В условиях глобального распространения COVID-19 работа из дома для многих становится реальностью. Если ваш офисный компьютер подключён к роутеру TP-Link, вы можете настроить удалённый доступ и продолжить работать с офисными файлами и приложениями, а также получить доступ к принтеру и сетевому хранилищу, находясь дома.
В этой статье мы кратко расскажем о трёх способах настроить удалённое подключение с помощью «Подключения к удалённому рабочему столу» и виртуального сервера в роутерах TP-Link, а также с помощью OpenVPN и PPTP VPN. Обратите внимание, что указанные ниже изображения могут отличаться в зависимости от операционной системы вашего компьютера.
Удалённый рабочий стол + виртуальный сервер
Данный способ подразумевает использование «удалённого рабочего стола» и функции виртуального сервера. Он прост в настройке, но менее безопасен, потому что делает ваш офисный сервер видимым из интернета.
Он также требует, чтобы ваша офисная сеть имела широкополосное подключение к интернету с публичным IP-адресом. Перед настройкой виртуального сервера рекомендуется настроить услугу Dynamic DNS, например, TP-Link DDNS.
Чтобы настроить удалённый доступ:
- На офисном роутере добавьте отображение виртуального сервера на TCP порту 3389 (порт протокола удаленного рабочего стола).
2. Разрешите все удалённые подключения на вашем компьютере
Чтобы получить доступ к вашему рабочему компьютеру из дома:
Подключитесь к рабочему компьютеру с домашнего. Для этого нажмите комбинацию клавиш Win +R, в открывшемся меню программы «Выполнить» укажите mstsc и нажмите клавишу Enter. Вы увидите указанное ниже окно.
VPN (OpenVPN / PPTP VPN)
При VPN-подключении офисная сеть будет работать как сервер, а ваш домашний компьютер сможет обращаться к ней через роутер, который будет выступать в качестве шлюза с VPN-сервером. Этот способ является более безопасным, поскольку VPN обеспечивает шифрование данных и каналов управления.
Перед тем, как включить VPN-сервер, рекомендуется настроить службу динамического DNS, например, TP-Link DDNS. Не забудьте синхронизировать системное время роутера с интернетом.
Популярными способами настройки VPN-подключений являются OpenVPN и PPTP VPN. Вы можете выбрать любой способ в соответствии с вашими задачами. Если вы используете OpenVPN сервер, вам потребуется установить клиентскую утилиту OpenVPN на каждом домашнем компьютере, который вы планируете использовать для доступа к вашему рабочему компьютеру.
OpenVPN
Чтобы настроить удаленный доступ:
- На офисном роутере сгенерируйте сертификат, настройте сервер OpenVPN, а затем экспортируйте файл конфигурации (client.ovpn).
2. Разрешите все удалённые подключения на вашем компьютере.
Чтобы получить доступ к рабочему компьютеру из дома:
- На домашнем компьютере загрузите и установите клиентскую утилиту OpenVPN: http://openvpn.net/index.php/download/community-downloads.html
2. Скопируйте файл конфигурации (client.ovpn), экспортированный с офисного роутера, в папку «config» утилиты клиента OpenVPN. Путь зависит от того, где установлена клиентская утилита OpenVPN.
3. Запустите клиентскую утилиту OpenVPN для подключения к серверу OpenVPN, который вы настроили.
Для подробных инструкций, пожалуйста, обратитесь к статье Как настроить OpenVPN на роутерах TP-Link.
PPTP VPN
Чтобы настроить удаленный доступ:
- На офисном роутере настройте PPTP-сервер и создайте учетные записи PPTP VPN-подключения.
2. Разрешите все удалённые подключения на вашем компьютере
Чтобы получить доступ к вашему рабочему компьютеру из дома:
На домашнем компьютере используйте встроенное программное обеспечение PPTP для Windows или стороннее программное обеспечение PPTP для подключения к серверу PPTP.
Перейдите в «Центр управления сетями и общим доступом»
Выберите «Настройка нового подключения или сети» и «Подключение к рабочему месту». Далее используйте следующие настройки.
Укажите настройки, как на изображении ниже:
Для подробных инструкций, пожалуйста, обратитесь к статье Как использовать PPTP VPN-сервер для доступа к домашней сети через Wi-Fi роутеры?
Советы при работе из дома:
- Удаленный доступ через VPN-сервер более безопасен, чем удаленный доступ через виртуальный сервер. Рекомендуем настраивать сервер OpenVPN или PPTP VPN для обеспечения безопасности данных.
- Во время удаленного доступа держите рабочий компьютер включенным. Или настройте функцию Remote Wake-Up для удаленного включения компьютера, если это поддерживается.
- Работа с удаленным компьютером может быть медленнее, в зависимости от скорости вашей домашней сети и офисной сети. Если вы используете VPN-соединение, процесс шифрования также может снижать скорость соединения.
