This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Publishing Microsoft Remote Desktops Server Gateway with Sophos UTM

Hello. 

We had an old ISA Server from Microsoft to publish our Remotedesktopserver(-gateway) and replaced it now with a Sophos UTM 320 (FW 9.106-17). I’m not really a firewall professional, so I thought maybe there is someone in this forum who can take a look at my configuration and give me some advice if I did something wrong. I did the same before with my configuration of the Webserver in the DMZ and our Exchangeserver. I’m glad that a professional looked over it (https://community.sophos.com/products/unified-threat-management/astaroorg/f/57/t/50158 and https://community.sophos.com/products/unified-threat-management/astaroorg/f/57/t/50159). 
Hope that someone can have a look at this one too (this is the last service I migrated from the old ISA box, so the last post with this question). Thanks in advance.

It looks like you can’t use WAF for publishing a Remotedesktopservergateway. There are two feature request that I found: Web Application Security: Remote Desktop Support and Web Application Firewall: Remote Desktop Gateway support

I found also a post in the german forum (https://community.sophos.com/products/unified-threat-management/astaroorg/f/68/t/59919) and two in the English (https://community.sophos.com/products/unified-threat-management/astaroorg/f/80/t/65149 and https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/39975). In the first one the Astaro Beta Bot says that “The Mantis ID #25441 is now under investigation”. 

So maybe in the future there is also the possibility to use the UTM as reverse proxy for the RD Gateway like it is working for Exchange now. 
In the meantime I tried to configure it with a DNAT rule. 

NAT
I created a DNAT rule with these settings: For traffic from: Any, Using Service: HTTPS, Going to: external Network Address, Change the destination to: Remotedesktopservergatewayserver. 

Firewall
The firewall rule I added myself. Any -- > HTTPS -- > Remotedesktopservergateway. 

IPS
Since the Server is in the local networks of the Intrusion Prevention the traffic should be secured by the Intrusion Prevention of the UTM. 

I hope, I didn’t made something wrong and we’re safe. But I would feel more comfortable if someone of you could confirm this. Thanks.


This thread was automatically locked due to age.
Parents
  • Sophos do not understand RPC in ver. 9.308-16, so I cannot use WAF on UTM. 
    My choices:
    1.
    I can use DNAT and firewall rule to allow all HTTPS traffic from internet to remote desktop gateway server.

    DNAT
    Traffic selector: Internet IPv4 - HTTPS - one of Outside IP address(Address)
    Destination translation: RDGATEWAY

    2.
    I can use WAP (web application proxy) role on Windows 2012 R2 server and publish RDgateway with this. I am going to do it this way.
    WAP on win2012R2 can publish Exchange too. (OWA, Outlook Anywhere [= RPC], ActiveSync)

    Mato
Reply
  • Sophos do not understand RPC in ver. 9.308-16, so I cannot use WAF on UTM. 
    My choices:
    1.
    I can use DNAT and firewall rule to allow all HTTPS traffic from internet to remote desktop gateway server.

    DNAT
    Traffic selector: Internet IPv4 - HTTPS - one of Outside IP address(Address)
    Destination translation: RDGATEWAY

    2.
    I can use WAP (web application proxy) role on Windows 2012 R2 server and publish RDgateway with this. I am going to do it this way.
    WAP on win2012R2 can publish Exchange too. (OWA, Outlook Anywhere [= RPC], ActiveSync)

    Mato
Children