Настройка доступа к VM по RDP

Создание правила DNAT

  1. В разделе Data Centers нажмите на карточку виртуального ЦОД и в меню слева выберите Edges.

  2. Нажмите на название Edge Gateway.

  3. В разделе Services → NAT нажмите NEW.

  4. Заполните форму Add NAT Rule:

    • Name — название правила.

    • (Опционально) Description — описание.

    • Interface Type — тип правила — «DNAT».

    • External IP — публичный IP-адрес Edge Gateway в формате «x.x.x.x».

      Подсказка

      Нажмите на значок i, чтобы уточнить доступные внешние IP-адреса. Вы можете использовать любой из них.

    • External Port — порт для подключения к публичному IP-адресу. Рекомендуем в целях безопасности выбрать порт, отличный от 3389. Например, укажите «50001».

    • Internal IP — приватный IP-адрес VM. Например, 192.167.1.4. Виртуальная машина с указанным адресом сможет получать трафик из внешней сети.

    • Application — порт и протокол, которые использует входящий трафик для подключения к внутренней сети:

      • нажмите на Редактировать;

      • активируйте переключатель Choose a specific application;

      • выберите из списка «RDP» (TCP: 3389);

      • нажмите SAVE.

    Примечание

    Если оставить External Port и Application незаполненными, весь трафик со внешнего IP-адреса будет транслироваться в указанный IP-адрес виртуальной машины. Это может заблокировать работу других DNAT-правил.

    Рекомендуем всегда указывать External Port и Application, если это не противоречит вашим задачам.

    (Опционально) Откройте дополнительные настройки Advanced Settings:

    • State — оставьте правило активированным.

    • Logging — активируйте переключатель при необходимости регистрировать преобразование адресов, выполняемое этим правилом.

    • Priority — оставьте наивысший приоритет для правила — 0. При возникновении конфликтов в правилах NAT измените этот приоритет. Меньшее число означает более высокий приоритет.

    • Firewall Match — оставьте по умолчанию. Настройка определяет то, как применяется правило Firewall во время NAT-преобразования:

      • Match Internal Address — правило Firewall применяется к внутреннему адресу правила NAT. Для DNAT — это преобразованный адрес назначения (translated destination address) после выполнения NAT. Т. е. правило Firewall применится к приватному IP-адресу VM — 192.167.1.4.

      • Match External Address — правило Firewall применяется к внешнему адресу правила NAT. Для DNAT — это исходный адрес назначения (original destination address) до выполнения NAT. Т. е. правило Firewall применится к публичному IP-адресу «x.x.x.x».

      • Bypass — пропустить этап обработки правилом Firewall.

  5. Нажмите SAVE.

Создание IP Set

  1. В разделе Security → IP Sets нажмите NEW.

  2. Заполните форму New IP Set:

    • Name — название группы IP-адресов.

    • (Опционально) Description — описание.

    • IP Addresses — приватный IP-адрес VM. Например, 192.167.1.4.

  3. Нажмите ADD, затем SAVE.

Создание правила Firewall

  1. В разделе Services → Firewall нажмите EDIT RULES.

  2. В открывшемся окне нажмите NEW ON TOP.

  3. Появится строка нового правила, заполните ее поля:

    • Name — укажите название правила.

    • State — активируйте переключатель, чтобы включить правило.

    • Applications — выберите профиль, который определяет протокол и порт для подключения:

      • нажмите на Редактировать;

      • активируйте переключатель Choose a specific application;

      • выберите из списка «RDP» (TCP: 3389);

      • нажмите SAVE.

    • Source — укажите источник трафика. Для этого нажмите на Редактировать, активируйте переключатель Any Source и нажмите SAVE.

    • Destination — укажите IP-адрес виртуальной машины, которая будет получать трафик. Для этого нажмите на Редактировать, выберите ранее созданный IP Set и нажмите SAVE.

    • Action — из раскрывающегося списка выберите «Allow».

    • IP Protocol — из раскрывающегося списка выберите, следует ли применять правило к трафику IPv4 или IPv6.

    • Logging — при необходимости регистрировать фильтрацию, выполняемую этим правилом, активируйте переключатель.

  4. Нажмите SAVE.

Проверка подключения

  1. Разрешите удаленное подключение в виртуальной машине. Для этого откройте ее консоль и выполните рекомендации ниже:

    • нажмите сочетание клавиши Win + R;

    • укажите в поиске «SystemPropertiesAdvanced» и нажмите OK;

    • перейдите на вкладку Удаленный доступ;

    • в блоке Удаленный рабочий стол выберите Разрешить удаленные подключения к этому компьютеру;

    • нажмите OK.

    ../../_images/s__allow-rdp.png
  2. Проверьте подключение по RDP:

    • откройте приложение «Подключение к удаленному рабочему столу»;

    • в поле Компьютер укажите публичный IP-адрес в формате «x.x.x.x» и порт, указанный в поле External port правила NAT;

    • нажмите Подключить;

    • укажите логин и пароль VM.

    ../../_images/s__connect-rdp.png

    Если не удалось подключиться, проверьте корректность правила Firewall VM.

Важно

Создайте надежный пароль для доступа к виртуальной машине.