Passthrough é uma droga

Desisti da Comcast no escritório por causa das velocidades de upload desastrosas. Tenho fibra AT&T em casa e estou bem satisfeito, então consegui uma conexão de 1 gigabit para o escritório. As velocidades estão boas, mas o BGW320-500 é uma porcaria gigante sem modo de ponte. Consegui fazer funcionar com passthrough em casa, eliminando o double-nat, então achei que ia resolver no escritório também. Mas tem uma coisa que ainda me deixa confuso.

Tenho dois servidores no trabalho, conectados por um roteador Unifi UDM-pro.

O desktop remoto do servidor 1 na porta 3389 é encaminhado pelo roteador para a porta 3389 no IP local do servidor. Consigo conectar normalmente.

O desktop remoto do servidor 2 ouve em uma porta diferente. Isso me permitiu conectar ao servidor #2 sem precisar de um segundo IP. Por exemplo, se eu conectar na porta 12345, ela será encaminhada para a porta 12345 no segundo servidor, que escuta nesta porta para desktop remoto.

Isso funcionou perfeitamente na Comcast. Mas no Passthrough, sem sorte. Posso usar 3389 para o desktop remoto, mas o passthrough não deixa usar uma porta alternativa.

Minhas regras de firewall para os dois são idênticas, só com portas diferentes:

Se eu mover o servidor 2 ouvindo na porta 12345 para a porta 3389 e desabilitar o servidor 1, funciona. Passthrough permite a porta 3389 sem problemas. Mas portas alternativas não funcionam. E, como mencionei, tudo funcionava bem na Comcast.

Todos meus firewalls estão desligados no BGW320. Deveria ser só um modem “burro”. Mas ele age como se as portas desconhecidas estivessem sendo bloqueadas. Com tudo desligado, o BGW320 não deveria bloquear nada, mas não está deixando outras portas entrarem.

Devo também mencionar que, se estou conectado à rede local, consigo acessar a porta 12345 sem problemas. Só bloqueia quando tento acessar o sistema de uma rede externa. Se não tivesse funcionado tão bem na Comcast, eu investigaria mais minha configuração interna de firewall. Mas tudo que fiz foi trocar o cabo do modem de cabo para fibra. Cabo funciona. Fibra não funciona. Estou sem ideias.

Considere ignorar o RG completamente. A única desvantagem para um ambiente de escritório é que isso vai impactar sua capacidade de obter suporte da AT&T. Mas se surgir algum problema, você pode sempre reconectar seu RG.

Você paga mais pelo UDM pro e ele inclui recursos VPN, vale a pena usá-los.

Você REALMENTE precisa mudar seus hábitos de segurança quanto ao encaminhamento de portas, especialmente a porta 3389 para um servidor interno. Isso é pedir para ser hackeado. Use uma VPN!!

Existem alguns artigos sobre isso, aqui vai um que explica bem, além de alternativas para contornar esse problema.

https://www.itsasap.com/blog/avoid-port-3389

Obrigado pelas dicas, pessoal. Em vez de mexer no passthrough, VPN parece ser o caminho. Vou abandonar o filtro mac e o endereçamento de porta e usar uma VPN para me conectar diretamente à rede.

Isso deveria simplesmente funcionar. Fiz exatamente assim e funcionou igual ao Spectrum. Depois troquei por uma opção mais segura de usar VPN para proteger minha rede, e depois conectei ao RDP através da VPN.

Você configurou uma regra de encaminhamento no BGW? Essas regras têm prioridade sobre o passthrough, se você configurou a porta 12345 para ir para um IP do BGW, ela não será encaminhada para seu roteador em passthrough até que você apague a regra. Pode tentar fazer um reset de fábrica no BGW para garantir que não tenha configurações penduradas interferindo.

Tudo que você realmente precisa é configurar o passthrough para o MAC do seu roteador e nada mais. Desligar outros filtros de pacotes e opções de firewall é uma boa ideia, mas na minha experiência, não faz diferença perceptível.

Se você soubesse usar corretamente o encaminhamento de portas, conseguiria configurar para funcionar. Você basicamente criaria uma regra de encaminhamento para o servidor 2, ouvindo na porta 12345, e encaminhando para o IP do servidor na porta 3389. Já fiz isso em várias configurações similares à sua. Mas, como foi sugerido, é melhor usar VPN para seu caso específico.

