This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Publishing Microsoft Remote Desktops Server Gateway with Sophos UTM

Hello. 

We had an old ISA Server from Microsoft to publish our Remotedesktopserver(-gateway) and replaced it now with a Sophos UTM 320 (FW 9.106-17). I’m not really a firewall professional, so I thought maybe there is someone in this forum who can take a look at my configuration and give me some advice if I did something wrong. I did the same before with my configuration of the Webserver in the DMZ and our Exchangeserver. I’m glad that a professional looked over it (https://community.sophos.com/products/unified-threat-management/astaroorg/f/57/t/50158 and https://community.sophos.com/products/unified-threat-management/astaroorg/f/57/t/50159). 
Hope that someone can have a look at this one too (this is the last service I migrated from the old ISA box, so the last post with this question). Thanks in advance.

It looks like you can’t use WAF for publishing a Remotedesktopservergateway. There are two feature request that I found: Web Application Security: Remote Desktop Support and Web Application Firewall: Remote Desktop Gateway support

I found also a post in the german forum (https://community.sophos.com/products/unified-threat-management/astaroorg/f/68/t/59919) and two in the English (https://community.sophos.com/products/unified-threat-management/astaroorg/f/80/t/65149 and https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/39975). In the first one the Astaro Beta Bot says that “The Mantis ID #25441 is now under investigation”. 

So maybe in the future there is also the possibility to use the UTM as reverse proxy for the RD Gateway like it is working for Exchange now. 
In the meantime I tried to configure it with a DNAT rule. 

NAT
I created a DNAT rule with these settings: For traffic from: Any, Using Service: HTTPS, Going to: external Network Address, Change the destination to: Remotedesktopservergatewayserver. 

Firewall
The firewall rule I added myself. Any -- > HTTPS -- > Remotedesktopservergateway. 

IPS
Since the Server is in the local networks of the Intrusion Prevention the traffic should be secured by the Intrusion Prevention of the UTM. 

I hope, I didn’t made something wrong and we’re safe. But I would feel more comfortable if someone of you could confirm this. Thanks.


This thread was automatically locked due to age.
  • Life will be simpler if you use an Additional Address with its own FQDN that resolves in public DNS.

    Take a look at the 'HTML5 VPN Portal' in 'Remote Access'.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi Bob, thanks again for your response.

    Life will be simpler if you use an Additional Address with its own FQDN that resolves in public DNS.

    The RDServerGateway is listening on a second external interface with its own IP address and an entry in public DNS. I think it wouldn't work if I'd have two different Servers listening to HTTPS on the same IP. If I understand it right, the DNAT for the RD Server would take all HTTPS traffic before the WAF could take the traffic for OWA. 

    Take a look at the 'HTML5 VPN Portal' in 'Remote Access'.

    In my opinion it is more comfortable over the website of the RD Gateway. Or even more comfortable our teachers (we are a public school) can save the settings of the RD Connection to the desktop and can start a RD Session by doubleclick (over the Gateway to the RD Server)
  • If I understand it right, the DNAT for the RD Server would take all HTTPS traffic before the WAF could take the traffic for OWA.

    Correct, that's why you would want an Additional Address if you didn't have a separate interface.

    In my opinion it is more comfortable over the website of the RD Gateway. Or even more comfortable our teachers (we are a public school) can save the settings of the RD Connection to the desktop and can start a RD Session by doubleclick (over the Gateway to the RD Server) 

    I agree.  Since WAF can't be used, I just wanted folks to see a secure alternative for RDP access to internal servers.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Thanks for your response, Bob. Due to your answers I now feel way more secure and familiar with the utm. Yesterday was the time to shut down the old ISA Server. 
    Thanks, Christian
  • You can use the WAF to publish remote desktop gateway and remote desktop web access. I have it working.

    https://sophserv.sophos.com/repo_kb/120454/file/Configuring%20UTM%20firewall%20for%20Remote%20Desktop.pdf
  • Hi,

    this guide is not working for current UTM 9.301-2 in combination with 2012R2 RemoteDesktopGateway-Services.

    It looks like the RPC in RDG is not accepted/forwared by UTM...

    Regards

    You can use the WAF to publish remote desktop gateway and remote desktop web access. I have it working.

    https://sophserv.sophos.com/repo_kb/120454/file/Configuring%20UTM%20firewall%20for%20Remote%20Desktop.pdf
  • Hi, and welcome to the User BB!

    "It looks like the RPC in RDG is not accepted/forwared by UTM..."  What evidence did you see of that?  Have you tried #1 in Rulz?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hedgehog, did you get anything figured out? We are seeing similar things on 9.2.  It seems Windows 8.1 clients do not work but others do work.
  • With Windows 8.x and later clients (and server OS versions of the same era)  I think there is an additional factor of the TLS version.  

    The UTM gladly negotiates TLS v1.2 encryption.   This is enabled in Windows 8 and later as well but, from what I can see, TLS v1.2 is not supported by the RPC proxy.

    I'm still doing some testing so this may be a dead end.  My next step is to disable TLS v1.2 on both RDP server and client. 

    Are you using Server 2012 for your gateway?
  • I don't know that it is the TLS version specifically, but I think SSL negotiation is still somehow related to my issue.   My Windows client repeatedly (every 10 seconds) restarts the SSL negotiation (regardless of the TLS version I offer to the UTM).   I assume this is because it hasn't gotten a response it understands.

    The client eventually just goes into the background (I can still see in the process list) and puts the socket in a CLOSE_WAIT state - seemingly indefinitely.