KN-2710 Два провайдера + проброс портов без дублирования правил для каждого провайдера

[Odyssey]

Подключение к обоим провайдерам по белым IP адресам соответственно в WAN0 и WAN1.

Клиенты RDP тоже сидят за белыми адресами.

Варианты работы двух WAN:

• Основной и резервный канал
• Подключение к первому и второму провайдеру с балансировкой нагрузки (т.е. одновременно работают два WAN)

Задача пробросить переназначенные RDP порты, для доступа извне конкретных ip адресов (любые другие запретить) на локальный сервер, чтобы они (RDP порты) работали с обоими провайдерами, то есть НЕ ДЕЛАТЬ две настройки для каждого. Если это не возможно для fw 3.9.2 - придется дублировать правила проброса портов.

В Переадресация портов - предлагается выбрать только "один из интерфейсов" в поле Вход

 

Сделан проброс портов для одного провайдера и добавлены правила в сетевой экран для работы только с конкретных IP адресов - все работает, единственное не понятно в сетевом экране: Порт источника и Адрес назначения (сейчас для них установлено Любой).

Порт источника - это порт на WAN интерфейсе роутера, с которого будет перенаправлен на порт локального сервера?

Адрес назначения - это внутренний адрес локального сервера или внешний адрес одного из WAN интерфейсов? Плохо, что нет ремарок к этим параметрам. Порт назначения указывается - 3389 (иначе работать не будет), а не порт, с которого идет перенаправление.

 

 

Edited January 8, 2023 by Odyssey

[Monstr86]

9 часов назад, Odyssey сказал:

Подключение к обоим провайдерам по белым IP адресам соответственно в WAN0 и WAN1.

Клиенты RDP тоже сидят за белыми адресами.

Варианты работы двух WAN:

• Основной и резервный канал
• Подключение к первому и второму провайдеру с балансировкой нагрузки (т.е. одновременно работают два WAN)

Задача пробросить переназначенные RDP порты, для доступа извне конкретных ip адресов (любые другие запретить) на локальный сервер, чтобы они (RDP порты) работали с обоими провайдерами, то есть НЕ ДЕЛАТЬ две настройки для каждого. Если это не возможно для fw 3.9.2 - придется дублировать правила проброса портов.

В Переадресация портов - предлагается выбрать только "один из интерфейсов" в поле Вход

 

Сделан проброс портов для одного провайдера и добавлены правила в сетевой экран для работы только с конкретных IP адресов - все работает, единственное не понятно в сетевом экране: Порт источника и Адрес назначения (сейчас для них установлено Любой).

Порт источника - это порт на WAN интерфейсе роутера, с которого будет перенаправлен на порт локального сервера?

Адрес назначения - это внутренний адрес локального сервера или внешний адрес одного из WAN интерфейсов? Плохо, что нет ремарок к этим параметрам. Порт назначения указывается - 3389 (иначе работать не будет), а не порт, с которого идет перенаправление.

 

 

Как сделать проброс на 2-х провайдеров я не знаю, но предложу вам другую схему, более безопасную, поднимите vpn сервер + зарегистрируйте доменное имя и ничего пробрасывать вам не придется, сеть будет защищена, а выставлять наружу rdp это очень большой риск, даже если он у вас далеко от стандартного.

[Odyssey]

Все будет переделано на WireGuard site-to-site между офисами, когда будет заменено оборудование, а пока так, поэтому необходимо корректно настроить проброс.

Еще немного осложняется тем, что сотрудники хотят работать удаленно из дома, но скорее всего либо запретим, либо сделаем VPN