Распространённая задача: настроить удалённый доступ к компьютеру, который подключён к Интернету через роутер.
Решение: сделать перенаправление порта на роутере. Перенаправление порта ещё называют публикацией порта или пробросом порта . В английской терминологии используются термины Port Forwarding и Port Publishing .
Что такое проброс порта
Перенаправление порта — это сопоставление определённого внешнего порта шлюза (роутера, модема) с нужным портом целевого устройства в локальной сети (сервера, рабочей станции, сетевого хранилища, камеры, регистратора и т.п.)
А вот какой порт пробрасывать, зависит от того, каким способом вы хотите получать доступ к компьютеру.
Как настроить удалённый доступ через RDP (удалённый рабочий стол, терминал)
Подключения по протоколу RDP осуществляются на порт целевого 3389 компьютера. Что нужно сделать:
Шаг 1 Разрешить входящие RDP подключения на компьютере
Внимание! Осуществлять ВХОДЯЩИЕ подключение через Удалённый рабочий стол возможно к следующим редакциям ОС Windows:
Windows XP Professional;
Windows 7/8.1 Professional;
Windows 7/8.1 Ultimate;
Windows 7/8.1 Corporate.В Windows XP Starter, Home Edition, в Windows Vista/7/8/8.1 Starter, Home Basic, Home Premium возможность входящих подключений отсутствует.
Для этого открываем Свойства системы (WIN+Break), нажимаем на ссылку Дополнительные параметры системы:
Переходим на вкладку Удалённый доступ , ставим переключатель в положение Разрешать подключения к этому компьютеру , снимаем галку Разрешать подключения только с компьютеров, на которых работает удалённый рабочий стол с проверкой подлинности на уровне сети (рекомендуется) и нажимаем ОК для применения настройки:
Шаг 2 Создать на компьютере учётную запись, под которой будет подключаться пользователь удалённого рабочего стола.
Требование №1. Эта учётная запись обязательно должна иметь пароль . Согласно настроек по умолчанию локальной политики безопасности, учётным записям без пароля подключение по RDP запрещено. Разрешать удалённый доступ незапароленным учётным записям в политиках безопасности не рекомендуется. Это создаст угрозу несанкционированного доступа со стороны злоумышленников.
Требование №2. Если пользователь НЕ является администратором на локальном компьютере, его необходимо добавить в группу . Это можно сделать двумя способами.
Как разрешить пользователю без административных привилегий подключаться к удалённому рабочему столу
Способ первый.
Нажмите правой кнопкой по системному ярлыку Этот компьютер и выберите Управление :
В окне Управление компьютером выберите Локальные пользователи и группы => Пользователи :
В списке найдите нужного пользователя и двойным щелчком вызовите его свойства:
Перейдите на вкладку Членство в группах и нажмите кнопку Добавить :
Нажмите кнопку Дополнительно :
Затем, кнопку Поиск :
Выделите в списке группу Пользователи удалённого рабочего стола и нажмите OK :
В окнах Выбор группы и Свойства: <пользователь> нажмите OK:
Способ второй.
Вызовите свойства системы (Win+Break) , нажмите Дополнительные параметры:
Зайдите на вкладку Удалённый доступ и нажимаем кнопку Выбрать пользователей :
Нажмите кнопку Добавить :
Нажмите Дополнительно :
и Поиск :
В списке выберите учётную запись пользователя, которому хотите предоставить права для удалённого доступа, и нажмите OK :
Теперь нажмите OK в двух следующих окнах:
Шаг 3 Создать на роутере правило проброса, согласно которому при запросе на заданный порт подключение будет перенаправляться на порт 3389 нужного компьютера.
В роутерах D-Link нужный раздел может называться Virtual Server , как в D-Link DIR-615:
Также, он может называться Port Forwarding , как, например, в DIR-300:
Суть одна и та же:
- Даём произвольное имя правилу;
- Открываем НЕстандартный порт на роутере, который не занят (поле Public Port );
- Указываем IP-адрес целевого компьютера в сети, куда должен попадать удалённый пользователь (поле IP-Address );
- Указываем номер порта, через который работает приложение или служба на компьютере. В нашем случае, для службы сервера удалённых рабочий столов это порт 3389 (поле Private Port ).
