Thread Info
  • State Verified Answer
  • +2 person also asked this people also asked this
  • Locked Locked
  • Replies 29 replies
  • Subscribers 6 subscribers
  • Views 117426 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Publishing Microsoft Remote Desktops Server Gateway with Sophos UTM

ckruesi
Hello. 

We had an old ISA Server from Microsoft to publish our Remotedesktopserver(-gateway) and replaced it now with a Sophos UTM 320 (FW 9.106-17). I’m not really a firewall professional, so I thought maybe there is someone in this forum who can take a look at my configuration and give me some advice if I did something wrong. I did the same before with my configuration of the Webserver in the DMZ and our Exchangeserver. I’m glad that a professional looked over it (https://community.sophos.com/products/unified-threat-management/astaroorg/f/57/t/50158 and https://community.sophos.com/products/unified-threat-management/astaroorg/f/57/t/50159). 
Hope that someone can have a look at this one too (this is the last service I migrated from the old ISA box, so the last post with this question). Thanks in advance.

It looks like you can’t use WAF for publishing a Remotedesktopservergateway. There are two feature request that I found: Web Application Security: Remote Desktop Support and Web Application Firewall: Remote Desktop Gateway support

I found also a post in the german forum (https://community.sophos.com/products/unified-threat-management/astaroorg/f/68/t/59919) and two in the English (https://community.sophos.com/products/unified-threat-management/astaroorg/f/80/t/65149 and https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/39975). In the first one the Astaro Beta Bot says that “The Mantis ID #25441 is now under investigation”. 

So maybe in the future there is also the possibility to use the UTM as reverse proxy for the RD Gateway like it is working for Exchange now. 
In the meantime I tried to configure it with a DNAT rule. 

NAT
I created a DNAT rule with these settings: For traffic from: Any, Using Service: HTTPS, Going to: external Network Address, Change the destination to: Remotedesktopservergatewayserver. 

Firewall
The firewall rule I added myself. Any -- > HTTPS -- > Remotedesktopservergateway. 

IPS
Since the Server is in the local networks of the Intrusion Prevention the traffic should be secured by the Intrusion Prevention of the UTM. 

I hope, I didn’t made something wrong and we’re safe. But I would feel more comfortable if someone of you could confirm this. Thanks.


This thread was automatically locked due to age.
  • 0 in reply to hkelley
    This is also not working when you have latest RDP/MSTSC-Updates installed on your Windows 7 client. It simply does not connect/come through to your RDGW-Server.

    Regards

    HedgeHog

    With Windows 8.x and later clients (and server OS versions of the same era)  I think there is an additional factor of the TLS version.  

    The UTM gladly negotiates TLS v1.2 encryption.   This is enabled in Windows 8 and later as well but, from what I can see, TLS v1.2 is not supported by the RPC proxy.

    I'm still doing some testing so this may be a dead end.  My next step is to disable TLS v1.2 on both RDP server and client. 

    Are you using Server 2012 for your gateway?
  • 0
    I am having the same problems with RD Gateway published thru WAF. I followed the Sophos guide on publishing it in UTM and have the option checked to pass outlook anywhere traffic but yet in the WAF live log I am seeing this in the log where it is saying there is no active outlook session. 

    --- --- --- ---
    2015:02:04-22:16:20 secure reverseproxy: [Wed Feb 04 22:16:20.741571 2015] [authz_blacklist:warn] [pid 3381:tid 4130454384] [client 66.76.13.33:40502] DNS lookup for 33.13.76.66.dnsbl.proxybl.org. failed: Temporary failure in name resolution, referer: https://remote.domain.net/remote 

