- Windows-терминалы WTware
- Re: Шлюз терминалов
- Re: Шлюз терминалов
- Re: Шлюз терминалов
- Re: Шлюз терминалов
- Re: Шлюз терминалов
- Re: Шлюз терминалов
- Re: Шлюз терминалов
- Re: Шлюз терминалов
- Re: Шлюз терминалов
- Re: Шлюз терминалов
- Re: Шлюз терминалов
- Jon Witts’ Blog
- Posts about EdTech and other IT / Education related things…
- RD Web and RD Gateway through Ubuntu
- Share this:
Windows-терминалы WTware
Добрый день! Простите, если было, но не нашел. Искал в конфиге, искал по форуму, не смог
Есть ли возможность в втвари подключаться к терминальному серверу через шлюз терминалов?
aka Разработчик
Сообщения: 11630 Зарегистрирован: Ср окт 01, 2003 12:06 am Откуда: Роcсия, Тольятти Контактная информация:
Re: Шлюз терминалов
Сообщение aka » Чт июн 08, 2017 3:07 pm
Нет. Потому что никто не смог объяснить мне, зачем нужен этот костыль. «У нас так настроено» — не аргумент. Назовите хоть одну техническую причину использовать шлюз терминалов на стационарном рабочем месте.
Re: Шлюз терминалов
Сообщение TED » Чт июн 08, 2017 4:22 pm
Терминальный сервер стоит в основном здании. Пара терминальников в филиале. Чтобы не напрямую через не очень безопасный rdp подключаться, подключаемся через шлюз, под https.
VPN тоже вариант, но в наших реалиях проще шлюз включить, чем отдельно впн настраивать. (У нас сейчас временно используется VPN на ISA сервере)
aka Разработчик
Сообщения: 11630 Зарегистрирован: Ср окт 01, 2003 12:06 am Откуда: Роcсия, Тольятти Контактная информация:
Re: Шлюз терминалов
Сообщение aka » Чт июн 08, 2017 4:47 pm
TED писал(а): Чтобы не напрямую через не очень безопасный rdp подключаться, подключаемся через шлюз, под https.
Почему вы считаете, что rdp не очень безопасный?
И тем более — почему вы считаете, что https безопаснее rdp?
TED писал(а): но в наших реалиях проще шлюз включить, чем отдельно впн настраивать. (У нас сейчас временно используется VPN на ISA сервере)
Re: Шлюз терминалов
Сообщение Rushmore » Чт июн 08, 2017 9:46 pm
1) Единая точка подключения снаружи внутрь периметра. Если надо открыть доступ снаружи к нескольким серверам, которые находятся внутри локалки за файерволлом, проще и удобнее открыть один порт 443 со шлюза терминалов, чем пробрасывать 100500 разных портов или городить ВПН.
2) Портабельность. Можно использовать одни и те же настройки клиентов как внутри, так и снаружи периметра. Полезно для всяких мобильных девайсов и ноутбуков, которые подключаются откуда угодно.
3) Безопасность. На шлюзе можно дополнительно рулить политиками серверов: настройки шлюза всегда будут перебивать настройки сервера. К примеру, если политика шлюза запрещает проброс дисков с клиента, даже если на сервере случайно (или намеренно) это разрешили, то клиенты не смогут воспользоваться этой фичей, если будут подключаться через шлюз.
Там много еще интересного. Но это то что я реально использую.
aka Разработчик
Сообщения: 11630 Зарегистрирован: Ср окт 01, 2003 12:06 am Откуда: Роcсия, Тольятти Контактная информация:
Re: Шлюз терминалов
Сообщение aka » Чт июн 08, 2017 11:32 pm
Rushmore писал(а): 1) Единая точка подключения снаружи внутрь периметра. Если надо открыть доступ снаружи к нескольким серверам, которые находятся внутри локалки за файерволлом, проще и удобнее открыть один порт 443 со шлюза терминалов, чем пробрасывать 100500 разных портов или городить ВПН.
Rushmore писал(а): 2) Портабельность. Можно использовать одни и те же настройки клиентов как внутри, так и снаружи периметра. Полезно для всяких мобильных девайсов и ноутбуков, которые подключаются откуда угодно.
Для всяких мобильных откуда угодно — да. Я ж не против шлюза, я не вижу необходимости шлюза для втвари.