Модели роутеров TP-Link c поддержкой виртуального сервера: все модели TP-Link.
Модели роутеров с поддержкой VPN-сервера: TL-WR942N (v.1), Archer C59(EU, v.1), Archer C59 (v.2.), Archer C60 (v.1, v.2.), Archer C2(RU, v.5), Archer C1200 (v.1, v.2), Archer C7 (v.4, v.5), Archer A7 (v.5), Archer C9 (v.5), Archer C2300 (v.1, v.2), Archer C3200 (v.1), Archer C4000 (v.2), Archer C5400X (v.1)
© TP-Link Россия
Управлять роутером TP-Link можно не только подключившись непосредственно к самому роутеру по кабелю, или по Wi-Fi, но и через интернет. Это значит, что получить доступ к настройкам роутера можно откуда угодно. Даже если ваш роутер находится дома, а вы в другом городе, или в другой стране. Нам понадобится только доступ к интернету. Так же нужно заранее подготовить роутер TP-Link для удаленного управления. Как это сделать? Смотрите эту инструкцию, сейчас все покажу. Зачем это вообще нужно? Бывают разные ситуации, и иногда необходимо иметь возможность удаленно менять настройки роутера, управлять подключенным устройствами, выполнять перезагрузку роутера и т. д.
Получить удаленный доступ к роутеру TP-Link можно двумя способами:
- Через облачный сервис TP-Link ID. Это очень простой способ, который работает независимо от того, какой у вас интернет, какой внешний IP-адрес выдает интернет-провайдер и т. д. Соединение происходит через облачный сервис компании TP-Link. Управлять можно с телефона или планшета, через приложение TP-Link Tether. Если необходим доступ через браузер (с компьютера и т. д.), то можно получить уникальный адрес для своего роутера (используя TP-Link DNS). И использовать этот адрес для доступа к веб-интерфейсу роутера из любого устройства, где бы вы не находились. Единственный минус: не все роутеры поддерживают облачные функции. Правильнее будет сказать, что да данный момент только несколько новых (и как правило дорогих) роутеров поддерживают функцию «Облако TP-Link» ( Archer C8 V3, Archer C9 V3 и V4, Archer C3150 V2 и т. д.). Лучший способ проверить – зайти в настройки и посмотреть, есть ли там раздел «Облако TP-Link».
- Через внешний IP-адрес (или DDNS). Роутер получает от провайдера внешний IP-адрес. Думаю, можно сказать, что это уникальный адрес роутера в интернете. Используя этот адрес, можно зайти в настройки роутера TP-Link через интернет. Этот способ работает практически на всех маршрутизаторах. Но там есть несколько важных моментов. Провайдер должен выдавать вам белый, а не серый внешний IP-адрес (подробнее об этом речь пойдет дальше в статье). Ну и желательно, чтобы внешний IP-адрес был статический (не менялся). Но если у вас даже динамический (но белый) внешний IP-адрес, то можно настроить DDNS и все будет работать.
Сначала мы рассмотрим более универсальный способ, который подойдет практически всем (второй способ, о котором я писал выше). А затем покажу, как настроить удаленный доступ к маршрутизатору TP-Link через их фирменный облачный сервис. Если вам повезло, и ваш роутер поддерживает эту функцию.
Доступ к настройкам роутера TP-Link через интернет (по IP или DDNS)
Чтобы понять, как все это работает и быстро все настроить, нужно сначала выяснить, какой IP-адрес выдает роутеру ваш интернет-провайдер. Белый, или серый. Статический, или динамический. И если проблема с динамическим IP-адресом решается настройкой DDNS, то когда провайдер выдает серый WAN IP-адрес – удаленный доступ никак не настроить.
В статье DDNS (динамический DNS) на роутере: что это, как работает и как пользоваться я более подробно об этом рассказывал и подробно показывал, как узнать, белый или серый IP-адрес выдает интернет-провайдер. Если вы не знаете, какой адрес выдает ваш провайдер, то перейдите по ссылке выше и определите.
Дальше действуем в зависимости от полученных результатов:
- Если у вас серый внешний IP-адрес (тот WAN IP-адрес что в настройках роутера не сходится с тем, что отображается на сайте 2ip.ru), то решение только одно – заказать услугу «статический IP-адрес» у своего провайдера. Если такая услуга доступна. Обычно, эта услуга платная.
- Если у вас белый внешний IP-адрес и он динамический, то все будет работать по инструкции ниже. Но настройки будут недоступны, когда провайдер выдаст другой IP-адрес, так как он динамический. Решение: выполнить настройку DDNS на роутере TP-Link, или заказать у провайдера услугу «Статический IP-адрес».
- Если внешний IP-адрес статический (и, соответственно, белый). В таком случае все отлично. Следуйте инструкции ниже.
