Здравствуйте, подскажите пожалуйста.
Есть в локальной сети сервер терминалов (192.168.3.2 - например). Необходимо сделать доступ к нему из Internet, остальное из интернета - запретить. Сеть выходит в интернет через DFL-700.
Как я понимаю
1 Меняем порты для управления на 8080 и 4443
2 Создаем пользователя, ставим галочку использовать аутентификацию через http/https
(Сразу возник вопрос, если нет необходимости в аутентификации локальных польозователей для выхода в интернет и правил дополнительных к заводским настройкам не задано LAN->WAN, то пользователь сможет работать в интернете без аутентификации. Правильно я понимаю?)
3 Необходимо создать правило для PortMapping
source - any, destination - WAN IP, service - RDP (TCP 3389), pass to - 192.168.3.2 (так?) или pass to - 192.168.3.2:3389
4 создаем правило WAN->LAN
Position -1, Action - allow, SourceNEts - пусто, Users/Groups - созданный пользователь, DestinationNets - ????, Users/Groups - ???, service - RDP, Custom source ports - пусто, ... destination ports - пусто, остальное не меняем.

Тогда получается если я захожу из интернета по клиенту служб терминалов (RDP) то сначала спрашивается пароль для входа на DFL-700, затем пароль для входа на терминальный сервер.

Или надо создавать PPTP сервер, и у удаленной машины настраивать PPTP - клиента.

Да все правильно.

Лучше всего создать PPtP сервер в DFL-700 и подключаясь в нему соединяться с терминальным сервером.

Спасибо, будем разбираться.

На клиенте создаем VPN соединение, примерно как описано
http://www.dlink.ru/phorum/viewtopic.ph ... ht=dfl+700

Затем подключаемся по нему. по внешнему ip маршрутизатора (DFL-700)
Непонятно что дальше.
Сервер терминалов имеет ip локальный типа 192.168.3.2
Когда клиент соединится появиться у него сетевой адрес типа внутреннегоо адреса DFL-700 - 192.168.3.1
но для этого в DFL-700 надо включить DHCP сервер. Так?
И тогда клиент будет виден в сетевом окружении?

Или соединившись, клиент запускает клиент терминала (масло масляное ) И к чему соединяться? если к DFL-700 тогда нужен портмаппинг или я чего-то не правильно понял?

правильно понял ,
если ты будеш использовать pptp ты и так адрес получиш из пула pptp тока смотричтоб перекрытий не было, после поднятия vpn на основе pptp ты в сети своей конторы и соответсвенно все внутренние сервесы тебе доступны по их настоящим адресам тоесть в терминальном клиенте нада указать х.х.3.2

Ну, да конечно же. Я чего-то запутался..
Спасибо!

Теперь возник еще вопрос
удаленный клиент соединяется. проходит авторизации - пишет соединение установлено.
Но с сервера и с клиента не пингуются между собой. в статусе написано, что vpn соединений нет (их 0)
Добавил правило из wan в lan разрешить все - аналогично.
где засада?
клиент - wind2000

Что при соединении клиента по PPtP DFL-700 пишет в лог ?

лог соединения
пытался соединиться из локальной сети с компа с адресом 192.168.0.115
на внешний Ip DFL 81.3.143.35
выдал ip адрес 192,168,0,253 (в локальной сети такого нет)


[2005-07-14 11:36:10] <5>EFW: DROP: prio=2 rule=dropall-final action=drop recvif=terminal srcip=192.168.0.253 destip=217.195.66.253 ipproto=UDP ipdatalen=48 srcport=1152 destport=53 udptotlen=48

[2005-07-14 11:36:09] <5>EFW: DROP: prio=2 rule=dropall-final action=drop recvif=terminal srcip=192.168.0.253 destip=217.195.66.253 ipproto=UDP ipdatalen=48 srcport=1152 destport=53 udptotlen=48

[2005-07-14 11:36:08] <5>EFW: DROP: prio=2 rule=dropall-final action=drop recvif=terminal srcip=192.168.0.253 destip=217.195.66.253 ipproto=UDP ipdatalen=48 srcport=1152 destport=53 udptotlen=48

[2005-07-14 11:36:00] <5>EFW: DROP: prio=2 rule=dropall-final action=drop recvif=terminal srcip=192.168.0.253 destip=217.195.66.253 ipproto=UDP ipdatalen=95 srcport=1151 destport=53 udptotlen=95

[2005-07-14 11:36:00] <5>EFW: DROP: prio=2 rule=dropall-final action=drop recvif=terminal srcip=192.168.0.253 destip=217.195.65.9 ipproto=UDP ipdatalen=95 srcport=1151 destport=53 udptotlen=95


[2005-07-14 11:34:45] <5>EFW: CONN: rule=PPP_PPTPBeforeRules conn=close connipproto=TCP connrecvif=LAN connsrcip=192.168.0.115 connsrcport=1147 conndestif=core conndestip=81.3.143.35 conndestport=1723 origsent=780 termsent=836

2005-07-14 11:34:39] <5>EFW: CONN: rule=PPP_PPTPBeforeRules conn=close connipproto=TCP connrecvif=LAN connsrcip=192.168.0.115 connsrcport=1146 conndestif=core conndestip=81.3.143.35 conndestport=1723 origsent=780 termsent=836

destip в некоторых пакетах равный 217,195,66,253 - это DNS провайдера.

Логично что из внутренней сети соединиться с ВПН сервером для получения доступа к этой же сети не получится, или получится, но очень коряво и с непредсказуемыми результатами Попробуйте соединяться снаружи.

_________________
С уважением -- Александр Шебаронин.

Хотя я и не RDP'шник а ICA'шник, НО, при раздаче адреса из пула есть не малая вероятность его смены от предыдущего по коей причине серв заново выдает лицензию на сесию(ИМХО), поступил проще и пробил IP намертво на логин юзвера.