Шлюз терминалов

[TED]

Добрый день! Простите, если было, но не нашел. Искал в конфиге, искал по форуму, не смог
Есть ли возможность в втвари подключаться к терминальному серверу через шлюз терминалов?

[aka]

Нет. Потому что никто не смог объяснить мне, зачем нужен этот костыль. "У нас так настроено" - не аргумент. Назовите хоть одну техническую причину использовать шлюз терминалов на стационарном рабочем месте.

[TED]

Терминальный сервер стоит в основном здании. Пара терминальников в филиале. Чтобы не напрямую через не очень безопасный rdp подключаться, подключаемся через шлюз, под https.
VPN тоже вариант, но в наших реалиях проще шлюз включить, чем отдельно впн настраивать. (У нас сейчас временно используется VPN на ISA сервере)

[aka]

Чтобы не напрямую через не очень безопасный rdp подключаться, подключаемся через шлюз, под https.

Почему вы считаете, что rdp не очень безопасный?
И тем более - почему вы считаете, что https безопаснее rdp?

VPN тоже вариант

Тоже вариант для решения какой задачи?

но в наших реалиях проще шлюз включить, чем отдельно впн настраивать. (У нас сейчас временно используется VPN на ISA сервере)

"у нас так настроено", ага.

[Rushmore]

Нет. Потому что никто не смог объяснить мне, зачем нужен этот костыль.

Плюсы костыля:

1) Единая точка подключения снаружи внутрь периметра. Если надо открыть доступ снаружи к нескольким серверам, которые находятся внутри локалки за файерволлом, проще и удобнее открыть один порт 443 со шлюза терминалов, чем пробрасывать 100500 разных портов или городить ВПН.

2) Портабельность. Можно использовать одни и те же настройки клиентов как внутри, так и снаружи периметра. Полезно для всяких мобильных девайсов и ноутбуков, которые подключаются откуда угодно.

3) Безопасность. На шлюзе можно дополнительно рулить политиками серверов: настройки шлюза всегда будут перебивать настройки сервера. К примеру, если политика шлюза запрещает проброс дисков с клиента, даже если на сервере случайно (или намеренно) это разрешили, то клиенты не смогут воспользоваться этой фичей, если будут подключаться через шлюз.

Там много еще интересного. Но это то что я реально использую.

[aka]

1) Единая точка подключения снаружи внутрь периметра. Если надо открыть доступ снаружи к нескольким серверам, которые находятся внутри локалки за файерволлом, проще и удобнее открыть один порт 443 со шлюза терминалов, чем пробрасывать 100500 разных портов или городить ВПН.

Это же тоже "у нас так настроено".

2) Портабельность. Можно использовать одни и те же настройки клиентов как внутри, так и снаружи периметра. Полезно для всяких мобильных девайсов и ноутбуков, которые подключаются откуда угодно.

Для всяких мобильных откуда угодно - да. Я ж не против шлюза, я не вижу необходимости шлюза для втвари.

3) Безопасность. На шлюзе можно дополнительно рулить политиками серверов: настройки шлюза всегда будут перебивать настройки сервера. К примеру, если политика шлюза запрещает проброс дисков с клиента, даже если на сервере случайно (или намеренно) это разрешили, то клиенты не смогут воспользоваться этой фичей, если будут подключаться через шлюз.

На сервере разрешили и потом сломали мозг пытаясь понять, почему оно не разрешилось...

Вижу причины в удобстве некоторых конфигураций. Спасибо за разъяснения, но этого мало. Там много надо писать, чтоб шлюз заработал. Нужна причина уровня "без шлюза не работает вот это". Что-то, для чего шлюз необходим.

[Barvinok]

1) Единая точка подключения снаружи внутрь периметра. Если надо открыть доступ снаружи к нескольким серверам, которые находятся внутри локалки за файерволлом, проще и удобнее открыть один порт 443 со шлюза терминалов, чем пробрасывать 100500 разных портов или городить ВПН.

ВПН на паре Микротиков поднимается за 2 минуты. После чего работает всё и всегда.

А в данной схеме придётся таки пробрасывать 100500 портов для прочих служб, вроде SIP, видеонаблюдения, принтеров, внутренних проталов CRM и т.д.
Я про тот случай, когда работа не 100% ведётся в терминальном сеансе, а частично с персонального компьютера/ноутбука/смартфона пользователя.

А так же лови говолняк с поддержкой связанных протоколов (FTP, SIP+RTP, проброс видеопотока и дисков для RMM/iLo...)

PS
Наконец прочитал, что делает этот самый шлюз и убедился, что он действительно не нужен.

[TED]

2 ноутбука в одном филиале, 2 ноутбука в другом, 15 терминалов в третьем. На основной площадке порядка 30 терминальников на втвари.
Ноуты путешествуют между филиалами, плюс много удаленных сотрудников, которые подключаются по удаленке (порядка 40 клиентов на ноутах).
Микротиков не наберешься на пары ноутбуков. Шлюз работает отовсюду и https в принципе сам по себе безопаснее rdp. (Я не прав? Объясните)
Шлюз необходим для единого централизованного управления разрешенными серверами для публикации, управления пользователями с разрешенными удаленным подключением, и, что самое важное, безопасным подключением одних к другим по защищенному каналу, без необходимости открывать кучу портов для рдп, настраивать впны, давать админские права на клиентах, и прочие костыли (это к слову о том, у кого что костыль, и у нас так настроено, ага). Шлюз - это специально разработанная фича для рдп, и она реально удобная.

[Dim-soft]

https в принципе сам по себе безопаснее rdp.