Com uma conta empresarial com fibra AT&T, você pode pagar um pouco mais por um ou mais IPs estáticos. Isso tira você do pass-through e do double NAT. E alguns relataram conseguir IPs estáticos em uma conta residencial.

Encaminhamento de portas para RDP é uma má ideia. Como outros disseram.

Você não deveria precisar encaminhar nada no BGW. O passthrough vai direcionar todo o tráfego de entrada para o dispositivo que recebeu o IP WAN. Seu encaminhamento de portas deve ser feito no UDM, não no BGW. Antes que qualquer entusiasta DIY chegue, tenho feito isso por anos com esses gateways, é exatamente assim que funciona e não, você não está mais duplo NAT com essa configuração.

Além disso, não dever ser usar encaminhamento de portas para acessos remotos, a menos que seja um recurso realmente público que você quer que qualquer pessoa acesse (como um site). RDP claramente não é isso e deixar exposto para toda a internet te coloca em risco de comprometimento. Seu UDM tem muitos recursos de VPN. Configure Teleport ou WireGuard e abandone os encaminhamentos de portas para acessar seus recursos locais com segurança.

Você está usando o Unifi para NAT e encaminhamento? Conseguir ver o tráfego chegando nele? Já tentou com outra porta?

O VPN não atrasa suas conexões?

Tenho certeza que se você expor RDP na internet, é só uma questão de tempo até seus servidores serem encriptados e alguém pedir dinheiro para te dar a chave de criptografia. Na verdade, se esses servidores já estiverem expostos assim com o ISP anterior, eu os desconectaria para uma varredura de vírus e rootkit.

Se quiser se divertir, verifica se seu IP está listado no Shodan. Se estiver, provavelmente você tem problemas que ainda não percebeu.

Depois, considera usar uma VPN ou algo como Cloudflare para suporte remoto.

Alguns comentários úteis aqui. Obrigado a todos. Configurei uma VPN Wireguard ontem. Nunca tinha feito isso antes e foi super simples, resolveu o problema perfeitamente. Vai dar trabalho configurar as máquinas que acessam os servidores discutidos originalmente, mas vale a pena o investimento de tempo.

(Para o que vale, nosso escritório é pequeno e não temos departamento de TI — somos eu, um hobbyista. Apesar de levar umas pancadas aqui, foi uma boa lição que aprecio de verdade.)

Pelo amor de Deus, por favor, não exponha a porta 3389 diretamente na internet sem proteção.

Você ainda está com double NAT em casa e no escritório, a menos que tenha implementado algo como o pon.wiki para remover fisicamente a caixa da AT&T da equação. O 320-500 não tem modo de ponte, mesmo no passthrough você ainda usa a tabela NAT da caixa AT&T e pode saturá-la.

Essa é a resposta ^^^

Não mencionei que o acesso está bloqueado para endereços MAC específicos de outras máquinas. Só podem acessar 4 máquinas. Todo o resto está bloqueado. Mas sim, VPN também era uma opção.

Honestamente, pelo que estou vendo, a primeira captura parece ser de algo além do RG da AT&T, provavelmente deles mesmos, que está atrás dele no modo passthrough. Mas na mesma captura parece que a regra da porta 12345 está mal configurada, tentando passar para a porta 12345 na máquina alvo, ao invés de 3389. Então é erro do usuário, a menos que essa máquina tenha sido configurada para ouvir na porta 12345 (o que não deveria ser necessário com um roteador/firewall razoável).

EDIT: Pensando melhor e fazendo uma verificação básica: comece tentando se conectar à segunda máquina na LAN na porta desejada e garanta que ela esteja ouvindo lá. Não me surpreenderia se uma atualização do Windows resetasse o número da porta se a própria máquina fosse reconfigurada para usar outra.

Você consegue fazer isso em residencial, mas ainda assim funciona do mesmo jeito.

Para mim foi assim. Fiquei dias tentando. Configurar o WAN do ASUS para imitar o BGW imediatamente permitiu acesso pela web aos servidores na minha rede interna.

Agradeço a orientação.