Разрешить RDP только через VPN
Я хочу, чтобы разрешить 3389 порт (RDP) только через VPN-соединение, а не нормально. Как я могу это сделать?
Я настроил VPN-сервер в Mikrotik. Я заблокировал весь трафик, кроме http и https фильтром брандмауэра. Я разрешил 3389 по правилу фильтрации и сейчас другие системы (за пределами нашей сети) могут выполнять RDP для наших систем интрасети независимо от VPN. Я имею в виду, что ноутбук (клиент вне нашей сети) может выполнять RDP с / без VPN-клиента. Мне нужно, чтобы клиент подключался к VPN-серверу Mikrotik, затем выполнял RDP к внутренней сети, в противном случае отключался.
Как заблокировать другое соединение RDP, кроме RDP через VPN?
Right Now:
-------- pptp tunnel ------------ ----------
| | ============ | | | |
|laptop | -------------- | Mikrotik |-------| system A |
| | ============ | | | |
| | -------------- | router |-------| |
-------- | | ----------
------------
I want :
-------- pptp tunnel ------------ ----------
| | ============ | | | |
|laptop | -------------- | Mikrotik |-------| system A |
| | ============ | | | |
| | | router | | |
-------- | | ----------
------------
2 ответа
По сути, вы настроили VPN и настроили RDP-доступ через брандмауэр (открыв порт 3389 для всего мира).
Вам вообще не следует разрешать доступ RDP через брандмауэр, если вы хотите ограничить его для пользователей VPN. Отключите это правило полностью для RDP.
Затем... Пользователь будет использовать VPN-туннель, который вы настроили, и, затем, rdp в "систему A". VPN помещает их в локальную сеть "Системы А", предоставляя им доступ к серверу.
Если вы еще не настроили VPN-сервер / настройку (не могу сказать по вашему вопросу), то это то, что вам нужно настроить и убедиться, что он работает.
Это правило, которое мне нужно добавить, чтобы разрешить rdp только через vpn и заблокировать все остальные соединения.
add chain=forward action=accept protocol=tcp dst-port 3389 in-interface=VPN comment="Allow RDP via VPN"