התחברות ל RDP בווינדוס 10

zvinissim

התקנתי מחשב ב Exsi עם מערכת הפעלה וונדוס 10 Pro.

פתחתי את הגדרת היציאה של ה RDP ושיניתי את פורט היציאה ל 11111 (לצורך הדוגמא)

כשאני מתחבר למחשב מרחוק יש לי בעיה.

אם זו כניסה ראשונה ב RDP לאחר הפעלה של המחשב אז הכל נכנס תקין.
אם אני מתנתק מהכניסה הראשונה אני כבר לא מצליח להתחבר שוב למחשב וצריך לעשות הפעלה מחדש למחשב.
בפעם השנייה שאני מנסה להתחבר לוקח לו הרבה זמן להביא לי את מסך הכנסה עם שם המשתמש ולאחר מכן לוקח לו הרבה זמן להתחבר ולבסוף אני מקבל הודעה של אין זמינות.

מישהו נתקל פעם בזה?
מה יכול להיות הבעיה?

zvinissim

אף אחד לא נתקל בתופעה כזו מוזרה?

עכשיו התופעה הזו קוראת לי גם בSERVER 2016

שמואל4

@zvinissim אמר בהתחברות ל RDP בווינדוס 10:

פורט היציאה ל 11111 (לצורך הדוגמא)

לא נראה לי ששיך בכלל לפתוח פורט כזה.

לענייניו, אני חושב שהבעיה היא בחיבור אינטרנט של הclient.
תנסה ממחשב אחר/בלי חסימת אינטרנט אולי, לנסות לבדוק אם זה קורה או לא.

zvinissim

@שמואל4 אמר בהתחברות ל RDP בווינדוס 10:

לא נראה לי ששיך בכלל לפתוח פורט כזה.
לענייניו, אני חושב שהבעיה היא בחיבור אינטרנט של הclient.
תנסה ממחשב אחר/בלי חסימת אינטרנט אולי, לנסות לבדוק אם זה קורה או לא.

@שמואל4 שינוי הפורט זה לצורכי אבטחה בלבד.

במחשב WIN 10 שיניתי את הפורט
ב WIN SERVER 2016 הפורט נשאר כמו שהוא (3389) כך שזה לא הבעיה.
בבדיקת פורטים הכל פתוח.

המחשבים מחוברים בכבל וזה קורה משני מחשבים שונים

שמואל4

@zvinissim אני לא אומר שזה בעיה הגדרתית של הפורט.
אני חושב שזה משהוא בחיבור האינטרנט.
אגב, אם כבר אבטחה, שינוי הפורט לא ממש עוזר לאבטחה, בדקה מריצים בדיקה על כל הפורטים של הip.
אבטחה = המלצה שלי להשתמש עם Bitvise SSH והפנית פורטים פנימית.

zvinissim

@שמואל4 אמר בהתחברות ל RDP בווינדוס 10:

@zvinissim אני לא אומר שזה בעיה הגדרתית של הפורט.
אני חושב שזה משהוא בחיבור האינטרנט.
אגב, אם כבר אבטחה, שינוי הפורט לא ממש עוזר לאבטחה, בדקה מריצים בדיקה על כל הפורטים של הip.
אבטחה = המלצה שלי להשתמש עם Bitvise SSH והפנית פורטים פנימית.

@שמואל4 אני יושב אחרי Juniper אז באמת האבטחה מאוד קפדנית (עד כמה שניתן)

1. הפורט פתוח כמו שצריך וכעובדה לאחר שאני מרסט את המחשב אין לי בעיה להיכנס ב RDP למחשב.
   לא נראה לי הגיוני שנכנסתי פעם אחת למחשב ואיך שאני מתנתק ממנו אני לא יכול להיכנס שוב.
2. הבעיה גם קוראת שאני נמצא במקומי ולא רק בחיצוני.
3. אלו לא מחשבים שיש להם חומרה מסך ומקלדת כך שאני נתון לחסדיו של השליטה מרחוק.
4. קשה לי להאמין ש SSH יפתור את הבעיה - נראה לי שזה בעיה הגדרתית או משהו דומה לזה.
   אני רק מנסה להבין מה בדיוק הבעיה בשביל לדעת מה לשנות ולסדר את זה

(הRDP זה בינתיים זמני עד שאני אגדיר VPN ב Juniper )

