problema accesso remoto con dyndns e pfsense

[tanjama]

salve a tutti...da perfetta autodidatta sto "costruendo" pian piano una soluzione di remote desktop all'interno della mia azienda.

adesso sono arrivata al punto di voler accedere da remoto al server win 2008 anche da casa, come sto scrivendo ora, o da qualsiasi parte con una connessione.

Vi spiego la mia struttura. Ho un server con win 2008, un server con 2003, un firewall pfsense e un router netgear dmp100 per la sola connessione.

Ho attivato un accont con dyndns per l'ip pubblico. Ho aperto la porta 80 su nat del pfsense sull'ip del server 2008 (che è quello che mi interessa monitorare). Sono a casa...faccio un remotedesktop con il dominio dyndns e accedo...tac! sono sul server 2003 invece che sul server 2008. Dove sbaglio?
Ho tentato anche di connettermi via vnc installando lato server sulla macchina col 2008 e wiever sul questo portatile ma nemmeno riesco ad avere il login. La porta 5900 è stata aperta sull'ip del 2008.

Ringrazio chiunque mi illumini.

[mavelot]

Scusa ma la porta 80 cosa c'entra ??

Per il desktop remoto devi aprire la porta 3389 verso il server che ti interessa.

In questo caso poichè hai 2 server da raggiungere ti servono 2 regole di NAT su 2 porte pubbliche diverse.

Quindi per esempio
la 33890 verso la 3389 del server 2003
la 33891 verso la 3389 del server 2008

[tanjama]

scusa se ti faccio una domanda ma ho delle lacune in merito...

come mai su tutte le macchine l'ip pubblico rimane sempre lo stesso?

effetivamente la porta 80 è http...seguendo la guida di dyndns dicevano di aprirla ma ora che ci penso parlavano di serverweb

la porta 3389 dove l'hai pescata?xche io ho cercato qualcosa in merito ma nessuno ne parla...

grazie dell'interessamento

[mavelot]

La porta 3389 non l'ho pescata.... è semplicemente che so quale è la porta del desktop remoto.

Del resto basta usare google per cercare "remote desktop port".

L'ip pubblico è sempre lo stesso perchè (sto supponendo !) che tu abbia una connessione con 1 solo IP pubblico che è assegnato al router o al firewall appunto.

Ovviamente esistono anche connessioni conù ip pubblici e in quel caso la situazione è molto diversa

[tanjama]

si hai ragione ho solo un ip pubblico....ho provato ad aprire la porta ma adesso dal portatile non riesco ad accedere nemmeno al 2003..

forse xche sono nella rete lan interna??

cmq domando...supponendo che sia tutto a posto, dal remote desktop per entrare nei due server basta loggarsi con le credenziali dei server e dovrebbe funzionare?allora ti domando come mai se metto il mio dominio dyn pippo.mine.nu automaticamente mi appare il nome utente del server 2003.

Quasi quasi dal casino vomito...

grazie della pazienza

[adaand]

Ciao, se sei riuscito ad accedere al desktop remoto del server 2003 senza fare un nat della porta 3389 fossi in te mi preoccuperei perchè significa che hai esposto l'ip del server sulla rete pubblica il che significa che tra 2-3 giorni al massimo il tuo server sarà un ricettacolo di virus e troian vari.

Comunque, quello che indica mavelot è corretto. Il problema è che hai un solo indirizzo IP pubblico e vuoi accedere a due indirizzi IP di lan interna sulla medesima porta TCP. Per fare questo devi fare in modo che il secondo server pubblichi la porta RDP (remote desktop) su una porta diversa dal primo.

Quindi nel firewall devi fare un NAT dell'indirizzo IP del primo server sull'IP pubblico ma specificando anche la porta di destinazione (per il primo potresti anche lasciarla identica quindi la 3389), mentre per il secondo server devi dire al firewall che la porta 3389 diventa la 9389 per l'IP Pubblico.

Ciao

[tanjama]

grazie dell'aiuto...cmq sono un donna...

vedrò di capirci qualcosa....

allora un due precisazioni in più.

La porta rdp 3389 del server 2003 era gia aperta in precedenza, me ne sono accorta ieri.

