Remote Desktop via Port 3388

[m1ke]

במקום Remote Desktop 3388 תכתוב את השם של החוק שהוספת (ניסיתי לנחש).

אגב, שני המחשבים נמצאים באותו workgroup וכו'? אתה מנסה להתחבר עם IP ולא hostname? (פנימית)

[DolevSP]

מצאתי את הבעיה בפקודה, הפקודה הנכונה היא

Netsh advfirewall firewall show rule "Remote Desktop 3388"

כן, אני מתחבר עם IP ולא עם Hostname והמחשבים נמצאים באותו Workgroup

התוצאה:

[m1ke]

תשנה את Remote Port ל Any

[DolevSP]

עכשיו הוא מתחבר חיצונית אבל פנימית לא

מה יקרה אם אני אשנה את Local Port ל- Any גם כן?

עריכה: שינוי Local Port ל- Any לא שינה דבר

[m1ke]

זה אומר שפחות או יותר תבטל את הפירוואל.

Remote Port זה הפורט שהתוכנה שבה אתה משתמש כדי להתחבר דרך RDP למחשב תצא החוצה. הפורט הזה יכול להיות כמעט כל פורט אפשרי ולכן אין צורך שתשים שם הגבלה.

Local Port זה הפורט שאתה רוצה שיהיה פתוח בצד של הRDP, במקרה שלך זה 3388.

אז השינוי לא עזר בכלל? המצב נשאר כמו שהיה? עדין מצליח להתחבר רק מבחוץ ומבפנים לא?

אשמח אם תוכל לענות על השאלות האחרות.

[DolevSP]

השינוי עזר, אחרי ששינינו את ה- Remote Port ל- Any יש לי את האפשרות להתחבר חיצונית מבלי לכבות את ה- Firewall לגמרי (או לאיזור ה- Private)

הבעיה היא שאני עדיין לא יכול להתחבר למחשב מרחוק עם IP פנימי.

המחשבים באותו Workgroup ואני לא משתמש ב- Hostname אלא בכתובת IP

[m1ke]

יש איזשהו סיכוי שבעולם שיש לך חוק בFW של המחשב ממנו אתה מנסה להתחבר שחוסם יציאה החוצה בפורט 3388? הכי קל לבדוק את זה יהיה לכבות לרגע את הFW במחשב שממנו אתה מתחבר ולנסות RDP.

[DolevSP]

יש איזשהו סיכוי שבעולם שיש לך חוק בFW של המחשב ממנו אתה מנסה להתחבר שחוסם יציאה החוצה בפורט 3388? הכי קל לבדוק את זה יהיה לכבות לרגע את הFW במחשב שממנו אתה מתחבר ולנסות RDP.

הופה, עלית פה על משהו...למרות שהמחשב שאני מנסה להתחבר ממנו הותקן לא מזמן ולא התעסקתי לו בפיירוול,

הוא נותן לי להתחבר פנימית רק כשאני מוסיף ל- IP הפנימי של המחשב שאני מנסה להתחבר אליו את מס' הפורט (10.0.0.1:3388)

[m1ke]

אבל אבל... זה ברור. הרי שינית את הפורט הdefault של RDP, אז אתה חייב לציין לו את זה.

[DolevSP]

אבל אבל... זה ברור. הרי שינית את הפורט הdefault של RDP, אז אתה חייב לציין לו את זה.

חחח סבבה, אבל לפני שביטלתי את הפיירוול ניסיתי גם כן להוסיף את מס' הפורט בכל שלב, לא עבד לא ככה ולא ככה

[m1ke]

כן, כי לפני זה היה לך את ההגבלה של ה remote port.

נ.ב

אתה לא חייב בכלל לשנות את הפורט הרגיל.

בנתב שלך פשוט תעשה port forward בצורה כזו:

outside port 3389 -> inside a.b.c.d port 3389

outside port 3388 -> inside x.y.z.w port 3389

כאשר a.b.c.d זה הIP הפנימי של המחשב הראשון ו- x.y.z.w זה הIP הפנימי של המחשב השני.

רק שים לב שהIP קבועים למחשבים (או בצורה סטטית, או דרך DHCP lease)

ככה שמבחוץ תתחבר עם ציון הPORT, ומבפנים בלי.

[DolevSP]

הבנתי את הטעות שלי...

אז סתם בשביל ההבנה הכללית שלי לעתיד:

כשאני פותח פורט ל- RDP בפיירוול אני לא נותן לו Remote Port אלא רק Local Port

כתובות ה- IP אצלי הן סטאטיות עם reservation בנתב

ופתיחת הפורטים בנתב שלי נעשתה בצורה הזאת, תגיד לי אם זה מה שהתכוונת

כשאני נותן External Port Start הוא אוטומטית מעתיק את מס' הפורט ל- Internal. אותו דבר עם ה- End

[m1ke]

חשוב שתבין שכל התקשרות בTCP/IP מורכבת מ IP : PORT בכל צד. בד"כ כשמדברים על פורטים תמיד יש בראש רק פורט של השרת, אבל קיים גם פורט שאיתו יוצאים החוצה.

אם תפתח דפדפן ותעשה netstat, תראה שיש הרבה התקשרויות לפורט 80, אבל מהמחשב שלך הדפדפן יוצא בפורטים אחרים לגמרי שהמספרים שלהם כמעט שרירותיים.

כשאני פותח פורט ל- RDP בפיירוול אני לא נותן לו Remote Port אלא רק Local Port

כן.

לגבי הנתב שלך,

נדמה לי שאתה יכול לעשות את האפשרות הבאה:

external port: 3388

internal port: 3389

אם הוא מאפשר לך לעשות את זה, תוכל להחזיר את ההגדרה בregistry של 3388 חזרה ל3389. ככה התחברות מתוך הLAN שלך יתבצע רק עם IP פנימי, והתחברות מהאינטרנט יתבצע עם IP חיצוני + PORT (זה רק רעיון, אתה לא חייב לעשות את זה, ואולי תחליט שלא נוח לך בכלל).

[DolevSP]

מאוד אהבתי את הרעיון שלך,

אני בעד לעשות כמה שפחות שינויים ב- Registry ולרכז את רוב השינויים במקום אחד... יותר קל לאבחן מאיפה הבעיה נובעת כשיש אחת.

עובד מעולה, שיניתי את פורט ההאזנה בחזרה ל- 3389 ב- Registry.

שיניתי בנתב את ה- Internal ל- 3389

אין צורך בפורט בחיבור פנימי, יש צורך בפורט בחיבור חיצוני

והפנמתי את עיניין הפורטים ב- Firewall

תודה רבה לכם

עזרתם לי מאוד!