Если ваш провайдер выдаёт вашему роутеру динамический адрес, вам удобно воспользоваться службой Dynamic DNS. У компании D-Link есть свой сервис, где можно бесплатно зарегистрировать Интернет-адрес (т.е. домен) и настроить доступ к вашему роутеру и локальной сети через него.
Для настройки Dynamic DNS зайдите в раздел MAINTENANCE , выберите подраздел DDNS Settings и нажмите на ссылку Sign up … для перехода на сайт и регистрации домена. Затем настройте синхронизацию домена с IP-адресом роутера в области DYNAMIC DNS SETTINGS и сохраните настройки кнопкой Save Settings :
После этого можно будет подключаться не по IP-адресу, а по адресу вида vash-adres.dlinkddns.com:port
Проверка подключения к компьютеру через удалённый рабочий стол
Запустите клиент сервера удалённых рабочих столов:
В поле Компьютер введите адрес и порт через двоеточие. В поле Пользователь введите имя пользователя и нажмите кнопку Подключить :
Установите галку и нажмите кнопку Подключить :
Теперь введите пароль пользователя, установите галку Запомнить учётные данные , если не хотите вводить пароль каждый раз, и нажмите OK :
После этого может появиться сообщение:
Не удаётся проверить подлинность удалённого компьютера. Вы хотите установить подключение в любом случае?Здесь можно установить галку Больше не выводить запрос о подключениях к этому компьютеру и нажать Да :
RDP (Remote Desktop Protocol), или протокол удалённого рабочего стола — это протокол прикладного уровня, использующийся для обеспечения удаленного доступа к серверам и рабочим станциям Windows. По умолчанию для подключения по RDP используется порт TCP 3389, но иногда может возникнуть необходимость его изменить, например по соображениям безопасности.
Сама процедура выглядит следующим образом:
Запускаем редактор и идем в раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp.
Выбираем параметр PortNumber, переключаемя в десятичный формат и задаем любой порт (в пределах разумного).
При выборе порта имейте ввиду, что все номера портов разделены на три категории:
Известные порты (от 0 до 1023) — назначаются и контролируются IANA (Internet Assigned Numbers Authority),
и обычно используются низкоуровневыми системными программами;
Зарегистрированные порты (от 1024 до 49151) — также назначаются и контролируются IANA, но выделяются для частных целей;
Динамические и/или приватные порты (от 49152 до 65535) — могут быть использованы любым процессом с любой целью. Часто, программа, работающая на зарегистрированном порту (от 1024 до 49151) порождает другие процессы, которые используют эти динамические порты.
Порт сменили, теперь его надо открыть на фаерволе. Запускаем оснастку управления «Windows Firewall with Adwanced Security». В ней выбираем входящие подключения (Inbound Rule), кликаем правой клавишей мыши и в контекстном меню выбираем пункт Новое правило (New Rule).
Выбираем правило на основе порта.
Указываем номер заданного нами порта (в примере TCP 50000).
Затем указываем действие для нашего правила — разрешить подключение (Allow the connection). Здесь же при необходимости для нашего подключения можно включить шифрование.
В зависимости от того, где находится сервер — в рабочей группе, в домене или в публичном доступе указываем сетевой профиль, для которого действует правило.