Invece quello che non riesco a capire è come far cambiare la porta al server 2008...come si fa a dire al nat che la 3389 per l'rdp muta in 9389 (per esempio) lasciando aperto l'rdp?

io apro la porta 9389 su 192.168.1.200 come MS RDP...lato nat tutto ok...ma quando faccio un rd da un pc come sa che deve passare per questa porta invece che per la 3389 (standard)...non so se mi sono fatta capire, spero di si.

grazie a tutti

edit: forse mi è venuto in mente..quando uso il remote desktop devo mettere ip pubblico:9389 ???

[pegasolabs]

Scusa se dico una castroneria non ho avuto tempo di leggere tutto con attenzione. Ma perché non ti crei una VPN PPTP sul pfsense e così accedi come se fossi in Lan a tutto?

[tanjama]

mi vergogno un po....

non so creare una vpn..nel senso che il pfsense è stato installato da una nostra ditta e il tipo non lavora più li e nessuno può venire ad assisterci.

hai presente quando la gente fa i suoi porci comodi senza dirti nulla???

io sono una perfetta autodidatta...me la sbrigo sempre se voglio, ma ci metto il doppio del tempo.

Potrei anche fare la vpn...senza problemi...ma devo partire da qualche nozione.
Non sarà una tragedia, anzi mi sembra sia già impostata xche abbiamo 2 sedi che si collegano via vpn al nostro gestionale.

La vpn per l'accesso remoto al desktop delle macchine però non so proprio come impostarlo.

Grazie cmq

[mavelot]

Allora.....

per collegarti alla macchina su cui hai aperto la porta "nativa", cioè la 3389, basta che digiti come indirizzo nel client desktop remoto:

miodominio.mine.org

Questo perchè il client "presuppone" che tu voglia collegarti alla 3389.

Per collegarti all'altro server, devi istruire il client che la porta è diversa !
Per cui scriverai:

miodominio.mine.org:9389

[tanjama]

esattamente quello che ho presupposto!!


cmq sta storia della vpn non sarebbe male da imparare...c'è qualche link all'interno del forum in cui si discuta la sua creazione???

[adaand]

Quote:

Originariamente inviato da tanjama

esattamente quello che ho presupposto!!


cmq sta storia della vpn non sarebbe male da imparare...c'è qualche link all'interno del forum in cui si discuta la sua creazione???

Ciao Tanjama, perdonami per il grossolano errore, non avevo fatto caso al nikname .
Il suggerimento della VPN è ottimo anche perchè ti permette di aver maggiore sicurezza sulla connessione ed oltre a darti l'accesso in RDP ai due server ti permette anche di raggiungere altri dispositivi collegati alla rete. Tutte le info su come configurare PFSense le trovi nel forum di pfsense http://forum.pfsense.org/
Se non vuoi fare la VPN con pfsense puoi sempre farla fare al server (2003 o 2008) e pubblicare solo la porta PPTP (1723) del server che hai utilizzato per la VPN ed il protocollo GRE. A questo punto ti autenticheresti sul server e non sul firewall. Vedi tu se conosci meglio uno o l'altro. Le informazioni su come configurare il server 2003 per abilitarlo alle funzioni VPN le torvi qua: http://support.microsoft.com/kb/323441/it

cIao

[tanjama]

ringrazio sentitamente!!!

proverò appena posso...grazie

[nuovoUtente86]

Quote:

Originariamente inviato da mavelot

Scusa ma la porta 80 cosa c'entra ??

Per il desktop remoto devi aprire la porta 3389 verso il server che ti interessa.

In questo caso poichè hai 2 server da raggiungere ti servono 2 regole di NAT su 2 porte pubbliche diverse.

Quindi per esempio
la 33890 verso la 3389 del server 2003
la 33891 verso la 3389 del server 2008

direi regole di port forwarding. Il NAT è una cosa ben precisa.

[tanjama]

non ci siamo

ho fatto cosi ma non funziona

ho aperto una porta diversa dalla 3389 (quella del server 2003) per il server 2008 192.168.1.200 sulle rules porta 3989

la stessa cosa l'ho fatta sotto la voce NAT che va sulla porta esterna.

poi non contenta ho provato a fare sempre la stessa operazione per un pc 192.168.1.10 che monta 7 ultimate...aperta la porta 3390 sia sul nat che sulle rules di port forwarding.