Откройте настройки роутера TP-Link и перейдите в раздел «Защита» – «Удалённое управление». Нам нужно разрешить удаленный доступ к маршрутизатору.
Порт не меняем, а в поле «IP-адрес удалённого управления» нужно прописать внешний IP-адрес устройства, для которого будет разрешен удаленный доступ к настройкам роутера. Или разрешить доступ для всех устройств.
- 0.0.0.0 – удаленный доступ к маршрутизатору запрещен.
- 255.255.255.255 – общий доступ доступен для всех устройств (с разными адресами).
- Какой-то конкретный IP-адрес. Пример: на работе наш компьютер (с которого мы будем удаленно управлять роутером) имеет статический внешний IP-адрес (например 158.12.63.89). Мы прописываем этот адрес в поле «IP-адрес удалённого управления» и в дальнейшем удаленный доступ к маршрутизатору будет доступен только для устройств с IP-адресом 158.12.63.89.
Если вы не знаете постоянный IP-адрес устройства, с которого будете удаленно управлять роутером (или он постоянно меняется), или вы будете заходить с разных устройств, то пропишите 255.255.255.255.
Не забудьте сохранить настройки кнопкой «Сохранить».
На роутерах с новой панелью управления (которая голубая), нужно зайти в раздел «Системные инструменты» – «Администрирование». Там кроме IP-адреса (с которого можно зайти на роутер через интернет) можно так же прописать MAC-адрес конкретного устройства. Так же обязательно нужно поставить галочку возле «Включить» и сохранить настройки.
Пустое поле «IP/MAC-адрес» означает, что доступ будет открыт для всех устройств.
Важно! Мы открыли доступ к нашему роутеру из интернета. Чтобы защитить его панель управления, обязательно установите надежный пароль, который будет защищать настройки роутера. Так же рекомендую установить другое имя пользователя (не использовать заводское admin). Это можно сделать в разделе «Системные инструменты» – «Пароль». Или «Системные инструменты» – «Администрирование» (вкладка «Управление учетной записью») на новых прошивках.
Больше информации в статье: как на роутере поменять пароль с admin на другой.
Чтобы открыть настройки роутера TP-Link через интернет с любого устройства, достаточно узнать свой WAN IP-адрес (который провайдер выдал этому роутеру). Его можно посмотреть на главной странице веб-интерфейса роутера, на сайте 2ip.ru и т. д.
Нужно перейти по этому адресу в любом брузере и с любого устройства, которое подключено к интернету (при условии, что в настройках удаленного доступа вы разрешили доступ для вех адресов). Если не сработает, то наберите этот адрес через http:// и в конце добавьте порт (80, если вы не меняли) через двоеточие. Получится примерно так http://188.69.89.45:80
Нужно указать логин и пароль администратора роутера. После чего мы получим доступ к веб-интерфейсу.
Напомню, что если роутер получает от провайдера динамический IP-адрес (то есть, за вашим договором (или адресом вашего дома, квартиры) у провайдера не закреплен постоянный IP-адрес), то он может меняться. Соответственно, после смены IP-адреса доступа к роутеру по старому адресу уже не будет. Это можно решить настройкой функции «Динамический DNS».
После настройки вы получите постоянный интернет адрес, который можно использовать для входа в настройки маршрутизатора через интернет. Так же этот адрес можно использовать для удаленного доступа к FTP-серверу.
Решение с прямым доступом по IP-адресу и через DDNS отлично работает. Я все проверил на своем роутере. Настроек не много, но все это немного запутано. Особенно с этими IP-адресами сложновато разобраться. Если вы столкнулись с какой-то проблемой – подробно опишите ее в комментариях. Постараюсь подсказать решение. И не забывайте, что у вашего интернет-провайдера тоже есть служба поддержки.
Удаленное управление через облачный сервис (TP-Link ID) и приложение Tether
Для начала нужно открыть настройки маршрутизатор и перейти в раздел «Базовые настройки» – «Облако TP-Link». Там нужно перейти на сайт tplinkcloud.com (нажать на кнопку «Зарегистрируйтесь сейчас») и зарегистрировать себе аккаунт. Обязательно сохраните почту и пароль, который вы укажите при регистрации.
В том же разделе «Облако TP-Link», в настройках маршрутизатора, нужно выполнить вход в свой аккаунт TP-LINK Cloud. Чтобы роутер был привязан к вашему аккаунту.
Вот так выглядят настройки после входа в свой аккаунт и привязки роутера.
Можно отвязать аккаунт от роутера. Или привязать еще один, или несколько аккаунтов (для общего удаленного доступа к маршрутизатору).
Дальше нужно перейти в раздел «Дополнительные настройки» — «Сеть» — «Динамический DNS» и зарегистрировать для роутера постоянный адрес в сервисе TP-Link DNS.