Remote Desktop Protocol (RDP) – протокол удалённого рабочего стола, посредством которого выполняется удалённое подключение к системам Windows. По умолчанию, использование RDP протокола осуществляется по 3389 TCP порту, но в целях безопасности Вы можете его поменять. Remote Desktop Protocol (RDP) – протокол удалённого рабочего стола, посредством которого выполняется удалённое подключение к системам Windows. По умолчанию, использование RDP протокола осуществляется по 3389 TCP порту, но в целях безопасности Вы можете его поменять. Чтобы выбрать необходимый порт, следует знать, что есть несколько категорий портов, которые отличаются друг от друга по номерам и использованию:
- Номера от 0 до 10213 – системные порты (заняты)
- 1024 - 49151 – зарегистрированные и используемые порты (заняты)
- 49152 - 65535 - динамические (приватные) порты, используются для кратковременных сессий. Будут более удобны в нашем случае
Выберем для примера номер 62109 и изменим параметры системы. Для этого откройте окно редактора реестра (regedit) и пройдите по следующему пути: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Нам необходим параметр PortNumber, как мы видим, RPD порт по умолчанию имеет значение – 3389(в десятичной системе).
Здесь можно изменить стандартный порт RPD на 62109 (или удобное именно Вам значение) и сохранить. Теперь, чтобы выполнить подключение к рабочему столу по RPD выполните следующую команду: mstsc /v:{IP-адрес устройства}:62109 , либо запустите утилиту подключения к рабочему столу и введите необходимые данные.
Разрешение на предоставление доступа
Откройте Свойства системы и пройдите в Настройка удаленного доступа
В пункте Удаленный рабочий стол вы можете запретить/разрешить подключение к этому компьютеру, а также выбрать пользователей, которые могут это выполнять.
На этом смена порта RPD завершена.
Отличного Вам дня!
В Windows для удаленного рабочего стола по умолчанию выставлен порт 3389. Если в Вашей операционной системе настроен удаленный рабочий стол, то ваша ОС постоянно прослушивает входящие соединения на порту 3389. И поскольку он известен всем желающим, то он используется злоумышленниками для проникновения.
Если у Вас не настроена политика блокировки учетных записей (по умолчанию отключена), то Вы подвержены атаке bruteforce, это когда злоумышленником перебираются всевозможные пароли. такая операция делается не вручную, а с помощью специальных программ, что на порядок увеличивает вероятность, подбора пароля. Но даже если настроена блокировка учетной записи при ошибочном вводе пароля, это не избавит проблем. Активность ботов приводит к блокировать учетных записей, под которыми они пытаются войти, возрастает нагрузка на сервер, забивается канал связи, это очень раздражает.
Для защиты системы от ботов и начинающих хакеров, мы рекомендуем изменить порт RDP
по умолчанию на любой другой. Это конечно не панацея, но значительно сократит попытки проникновения.
Существует два метода чтобы изменить стандартный порт протокола RDP.
Первый способ:
Простое изменение в реестре Windows.
Видео пример как сменить port RDP в реестре:
Второй способ:
Использовать утилиту от Microsoft (которая по сути также вносит изменения в реестр, но удобной для не продвинутого пользователя. Просто нажмите на ссылку , произойдет загрузка файла, запустите его и в окошке введите необходимое число и нажмите Ok.
Не забудьте перезагрузить компьютер после обоих способов, чтобы изменения вступили в силу.
Имейте в виду, что в следующий раз, когда вы хотите подключиться к вашей системе по RDP вам теперь нужно будет указать номер порта вручную. Для этого в адресе подключения добавьте после адреса или IP адреса знак двоеточия и номер порта. 10.10.32.30:5581 или mycomp.ru:5534.
Как изменить порт для удаленного рабочего стола RDP
Достаточно часто у многих пользователей, которые используют сеансы удаленного доступа, возникает вопрос, как изменить порт RDP. Сейчас посмотрим на простейшие решения, а также укажем несколько основных этапов в процессе настройки.
Для чего нужен протокол RDP?
Для начала несколько слов о том, RDP. Если посмотреть на расшифровку аббревиатуры, можно понять, что удаленного доступа
Говоря простым языком, это средство терминальному серверу или рабочей станции. Настройки Windows (причем любой из версий системы) используют параметры по умолчанию, которые подходят большинству пользователей. Тем нем менее иногда возникает необходимость их изменения.
Стандартный порт RDP: нужно ли его менять?
Итак, вне зависимости от модификации Windows все протоколы имеют предустановленное значение. Это порт RDP 3389, который и используется для осуществления сеанса связи (подключения одного терминала к удаленным).