עריכה:
אוסיף ואומר שפורט 80 פתוח ב SERVER ואני יכול לגשת אליו כך שזה לא בעיה של חיבור/תשתית אינטרנט

dovid

@zvinissim אין שום מעלה באבטחה של שינוי פורט יוצא בלקוח, אני מופתע בכלל שאפשר לשנות את זה, אני חשבתי שזה פורט רנדומלי כל פעם.

zvinissim

@dovid אמר בהתחברות ל RDP בווינדוס 10:

אין שום מעלה באבטחה של שינוי פורט יוצא בלקוח,

@dovid יש מעלה מסוימת

אולי @clickone יסביר אותה

והפורט (3389) הוא קבוע ואפשר לשנות אותו דרך הרישום

שמואל4

@zvinissim ככה
א. אין שום מעלה בזה שאתה דרך Juniper שהפורט פתוח.
ב. VPN זה באמת אבטחה מספיקה האם הוא מוגדר טוב עם התחברות עם מפתח (מומלץ)
ג. זה שפורט 80 פתוח ועובד זה לא הוכחה, אני חושב שיש משהוא עם התעבורה של החיבור RDP, אתה מתחבר דרך אינטרנט מסונן? אולי משהוא במנוע של Juniper משבש את החיבור הרציף.
ד. @dovid אפשר לשנות את הפורט של הRDP אבל לא צריך להגיע לזה כי אתה יכול לשנות את זה ברמת הפניית הפורטים. הרי הIP החיצוני זה הראוטר ולכן הפורט שתגדיר בו הוא זה שיפנה ל3389 של המחשב.

dovid

אתם מדברים על פורט היעד, דהיינו הפורט שמאזין במחשב אליו מתחברים. את זה משנים ברג'יסטרי ויש לזה טיפה מעלה מפני התקפות שמתמקדות בברירות מחדל. ובקליינט מגדירים פורט יעד בהתחברות.
מדברי @zvinissim נראה שהוא שינה משהו במחשב המוצא - הקליינט, שהפורט שהתקשורת חוזרת אליו תהיה שונה, אין לי מושג איזה פורט זה ואם יש איך לשנות את זה.

zvinissim

@שמואל4 אמר בהתחברות ל RDP בווינדוס 10:

אבל לא צריך להגיע לזה כי אתה יכול לשנות את זה ברמת הפניית הפורטים. הרי הIP החיצוני זה הראוטר ולכן הפורט שתגדיר בו הוא זה שיפנה ל3389 של המחשב.

@שמואל4 איך בדיוק?
אם המחשב וחומת אש מוגדר פורט X איך בדיוק תגיד לראוטר לשנות את הפורט?

@שמואל4 אמר בהתחברות ל RDP בווינדוס 10:

שיש משהוא עם התעבורה של החיבור RDP

זה מה שאני מנסה למצוא.
וזה לא קשור לסינון
השאלה מה מפיל בהתחברות השניה ומתאפס לאחר הפעלה מחדש של מחשב היעד

zvinissim

@dovid אמר בהתחברות ל RDP בווינדוס 10:

אתם מדברים על פורט היעד, דהיינו הפורט שמאזין במחשב אליו מתחברים. את זה משנים ברג'יסטרי ויש לזה טיפה מעלה מפני התקפות שמתמקדות בברירות מחדל. ובקליינט מגדירים פורט יעד בהתחברות.
מדברי @zvinissim נראה שהוא שינה משהו במחשב המוצא - הקליינט, שהפורט שהתקשורת חוזרת אליו תהיה שונה, אין לי מושג איזה פורט זה ואם יש איך לשנות את זה.

@dovid מחשב המוצא (שאני מתחבר ממנו) הוא מחשב חדש ומפורמט שלא שיניתי בו כלום.
מחשב היעד (הוירטואלי שיושב על ה Exsi) באחד מהם שיניתי את הפורט והשני לא שיניתי את הפורט.

בשני המחשבים הווירטואליים האלו אני יכול להתחבר רק פעם אחד דרך ה RDP כאשר אני מתנתק אז כבר יש לי בעיה להתחבר שוב.
מלית בררה אני צריך להיכנס לניהול של ה Exsi ולרסט את המחשב בשביל להיכנס שוב.

עכשיו מה קורה שיש לי חומר לא שמור או באמצע עבודה?