RDP тоже умеет ssl - надо только настроить

[aka]

Ноуты путешествуют между филиалами, плюс много удаленных сотрудников, которые подключаются по удаленке (порядка 40 клиентов на ноутах). ... Шлюз - это специально разработанная фича для рдп, и она реально удобная.

Шлюзы рулят для путешествующих сотрудников. Из какой-нибудь гостиницы с корявым интернетом, в котором закрыто всё кроме http/https, только через шлюз териналов и выйти. Но в таких местах не надо использовать втварь! Втварь - стационарный клиент. А для стационарного клиента лучше потрудиться настроить VPN, оно потом ещё не раз пригодится.

[aka]

https в принципе сам по себе безопаснее rdp.

RDP тоже умеет ssl - надо только настроить

Настоящие параноики даже TLS 1.0 запрещают и TLS 1.2 настраивают: https://forum.wtware.com/viewtopic.php?f=23&t=47423

[Barvinok]

Доброго вечера (GMT+3)!
Я полностью согласен, что проще и лучше настроить VPN на микротах, чем вступать в отношения со всякими шлюзами.
Однако возникла задача. Вот облако https://42clouds.com/ru-ru/
Для работы с ним по RDP требуется поддержка NLA:

Для пользователей OC GNU\Linux необходимо установить RDP-клиент с поддержкой NLA (проверка подлинности на уровне сети) и режима работы через шлюз терминалов.
После успешной установки выполните подключение к удаленному рабочему столу с помощью команды
xfreerdp /v:ts-farm.42clouds.com /f /u:your_login /p:your_password /d:ad /g:gateway.42clouds.com /gu:your_login /gp:your_password /gd:ad /gt:rpc +clipboard /sec:nla /cert-ignore
где параметры
/v:ts-farm.42clouds.com - адрес подключения
/f - полноэкранный режим
/u:your_login - ваш логин от 42 Clouds
/p:your_password - ваш пароль от 42 Clouds
/d:ad - домен
/g:gateway.42clouds.com - адрес шлюза терминалов
/gu:your_login - ваш логин от 42 Clouds
/gp:your_password - ваш пароль от 42 Clouds
/gd:ad - домен
/gt:rpc - взаимодействие с Windows-службой RPC
+clipboard - поддержка буфера обмена
/cert-ignore - игнорировать ошибки сертификатов

Хотелось бы настроить подключение строкой в меню.

[aka]

Можно я не буду комментировать людей, которые вводят пароль в командную строку? Втварь с такими не работает. Автор брезгует.

[Barvinok]

Ну ёлы-палы... Никто ж не заставляет!
А по существу вопроса..?

[aka]

В планах, но не прямо сейчас. Писать много. Тут аппаратная акселерация h264 на малине поехала, неплохо так выходит. Зарелизим h264 и будем посмотреть.

[Barvinok]

Тут аппаратная акселерация h264 на малине поехала, неплохо так выходит. Зарелизим h264 и будем посмотреть.

Оооо..!
Волшебно! Ждём с нетерпеньем!

[Barvinok]

Шлюзы рулят для путешествующих сотрудников. Из какой-нибудь гостиницы с корявым интернетом, в котором закрыто всё кроме http/https, только через шлюз терминалов и выйти. Но в таких местах не надо использовать втварь! Втварь - стационарный клиент. А для стационарного клиента лучше потрудиться настроить VPN, оно потом ещё не раз пригодится.

Вот в этом месте спустя четыре года хочу внести поправочку.
При наличии запиленного wireguard, локального Хрома/скайпа/sip-phone, малинку c WTW сотрудники запросто таскают домой.
Можно и на ноут поставить для путешествий/командировок.
Локальный десктоп же.

[Barvinok]

В планах, но не прямо сейчас.

Можно узнать, в каком состоянии шлюз?
Как раз понадобился.

[aka]

Никакого движения. Он обязательно будет сделан, когда больше станет нечего делать. Наверное не в этом году.

[Vodooo]

Очень печально, что нет подключения к шлюзу терминалов.
В начале я обрыл всё, думаю, а где, а на форум а тут...хмммм...крайне опечален.
Думаем перевести для теста часть компьютеров в офисе на втвари и далее, а тут такая подстава, уже столько лет и нет решения.
По чему используется шлюз, коллеги всё выше написали, нет у нас пользовательского vpn принципиально.

[forsoft]

Вообще не вижу нужды в шлюзе! Грамотно реализовать сеть + ВПН и все дела.
Вот например: у нас имеется:
4 физических сервера в датаценте, 1 сервер в центральном офисе.
На этих серверах крутится vmware.
На серверах в датацентре: 4-PFSense, 1server 2016 (WTWARE), 2-freepbx, 1-Linux server (docker, freepbx, srm), 1-Server 2016 (1C-SQL), 6-Server 2016 (RDP), 2-Linux mail server, 1- виртуальный Synology NAS "xpenology"( для бэкапов и частично файловой помойки).
В офисе, в принципе уже ничего не осталось кроме PfSense, СКУД и видеонаблюдения.
В 5-ти PfSense поднял Wireguard VPN, настроил маршрутизацию кто, откуда и куда должен ходить, и что видеть!
Имеется 4 доп офиса по 5-10 рабочих мест, там ставлю маршрутизаторы Keenetic и через wireguard VPN коннектим их куда надо. Плюс около 25 сотрудников работают из дома. Все пользователи работают на wtware. Ставлю её "HP 5740" или "raspberry pi 3b+" этого хватает!
Доступ к серверам ограничен по ip. Ну и т.д.