Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 2117 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

RDP not accessible from other interface

datzrite
I finally have everything working, except for Remote Desktop. 

I want to RDP in to my web server on the DMZ from my LAN.  It worked at some point, but I changed a setting somewhere along the way and it's not accessible anymore.  I get a, "This computer can't connect to the remote computer" error when I try to connect from my LAN.  When I plug in to the DMZ, it fires up like a champ.  I'm able to ping the DMZ Address, but not the webserver on the DMZ from my LAN.

ASG 7

Packet filter (set this way just for testing, not yet Internet facing):
DMZ, any protocol, to any network
LAN, any protocol, to any network
VPN Pool, any protocol, to DMZ

I don't think this should matter in this case, but:
Masquerading:
LAN >>> WAN
DMZ >>> WAN

Can someone please tell me what I've done wrong?  Is there a switch somewhere else I messed up?  My DNAT and other filters seem to work fine.  No DNAT is touching 3389 (for RDP), but I also tried activating that...

Thanks!

Jon


This thread was automatically locked due to age.
Parents
  • 0
    The packet filters you have should be allowing the traffic, its not necessary to have dnat if these are both private network ranges. I would suggest to enable logging on the packet filter rules and watch the live log while you attempt to RDP to the server. 

    If the traffic is being allowed, I would guess that the default gateway is not set properly on the webserver.
  • 0 in reply to dilandau
    The packet filters you have should be allowing the traffic, its not necessary to have dnat if these are both private network ranges. I would suggest to enable logging on the packet filter rules and watch the live log while you attempt to RDP to the server. 

    If the traffic is being allowed, I would guess that the default gateway is not set properly on the webserver.



    Thanks, dilandau.  On the live log, I can see the LAN machine successfully send a SYN packet to port 3389 on the remote machine, but nothing ever comes back.  At least, nothing's showing in the log.  Is it time to put a packet sniffer on the remote machine?

    As for the gateway on the remote machine, it's pointed at the DMZ's NIC.  That allows the remote machine to access the Internet and it allows traffic in, as well.  Should it be pointing somewhere else?  I'm obviously new to this.

    Until I plugged in to the DMZ and successfully RDPd to the server, I thought it was a problem with the local machine.  After all, I can ping the DMZ NIC from the LAN, but not the remote machine.  [:S]

    Any thoughts on what else I should check/change?

    Thanks again,

    Jon
  • 0 in reply to datzrite
    in the live log you will only see the initial traffic. In order to see the return traffic you will need to log into the astaro via ssh and you can use the tcpdump command on the dmz interface to see if the reply packet is being sent or put a packet sniffer on the network.

    The default gateways sound like they are setup correctly so that shouldn't be an issue.

    If you have IPS and/or the im/p2p enabled you might want to see if that is blocking the traffic, as it has been reported in other threads that some rdp traffic can be improperly detected and blocked.
Reply
  • 0 in reply to datzrite
    in the live log you will only see the initial traffic. In order to see the return traffic you will need to log into the astaro via ssh and you can use the tcpdump command on the dmz interface to see if the reply packet is being sent or put a packet sniffer on the network.

    The default gateways sound like they are setup correctly so that shouldn't be an issue.

    If you have IPS and/or the im/p2p enabled you might want to see if that is blocking the traffic, as it has been reported in other threads that some rdp traffic can be improperly detected and blocked.
Children
  • 0 in reply to dilandau

    If you have IPS and/or the im/p2p enabled you might want to see if that is blocking the traffic, as it has been reported in other threads that some rdp traffic can be improperly detected and blocked.


    That was it.  I checked the admin interface and saw some MSN Messenger and Winny traffic that shouldn't have been there.  I was going to check it out as a possible infected machine (I don't use either of those protocols) but when I disabled that blocking, I can now RDP in.  

    THANK YOU!!!  

    Jon