Клиенты VPN не могут использовать RDP для разных подсетей

У меня есть офисный филиал с Cisco ASA 5508-X и 3 внутренними сетями:

192.168.150.0/24 (сервер RRAS 192.168.150.252/24)
192.168.151.0/24
192.168.152.0/24

Я развернул VPN L2TP (который дает адрес 192.168.150.0/24) с Windows Server 2012 R2 и RRAS, чтобы домашние пользователи могли получить доступ к ресурсам филиала офиса, пока он работает должным образом, пользователи могут получать доступ к общим папкам, внутренней электронной почте Exchange, принтерам но они могут выполнять PING и RDP только для компьютеров в сети 192.168.150.0/24.

Я добавил 2 NIC в RRAS (1 для сети 192.168.151.0/24 и 1 для сети 192.168.152.0/24), и теперь пользователи МОГУТ ПИНГОВАТЬ ресурсы в этих сетях, но RDP к ПК в этих сетях по-прежнему не работает.

Я развернул следующие объекты групповой политики во всех сетях (образ) без эффекта:

Брандмауэр Защитника Windows: разрешить входящее исключение общего доступа к файлам и принтерам "*"
Брандмауэр Защитника Windows: разрешить входящие исключения для удаленного рабочего стола "*"
Брандмауэр Защитника Windows: определение исключений входящего порта «3389: TCP: *: включено: Описание RDP»

Итак, теперь я не знаю, как следовать

Мне нужно перенаправить порт TCP 3389 на сервер VPN?
Нужно ли мне что-то добавлять в конфигурацию моего брандмауэра Cisco?
Мне нужно что-то настраивать на RRAS?

Для всех, кто ищет ответ, это моя последняя конфигурация (все было сделано на RRAS / VPN-сервере):

Не было необходимости включать «Удаленный рабочий стол» в RRAS / Сервер (локальный) / IPv4 / NAT / Свойства / Службы и порты, а также изменять какие-либо GPO.

Карта Ethernet подключена к внутренней локальной сети.

IP: 192.168.150.252/24

Шлюз: 192.168.150.247 (это важно, поскольку этот интерфейс сервер достигнет сетей 192.168.151.0/24 и 192.168.152.0/24).

Карта Ethernet подключена к внутренней локальной сети

Карта Ethernet подключена к Интернет-источнику (модему).

IP: 192.168.4.110/24

Шлюз: 192.168.4.97

Карта Ethernet подключена к источнику Интернета

** Чтобы решить эту проблему, я добавил статические маршруты на сервер RRAS / VPN с помощью следующих команд:

route add -p 192.168.151.0 mask 255.255.255.0 192.168.150.247
route add -p 192.168.152.0 mask 255.255.255.0 192.168.150.247

Как только я это сделал, удаленные пользователи смогли использовать RDP для 192.168.151.0/24 и 192.168.152.0/24.

Любые вопросы, не стесняйтесь присылать мне сообщение. Спасибо.

Возможно, вам также понадобится настройка статических маршрутов для клиентских подключений. Им нужно знать, где и как пройти и добраться до других предметов. Вам нужно будет предоставить гораздо больше информации, чтобы любой из нас посоветовал по этому поводу

Да, вам нужно разрешить порт 3389 в брандмауэре для входящей политики в брандмауэре, разрешая всем пользователям vpn доступ к ресурсам через порт TCP-3389, с источником как пул vpn и местом назначения, когда ресурсы хотят получить доступ, разрешая порт 3389