RDP Portal auf OPNSense

[Ralf Kirmis]

Moin Moin,

ich habe einen Windows Terminal Server, den ich aus dem Internet erreichbar machen möchte.
Ist per NAT Portweiterleitung ja auch kein Problem.

Allerdings möchte ich den Zugriff auf den Port 3389 noch zusätzlich absichern, so das er nicht ständig für jedermann offen ist.

Ich dachte an eine Webseite auf der OPNSense, an der ich mich anmelden muss, am liebsten per OTP,
welche mich dann auf den Terminal Server weiterleitet.

Eine HTML5 Lösung kommt nicht in Betracht, da eine Smartcard mit in die Sitzung muss.

Eine temporäre Firewall Regel für die IP des Clients wäre eine Idee, allerdings ist dann das gesamte Netzwerk hinter dieser IP freigeschaltet, wenn es eine IP ist, welche für ein Netzwerk NAT macht.

Hat jemand eine kreative Idee für so ein RDP Login Portal?

Liebe Grüße,
Ralf

[skywalker007]

Was spricht sagen das mit einem VPN abzusichern?
Grüße!


Gesendet von iPhone mit Tapatalk

[Ralf Kirmis]

Moin,
dann muss ich auf dem Client einen VPN Client installieren dürfen.
Ich möchte das ohne Installation einer zusätzlichen Software auf einem Client benutzen können.

Ralf

[mimugmail]

Selbst programmierte Seite die nach Anmeldung den Alias für erlaubte IPs per API aktualisiert. Anders geht's nicht.

[skywalker007]

Auch wenn das den Aufwand deutlich erhöht, eine aus meiner Sicht brauchbare Architektur wäre:
Apache Guacamole gateway um den RDP Zugriff über HTML5 abzuwickeln.
Davor ein NGINX reverse proxy der client Zertifikate zur Authentisierung anfordert.
Das Client Zertifikat liegt auf der SmartCard.
OPNSense würde nur den https Zugriff auf den reverse proxy zulassen.
Der reverse proxy könnte auf OPNsense laufen.

-Till

[fabian]

Apache Guacamole gateway um den RDP Zugriff über HTML5 abzuwickeln.

Da kannst du keine Hardware durchleiten. Im Falle einer Smartcard würde ich mal sagen, dass da zum Beispiel der Brower des RDP-Servers darauf zugreifen muss, da die Server im Netz dahinter ggf. auch Zertifikate sehen wollen.

Davor ein NGINX reverse proxy der client Zertifikate zur Authentisierung anfordert.
Das Client Zertifikat liegt auf der SmartCard.
OPNSense würde nur den https Zugriff auf den reverse proxy zulassen.
Der reverse proxy könnte auf OPNsense laufen.

Das Plugin kann das. Manche Zertifikatsdaten werden sogar als HTTP header durchgeschleust. Die Applikation braucht die nur auswerten, wenn die Daten benötigt werden.