RDP via VPN ssl remote access

So, you have a single IP address pool? FYI, it is best practice to have VPN pool addresses on a different subnet than your LANs. If your using DHCP to assign IPs for your LAN and it is configured to hand out for /24, you could get into a situation where the VPN client and an internal LAN client both have the same address, which would kill connectivity for both.
 
When you try to RDP, what error message do you get?  If it's something about not being able to find the remote host, then this could be a DNS problem.  Have you setup DNS and WINS (if applicable) servers in the VPN Client Options?  Is your VPN pool set as an allow network for DNS?  Are your DNS servers in the performance tuning section of the IPS?
 
Check your logs to see what technology is doing the blocking...IPS or packetfilter. As I recall, there was also a time when Winny blocking in IM/P2P would also block rdp access.

oh, I am sorry I have made an error: pool is /24   
it is on the same LAN.  
I have disabled webproxy, IM/P2P and IPS but doesn't work.

The remote desktop work if I'm connected with a public IP

Scott, beginning with V7.400, it is no longer possible to use "Internal (Network)" IPs for VPNs.  Alan Toews explained that a bug was fixed and that it never should have been possible.  In essence, when a device on the network broadcasts an ARP query, the query doesn't transit the tunnel, so the device can't respond.

I still think it should be easy to have the Astaro respond with its own MAC address, and that everything could work fine.

Marge, your best bet will be to change back to a "VPN Pool (SSL)" of 10.242.2.0/24.

Cheers - Bob

I recall that Bob.  I was answering based on the available info.  [:)]
 
Marge:  I agree with Bob, changing the VPN pool back to the original will help a bit in diagnosing and solving this issue for you.  Then you can check your packet filter rules to allow traffic between the VPN pool addresses and your internal LAN.
 
A couple of other thing come to mind as well.
1)  A MASQ rule from VPN Pool --> Internal LAN
2)  Under Remote Access have you entered your Internal network as a Local Network?

Hallo,
I have set a default VPN pool 10.242.2.0/24.
The webproxy and IM/P2P are disable, 
see the print screen.
If you need a more print screen, ask me.
doe

I don't use the SSL VPN very much, so I'll just fill in around Scott's advice with some general comments about your PF and NAT rules.

#1 - This rule shouldn't be necessary.  In general, your DHCP should pass out your internal name servers, an/or the "Internal (Address)" of the Astaro.  Internal name servers should point first at the Astaro as a forwarder; public name servers can be listed after the Astaro in case the Astaro is down and you connect directly to the internet.  The Astaro DNS should have "Internal (Networks)" in 'Allowed networks' and list public name servers on the 'Forwarders' tab.  In a picture, DNS requests should be:

PC -> {Internal DNS} -> Astaro -> {Public DNS}

#2 - The only effect of this rule is to allow internal users to RDP to computers outside the Astaro.  It doesn't affect traffic inside "Internal (Network)" as communications between devices there are not "seen" by the Astaro.

#4 - You will need this rule if you leave the HTTP/S proxy disabled, and also if you enable it in a transparent mode.  You can turn it off if you use the Proxy in "Standard" mode where you aim your browser at the Proxy on port 8080.

#5 - This has the same effect as selecting 'Automatic packet filter rule' in the DNAT.  The advantage of having a separate rule like this is that the packets can be logged for debugging.

#6 - This rule says, "Allow everyone everywhere FTP access to the computers of users that have been authenicated by the Astaro with Active Directory."  If one isn't using the HTTP/S Proxy in AD-SSO mode, the only way such a user is known is if the user is authenticated against Active Directory to log into the User Portal or to connect via SSL VPN.

This rule does allow users in "Internal (Network)" to do FTP access of computers connected via SSL VPN if the users were authenticated by Active Directory.  Since the Astaro is a stateful firewall, this rule would have no effect on FTP traffic initiated by the VPN user.

#7 - Since the SSL VPN is set up with 'Automatic packet filter rules' selected and "Internal (Network)" is in 'Local networks', this rule is never consulted and can be deleted.

In DNAT rules, when the service doesn't change, it's a good habit to leave 'Destination service' empty.  In older versions, RDP_srv1 in there might have caused a problem, but I don't think it does any more.  If you had an internal web/FTP server, a rule with "Web Surfing" in both 'Traffic service' and 'Destination service' would not work.

Cheers - Bob

It's work fine!!!
I have create a packet filter rule from VPN pool to LAN
and a masquerading rule from VPN Pool --> Internal LAN
I deleted a DNAT rule from VPN pool --> External (WAN)

I had a DNAT rule for RDP from Any servers and packet filters from Any to Server

Thank you so much!!!!