שמואל4

@zvinissim אמר בהתחברות ל RDP בווינדוס 10:

איך בדיוק?
אם המחשב וחומת אש מוגדר פורט X איך בדיוק תגיד לראוטר לשנות את הפורט?

ככה.
החומת אש מגנה על חיבורים חיצוניים שכאשר זה מחשב שמחובר לראוטר אין שום בעיה כי ממילא הכל סגור ברמת הראוטר. לעומת זאת ברשת פנימית, אחרי שפחת את האפשרות להתחבר עם חיבור לשולחן עבודה מרוחק במחשב הסרבר תוכל להתחבר על ידי הקלדת הip הפנימי של המחשב דרך מחשב אחר ברשת, כל זה לא כל כך חשוב.
מה שחשוב זה ככה

המחשב זה הדבר השני שהלקוח פוגש, כלומר, הip החיצוני זה 16.16.1 לזה הלקוח ניגש, אתה צריך להגדיר בצד של מי שמנהל את 16.16.1 את ההפניה למחשב שלך.
במקרה שלנו, ה16.16.1 זה המודם/ראוטר שלך.

לכן מה שעושים זה מגדירים למחשב שמחובר לראוטר ip פנימי קבוע, למשל 10.0.0.50 ואז בראוטר אומרים לו: (אומרים=מבצעים הפניית פורטים)
כל מי שמתחבר ל 16.16.1:9999 יופנה ל 10.0.0.50:3389 הפנימי.

בחומת אש במחשב אתה לא נוגע, רק פותח את הפורט החיצוני הזה.
כמו"כ אין צורך לשנות בכלל את הפורט של הRDP מבחינת המחשב, כי המחשב מקבל ל3389 חיבור, אבל זה מופנה מפורט 9999 החיצוני.

zvinissim

@שמואל4 תעלה תמונה של ההפניה

נראה איך זה מבוצע (לשם הדוגמה)

IP חיצוני: 101.101.101.101 פורט 4444
IP פנימי 192.168.1.32 פורט 3389

שמואל4

@zvinissim

זה דוגמא של ראוטר של בזק.
אין לי שמץ איך זה אצלך
אבל מה שאתה רואה שמ6666 זה מפנה ל3389 ב10.0.0.50

Shmuel754

@שמואל4 אמר בהתחברות ל RDP בווינדוס 10:

@zvinissim

זה דוגמא של ראוטר של בזק.
אין לי שמץ איך זה אצלך
אבל מה שאתה רואה שמ6666 זה מפנה ל3389 ב10.0.0.50

יש כאן טעות בדוגמא,
בend צריך להופיע גם 6666 ולא 3389

הסטארט והאנד זה להגדרת טווח, הסטארט השני זה הפורט הראשון להפניה.

שמואל4

@Shmuel754 אמר בהתחברות ל RDP בווינדוס 10:

בend צריך להופיע גם 6666 ולא 3389

וואלה.
צודק!
התבלבלתי בינהם

zvinissim

@שמואל4 אמר בהתחברות ל RDP בווינדוס 10:

@zvinissim

זה דוגמא של ראוטר של בזק.
אין לי שמץ איך זה אצלך
אבל מה שאתה רואה שמ6666 זה מפנה ל3389 ב10.0.0.50

@שמואל4 ברמת העיקרון אתה צודק במידה מסוימת
תארתי לעצמי שאתה מתכוון לזה
ולמרות שהנושא הזה חורג מהשאלה אבל אני יענה לך (אם תרצה אפשר לפתוח נושא חדש בעניין)

קודם כל חסר לך עוד פרמטר:
צ"ל

1. Forwarded Port Start+Stop
2. Destination Port Start+Stop

כאשר Forwarded Port מתייחס לפורטים ששייכם לכתובת ה IP החיצונית וה Destination Port שייכים לכתובות הפנימיים.

ברמת העיקרון וברוב הרוטרים הישנים לא קיים מושג כזה של Forwarded Port ולכן אין התייחסות אליו בכלל. (ואני חסיד יותר של הראוטרים הישנים)
בכלל, כל נושא ה Forwarded Port קיים רק בראוטרים יחסית חדשים ו/או במתקדמים יותר.(כגון סיסקו,ג'נפיר וכו')
לכן כל הנושא הזה פחות משמעותי למשתמש הביתי.
מה שמעניין את המשתמש הביתי זה ה Destination Port שלא משנה מאיזה פורט נכנסים אלא רק לאיזה IP הוא מופנה עם הפורט המתאים.

