Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   RDP over OVPN не подключается (http://forum.oszone.net/showthread.php?t=343992)

Той Серью 08-02-2020 20:51 2908804
RDP over OVPN не подключается
 
Good day!))
Помогите понять причину.
На маршрутизаторе (микротик) поднят ovpn-server. За роутером корпоративная сеть, где в т.ч. windows server 2008 с терминальной службой
С удаленного клиента можно подключается клиент ovpn (tun) затем успешно подключается rdp-клиент. Подключение успешное, так как первым правилом поставлен маскарадинг с сети диапазона ovpn на локальную сеть. Без него по vpn хосты локальной сети не видны.

Но мобильные клиенты могут иметь одинаковые подсети с корпоративной. TAP строить означает возможность конфликта адресов, тем более в корпоративной есть традиционный адрес 192.168.0.1/24 (убил бы школьников!).
Поэтому я подключаю удаленного клиента ovpn (снаружи) и терминального сервера ("изнутри"). Они получаются в одной сети диапазона ovpn-pool, и могут друг друга пинговать (в т.ч. терминал с уд. клиента). На тестовый windows 10 можно зайти по протоколу RDP на его адрес ovpn.
Однако терминальный сопротивляется. Он отзывается по icmp, однако опрос телнетом порта на адрес, назначенный терминалу из диапазона ovpn-pool, даже с роутера безуспешно.
Брэндмауэр отключал, антивируса не стоит.
Возможно ли, что сеть ovpn определяется терминальным сервером как недоверенная, и поэтому не пускает из нее?

Anton04 09-02-2020 20:28 2908921
Той Серью,

Нарисуйте схему подключения с IP адресами, возможно так станет понятней.. Что-то типа этого.

Той Серью 10-02-2020 15:06 2909017
Вложений: 1
Вложил файл с рисунком.
Получается, что все три конечных устройства соединены в одну подсеть 192.168.200.0/24.
На сервер по RDP удается зайти по "нативной" локалке (192.168.0.0/24), а также по ipsec c удаленного филиала на адрес 192.168.0.50 (это адрес терминала в LAN)

ПС. Не обращайте внимание на диапазон ovpn-pool, это я ошибся на рисунке, он шире.

Той Серью 10-02-2020 15:35 2909018
Вот щас расшарил папку на терминальном сервере и смог на нее зайти по 192.168.200.33
Т.е. только RDP сопротивляется.
Я уж даже сменил тип сети у адаптера, создаваемого ovpn, на частную. Не помогает.

Anton04 10-02-2020 16:51 2909022
Той Серью,

Не понятно, у Вас настроен роутинг на микротиках с 192.168.200.0/24 на 192.168.0.0/24 и обратно?
Так же не понятно какой внутренний адрес в сети где стоит PC1.

Той Серью 10-02-2020 19:22 2909041
Маршрут есть на РС1, я же захожу в локальную сеть предприятия. И я могу пинговать терминал по его ovpn-адресу. Я могу подключиться с РС1 по opvn, а чтобы попасть в локалку, работает маскарадинг.
Суть же в том, что и РС0 (который физически располагается в одной сети с терминалом, и поднявший интерфейс ovpn, тоже не может попасть по RDP по адреcу ovpn (192.168.200.33). А вот терминал - он может на РС0 зайти. Можно сузить проблему до взаимодействия РС0 и терминала по ovpn.
Нет ли тут чего-нибудь со стороны RDP-лицензий, ведь интерфейса OVPN на терминале при лицензировании еще не было?

Предисловие в топике с упоминанием РС1 я написал потому, чтобы не возникало вопросов, зачем я терминал тоже в ovpn загнал. Как раз, чтобы исключить конфликта адресов, если сети клиента и терминала (LAN) вдруг к какой-нибудь поездке совпадут, это же remote vpn. РС1 это и есть "мобильный клиент".

Anton04 10-02-2020 20:04 2909048
Той Серью,

Вы так и не ответили на мой вопрос:
Цитата:
Цитата Anton04
Так же не понятно какой внутренний адрес в сети где стоит PC1. »
Попробуйте все же схему нарисовать исходя из приведённого мной примера. Очень сложно понять что у Вас там где и как... Если сложно в графическом исполнении, возьмите карандаш и на листке бумаги нарисуйте от руки и потом или фото или скан выложите сюда.

Цитата:
Цитата Той Серью
Нет ли тут чего-нибудь со стороны RDP-лицензий, ведь интерфейса OVPN на терминале при лицензировании еще не было? »
Нет, в противном случае было бы сообщение о невозможности выдачи лицензии. К тому же есть ещё административная лицензия (для администратора сервера) которая работает всегда (даже без лицензирования).

Той Серью 12-02-2020 19:57 2909318
И всё-таки проблема была на стороне 2008 . Несмотря на то, что в настройке было указано слушать все интерфейсы, виртуальный интерфейс не прослушивался. Попросил администратора терминала решить вопрос, теперь порт доступен и подключение устанавливается по адресу в виртуальной сети.
Правда, теперь мне надо решить другую сдачу. Я не сразу учел, что клиентское подключение ovpn активно, пока есть сессия того пользователя, который инициировал это подключение. Выходит, что чтобы терминал находился в виртуальной сети, нужно, чтобы какой-нибудь полномочный пользователь висел в локальной сессии, поддерживая активным подключение ovpn. Это, конечно, можно, но не лучший вариант. В общем, нужно, чтобы подключение терминала к серверу ovpn было постоянным.

Angry Demon 13-02-2020 09:59 2909363
Цитата:
Цитата Той Серью
В общем, нужно, чтобы подключение терминала к серверу ovpn было постоянным
Задачу подключения в Планировщик. Всего и делов.

Той Серью 14-02-2020 21:17 2909606
Не запустить подключение из командной строки - требуется ввести пароль ключа.
Если поставить галку "Запомнить" в окне запроса пароля ключа, он запоминается, но только для ручного подключения в гуе.
В планировщике, соответветственно, установить подключение тоже не удастся. Хотя, может, я чего-то не знаю.


Время: 05:54.

Время: 05:54.
© OSzone.net 2001-