Здравствуйте!
Задолбали брутфорсить сервак!
Менять порт RDP смысла нет, все равно вычисляют.
Сейчас пользуюсь Cyberarms, так то помогает, но хочется чего то более надежного что ли.
VPN не удобно использовать.
Настроил шлюз удаленного рабочего стола с сертификатом.
Вопрос вот в чем, как можно запретить подключаться к RDP без указания шлюза?
Или может быть кто то посоветует кто как решает вопрос с безопасностью?

будут брутфорсить шлюз

покупай у кого-нибудь защиту от ддос атак

(1) Ну все таки шлюз брутфорсить намного сложнее, тем более есть же сертификат.
Какую роль он выполняет? Можно запретить подключаться если на компьютере нет серфиката?

Просто используй удобный VPN

Другой вариант это список белых ip, постоянно обновляемый
Чтобы клиент попал в этот список и ему разрешили по RDP, должен предварительно зайти на некий сайт (со своего ip понятно дело) и там выполнить предварительную авторизацию

(4) VPN не удобен в плане локальных сетевых ресурсов. Когда подключаешься к VPN ты выпадаешь из своей локальной сети.
А вот по поводу сайта нужно почитать как это реализуется.

(5) неа если сетки не пересекаются по ip то никуда не выпадаешь
могут быть проблемы маршрутизации если несколько подсетей да, но это решаемо

(5) по поводу сайта это реализуется обычно на линуксе, который служит предварительным шлюзом
та же защита от DDOS оно примерно по тому же принципу работает но там скорее черные списки, попав в который придется каптчу разгадывать
тут же вместо каптчи логин/пароль ввести и ip клиента в белом списке и шлюз линукса пробрасывает на сервер RDP

(6) Спасибо большое! То есть если например одна сеть 192.168.1.*, а другая 192.168.2.* то сможешь свободно обращаться к ресурсам обоих сетей?

(8) угу

(9)+ поэтому основное правило что в сети организации никогда не выбирать популярные номера подсетей!
и аналогично для подсетки vpn

никаких 192.168.1.X или 192.168.0.X а как минимум 192.168.115.X или нечто вроде
и согласовывать ip сетей если холдинга из разных организаций

(7) А при авторизации на сайте разрешенный IP выдается уже после авторизации? Или он изначально должен быть в списке разрешенных?

(10) Большое спасибо! Очень помогли!

(5) это почти во всех случаях починяется

(11) та не ты не понял

Суть что по дефолту все ip юзеров которые хотят стукнуться по RDP банятся изначально.
Например зайди на https://2ip.ru/ увидишь свой ip и сайт так же его видит и раз он не в белом списке то не пустит на RDP.
Чтобы юзер смог войти без VPN напрямую по RDP он должен сначала зайти на некий твойсайт.ru и там ввести некий код или логин/пароль? Можно отличные логинов/паролей от RDP или даже через номер мобильного и смс с кодом авторизоваться что конечно сложней но круче.
Сайт видит ip клиента и добавляет его в белый список для RDP - далее клиент может некоторое время спокойно заходить.
А всякие брутфорсеры не могут ибо они не в курсе про тут-тут предварительный через сайт.
Держать ip в белом списке надо некий срок, тут на усмотрение. Если давно с этим ip не заходили удалять из белого списка.

(13) А в плане работы интернета? Например такая ситуация: качаю фильм через торрент, подключаюсь через VPN. Трафик будет идти только через мой интернет? Или через VPN сервер?

(15)  "Использовать основной шлюз в удаленной сети"

(16)+ Эта настройка она отдельная для сервера и клиента

Можно запретить на сервере - в этом случае если не снять галку на клиенте то инет у клиента пропадет, кроме ресурсов локалки VPN

Можно снять галку на клиенте - в этом случае пофиг на настройки сервера, но если не прописать маршруты то другие ip кроме адресов vpn будет пытаться через другие соединения разрешать.
Бывает что подсетка VPN она отличается от основной сети LAN и если снять галку то не поймет без прописывания маршрутов у клиента

(17) Большое спасибо! Действительно очень помогли!

(15) а это как настроите. Можно, например, настроить маршрутизацию таким образом, что все, что касается удаленной локальной сети, будет идти через вновь созданное VPN подключение, а все остальное - как и раньше, через соединение с роутером.

по умолчанию винда все начинает пихать через вновь созданное подключение, которое становится основным. Но совершенно необязательно позволять ей это делать.

(20) Кстати, а где про эту настройку почитать? Сколько раз N лет назад не пробовал - не получалось...

Можно обычным route.
Но в современных виндах лучше через коммандлет PS
Add-VpnConnectionRoute -ConnectionName "Ваш-VPN-интерфейс" -DestinationPrefix УдаленнаяПодсетьКудаКидатьПакеты

коммандлет хорош тем, что один раз задаешь - и маршрут становится постоянным для этого подключения. Т.е. не надо при каждом подключении добавлять маршрут.

(22) иптыть... Тогда понятно, почему не получалось ))) Тогда на ХП пс была ну...

В андроиде уже все придумано за нас - для тех же целей можно юзать строчку "Маршруты пересылки" в настройках подключения.

(22) я предпочитаю все это на роутере делать а не на компе
у многих VPN есть свои клиенты которые это все берут на себя

(24) Там только route add :(

(24) это даже на Win311 можно было

(28)+ в смысле (27)

(26) это да. ShrewSoft, например, умеет

(28) читай (21). Даже с помощью админов.

Так и не понял чем плох Cyberarms. Вполне действенное средство от дудоса

(31) через route add можно. Но более гиморно. И персистентный сделать у меня не вышло, т.е. надо скрипт выполнять каждый раз как установишь подключение. А так, в принципе, должно работать. Делал, работало.

(31) админом было или пофиг или такие админы были

(34) Ну, какие были. Ферму цитриксов с тини-линух-тонкими клиентами подняли как-то...
А пофиг - не я же им задачу ставил, а рук ит...

Банальный port knocking (по последовательности портов или пингов) с внесением белый список, остальных ломящихся - в бан.