Wse 2012 rwa 443 waf

Hi 3PNTSTech,
I was looking to configure RWA with my Win Server 2012 essentials and I came across your post. Remote Web Access worked fine when I had a simple router. I replaced the router with astaro and I have not found a guide on how to configure astaro for direct access with ws2012e. You mentioned you've seen a few posts regarding RWA access. I haven't been lucky so far. Could you show them to me?
Thank you!

Hi ,

If it worked for you with a simple router so the easiest way for you is to make a DNAT from external IP Address with the services required with an automatic packet filter rule or with a standard rule.
If you are talking about using WAF for it then you will have to configure the WAF for it.
What is the way you plan to do it , it's your decision.
The first way will work for sure and it is easy to implement.

All my best
Gilipeled

On WAF by the way you will have to install the right certificate to communicate with the server.

If you have any issue with configuring the WAF , just post here exactly what you need and probably here in the BB we will find the configuration with you.
If I will find a good article I will post it here.

A my best.
Gilipeled.

Hi ,

Here is a good article how to do it with Microsoft TMG.
This will give a good understanding of the way how to publish it.
From here to do it with WAF its not a long way.
I can try it in my Lab environment and see if I can make it work .
It does not look too complicate.
With all the experts here probably you will got the exact config before I will finish to install it in my Lab.

Here is the link to the article:


http://www.isaserver.org/articles-tutorials/configuration-general/Microsoft-Forefront-TMG-Publishing-RD-Web-Access-RD-Gateway-Part2.html



All my best.
Gilipeled.

Hi Gilipeled,
First of all, thank you for the promptly response. Being my first post I wasn't hoping to get any replies. Anyway, this is my short story: I installed WS2013E, and following the easy wizards I got everything working. According to WS2012E, the direct access can be automatically set up by using upnp. Then, I got an old computer (dual core, though) and I installed Astaro (and, I am still learning how to use it). I have followed, the guides from "Sophos user bulletin board" and I have set up so far: 
Firewall
Intrusion Prevention
Web filtering
Antivirus
Antispyware
I took advantage of the "DNS Best Practice" discussion from BAlfson that solved a delicate problem.
I have created two internal interfaces: one for the active directory (which includes WS2012E and my family computers), another one for my lab (learning) independent from the other interface. 
As a next step I was going to learn to create a vpn connection using astaro. I don't have plans to create web server (at least for now). What I need is to securely access my home computers from work or outside. It appears that Astaro already offers such solution (though I haven't explored it yet). I simply thought since the Microsoft "Direct Access" which is now integrated with VPN in one place (and much advertised by Microsoft) would give me a quick solution. According to Microsoft, if the wizard doesn't configure the router using upnp, then the "router" can be configured manually by forwarding the port 80 and 443 to the server ip. 
Should I use the Astaro's VPN and remote solutions, instead? 
By the way, thank you for the link in your previous post. "Step by step" guides are very appreciated.
Thank you,
Martin

Hi

The UTM ( astaro ) has s great VPN solutions so if you plan to use VPN then the answers Is sure use it'd VPN solutions.
I recommend on the SSL VPN , just configure it and work with it.
Its a great VPN solution.

All my best.
Gilipeled.

Hi Martin,
To create DNAT rules for your traffic (much like your old simple router probably did), go to Network Protection -> NAT -> Tab NAT
click Net NAT rule
Rule Type DNAT
For traffic from: Any
Using service: HTTP (and HTTPS) *
Going to: External (WAN address)

Change destination to:  Your internal server
And the service to: leave empty if you use same ports internally and externally (80 / 443)

Enable Automatic Firewall rule to automatically add a rule to allow this traffic.

Under advanced also enable Log initial packets so you can check in your live firewall if you need to find any errors.

* for HTTP and HTTPS you could create 2 separate DNAT rules or you can use a Service-Group where you can put both HTTP and HTTPS in, this would work fine for all traffic needing to go to same internal server and where internal and external ports are the same.

Hello Apijnappels,
I followed your instructions; I created two dNat-s: one for HTTP and one for HTTPS. I re-run the "Direct Access" wizard from Server 2012 Essentials. I unchecked configure router (since the "router" now allows the required "port forwarding"), and in a couple minutes the WS2012E reports that Direct Access wizard completed successfully. I have one question, though: You said, "And the service to: leave empty if you use same ports internally and externally (80 / 443)". Is this equivalent to meaning "don't change the service". Could I have entered the same service, example http for http? Is it better to leave it empty?
Thank you for your time!

Martin

Hi ,

If you leave the destination service empty , if will use the same service you entered in the source.

All my best.
Gilipeled.

As gilipeled says, leaving empty is the same as don't change service. In that case you could have also used 1 DNAT rule with a service group in it. In this service group you should then add HTTP and HTTPS (or any other service that needs to be accessible from outside to the same internal server).

But if you only need HTTP and HTTPS maybe you can even use WAF, so your UTM will handle all webrequests from the outside world en pass them to the real internal webserver while scanning uploads for viruses and also protect against x-site scripting and other possible vulnerabilities.....