Важно! Не забудьте в разделе «Администрирование» включить удаленный доступ. В начале статьи я более подробно об этом рассказывал.
Зарегистрированный выше адрес можно использовать для доступа к маршрутизатору с любого устройства через интернет.
Вводим адрес электронной почты и пароль, который был указан при регистрации аккаунта на сайте TP-LINK Cloud и получаем полный доступ к веб-интерфейсу маршрутизатора.
Приложение Tether
Установите на свой телефон, или планшет приложение TP-Link Tether, о котором я рассказывал в этой статье. С его помощью можно управлять большим количеством разных моделей роутеров от TP-Link. Но только по локальной сети (когда ваше устройство подключено к роутеру).
Но, если ваш роутер поддерживает функцию «Облако TP-Link» и вы уже привязали роутер к своему аккаунту, как я показывал выше, то достаточно в приложении Tether войти в свой аккаунт TP-LINK Cloud.
В списке устройств роутер будет отображаться как «Облачное устройство». И управлять этим роутером мы сможем даже когда телефон подключен к интернету через мобильную сеть, или через Wi-Fi сеть в другом месте.
Zip File, мои маленькие любители сисадминства. В данном уроке мы поговорим о том, как быстро, а главное совершенно бесплатно организовать удалённый доступ через интернет к рабочим компьютерам для сотрудников вашей организации. Идею для записи ролика мне подал комментарий одного из подписчиков.
В нём он спрашивал, как настроить роутер, как делается проброс портов и что, вообще нужно предпринять, чтобы бухгалтер заходил удалённо из дома и беспроблемно выполнял свои непосредственные функции на рабочем компе. Учитывая нынешнюю ситуацию в стране, вопрос более чем актуальный.
Признаться, я даже не думал, что у моих зрителей могут возникать подобные проблемы. Однако, проведя небольшой опрос среди членов нашей закрытой академии, я ужаснулся. После появления всем известных проблем с TeamViewer’ом, часть админов по сей день так и не удосужилась решить вопрос с удалёнкой.
Некоторые, стыдясь продемонстрировать свою некомпетентность начальству, вообще встают в позу, заявляя, что это можно реализовать только посредством серьёзных вложений. Руководители в свою очередь тайком заставляют несчастных бухов таскаться на работу в эпоху тотального карантина.
В такой ситуации у меня возникает только один вопрос. Вы о**ели? Вам рили не стрёмно? Если не знаете, так спросите. Вы блин не на школьном уроке. Как там вещали великие умы, спросить – стыд минуту, а не знать – стыд всей жизни. Кажется так.
Не суть. Смысл в том, что по вашей вине могут реально пострадать люди. Поэтому, давайте не будем тупыми админами и научимся уже наконец в 2020 году пробрасывать порты и настраивать удалённый доступ по RDPшке.
Но перед тем, как приступить непосредственно к настройке компьютеров и оборудования, давайте пробежимся по основным условиям, необходимым для корректной реализации. Первое, что у вас обязательно должно быть – это внешний «белый» IP-адрес от провайдера.
Без вариантов. В 2020 году это то, что должно быть у вас в офисе, если вы планируете батрачить по удаленке. Забудьте уже про кастыли dyn-dns и no-ip. 150 рублей на айпишник, это не та сумма, которую стоит жидить на такое благое дело.
Если у вас ещё до сих пор на работе динамик, то прямо сегодня подойдите к начальнику и скажите, Ихтиандр Феодосьевич, *баный в рот, вот дальше просто никак без этого. Либо тряситесь, ожидая штрафа, либо звоните провайдеру и подключайте. А я ухожу из этого гадюшника.
Шутка. Далее обязательно проверьте, чтобы за компами, к которым будут пробрасываться порты были зарезервированы стабильные IP-адреса. Как вы это сделаете, грамотно настроите на сервере службу DHCP или тупо пропишите руками статику, решайте сами.
Ладненько, чёт я подзатянул со вступлением. Давайте уже переходить к настройке, а с остальными нюансами разберёмся по ходу дела. Погнали.
Проброс портов на роутере Ростелеком
Шаг 1. Первым делом вызываем таксу, едем в офис и усевшись за свой компик топаем в Яндекс. Пишем мой IP и выясняем, какой внейшний адрес закрепил за вами провайдер. Фиксируем в заметках.
Шаг 2. Затем пишем в адресной строке адрес роутера и введя учётные данные ломимся на него.
Шаг 3. Сейчас внимательно. Вам нужно отыскать пункт «Виртуальные серверы» или «перенаправление/переадресация портов». В англоязычных прошивках это обычно «Forwarding Port». Обычно проброс засовывают либо в настройки LANки, либо в NAT.