    2015:02:04-22:16:23 secure reverseproxy: id="0299" srcip="66.76.13.33" localip="173.219.156.15" size="3858" user="-" host="66.76.13.33" method="POST" statuscode="200" reason="-" extra="-" exceptions="SkipURLHardening" time="12713657" url="/Remote/BuiltIns/RDP/RemoteDesktopWebService.svc/GetRDPFile" server="remote.domain.net" referer="remote.domain.net/remote" cookie="testcookie; screenWidth=1920; screenHeight=1080; ASP.NET_SessionId=lhp3lnud55f1djmidvqi0nlg; LogonBrowserType=DefaultWithoutDetection; suppressSharedFolderReadonlyNotification=0; RemoteAccessLastLogon=4; WindowsPool_471587800=0; RemotePortalAuth=C52FF59EB1C71B232804D30254E70F78471359C1020BC861FF9B8D94FC9146A233B065974E598E616DD5BF44C740C69756544AB2A6ADB8BA3F188AAF2B5CFB32441B6F642E0DAC8A921A4F27ED2673EF406906E8234B8049CEE5B270EA17503BDF84FD76C4FE46B6E50D6F9D55F2FA9BF0139E44862B0F154578F010DB334C1EA0932D87; WindowsPool_2041175501=1" set-cookie="-" 

    2015:02:04-22:16:41 secure reverseproxy: [Wed Feb 04 22:16:41.614280 2015] [authz_blacklist:warn] [pid 3381:tid 4122061680] [client 66.76.13.33:22927] DNS lookup for 33.13.76.66.dnsbl.proxybl.org. failed: Temporary failure in name resolution 

    2015:02:04-22:16:41 secure reverseproxy: id="0299" srcip="66.76.13.33" localip="173.219.156.15" size="13" user="-" host="66.76.13.33" method="RPC_IN_DATA" statuscode="401" reason="-" extra="-" exceptions="SkipURLHardening" time="10164470" url="/rpc/rpcproxy.dll" server="remote.domain.net" referer="-" cookie="-" set-cookie="-" 

    2015:02:04-22:16:51 secure reverseproxy: [Wed Feb 04 22:16:51.828767 2015] [authz_blacklist:warn] [pid 3381:tid 4122061680] [client 66.76.13.33:22927] DNS lookup for 33.13.76.66.dnsbl.proxybl.org. failed: Temporary failure in name resolution 

    2015:02:04-22:16:51 secure reverseproxy: [Wed Feb 04 22:16:51.829992 2015] [authz_blacklist:warn] [pid 3381:tid 4113668976] [client 66.76.13.33:50077] DNS lookup for 33.13.76.66.dnsbl.proxybl.org. failed: Temporary failure in name resolution 

    2015:02:04-22:16:51 secure reverseproxy: id="0299" srcip="66.76.13.33" localip="173.219.156.15" size="13" user="-" host="66.76.13.33" method="RPC_OUT_DATA" statuscode="401" reason="-" extra="-" exceptions="SkipURLHardening" time="10077621" url="/rpc/rpcproxy.dll" server="remote.domain.net" referer="-" cookie="-" set-cookie="-" 

    2015:02:04-22:16:56 secure reverseproxy: [Wed Feb 04 22:16:56.923907 2015] [proxy_msrpc:error] [pid 3381:tid 4122061680] (110)Connection timed out: [client 66.76.13.33:22927] RPC_IN_DATA: Failed to sync Outlook Session 1d52475a-8b71-d26f-aa85-c55df210829c: -1 

    2015:02:04-22:16:56 secure reverseproxy: [Wed Feb 04 22:16:56.924101 2015] [proxy_msrpc:error] [pid 3381:tid 4122061680] (70015)Could not find specified socket in poll list.: [client 66.76.13.33:22927] RPC_IN_DATA: There is no registered Outlook Session 1d52475a-8b71-d26f-aa85-c55df210829c in cache 

    2015:02:04-22:16:56 secure reverseproxy: id="0299" srcip="66.76.13.33" localip="173.219.156.15" size="0" user="-" host="66.76.13.33" method="RPC_IN_DATA" statuscode="200" reason="-" extra="-" exceptions="SkipURLHardening" time="15251149" url="/rpc/rpcproxy.dll" server="remote.domain.net" referer="-" cookie="-" set-cookie="-" 

    2015:02:04-22:17:02 secure reverseproxy: [Wed Feb 04 22:17:02.040162 2015] [authz_blacklist:warn] [pid 3381:tid 4113668976] [client 66.76.13.33:50077] DNS lookup for 33.13.76.66.dnsbl.proxybl.org. failed: Temporary failure in name resolution 

