Добрый вечер, ситуация такая, имеется Win server 2008 имеет адрес 192.168.0.145 на нем стоит 1C с SQL, по локальной сети пользователи работают с базой. Возникла необходимость предоставить доступ через удаленный рабочий стол к этому серверу через интернет. Тут система такая - интернет предоставляет провайдер со статическим ip, далее идет роутер tl-r600vpn (1) (WAN провайдера, LAN 192.168.1.1), от него интернет пошел дальше на коммутаторы и хабы, так же к этому роутеру подключен еще один tl-r600vpn (2) (wan 192.168.1.233 lan 192.168.0.233) который подключен к локальной сети, в нем прописаны правила для интернет ресурсов которые можно посещать из локальной сети. Я прописал порты в роутере №2 (порт внутренний 3389 порт сервиса 99 IP адрес 192.168.0.145), в роутере №1 прописал (порт внутренний 99 порт сервиса 99 IP адрес 192.168.1.233). Если я правильно понимаю, то теперь к серверу можно подключиться по RDP по порту 99. Но нет, ни чего не выходит. Даже с компьютеров сидящих на первом роутере 192.168.1.Х не возможно подключиться к серверу. Где ошибка? Не имею большего опыта работы в настройке сетевого оборудования. Упрощенная схема сети во вложении. Буду рад любой помощи! https://img-fotki.yandex.ru/get/361712/114202835.1/0_1a408b_dc6a993e_XXL.jpg

imJaFFa, как бы сделал я:
1. Избавился от двойного NAT, убрав второй роутер.
2. Настроил бы на 1-м роутере VPN-сервер.
3. Работал бы с локальной сетью, подключаясь по VPN.

А лепить RDP через двойной NAT - глупость, граничащая с извращением.

Я прописал порты в роутере №2 (порт внутренний 3389 порт сервиса 99 IP адрес 192.168.0.145)
Куда прописали, как прописали, что за порт сервиса - это всё нам угадать нужно?
В роутере проброс портов реализуется в разделе Transmission -> NAT -> Virtual Servers.
Читайте Руководство (http://static.tp-link.com/2017/201712/20171229/1910012330_TL-R600VPN_CG.pdf).

Angry Demon,
Я делал так же, как и вы говорите на роутере №2 Порт сервиса, он же Service Port прописал в разделе Virtual Servers, только сегодня поменял порт 91 на порт 9393 (при обращении к адресу из 192.168.1.233:9393 из сети 192.168.1.Х как я понимаю должна произойти переадресация на адрес 192.168.0.145:3389) https://img-fotki.yandex.ru/get/361712/114202835.1/0_1a408b_dc6a993e_XXL.jpghttps://img-fotki.yandex.ru/get/752268/114202835.1/0_1a40a0_379602ea_orig https://img-fotki.yandex.ru/get/764457/114202835.1/0_1a409e_dea23b6_orig. Системный администратор уволился, а поставленную задачу выполнять нужно, пока только каша в голове. Не имею большего опыта в настройке сетевого оборудования. Нашел информацию что необходимо настроить статический маршрут на роутере №1 и роуторе №2, но как это сделать, ведь маски сети на обоих роутерах одинаковые 255.255.255.0, такая настройка будет выдавать ошибку. Про VPN собираю информацию как лучше это сделать. В организации в локальной сети около 80 компьютеров и около 20 подключены отдельной линией через роутер №1 к интернету. Концепция безопасности предприятия запрещает подключение компьютеров локальной сети к интернету. И меня не мало удиволо указание управляющей организации предоставление доступа по rdp к серверу 1С. Именно по этому стоит два роутера, что бы разделить сети. Так проектировал бывший сисадмин. Маска одна на обоих роутерах, почему не получается организовать переадресацию с роутер №1-роутер №2-сервер 1с, вообще не понимаю.

Про VPN собираю информацию как лучше это сделать
Читайте Руководство (http://static.tp-link.com/2017/201712/20171229/1910012330_TL-R600VPN_CG.pdf).

Концепция безопасности предприятия запрещает подключение компьютеров локальной сети к интернету
Вот и запретите им это на роутере. Или вообще уберите шлюз по умолчанию из настроек сетевой карты.

Если честно убивают конечно двойные наты в сетях и к сожаленью, все чаще это встречаю. Ладно когда это надо.. но когда не надо, то зачем?
Ну если по делу. Технически должно все отрабатывать. Но для начала, я бы все таки все проверил сначало на сети 192.168.1.1 Вполне возможно, что провайдер блочит порты. Не думали об этом?
И из сети 192.168.1.1 в сеть 192.168.0.1 проброс не идет? А на 1С сервере шлюз указан?

Ну и из альтернитиывных решений.
Поставить вторую сетевуху и избавть 1С-сервер от второго НАТ

Из более правильного решения (по моему виду)
Поставить нормальный ротуер, а не SOHO-решение. Тот же самый микротик. Реализует Вам все что вы хотите. И разграничение доступа по сетям разным, и проброс и VPN сервер.

Поставить нормальный ротуер, а не SOHO-решение
Вообще-то SafeStream-серия позиционируется как роутеры для бизнеса (http://www.tp-link.com/ru/search/?q=+tl-r600vpn).

imJaFFa, может не в роутерах дело? Как происходит подключение? Адреса белые, серые?
поддержу Angry Demon,

2. Настроил бы на 1-м роутере VPN-сервер.
3. Работал бы с локальной сетью, подключаясь по VPN.

Вообще-то SafeStream-серия позиционируется как роутеры для бизнеса. »

Они могут себя позиционировать как бизнес решение, но если зайти в его эмулятор, и посмотреть его характеристики, то сразу видно, что для данного случая этот роутер не подойдет (я про несколько разных сетей). Да VPN на нем сделать можно он для этого и предназначен. Хотя тоже могу поспорить... скорость по ipsec 20 мбит/сек..... ну это смешно. NAT 120 мбит/сек. Да все тоже самое может сделать тото же Zyxel Lite 3 причем даже больше (у него есть консолька и там можно и сети нарезать и vlan сделать ). Та же самая DFL-ка, Mikrotik, Zywall позволяют реализовать все что он хочет, причем при таких же равных скорость будет поболее.
И это бизнес решение?


3. Работал бы с локальной сетью, подключаясь по VPN. »
Очень сомневаюсь Ipsec 20 мбит/сек, до 20 туннелей (ну тут надо смотреть сколько будет подрубаться)