OPNsense Forum

International Forums => German - Deutsch => Topic started by: Ralf Kirmis on April 16, 2019, 09:25:28 am

Title: RDP Portal auf OPNSense
Post by: Ralf Kirmis on April 16, 2019, 09:25:28 am

Moin Moin,

ich habe einen Windows Terminal Server, den ich aus dem Internet erreichbar machen möchte.
Ist per NAT Portweiterleitung ja auch kein Problem.

Allerdings möchte ich den Zugriff auf den Port 3389 noch zusätzlich absichern, so das er nicht ständig für jedermann offen ist.

Ich dachte an eine Webseite auf der OPNSense, an der ich mich anmelden muss, am liebsten per OTP,
welche mich dann auf den Terminal Server weiterleitet.

Eine HTML5 Lösung kommt nicht in Betracht, da eine Smartcard mit in die Sitzung muss.

Eine temporäre Firewall Regel für die IP des Clients wäre eine Idee, allerdings ist dann das gesamte Netzwerk hinter dieser IP freigeschaltet, wenn es eine IP ist, welche für ein Netzwerk NAT macht.

Hat jemand eine kreative Idee für so ein RDP Login Portal?

Liebe Grüße,
Ralf

Title: Re: RDP Portal auf OPNSense
Post by: skywalker007 on April 16, 2019, 09:27:34 am

Was spricht sagen das mit einem VPN abzusichern?
Grüße!


Gesendet von iPhone mit Tapatalk

Title: Re: RDP Portal auf OPNSense
Post by: Ralf Kirmis on April 16, 2019, 09:31:14 am

Moin,
dann muss ich auf dem Client einen VPN Client installieren dürfen.
Ich möchte das ohne Installation einer zusätzlichen Software auf einem Client benutzen können.

Ralf

Title: Re: RDP Portal auf OPNSense
Post by: mimugmail on April 16, 2019, 07:35:23 pm

Selbst programmierte Seite die nach Anmeldung den Alias für erlaubte IPs per API aktualisiert. Anders geht's nicht.

Title: Re: RDP Portal auf OPNSense
Post by: skywalker007 on April 17, 2019, 06:28:06 pm

Auch wenn das den Aufwand deutlich erhöht, eine aus meiner Sicht brauchbare Architektur wäre:
Apache Guacamole gateway um den RDP Zugriff über HTML5 abzuwickeln.
Davor ein NGINX reverse proxy der client Zertifikate zur Authentisierung anfordert.
Das Client Zertifikat liegt auf der SmartCard.
OPNSense würde nur den https Zugriff auf den reverse proxy zulassen.
Der reverse proxy könnte auf OPNsense laufen.

-Till

Title: Re: RDP Portal auf OPNSense
Post by: fabian on April 17, 2019, 09:00:07 pm

Quote from: skywalker007 on April 17, 2019, 06:28:06 pm

Apache Guacamole gateway um den RDP Zugriff über HTML5 abzuwickeln.

Da kannst du keine Hardware durchleiten. Im Falle einer Smartcard würde ich mal sagen, dass da zum Beispiel der Brower des RDP-Servers darauf zugreifen muss, da die Server im Netz dahinter ggf. auch Zertifikate sehen wollen.

Quote from: skywalker007 on April 17, 2019, 06:28:06 pm

Davor ein NGINX reverse proxy der client Zertifikate zur Authentisierung anfordert.
Das Client Zertifikat liegt auf der SmartCard.
OPNSense würde nur den https Zugriff auf den reverse proxy zulassen.
Der reverse proxy könnte auf OPNsense laufen.

Das Plugin kann das. Manche Zertifikatsdaten werden sogar als HTTP header durchgeschleust. Die Applikation braucht die nur auswerten, wenn die Daten benötigt werden.