    2015:02:04-22:17:02 secure reverseproxy: [Wed Feb 04 22:17:02.051839 2015] [proxy_msrpc:error] [pid 3381:tid 4113668976] (70015)Could not find specified socket in poll list.: [client 66.76.13.33:50077] RPC_OUT_DATA: There is no registered Outlook Session 1d52475a-8b71-d26f-aa85-c55df210829c in cache 

    2015:02:04-22:17:16 secure reverseproxy: id="0299" srcip="66.76.13.33" localip="173.219.156.15" size="0" user="-" host="66.76.13.33" method="RPC_OUT_DATA" statuscode="200" reason="-" extra="-" exceptions="SkipURLHardening" time="24211617" url="/rpc/rpcproxy.dll" server="remote.domain.net" referer="-" cookie="-" set-cookie="-" 

    2015:02:04-22:18:12 secure reverseproxy: [Wed Feb 04 22:18:12.723529 2015] [authz_blacklist:warn] [pid 3381:tid 4105276272] [client 54.148.41.43:58524] DNS lookup for 43.41.148.54.dnsbl.proxybl.org. failed: Temporary failure in name resolution
    --- --- --- --- ---

    I have exchange published in WAF and have no issues with any of the outlook services. If I create a NAT rule and have HTTPS forward directly to the RD Gateway server it works perfectly so I know its not my RD Gateway server having issues. Doing it like this kills exchange services since the UTM is just sending HTTPS traffic directly to the RD Gateway server and not even passing it thru WAF.
  • 0
    Hi, and welcome to the User BB!

    dnsbl.proxybl.org has been under attack.  The quick solution is to disable 'Block clients with bad reputation' in the Firewall Profile used by this virtual server.

    They should be back up soon.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I see a unique method used for RD Gateway connections that UTM doesn't seem to know how to handle:

    method="RDG_OUT_DATA"

    I believe a change is needed to support this unique method (and perhaps the general ability tailor methods).
  • 0
    I see a unique method used for RD Gateway connections that UTM doesn't seem to know how to handle:

    method="RDG_OUT_DATA"

    I believe a change is needed to support this unique method (and perhaps the general ability tailor methods).
    Please make a feature request at UTM (Formerly ASG) Feature Requests: Hot (1988 ideas) to let Sophos know.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    I have same problem. Sophos UTM  9.306-6, RD gateway server Windows 2012 R2
    WAF rule is not working with log:

    reverseproxy: id="0299" srcip="1.81.165.3" localip="2.2.2.2" size="221" user="-" host="1.81.165.3" method="RPC_IN_DATA" statuscode="408" reason="-" extra="-" exceptions="SkipURLHardening" time="300188292" url="/rpc/rpcproxy.dll" server="rdgw.mycompany.com" referer="-" cookie="-" set-cookie="-"
    reverseproxy: id="0299" srcip="1.81.165.3" localip="2.2.2.2" size="0" user="-" host="1.81.165.3" method="RPC_OUT_DATA" statuscode="400" reason="-" extra="-" exceptions="SkipURLHardening" time="300098485" url="/rpc/rpcproxy.dll" server="rdgw.mycompany.com" referer="-" cookie="-" set-cookie="-" 
  • 0 in reply to MartinBozko
    Hi, 

    same here....

    Does someone has a solution, or a workaround for the problem?
  • 0
    Sophos do not understand RPC in ver. 9.308-16, so I cannot use WAF on UTM. 
    My choices:
    1.
    I can use DNAT and firewall rule to allow all HTTPS traffic from internet to remote desktop gateway server.

    DNAT
    Traffic selector: Internet IPv4 - HTTPS - one of Outside IP address(Address)
    Destination translation: RDGATEWAY

    2.
    I can use WAP (web application proxy) role on Windows 2012 R2 server and publish RDgateway with this. I am going to do it this way.
    WAP on win2012R2 can publish Exchange too. (OWA, Outlook Anywhere [= RPC], ActiveSync)

    Mato
  • 0 in reply to MartinBozko
    Not worried about security?  allowing all inbound http is not acceptable in my case.
Unfiltered HTML