acesso área de trabalho ramota windows de fora pra dentro da rede

[edisoncarlos]

Olá

Não disponho mais de ips validos para entregar aos clientes, porém, tem um cliente que me solicitou uma conexão de área de trabalho remota do windows.

minha rede

eth0 - 200.200.200.254/30 link
eth1 - 172.10.0.1/24 rbs
rb que atende cliente - 172.10.0.29/24 IP
ip fornecido rb para cliente pppoe - 30.30.30.4/24

qual seria a melhor forma de fazer uma vpn e as rotas para atender esse cliente?

Se alguém puder me ajudar desde ja agradeço.

[trober]

Bom dia Edison

Quero contribuir, entretanto preciso de mais informações.

1) A estrutura do seu cenário é algo parecido com o diagrama textual abaixo?

Código :

SRV-FW--->RB-BASE---------->RB-TORRE---------->CPECLIENTE--->ESTACAO

2) O bloco 30.30.30.0/24 é um bloco público[1], e pertence ao DoD[2][3]. Esta realmente é a faixa de IP que entrega aos seus clientes ou está usando aqui apenas para fins de exemplo?

3) A "RB-BASE" e "RB-TORRE" estão em bridge?

4) Estando logado no servidor SRV-FW, você consegue conectar na interface do CPE do cliente, seja por SSH, HTTP ou Telnet?

Caso a resposta do item 4 seja positiva, o redirecionamento será bem tranquilo Os demais itens são elucidativos, que facilitarão na composição da ajuda.


Fico no aguardo do retorno.

[1] http://www.ccnaprep.com/public_ip_address_range.htm
[2] http://www.defense.gov
[3] http://www.iana.org/assignments/ipv4...ress-space.xml

Saudações,

Trober
-
-
-
-

[edisoncarlos]

Bom dia Trober


ta assim:
1) rb base-->rb torre-->cpe cliente-->pc cliente;

2) O bloco 30.30.30.0/24, são ips invalidos entregues aos clientes;

3) não estão em bridge, a base faz o nateamento e na torre tbem entregando em pppoe;

4) sim consigo acesso via ssh.

obrigado pela atenção!

[trober]

Olá Edison.

Nas estações do cliente, que endereço é obtido? Tem NAT no CPE do cliente?

Pergunto isso pois quero ter mais base para propor uma sugestão. Se tiver NAT no CPE, precisará fazer dois redirects, sendo um no servidor (SRV-FW----->CPE-CLIENTE), e outro no CPE (CPE-CLIENTE----->ESTACAO). Particularmente não gosto desta solução de ter dois redirects, pois demanda documentação excessiva, overheads, problemas de double-nat. Funciona, mas julgo inadequado.

Aguardo retorno do colega sobre a informação do CPE

Saudações,

Trober
-
-
-
-
-

[edisoncarlos]

Caro Trober

tem nat na rb que atende o cliente e tambem na cpe.
Essa é minha estrutura hj, porém não acho muito eficiente
gostaria se puder propor algo mais adequado ficaria grato.

att.

[trober]

Caro Trober

tem nat na rb que atende o cliente e tambem na cpe.
Essa é minha estrutura hj, porém não acho muito eficiente
gostaria se puder propor algo mais adequado ficaria grato.

att.

Olá Edison

Neste caso, pensado numa solução imediata, você pode fazer três redirects, sendo um em SRV-FW, outro em RB-TORRE e outro em CPE-CLIENTE, sendo a porta 3389 (TCP) sempre apontada para o dispositivo subsequente.

Quanto à proposta, minha sugestão é redesenhar a rede, no que se refere à estrutura lógica, ativando roteamento dinâmico (OSPF) e ter apenas um redirecionamento centralizado, implementado no servidor. Já apliquei com sucesso, em três dos provedores que atendo, essa solução. Com MPLS, podemos interligar clientes do mesmo provedor, passando distintamente por dentro da rede, de forma isolada.

Há quem não goste de OSPF por achar que um cliente "enxerga" o outro cliente em outro ponto de distribuição, mas nada que poucas políticas de roteamento e poucas regras de firewall não resolvam.

Espero ter sido útil na questão do "triple-nat" e na sugestão de adequação.

Saudações,

Trober
-
-
-
-
-

[edisoncarlos]

Caro Trober

qual o valor que cobra para consultoria?
vc presta essa consultoria remota ou vem ate o local?
tens referencias?