми данными и переодически работать с системой загруженной непонятно чем решать тебе. У знакомого в прошлом месяце сервак вскрыли зашифровали. Неделя простоя + 500 у.е. за восстановление. До этого 10 лет стоят вываленный наружу РДП. Сейчас решил что белый ип. для дома ни есть проблема. А в командировке и через ВПН не так сложно подключиться.

(94) Так заранее неизвестно не только с какого ИП подключаться чел будет, но и с какого устройства

(95) "пропиши диапазон ип которые выдает провайдер" // Говенненькое такое себе решение. Не юзер-френдли соверщенно.

ВПН, конечно, хорошо, но оно, сцуко, не всегда и не везде тоже работает. Ну и опять-таки не совсем юзер-френдли.
А вот сертификатик клиентский какой-нибудь - это норм уже. Один раз на хост поставил и вуаля - не парится клиент.

Если 1С на УФ то нафуя надо RDP ?

(98) Правильный VPN работает всегда и везде. Готовить надо уметь, даже по 80 или 443 порту его можно с маскировкой под http(s)

(100) Вроде все равно провайдеры (на уровне железных маршрутизаторов) умеют определять ВПН-трафик и не все умеют его правильно передавать по цепочке

(101) Нет это уже называется DPI и работает пока хреново, с тормозами и мало что ловит.
Суть в том что пакеты (tcp или udp) они по сути одинаковые, имеют заголовок и тело.

По заголовку не понять что это и что там внутри, надо тело разбирать.

А разбор тела усложняется что одна порция данных разбита по нескольким пакетам и пакеты могут прилетать не в нужном последовательном порядке а как получится.
Сетевая карта имеет буфер где накапливает пакеты, собирает их правильно и выдает далее (при отправке разбивает на пакеты и отсылает).

Короче или инет есть и работает правильный vpn (не использующий грязных хаков протоколов по отсечке которых и может не работать) или инета нет.

Или делаем полную расшифровку-контроль трафика чтобы отсекать vpn что не удалось даже Китаю пока.
Потому что можно пакеты маскировать под хорошие (http протокол) а данные внутри в шифрованном виде

(102)+ Короче борьба с VPN это как борьба с вирусами.
Если исследовать некий вирус то антивирус сделать проблема, как и ловить все сильно похожие или на основе того вируса сделанные.

Но с новыми вирусами хрен что поделаешь еще неизвестными.

Так и тут с новыми не исследованными создателями DPI оригинальными VPN ничего нельзя поделать.
Да провайдер может текущие общеизвестные реализации VPN блочить, изучив их, но нахрена это ему надо то если нет требований таких?

(103) *антивирус сделать не проблема

Ставим себе маршрутизатор Микротик и решаем на нем просто ЛЮБЫЕ вопросы!!!!
Можно даже без ВПН все настроить и будет безопасно. и блокировку брут-фрса, и доступы по макам и ип и все чего угодно.
Информации в интернете просто море.

(105) У микротика есть облако и свой бесплатный ddns ?

(102) Спс за ликбез, последний раз с маршрутизацией и фильтрацией трафика сталкивался лет 8 назад )

(107) Мои сведения чисто на детском уровне, там реально постоянно что то новое изобретают для запретов и обхода запретов.
Очень похоже на вирусы и антивирусы/файрволы.

Любой трафик в принципе можно перехватывать и анализировать, но если нет того с чем сравнивать и блочить то какой смысл?
Если начать блочить по любому подозрению то куча похожих чем то легальных сервисов банально перестанут работать.
Что и творится в Китае и тех странах где пытаются сделать глобальный файрвол.

И кто/что мешает разработчикам всепробивного vpn сделать хитрый полиморфный протокол, который на лету будет меняться и никаких сигнатур постоянных не будет для зацепки системы DPI.