В моём случае это вкладочка «Дополнительно» — «NAT» — «Виртуальный сервер». Тут мы сначала указываем имя для правила проброса. Например, buh-ivanova. Протокол – TCP. Порт WAN – т.е. тот, что будет указывать пользователь подключаясь извне. Можете выбрать любое значение в диапазоне от 1024 до 65535.
Они по факту свободны для админов и разработчиков. Все что до — зарезервированы за различными службами. В строчке Порт LANпрописываем 3389. Это стандартный порт, который по умолчанию закреплён за RDP. IP-адрес указываем тот, что зарезервирован за тачкой буха. Применить.
Настройка клиента Windows 10 для RDP
Шаг 4. Крутяк. Теперь неспеша пересаживаемся за комп юзверя и открыв свойства заходим в «Дополнительные параметры системы».
Шаг 5. На вкладке «Удаленный доступ» ставим чекпоинт «Разрешить удаленные подключения к этому компьютеру». Если есть спячка, то вылетит предупреждение о том, что это может вызвать проблемы при подключении по удаленке. Надо пофиксить. Идём в «Электропитание».
Шаг 6. Настройка перехода в спящий режим.
Шаг 7. Ставим в обоих пунктах «Никогда» и сохраняем эти изменения в системе. Теперь тачка не будет спать и выключать монитор придётся вручную.
Шаг 8. Вернувшись в оснастку с доступом кликаем «Выбрать пользователей» и добавляем сотрудника, которому собираемся предоставить возможность подключения. «Ок» — «ОК».
Шаг 9. Тут есть нюанс. У пользователя обязательно должен быть установлен пароль. Иначе подключение не заведётся. Если в вашей сети поднят домен, то тут проблем нет. Ну а там, где господствует одноранг, лучше убедиться, что пароль есть. Открываем управление компьютером и открыв вкладку с локальными пользователями задаёт пассворд.
Настройка домашнего ПК для работы по RDP
Шаг 10. С этим компом всё. Переходим к настройке домашней машинки нашего пользователя. Берём ноут и вызываем на нём «Подключение к удаленному рабочему столу».
Шаг 11. Вводим «белый» IP-адрес. Тот, что мы узнали в начале урока и через двоеточие указываем уникальный внешний порт нашего буха. Жмём «Подключить».
Шаг 12. Вводим учётные данные пользователя. Логин/пароль. Если бы комп был в домене, я бы указал перед именем его название. Например, domain/Бухгалтер. Но т.к. у нас одноранг, тут всё проще. Жму «ОК».
Шаг 13. Жму «ДА» в появившемся окошке проверки подлинности сертификата.
Шаг 14. И подождав некоторое время вижу экран удалённой машины.
Шаг 15. Можно спокойно работать. В заключении, расскажу вам один маленький лайфках. Т.к. к концу дня, машинку нужно будет выключить на ночь, пользователь вероятно захочет это сделать привычным способом через «Пуск». Тут его ждёт фиаско, т.к. в RDP по дефолту пункт «Завершение работы отсутствует». Это реализовано для того, чтобы при работе на серваке юзвери на загасили его почём зря.
Шаг 16. Нам же нужно, чтобы они всё-таки смогли выключать свои машинки. Для этого им необходимо сообщить о волшебной комбинации ALT+F4. Нажав таковую на рабочем столе, произойдёт вызов оснастки с полным выбором всех возможных действий после завершения рабочего сеанса. В том числе «Завершение работы».
Главное, не забудьте напомнить руководству или ответственному сменщику, чтобы утром заблаговременно включали компы. А то ведь люди проснутся, а зайти не смогут. Глупо, как-то получится.
На этом сегодня всё. Для тех, кому необходимо настроить не просто удалённый рабочий стол, а полноценное VPN соединение с возможностью сделать домашний компьютер частью рабочей сети, тут будет ссылка на соответствующий ролик по теме.
Если желаете научиться грамотно администрировать полноценную доменную сеть на базе Windows Server 2016, то обязательно ознакомьтесь с моим обучающим курсом. В нём я рассматриваю базовые сетевые службы вдоль и поперёк.
Не забывайте писать свои комментарии с вопросами и предложениями новых тем. Если впервые оказались на канале, то кликните колокольчик. Нажмёте и в вашей ленте будут регулярно появляться полезные ролики по теме администрирования ЛВС, информационной безопасности и пентестингу.
Друзья, благодарю за просмотр. Всем удачи, успехов, отличного настроения. Берегите себя. Работайте удалённо и не нарушайте условий самоизоляции. Лучше останьтесь дома и посмотрите ютубчик. Всяко полезней, чем рисковать жизнью. До новых встреч.
Распространённая задача: настроить удалённый доступ к компьютеру, который подключён к Интернету через роутер.
Решение: сделать перенаправление порта на роутере. Перенаправление порта ещё называют публикацией порта или пробросом порта. В английской терминологии используются термины Port Forwarding и Port Publishing.
