RDP Portal auf OPNSense

Started by Ralf Kirmis, April 16, 2019, 09:25:28 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
April 16, 2019, 09:25:28 AM
Moin Moin,

ich habe einen Windows Terminal Server, den ich aus dem Internet erreichbar machen möchte.
Ist per NAT Portweiterleitung ja auch kein Problem.

Allerdings möchte ich den Zugriff auf den Port 3389 noch zusätzlich absichern, so das er nicht ständig für jedermann offen ist.

Ich dachte an eine Webseite auf der OPNSense, an der ich mich anmelden muss, am liebsten per OTP,
welche mich dann auf den Terminal Server weiterleitet.

Eine HTML5 Lösung kommt nicht in Betracht, da eine Smartcard mit in die Sitzung muss.

Eine temporäre Firewall Regel für die IP des Clients wäre eine Idee, allerdings ist dann das gesamte Netzwerk hinter dieser IP freigeschaltet, wenn es eine IP ist, welche für ein Netzwerk NAT macht.

Hat jemand eine kreative Idee für so ein RDP Login Portal?

Liebe Grüße,
Ralf
April 16, 2019, 09:27:34 AM #1
Was spricht sagen das mit einem VPN abzusichern?
Grüße!


Gesendet von iPhone mit Tapatalk
System1: Qotom Q310G4 (died recently)
System1: Supermicro A2SDi-4C-HLN4F,  64GB RAM, ZFS mirrored boot drive
System2: APU2C4
April 16, 2019, 09:31:14 AM #2
Moin,
dann muss ich auf dem Client einen VPN Client installieren dürfen.
Ich möchte das ohne Installation einer zusätzlichen Software auf einem Client benutzen können.

Ralf
April 16, 2019, 07:35:23 PM #3
Selbst programmierte Seite die nach Anmeldung den Alias für erlaubte IPs per API aktualisiert. Anders geht's nicht.
April 17, 2019, 06:28:06 PM #4
Auch wenn das den Aufwand deutlich erhöht, eine aus meiner Sicht brauchbare Architektur wäre:
Apache Guacamole gateway um den RDP Zugriff über HTML5 abzuwickeln.
Davor ein NGINX reverse proxy der client Zertifikate zur Authentisierung anfordert.
Das Client Zertifikat liegt auf der SmartCard.
OPNSense würde nur den https Zugriff auf den reverse proxy zulassen.
Der reverse proxy könnte auf OPNsense laufen.

-Till
System1: Qotom Q310G4 (died recently)
System1: Supermicro A2SDi-4C-HLN4F,  64GB RAM, ZFS mirrored boot drive
System2: APU2C4
April 17, 2019, 09:00:07 PM #5
Quote from: skywalker007 on April 17, 2019, 06:28:06 PM
Apache Guacamole gateway um den RDP Zugriff über HTML5 abzuwickeln.
Da kannst du keine Hardware durchleiten. Im Falle einer Smartcard würde ich mal sagen, dass da zum Beispiel der Brower des RDP-Servers darauf zugreifen muss, da die Server im Netz dahinter ggf. auch Zertifikate sehen wollen.

Quote from: skywalker007 on April 17, 2019, 06:28:06 PM
Davor ein NGINX reverse proxy der client Zertifikate zur Authentisierung anfordert.
Das Client Zertifikat liegt auf der SmartCard.
OPNSense würde nur den https Zugriff auf den reverse proxy zulassen.
Der reverse proxy könnte auf OPNsense laufen.

Das Plugin kann das. Manche Zertifikatsdaten werden sogar als HTTP header durchgeschleust. Die Applikation braucht die nur auswerten, wenn die Daten benötigt werden.
Print
Go Up Pages1
User actions