Я хочу разрешить порт 3389 (RDP) только через VPN-соединение, а не обычно. Как я могу это сделать?
Я настроил VPN-сервер в Mikrotik. Я заблокировал весь трафик, кроме http и https, фильтром брандмауэра. Я разрешил 3389 правилом фильтрации, и прямо сейчас другие системы (за пределами нашей сети) могут выполнять RDP для наших систем интрасети независимо от VPN. Я имею в виду, что ноутбук (клиент вне нашей сети) может выполнять RDP с / без VPN-клиента. Мне нужен клиент, который должен подключиться к VPN-серверу Mikrotik, а затем выполнить RDP для внутренней сети, в противном случае отключиться.
Как заблокировать другие соединения RDP, кроме RDP через VPN?
Right Now:
-------- pptp tunnel ------------ ----------
| | ============ | | | |
|laptop | -------------- | Mikrotik |-------| system A |
| | ============ | | | |
| | -------------- | router |-------| |
-------- | | ----------
------------
I want :
-------- pptp tunnel ------------ ----------
| | ============ | | | |
|laptop | -------------- | Mikrotik |-------| system A |
| | ============ | | | |
| | | router | | |
-------- | | ----------
------------
По сути, вы уже настроили VPN. И настроить RDP-доступ через межсетевой экран (открытие порта 3389 для мира).
Вам вообще не следует разрешать доступ RDP через брандмауэр, если вы хотите ограничить его для пользователей VPN. Полностью отключите это правило для RDP.
Затем ... Пользователь будет использовать VPN, используя настроенный вами VPN-туннель и ЗАТЕМ rdp в "систему А". VPN помещает их в локальную сеть «Системы А», предоставляя им доступ к серверу.
ЕСЛИ вы еще не настроили VPN-сервер / настройку (не могу точно сказать по вашему вопросу), то вам нужно настроить именно это и убедиться, что он работает.
Это правило, которое мне нужно добавить, чтобы разрешить rdp только через vpn и заблокировать все остальные соединения.
add chain=forward action=accept protocol=tcp dst-port 3389 in-interface=VPN comment="Allow RDP via VPN"