Что такое проброс порта
Перенаправление порта — это сопоставление определённого внешнего порта шлюза (роутера, модема) с нужным портом целевого устройства в локальной сети (сервера, рабочей станции, сетевого хранилища, камеры, регистратора и т.п. )
А вот какой порт пробрасывать, зависит от того, каким способом вы хотите получать доступ к компьютеру.
Как настроить удалённый доступ через RDP (удалённый рабочий стол, терминал)
Подключения по протоколу RDP осуществляются на порт целевого 3389 компьютера. Что нужно сделать:
Шаг 1 Разрешить входящие RDP подключения на компьютере
Внимание! Осуществлять ВХОДЯЩИЕ подключение через Удалённый рабочий стол возможно к следующим редакциям ОС Windows:
Windows XP Professional;
Windows 7/8.1 Professional;
Windows 7/8.1 Ultimate;
Windows 7/8.1 Corporate.В Windows XP Starter, Home Edition, в Windows Vista/7/8/8.1 Starter, Home Basic, Home Premium возможность входящих подключений отсутствует.
Для этого открываем Свойства системы (WIN+Break), нажимаем на ссылку Дополнительные параметры системы:
Переходим на вкладку Удалённый доступ, ставим переключатель в положение Разрешать подключения к этому компьютеру, снимаем галку Разрешать подключения только с компьютеров, на которых работает удалённый рабочий стол с проверкой подлинности на уровне сети (рекомендуется) и нажимаем ОК для применения настройки:
Шаг 2 Создать на компьютере учётную запись, под которой будет подключаться пользователь удалённого рабочего стола.
Читайте нашу статью Добавление учётной записи пользователя в Windows 8.1
Требование №1. Эта учётная запись обязательно должна иметь пароль. Согласно настроек по умолчанию локальной политики безопасности, учётным записям без пароля подключение по RDP запрещено. Разрешать удалённый доступ незапароленным учётным записям в политиках безопасности не рекомендуется. Это создаст угрозу несанкционированного доступа со стороны злоумышленников.
Требование №2. Если пользователь НЕ является администратором на локальном компьютере, его необходимо добавить в группу Пользователи удалённого рабочего стола. Это можно сделать двумя способами.
Как разрешить пользователю без административных привилегий подключаться к удалённому рабочему столу
Способ первый.
Нажмите правой кнопкой по системному ярлыку Этот компьютер и выберите Управление:
В окне Управление компьютером выберите Локальные пользователи и группы => Пользователи:
В списке найдите нужного пользователя и двойным щелчком вызовите его свойства:
Перейдите на вкладку Членство в группах и нажмите кнопку Добавить:
Нажмите кнопку Дополнительно:
Затем, кнопку Поиск:
Выделите в списке группу Пользователи удалённого рабочего стола и нажмите OK:
В окнах Выбор группы и Свойства: <пользователь> нажмите OK:
Способ второй.
Вызовите свойства системы (Win+Break) , нажмите Дополнительные параметры:
Зайдите на вкладку Удалённый доступ и нажимаем кнопку Выбрать пользователей:
Нажмите кнопку Добавить:
Нажмите Дополнительно:
и Поиск:
В списке выберите учётную запись пользователя, которому хотите предоставить права для удалённого доступа, и нажмите OK:
Теперь нажмите OK в двух следующих окнах:
Шаг 3 Создать на роутере правило проброса, согласно которому при запросе на заданный порт подключение будет перенаправляться на порт 3389 нужного компьютера.
В роутерах D-Link нужный раздел может называться Virtual Server, как в D-Link DIR-615:
Также, он может называться Port Forwarding, как, например, в DIR-300:
Суть одна и та же:
- Даём произвольное имя правилу;
- Открываем НЕстандартный порт на роутере, который не занят (поле Public Port);
- Указываем IP-адрес целевого компьютера в сети, куда должен попадать удалённый пользователь (поле IP-Address);
- Указываем номер порта, через который работает приложение или служба на компьютере. В нашем случае, для службы сервера удалённых рабочий столов это порт 3389 (поле Private Port).
Если ваш провайдер выдаёт вашему роутеру динамический адрес, вам удобно воспользоваться службой Dynamic DNS. У компании D-Link есть свой сервис, где можно бесплатно зарегистрировать Интернет-адрес (т.е. домен) и настроить доступ к вашему роутеру и локальной сети через него.