Da casa avvio il desktop remoto con miodominio.mine.nu:3389 va di colpo sul server 2003

con le altre 2 porte niente da fare...mi dice che il pc non è in rete o e spento o non si può raggiungerlo.

Dove sbaglio?eppure mi sembra che sul pc 192.168.1.10 il desktop remoto sia abilitato...sul server 2008 non lo so. Non è che devo abilitare qls di strano lato server/pc??

grazie ancora

[mavelot]

Quote:

Originariamente inviato da nuovoUtente86

direi regole di port forwarding. Il NAT è una cosa ben precisa.

NAPT statico e port forwarding sono la stessa cosa

http://publib.boulder.ibm.com/infoce...zajwstatic.htm

[mavelot]

Quote:

Originariamente inviato da tanjama

non ci siamo

ho fatto cosi ma non funziona

ho aperto una porta diversa dalla 3389 (quella del server 2003) per il server 2008 192.168.1.200 sulle rules porta 3989

la stessa cosa l'ho fatta sotto la voce NAT che va sulla porta esterna.

poi non contenta ho provato a fare sempre la stessa operazione per un pc 192.168.1.10 che monta 7 ultimate...aperta la porta 3390 sia sul nat che sulle rules di port forwarding.

Da casa avvio il desktop remoto con miodominio.mine.nu:3389 va di colpo sul server 2003

con le altre 2 porte niente da fare...mi dice che il pc non è in rete o e spento o non si può raggiungerlo.

Dove sbaglio?eppure mi sembra che sul pc 192.168.1.10 il desktop remoto sia abilitato...sul server 2008 non lo so. Non è che devo abilitare qls di strano lato server/pc??

grazie ancora

Beh su un Server 2008 il desktop remoto è sempre abilitato di default. Comq devi verificarlo prima di tutto dalla LAN.

Non mi è chiaro che regole hai fatto. La porta "interna" deve essere sempre la 3389

[nuovoUtente86]

Quote:

Originariamente inviato da mavelot

NAPT statico e port forwarding sono la stessa cosa

Il destination NAT e NAPT consentono rispettivamente il port forwarding e il port remapping, ma sono solo uno strumento utile ad un meccanismo più complesso. IL NAT,genericamente, inoltre è orientato al pacchetto, il PF alla connessione.

[mavelot]

Quote:

Originariamente inviato da nuovoUtente86

Il destination NAT e NAPT consentono rispettivamente il port forwarding e il port remapping, ma sono solo uno strumento utile ad un meccanismo più complesso. IL NAT,genericamente, inoltre è orientato al pacchetto, il PF alla connessione.

questo è corretto. Però non è solo "un modo di dire": si usa frequentemente la parola NAT (senza specificare NAPT) anche in riferimento a regole statiche che appunto finiscono nella tabella di nat e che di fatto servono ad effetturare il port forwarding.

Cmq non ho capito perchè negli ultimi giorni, 3-4 persone sul forum hanno deciso di contestare tutto quello che dico, come se per 3 anni avessi scritto cazzate.

[nuovoUtente86]

Quote:

Originariamente inviato da mavelot

questo è corretto. Però non è solo "un modo di dire": si usa frequentemente la parola NAT (senza specificare NAPT) anche in riferimento a regole statiche che appunto finiscono nella tabella di nat e che di fatto servono ad effetturare il port forwarding.

Ormai l' utilizzo della parola NAT, sta assumendo (anche tra i produttori di device/firmware) come sottolineavi questo significato ma non è corretto (anche se alla fine il linguaggio è una convezione, basterebbe mettersi d' accordo). Quanto alle tabelle di NAT (che vengono gestite dinamicamente) ci sarebbe da fare un discorso un po complesso sui vari tipli di implementazioni del managment delle connessioni uscenti (anche se in fascia home/soho è utilizzato prettamente il full-cone).

Quote:

Cmq non ho capito perchè negli ultimi giorni, 3-4 persone sul forum hanno deciso di contestare tutto quello che dico, come se per 3 anni avessi scritto cazzate.

Senza voler essere polemico, ma anzi per essere costruttivi, mi chiederei il perchè magari più persone entrano in contrasto...