אז למה נועד בדיוק ה Forwarded Port?
ה Forwarded Port הוא שווה ערך לפתיחת/סגירת פורטים ברמת ספק האינטרנט ובמקום שהספק יסגור או יפתח לך אז הוא משאיר אצלו הכל פתוח ויש לך שליטה ברמת ראוטר איזה פורטים יכנסו מהכתובת החיצונית.
ולכן אתה כמשתמש יכול להגדיר שלכתובת ה IP הפנימית המסוימת יכול להיכנס רק דרך פורט מסוים חיצוני.עם הכתובת החיצונית.
לכן מקובל להשאיר את ה Forwarded Port עם כל טווח הפורטים (TCP port: 0-65535) ולא להגביל לפורט מסויים ולהגביל רק את הפורט למחשב היעד.

שימוש נוסף שאפשר להגיד שיש לך זה מה שאמרת שאם יש לי 2 מחשבים באותה הרשת הפנימית עם פורט 80 (לדוגמא) ואני רוצה לפנות אליהם והירי יש לי רק פורט 80 אחד חיצוני אז אצה יכול לעשות שמחשב אחד יקבל פורט 80 והשני יקבל פורט אחר ויפנה למחשב עם הפורט 80.
דוגמה:יש לי 2 מחשבים 10.0.0.50+10.0.0.51 ושניהם מאזינים לפורט 80
ויש לי 2 דומנים שאחד אני מפנה לשרת א' והשני לשרת ב'.
בשורת הכתובת אני ארשום www.myDoman ובשני אני ארשום www.myDoman:800
ובהפניית הפורטים אני ארשום 2 שורות שכאשר ב Forwarded Port אחד מהם יהי 80 והשני 800 וה Destination Port יהיו 80 בשניהם.
(האמת שלא בדקתי באמת אם זה עובד אבל אני מניח שזה יעבוד)

אתה עדיין רואה שאין לזה שימוש ברמה מסיבית מפני שאף אחד לא ירשום פורט אחר לאחר שם דומין.
לכן זה נועד יותר להגבלה אבטחה שלא כל הפורטים יהיו פתוחים ברמת IP חיצוני (למי שרוצה- ובשביל זה יש טווים).

כל זה בד"כ על ראוטרים פשוטים כגון TP-LINK, EDIMAX NETGEER וכו' (שעולים זול)
בראטרים כמו שלי (גינפר/סיסקו) שם באמת כללי חומת אש והפורטים יותר מוקשחים וצריך לקנפג נכון את המכשיר)

אם טעיתי במשהו אתה מוזמן להגיב.

בכל הסיפור הזה של עניין הפורטים כפי שציינת לא קשור אלי מפני שאני מתעסק עם POOL/29 עריכה: מה שאני לא חושף את הIP הכניסה שלי מא"כ קורה אצלך (אני מקווה שאתה יודע מה זה וזה לא סינית בשבילך) ולכן יש לי מספיק פורטים חיצונים זהים לתת לכל מחשב ברשת הפנימית שלי.

השינוי של הפורט (3389) במחשב זה לצורכי אבטחה גרידה שלא יסרקו פורטים בררת מחדל וזה לא קשור להפניה כמו שכתב @dovid

עכשיו לבעיה שלי.

יש לי מחשב עם פורט 3389 כאשר אני מפעיל את המכונה אני מצליח להיכנס דרך ה RDP רק בפעם הראשונה לאחר ההפעלה של המכונה וברגע שאני מתנתק מהמכונה אני לא מצליח להתחבר שוב ומקבל שגיאה של "אירעה שגיאה פנימית" ואם אני יאלץ להפעיל מחדש את המכונה אני אצליח להיכנס עוד פעם ב RDP
יש לציין שהתופעה הזו נגרמת גם שאני נכנס מהכתובת הציבורית שלי וגם מהרשת הפנימית שלי כך שאני יצא מתוך הנחה שפורטים פתוחים כי לפעמים אני מצליח גם לקבל את ה LogIn של מחשב היעד.

עכשיו אני מקווה שהבנת את הבעיה שלי ולזה אני מחפש פתרון