Для настройки Dynamic DNS зайдите в раздел MAINTENANCE, выберите подраздел DDNS Settings и нажмите на ссылку Sign up… для перехода на сайт и регистрации домена. Затем настройте синхронизацию домена с IP-адресом роутера в области DYNAMIC DNS SETTINGS и сохраните настройки кнопкой Save Settings:
После этого можно будет подключаться не по IP-адресу, а по адресу вида vash-adres.dlinkddns.com:port
Проверка подключения к компьютеру через удалённый рабочий стол
Запустите клиент сервера удалённых рабочих столов:
В поле Компьютер введите адрес и порт через двоеточие. В поле Пользователь введите имя пользователя и нажмите кнопку Подключить:
Далее может появиться сообщение:
Это удалённое подключение может нанести вред локальному или удалённому компьютеру. Перед подключением убедитесь, что удалённый компьютер надёжен.
Установите галку Больше не выводить запрос о подключениях к этому компьютеру и нажмите кнопку Подключить:
Теперь введите пароль пользователя, установите галку Запомнить учётные данные, если не хотите вводить пароль каждый раз, и нажмите OK:
После этого может появиться сообщение:
Не удаётся проверить подлинность удалённого компьютера. Вы хотите установить подключение в любом случае?
Здесь можно установить галку Больше не выводить запрос о подключениях к этому компьютеру и нажать Да:
Читайте также:
- Как изменить порт сервера удалённых рабочих столов
Продолжая актуальную сегодня тему удаленного доступа, сегодня мы рассмотрим настройку роутеров Mikrotik для использования из в качестве PPTP или L2TP VPN-серверов. С одной стороны тема эта, вроде бы простая, с другой, как обычно, имеет свои особенности, которые следует учитывать еще на стадии выбора решения. Ведь хороший специалист выбирает инструмент под задачу, а не пытается делать наоборот, признавая сильные и слабые стороны каждого решения.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Перед тем, как браться за настройку VPN-сервера на базе Mikrotik мы рекомендуем вам ознакомиться с нашим материалом: Производительность младших моделей Mikrotik hEX и hAP. Экспресс-тестирование. Если коротко: на моделях без аппаратной поддержки AES вы не получите для соединений L2TP/IPsec скоростей более 25-30 МБит/с, на моделях с поддержкой AES скорость упирается в 35-50 МБит/с. В большинстве случаев для сценария удаленного доступа этого достаточно, но все-таки данный момент обязательно следует иметь ввиду, чтобы не получить потом претензию, что Mikrotik работает плохо и этому объективно будет нечего противопоставить.
Что касается PPTP, то здесь все достаточно хорошо, даже недорогие модели роутеров позволяют достигать скоростей около 100 МБит/с, но при этом следует помнить, что PPTP имеет слабое шифрование и не считается безопасным в современных реалиях. Однако он может быть неплохим выбором, если вы хотите завернуть в него изначально защищенные сервисы, например, при помощи SSL.
Предварительная настройка роутера
Прежде чем начинать настройку VPN-сервера нужно определиться со структурой сети и выделить для удаленных клиентов пул адресов. Если брать сценарий удаленного доступа, то здесь есть два основных варианта: Proxy ARP, когда клиенты получают адреса из диапазона локальной сети и имеют доступ к ней без дополнительных настроек и вариант с маршрутизацией, когда клиентам выдаются адреса из диапазона не пересекающегося с локальной сетью, а для доступа в сеть на клиентах добавляются необходимые маршруты. В современных Windows-системах это можно автоматизировать при помощи PowerShell.
После того, как вы определились со структурой сети, следует перейти в IP — Pool и создать новый пул адресов для выдачи удаленным клиентам. Количество адресов в пуле должно соответствовать количеству планируемых VPN-клиентов, либо превышать его.
Эти же действия в терминале:
/ip pool
add name=vpn_pool1 ranges=192.168.111.141-192.168.111.149Затем перейдем в PPP — Profiles и настроим профиль для нашего VPN-сервера, который будет содержать базовые настройки. Если вы настраиваете сразу и PPTP и L2TP-сервера, то можете использовать для них как общий профиль, так и создать отдельные. В случае с общим профилем они будут иметь общий адрес сервера и общий пул адресов. В данном разделе уже существуют два стандартных профиля default и default-encryption, поэтому при желании можете не создавать новые профили, а настроить имеющиеся.
На вкладке General задаем параметры: Local Address — локальный адрес сервера, должен принадлежать к тому же диапазону, что и пул адресов, который вы задали выше, Remote Address — адреса для выдачи удаленным клиентам, указываем в этом поле созданный пул.
Следящая вкладка — Protocols, здесь мы рекомендуем установить параметр Use Encryption в положение required, что будет требовать от клиента обязательного использования шифрования.