Rushmore писал(а): 3) Безопасность. На шлюзе можно дополнительно рулить политиками серверов: настройки шлюза всегда будут перебивать настройки сервера. К примеру, если политика шлюза запрещает проброс дисков с клиента, даже если на сервере случайно (или намеренно) это разрешили, то клиенты не смогут воспользоваться этой фичей, если будут подключаться через шлюз.
На сервере разрешили и потом сломали мозг пытаясь понять, почему оно не разрешилось.
Вижу причины в удобстве некоторых конфигураций. Спасибо за разъяснения, но этого мало. Там много надо писать, чтоб шлюз заработал. Нужна причина уровня «без шлюза не работает вот это». Что-то, для чего шлюз необходим.
Barvinok Сообщения: 575 Зарегистрирован: Вт ноя 30, 2004 4:06 pm Откуда: Ростов-на-Дону Контактная информация:
Re: Шлюз терминалов
Сообщение Barvinok » Пт июн 09, 2017 9:58 am
Rushmore писал(а): 1) Единая точка подключения снаружи внутрь периметра. Если надо открыть доступ снаружи к нескольким серверам, которые находятся внутри локалки за файерволлом, проще и удобнее открыть один порт 443 со шлюза терминалов, чем пробрасывать 100500 разных портов или городить ВПН.
ВПН на паре Микротиков поднимается за 2 минуты. После чего работает всё и всегда.
А в данной схеме придётся таки пробрасывать 100500 портов для прочих служб, вроде SIP, видеонаблюдения, принтеров, внутренних проталов CRM и т.д.
Я про тот случай, когда работа не 100% ведётся в терминальном сеансе, а частично с персонального компьютера/ноутбука/смартфона пользователя.
А так же лови говолняк с поддержкой связанных протоколов (FTP, SIP+RTP, проброс видеопотока и дисков для RMM/iLo. )
PS
Наконец прочитал, что делает этот самый шлюз и убедился, что он действительно не нужен.
Re: Шлюз терминалов
Сообщение TED » Вт июн 13, 2017 11:34 am
2 ноутбука в одном филиале, 2 ноутбука в другом, 15 терминалов в третьем. На основной площадке порядка 30 терминальников на втвари.
Ноуты путешествуют между филиалами, плюс много удаленных сотрудников, которые подключаются по удаленке (порядка 40 клиентов на ноутах).
Микротиков не наберешься на пары ноутбуков. Шлюз работает отовсюду и https в принципе сам по себе безопаснее rdp. (Я не прав? Объясните)
Шлюз необходим для единого централизованного управления разрешенными серверами для публикации, управления пользователями с разрешенными удаленным подключением, и, что самое важное, безопасным подключением одних к другим по защищенному каналу, без необходимости открывать кучу портов для рдп, настраивать впны, давать админские права на клиентах, и прочие костыли (это к слову о том, у кого что костыль, и у нас так настроено, ага). Шлюз — это специально разработанная фича для рдп, и она реально удобная.
Re: Шлюз терминалов
Сообщение Dim-soft » Вт июн 13, 2017 5:59 pm
aka Разработчик
Сообщения: 11630 Зарегистрирован: Ср окт 01, 2003 12:06 am Откуда: Роcсия, Тольятти Контактная информация:
Re: Шлюз терминалов
Сообщение aka » Чт июн 22, 2017 11:15 am
TED писал(а): Ноуты путешествуют между филиалами, плюс много удаленных сотрудников, которые подключаются по удаленке (порядка 40 клиентов на ноутах). . Шлюз — это специально разработанная фича для рдп, и она реально удобная.
Шлюзы рулят для путешествующих сотрудников. Из какой-нибудь гостиницы с корявым интернетом, в котором закрыто всё кроме http/https, только через шлюз териналов и выйти. Но в таких местах не надо использовать втварь! Втварь — стационарный клиент. А для стационарного клиента лучше потрудиться настроить VPN, оно потом ещё не раз пригодится.
aka Разработчик
Сообщения: 11630 Зарегистрирован: Ср окт 01, 2003 12:06 am Откуда: Роcсия, Тольятти Контактная информация:
Re: Шлюз терминалов
Сообщение aka » Чт июн 22, 2017 11:17 am
Настоящие параноики даже TLS 1.0 запрещают и TLS 1.2 настраивают: https://forum.wtware.com/viewtopic.php?f=23&t=47423
Barvinok Сообщения: 575 Зарегистрирован: Вт ноя 30, 2004 4:06 pm Откуда: Ростов-на-Дону Контактная информация:
Re: Шлюз терминалов
Сообщение Barvinok » Пн фев 01, 2021 8:57 pm
Доброго вечера (GMT+3)!
