У меня есть пользователь RDP, который успешно использовал RDP со своего ноутбука на свою рабочую станцию в нашем офисе, когда он находится дома. Он настроен на использование нашего общедоступного IP-адреса и порта 10378 и работал нормально примерно до 2 недель назад, когда просто перестал работать для него.
Я проверил политики нашего брандмауэра, и переадресация портов по-прежнему остается такой же, как и при нормальной работе. Разрешенный внешний IP-адрес по-прежнему установлен на «ЛЮБОЙ», и настольный компьютер все еще прослушивает тот же порт RDP, который я настроил несколько месяцев назад.
Может ли интернет-провайдер своего домашнего интернет-соединения блокировать трафик на один конкретный IP-адрес? Или несколько конкретных портов TCP?
Как я могу это проверить и доказать? Или что еще это могло быть?
Я пытался спросить об этом на сайте Network Engineering, но меня избегали за то, что он не по теме, поэтому я иду сюда в надежде, что кто-то сможет помочь ...
Старая тема, но я хочу предупредить будущих читателей, что представлять RDP напрямую в Интернет - даже на нестандартном порту - невероятно плохая идея.
Настройте безопасную VPN от портативного компьютера пользователя к сети или к конкретной машине на рабочем месте и пропустите RDP-трафик через этот зашифрованный туннель. Это решает возможную проблему перехвата трафика RDP интернет-провайдером и устраняет возможные слабые места в безопасности протокола RDP.
Да - интернет-провайдеры могут блокировать и блокируют определенные услуги на домашних широкополосных каналах. Также возможно, что комбинация маршрутизатор / брандмауэр в доме пользователя блокирует подключения к некоторым портам.
Вот несколько шагов для подтверждения:
Устранение домашнего маршрутизатора: убедитесь, что конфигурация маршрутизатора не выполняет какую-либо блокировку (чтобы потенциально включить механизмы распознавания приложений, которые ищут нестандартные порты и т. Д.). Если это не дает результатов, вы можете попробовать подключить компьютер пользователя напрямую к Интернет-соединению или использовать альтернативный (заведомо работающий) брандмауэр.
Если он все еще не работает с прямым подключением, имеет смысл отключить сниффер. Установите Wireshark и захватите весь трафик при попытке установить соединение. Убедитесь, что пакет соответствует ожиданиям, ищите подтверждение TCP и, что более важно, ищите возвращаемые сообщения о недоступности ICMP (порт административно запрещен и т. Д.). Если вы видите, что ICMP возвращается, обратите внимание, идет ли он откуда-то внутри оператора связи или с дальнего конца (то есть корпоративного пограничного маршрутизатора или межсетевого экрана).
Также может быть полезно настроить другой сниффер на корпоративной стороне, чтобы убедиться, что пакеты вообще это делают. Если, например, вы видите входящие пакеты TCP SYN, но ничего не возвращаются, вам нужно выяснить, почему. Если вы видите, что SYN приходит со стороны пользователя, а ACK возвращается, но этот ACK не отображается на стороне пользователя, это означает, что что-то еще может быть заблокировано (.. это маловероятно).