Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 14644 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

RDP via VPN ssl remote access

Marge
hallo,  
I have a problem. How do I do to allow rdp with vpn?  
pool vpn has been changed, it is 192.168.2.6 and lan 192.168.2.0.  
The ping from vpn to lan doesn't work  
  
thanks


This thread was automatically locked due to age.
Parents
  • 0
    I don't use the SSL VPN very much, so I'll just fill in around Scott's advice with some general comments about your PF and NAT rules.

    #1 - This rule shouldn't be necessary.  In general, your DHCP should pass out your internal name servers, an/or the "Internal (Address)" of the Astaro.  Internal name servers should point first at the Astaro as a forwarder; public name servers can be listed after the Astaro in case the Astaro is down and you connect directly to the internet.  The Astaro DNS should have "Internal (Networks)" in 'Allowed networks' and list public name servers on the 'Forwarders' tab.  In a picture, DNS requests should be:

    PC -> {Internal DNS} -> Astaro -> {Public DNS}



    #2 - The only effect of this rule is to allow internal users to RDP to computers outside the Astaro.  It doesn't affect traffic inside "Internal (Network)" as communications between devices there are not "seen" by the Astaro.

    #4 - You will need this rule if you leave the HTTP/S proxy disabled, and also if you enable it in a transparent mode.  You can turn it off if you use the Proxy in "Standard" mode where you aim your browser at the Proxy on port 8080.

    #5 - This has the same effect as selecting 'Automatic packet filter rule' in the DNAT.  The advantage of having a separate rule like this is that the packets can be logged for debugging.

    #6 - This rule says, "Allow everyone everywhere FTP access to the computers of users that have been authenicated by the Astaro with Active Directory."  If one isn't using the HTTP/S Proxy in AD-SSO mode, the only way such a user is known is if the user is authenticated against Active Directory to log into the User Portal or to connect via SSL VPN.

    This rule does allow users in "Internal (Network)" to do FTP access of computers connected via SSL VPN if the users were authenticated by Active Directory.  Since the Astaro is a stateful firewall, this rule would have no effect on FTP traffic initiated by the VPN user.

    #7 - Since the SSL VPN is set up with 'Automatic packet filter rules' selected and "Internal (Network)" is in 'Local networks', this rule is never consulted and can be deleted.



    In DNAT rules, when the service doesn't change, it's a good habit to leave 'Destination service' empty.  In older versions, RDP_srv1 in there might have caused a problem, but I don't think it does any more.  If you had an internal web/FTP server, a rule with "Web Surfing" in both 'Traffic service' and 'Destination service' would not work.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    It's work fine!!!
    I have create a packet filter rule from VPN pool to LAN
    and a masquerading rule from VPN Pool --> Internal LAN
    I deleted a DNAT rule from VPN pool --> External (WAN)

    I had a DNAT rule for RDP from Any servers and packet filters from Any to Server

    Thank you so much!!!!
Reply
  • 0 in reply to BAlfson
    It's work fine!!!
    I have create a packet filter rule from VPN pool to LAN
    and a masquerading rule from VPN Pool --> Internal LAN
    I deleted a DNAT rule from VPN pool --> External (WAN)

    I had a DNAT rule for RDP from Any servers and packet filters from Any to Server

    Thank you so much!!!!
Children
No Data
Unfiltered HTML