Я полностью согласен, что проще и лучше настроить VPN на микротах, чем вступать в отношения со всякими шлюзами.
Однако возникла задача. Вот облако https://42clouds.com/ru-ru/
Для работы с ним по RDP требуется поддержка NLA:
Для пользователей OC GNU\Linux необходимо установить RDP-клиент с поддержкой NLA (проверка подлинности на уровне сети) и режима работы через шлюз терминалов.
После успешной установки выполните подключение к удаленному рабочему столу с помощью команды
xfreerdp /v:ts-farm.42clouds.com /f /u:your_login /p:your_password /d:ad /g:gateway.42clouds.com /gu:your_login /gp:your_password /gd:ad /gt:rpc +clipboard /sec:nla /cert-ignore
где параметры
/v:ts-farm.42clouds.com — адрес подключения
/f — полноэкранный режим
/u:your_login — ваш логин от 42 Clouds
/p:your_password — ваш пароль от 42 Clouds
/d:ad — домен
/g:gateway.42clouds.com — адрес шлюза терминалов
/gu:your_login — ваш логин от 42 Clouds
/gp:your_password — ваш пароль от 42 Clouds
/gd:ad — домен
/gt:rpc — взаимодействие с Windows-службой RPC
+clipboard — поддержка буфера обмена
/cert-ignore — игнорировать ошибки сертификатов
aka Разработчик
Сообщения: 11630 Зарегистрирован: Ср окт 01, 2003 12:06 am Откуда: Роcсия, Тольятти Контактная информация:
Jon Witts’ Blog
Posts about EdTech and other IT / Education related things…
RD Web and RD Gateway through Ubuntu
So I finally got our RD Web and RD Gateway servers running at school, which is great as we can have remote desktop and remote application access back to the school network without the need to muck around configuring VPN tunnels for people. The RD Gateway neatly bundles all the RDP traffic up inside a HTTPS / SSL / TLS tunnel for us.
I am not going to go into the details of that install as there are plenty of good resources out there like https://hotstickybun.com/nordvpn-for-kodi for example; and it drove me round the bend a bit! Anyway, it all works now 😉
Accessing from home on my Windows 7 machine worked a treat, as did accessing them from my Android phone using the Microsoft RDP App. I haven’t tried OSX or iOS as I don’t have access to those devices; but I am sure that Microsoft’s RDP Client for OSX will deliver.
So then I tried to connect to the RD Session Host through my Ubuntu machine…
… and here is where the fun begins!
I have used Remmina for connecting Microsoft RDP sessions in the past with great success; however the version of Remmina installed on Ubuntu 14.10 (0.9.99.1) does not seem to have any support for RD Gateways. This is a problem!
So I began looking around and it seems like the latest version of FreeRDP does have support for connecting to RDP sessions over an RD Gateway; however I would have to wait until April to get that version in Ubuntu… I could really do with it before then!
This page on the FreeRDP Wiki indicates that have an official Ubuntu PPA where you can get yourself the latest stable version of Remmina and FreeRDP; so I am going to give it a go now on a brand new Ubuntu 14.10 VM. Here are the steps I took:
- Install Ubuntu 14.10 selecting to download updates and install third party software
- Accept all other sane default settings…
- Set up user name and password
- Go have a cup of tea whilst it installs!
- Restart when it completes the installation
- Log in and then install your Virtual machine guest additions
- Open a terminal and run:
sudo apt-get update sudo apt-get dist-upgrade
sudo apt-add-repository ppa:remmina-ppa-team/remmina-next sudo apt-get update sudo apt-get install remmina freerdp-x11 remmina-plugin-rdp sudo apt-get upgrade
This is FreeRDP version 1.2.0-dev (git n/a)
This should allow us to use the new FreeRDP options to connect to a RD Gateway server for our RD Session…
- Visit your RD Web Gateway and login
- Load one of your published Apps or Desktop sessions and when prompted save the rdp file
- Now back in your terminal we are going to launch the rdp file we just downloaded using FreeRDP:
- Move to the place you saved your rdp file too:
It is a slight pain that I cannot seem to get the rdp files loading through Remmina; but nothing that a set of bash scripts to load the rdp files through FreeRDP will not solve!