Чтобы добавить новый профиль в терминале выполните (в данном случае мы создаем профиль с именем vpn):
/ppp profile
add change-tcp-mss=yes local-address=192.168.111.140 name=vpn remote-address=vpn_pool1 use-encryption=requiredЧтобы изменить существующий default-encryption:
/ppp profile
set *FFFFFFFE local-address=192.168.111.140 remote-address=vpn_pool1 use-encryption=requiredДля default вместо set *FFFFFFFE укажите set *0:
/ppp profile
set *0 local-address=192.168.111.140 remote-address=vpn_pool1 use-encryption=requiredОстальные параметры оставляем без изменений, для удаленных клиентов они не применяются (в том числе сжатие) и работают только при соединении между устройствами с RouterOS. Отсутствие сжатия также следует учитывать, особенно если ваши клиенты используют медленные каналы подключения, скажем 3G-модемы.
Теперь добавим пользователей, для этого откроем PPP — Secrets и создадим новую учетную запись. Обязательно заполняем поля: Name и Password, а также Profile, где указываем созданный на предыдущем шаге профиль, если профили клиента и сервера не будут совпадать — подключение окажется невозможным. Поле Service позволяет ограничить действие учетных данных только одним сервисом, для этого нужно указать его явно, если же вы хотите использовать одни учетную запись для всех видов подключения — оставьте значение по умолчанию any.
В терминале:
/ppp secret
add name=test1 password=123 profile=default-encryption service=pptpПри создании учетных данных уделите должное внимание политике паролей, особенно для PPTP.
Настройка PPTP-сервера
Настроить PPTP-сервер в RouterOS просто. Откройте PPP — Interface и нажмите кнопку PPTP Server, в открывшемся окне установите флаг Enabled, в поле Default Profile укажите созданный на подготовительном этапе профиль и в разделе Authentication оставьте только mschap2.
Это же действие в терминале:
/interface pptp-server server
set authentication=mschap2 default-profile=default-encryption enabled=yesСледующим шагом следует разрешить подключения к нашему VPN-серверу в брандмауэре, для этого следует разрешить входящие подключения для порта 1723 TCP. Открываем IP — Firewall и создаем новое правило: Chain — input, Protocol — tcp, Dst. Port — 1723, в поле In. Interface указываем внешний интерфейс роутера, в нашем случае ether1. Так как действие по умолчанию — accept то просто сохраняем правило.
В терминале создать правило можно командой:
add action=accept chain=input dst-port=1723 in-interface=ether1 protocol=tcpНа этом настройку PPTP-сервера можно считать законченной, он готов принимать подключения.
Настройка L2TP/IPsec-сервера
Точно также, как и при настройке PPTP-сервера переходим в PPP — Interface и нажмите кнопку L2TP Server. В открывшемся окне ставим флаг Enabled, в Default Profile указываем созданный ранее профиль, а в Authentication оставляем только mschap2. Затем включаем использование IPsec — Use IPsec — yes и в поле IPsec Secret вводим предварительный ключ соединения:
Для включения сервера с указанными настройками в терминале выполните:
/interface l2tp-server server
set authentication=mschap2 enabled=yes default-profile=default-encryption ipsec-secret=myIPsecPreKey use-ipsec=yesОбычно на этом инструкции по настройке L2TP-сервера заканчиваются, но если оставить все как есть, то у сервера будут достаточно слабые настройки шифрования, поэтому подтянем их до современного уровня. Для этого нам потребуется изменить параметры IPsec, так как L2TP сервер безальтернативно использует параметры по умолчанию будем менять именно их.
Переходим в IP — IPsec — Proposal и приводим набор настроек default к следующему виду: Auth. Algorithms — sha1, sha256, Encr. Algorithms — aes-128-cbc, aes-192-cbc, aes-256-cbc, PFS Group — ecp384.
Данные настройки в терминале:
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256,sha1 pfs-group=ecp384Затем откроем IP — IPsec — Profiles и изменим настройки профиля default: Encryption Algorithm — aes256, DH Group — modp2048, ecp256, ecp384.
В терминале:
/ip ipsec profile
set [ find default=yes ] dh-group=ecp256,ecp384,modp2048 enc-algorithm=aes-256Для окончания настройки разрешим подключения к L2TP-серверу в брандмауэре. Для этого нам понадобится создать два правила, первое должно разрешать подключения для протоколов L2TP (порт 1701 UDP), IKE (порт 500 UDP) и протокола NAT-T (порт 4500 UDP), второе для протокола 50 ESP (Encapsulating Security Payload). Переходим в IP — Firewall и создаем первое правило: Chain — input, Protocol — udp, Dst. Port — 500,1701,4500, в поле In. Interface указываем внешний интерфейс роутера, в нашем случае ether1. Затем второе: Chain — input, Protocol — ipsec-esp, In. Interface -внешний интерфейс (ether1). Так как действие по умолчанию accept достаточно просто сохранить правила.
Для терминала выполните следующие команды:
/ip firewall filter
add action=accept chain=input dst-port=500,1701,4500 in-interface=ether1 protocol=udp
add action=accept chain=input in-interface=ether1 protocol=ipsec-espНа этом настройка L2TP/IPsec-сервера закончена.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.