С чем же связана ситуация, когда стандартное значение нужно поменять? Прежде всего только с обеспечением безопасности локального компьютера. Ведь если разобраться, при установленном стандартном порте, в принципе, любой злоумышленник может запросто проникнуть в систему. Так что сейчас посмотрим, как изменить порт RDP, установленный по умолчанию.
Изменение настроек в системном реестре
Сразу отметим, что процедура изменения производится исключительно в ручном режиме, причем в самом клиенте удаленного доступа какой-либо сброс или установка новых параметров не предусмотрены.
Для начала вызываем стандартный редактор реестра командой regedit в меню «Выполнить» (Win + R). Здесь нас интересует ветка HKLM, в которой по дереву разделов нужно спуститься через директорию терминального сервера до каталога RDP-Tcp. В окне справа находим ключ PortNumber. Его-то значение нам и нужно поменять.
Заходим в редактирование и видим там 00000D3D. Многие сразу недоумевают по поводу того, что это такое. А это просто шестнадцатеричное представление десятичного числа 3389. Чтобы указать порт именно в десятичном виде, используем соответствующую строку отображения представления значения, а затем указываем нужный нам параметр.
После этого перегружаем систему, а при попытке подключения указываем новый порт RDP. Еще одним способом подключения является использование специальной команды mstsc /v:ip_address:XXXXX, где XXXXX - новый номер порта. Но и это еще не все.
Правила для файрволла Windows
Увы, но встроенный брандмауэр Windows может блокировать новый порт. Значит, необходимо внести изменения в настройки самого фаервола.
Вызываем настройки фаервола с расширенными параметрами безопасности. Тут следует сначала выбрать входящие подключения и кликнуть на строке создания нового правила. Теперь выбираем пункт создания правила для порта, затем вводим его значение для TCP, далее разрешаем подключение, раздел профилей оставляем без изменений и наконец присваиваем новому правилу название, после чего жмем кнопку завершения настройки. Остается перегрузить сервер и при подключении указать новый порт RDP через двоеточие в соответствующей строке. По идее, проблем наблюдаться не должно.
Проброс порта RDP на роутере
В некоторых случаях, когда используется беспроводное соединение, а не кабельное, может потребоваться сделать проброс порта на маршрутизаторе (роутере). Ничего сложного в этом нет.
Сначала в свойствах системы разрешаем и указываем пользователей, имеющих на это право. Затем заходим в меню настроек роутера через браузер (192.168.1.1 или в конце 0.1 - все зависит от модели роутера). В поле (если основной адрес у нас 1.1) желательно указать адрес, начиная с третьего (1.3), а правило выдачи адреса прописать для второго (1.2).
Затем в сетевых подключениях используем просмотр деталей, где следует просмотреть детали, скопировать оттуда физический MAC-адрес и вставить его в параметры роутера.
Теперь в разделе настроек NAT на модеме включаем подключение к серверу, добавляем правило и указываем порт XXXXX, который нужно пробросить на стандартный порт RDP 3389. Сохраняем изменения и перегружаем роутер (без перезагрузки новый порт воспринят не будет). Проверить подключение можно на каком-нибудь специализированном сайте вроде ping.eu в разделе тестирования портов. Как видим, все просто.
Напоследок обратите внимание, что значения портов распределяются следующим образом:
- 0 - 1023 - порты для низкоуровневых системных программ;
- 1024 - 49151 - порты, выделяемые для частных целей;
- 49152 - 65535 - динамические приватные порты.
Вообще, многие юзеры во избежание проблем обычно выбирают порты RDP из третьего диапазона списка. Впрочем, и специалисты, и эксперты рекомендуют использовать в настройке именно эти значения, поскольку они подходят для большинства поставленных задач.
Что же касается именно такая процедура используется в основном только в случаях Wi-Fi-соединения. Как уже можно было заметить, при обычном проводном подключении она не требуется: достаточно изменить значения ключей реестра и добавить правила для порта в файрволле.
