RDP does not seem to be consistent

Hi, you're using a different port for each, right?

Can you post screenshots of your DNATs?

Also, keep in mind that the Windows Firewall, if on, by default will not allow connections from outside the LAN.

Barry

Yes...all different ports (3389,3390,3391,etc) and firewall has been opened. 

All addresses work perfectly within the network. I can log onto any computer, from the server or any computer within the network for that matter, using these settings.

Mike

Screenshot attached. The first three DNATs work and the rest do not.

In all of your DNATs, change "WAN (Network)" to "WAN (Address)" and leave the 'Destination service' empty, then try again.

Cheers - Bob

I made all the changes like you suggested but it did not change the result. The RDP settings beyond the first three do not work.

I opened the live packet filter log and the good connections show up as a NAT rule but the new NAT rules for the additional RDP sessions do not show up in this log at all. That would tell me that the Astaro is not allowing the connection. With that said I do not see a drop or accept, but with the first three RDP connections Astaro reports connectivity.

I hope this is clear, sorry if it isn't. Let me know if I need to expand or supply more screenshots.

Thanks in advance for the help.
Mike

I have never liked the create automatic filter rules. I know it makes it easier to create dnat but you can't trouble shoot anything. Things to look for

1. Make sure all the clients you are trying to access have astaro as their default gateway.
2. As Bob suggested, the WAN Network should be Wan Address.
3. Keep an eye on your IPS if active.
4. Worst case scenario, create dnat rule for the server that is not working and create a manual packet filter rule to allow outbound on that port to see what is going on.

Best of luck.

Edit: Another thing I just noticed, you are changing the destination service every time also. Leave the destination service as Microsoft RDP in all cases. That should fix it.

Hi,

I don't know how that automatic filter rule works as I have never seen it actually add a filter rule, I have always had to manually add the rules. So, I have manually added all the packet filter rules for each of the matching DNAT rules.

It does seem bizarre how all the settings are identical yet the first three will work and the last 5 will not.

I believe you need to have different port numbers if you want to have users connect to their individual machines.

IPS is not active and all other settings are correct, gateway and WAN address.

Thanks,
Mike

Mike, when you select 'Auto packet filter rule', the rule isn't added to the list of exlicit PF rules you create in WebAdmin, but it definitely is written in the list of linux instructions created by WebAdmin.  The PF rules in DNATs and the implicit ones in the proxies all are considered before the explicit rules created by hand.

I think Billybob's suggestion is better than mine.  Rather than leave the 'Destination service' blank in each rule, you can leave the port at the standard 3389 in each person's machine and have the 'Destination service' be "RDP" in all of your DNATs. That also lets you simplify if you still want to use an explicit PF rule; you could put "Project Director," "Project Coordiator," etc. into a group named "RDP Targets" and do 'Any -> RDP -> RDP Targets : Allow'.

Cheers - Bob

  Rather than leave the 'Destination service' blank in each rule, you can leave the port at the standard 3389 in each person's machine and have the 'Destination service' be "RDP" in all of your DNATs. 

Leaving the target service as rdp would only work if mike hasn't changed the registery settings of each server and they are actually listening on port 3389. If the servers are listening on 3390,3391 etc then your original suggestion would work[:D]

Mike, there is no limit on dnat rules as far as I know. At home, I have xbox, rdp, sling, and a webserver dnatted without any problem.

Also as bob suggested, if you are going to make your own packet filter rule with dnat, don't check the box autocreate the packet filter rules since astaro created rules will have a higher priority over your rules and you won't see your rules doing anything in the logs.

Thanks for the ideas...still not working.

I have removed the manual packet rules. I have changed some of the RDP ports back to 3389 to test your idea. I have attached a couple of screenshots.

If I am understanding you correctly, I can leave all the computer RDP ports to 3389 and just use the incoming service to differentiate between the machines.

In the past I have changed the computer RDP ports and did a one to one nat for passing the clients and it has worked without issue and actually worked for the first three machines using this method on the Astaro.

I am willing to look at other options so that I can get this to work.

Thanks,
Mike

Hi Guys,

Maybe I have been going at this all wrong...maybe I should be asking what method do people use to connect users to their computers within the network using RDP?

I think I might have found a clue as to why my setup is not working. In order for me to make this all work I manually assign IPs on each computer with their own manually changed RDP port. I have found that the new computers that I am trying to add have entries still in the DHCP that might be causing a conflict.

The first three that I started with always had statically assigned IPs and the DHCP never did anything for them but with the new machines that I am setting up with this Remote Desktop had entries in the DHCP but now I have statically assigned IPs on the individual machines and the IPs are different.

The reason I went with different IPs is that you typically statically assign outside the DHCPs IP range.

How do I flush the DHCP server of all it's entries?

Thanks,
Mike