RDP über Internet

[magheinz 111]

vor 1 Minute schrieb NorbertFe:

Naja. Pauschalurteile sind halt immer irgendwie "doof" ;)

ich finde ICH nicht pauschal. andere können das ja anders machen.

Bei mir stehen in der DMZ grundsätzliche keine Windowsserver, sondern maximal Loadbalancer/Reverseproxys die dann verbinden.

In anderen Umgebungen mag es sinnvolle andere Lösungen geben.

[cj_berlin 1.448]

...und ein Loadbalancer macht das automatisch sicherer?

 

Von den 50% der Unix-Linux-Webserver weltweit, die von HeartBleed betroffen waren, werden die meisten hinter Loadbalancern gestanden haben...

[NorbertFe 2.230]

vor einer Stunde schrieb magheinz:

Bei mir stehen in der DMZ grundsätzliche keine Windowsserver

Ich hab mal im Studium gelernt, dass „grundsätzlich“ nicht immer bzw. nicht nie bedeutet. ;)

[BOfH_666 586]

vor 2 Stunden schrieb NorbertFe:

Ich hab mal im Studium gelernt, dass „grundsätzlich“ nicht immer bzw. nicht nie bedeutet. ;)

 

<scnr>

           ... so wie "mañana" nicht "morgen" heißt - es heißt "nicht heute" ... ?   

</scnr>

bearbeitet 26. März 2021 von BOfH_666

[magheinz 111]

vor 2 Stunden schrieb NorbertFe:

Ich hab mal im Studium gelernt, dass „grundsätzlich“ nicht immer bzw. nicht nie bedeutet. ;)

Für die Juristen bedeutet es: Die Regel ist so, aber es gibt Ausnahmen. Es ist also eine Abschwächung der Aussage.
Ich wollte ja keine Pauschalaussage treffen 

vor 3 Stunden schrieb cj_berlin:

...und ein Loadbalancer macht das automatisch sicherer?

 

Von den 50% der Unix-Linux-Webserver weltweit, die von HeartBleed betroffen waren, werden die meisten hinter Loadbalancern gestanden haben...

natürlich nicht.
Aber um z.b. über einen ha-proxy auf den exchange zu kommen musst du zwei Systeme aufmachen und nicht nur eins.

Außerdem kann ich am vorgelagerten LB/reverseproxy bei vielen Protokollen noch eine extra Authentifizierung einbauen

 

Also: automatisch macht es nichts sicherer, aber es bringt zahlreiche Möglichkeiten, das ganze System sicherer zu machen.

[mwiederkehr 392]

vor 54 Minuten schrieb magheinz:

Aber um z.b. über einen ha-proxy auf den exchange zu kommen musst du zwei Systeme aufmachen und nicht nur eins.

Mit Pre-Auth: einverstanden. Wenn ein Proxy aber alles 1:1 weiter gibt, bringt er nicht viel. Bei der ProxyLogon-Lücke hätte so ein Proxy nichts geholfen. (Aber man hätte mit ihm schnell und zentral den Zugriff auf die anfällige Datei blockieren können, als raus kam, welche es ist.)

[Dukel 465]

vor 38 Minuten schrieb mwiederkehr:

Mit Pre-Auth: einverstanden. Wenn ein Proxy aber alles 1:1 weiter gibt, bringt er nicht viel. Bei der ProxyLogon-Lücke hätte so ein Proxy nichts geholfen. (Aber man hätte mit ihm schnell und zentral den Zugriff auf die anfällige Datei blockieren können, als raus kam, welche es ist.)

Man kann mit einem Reverse Proxy einzelne Adressen (powershell, ecp, oab,...) erlauben oder verbieten.

[magheinz 111]

vor 11 Minuten schrieb Dukel:

Man kann mit einem Reverse Proxy einzelne Adressen (powershell, ecp, oab,...) erlauben oder verbieten.

Sonst wäre es ja ein reiner Loadbalancer...

Aber ja, mit einem reverseproxy kannst du natürlich alle Zugriffe Steuern, verändern etc.

z.B. terminieren die SSL-Verbindungen bei uns am Ha-proxy.

Von dort werden nur ganz bestimmte Verbindungen weitergereicht.

 

Allerdings wird Exchange demnächst hinter die netscaler wandern und alle https-Verbindungen werden, soweit möglich, mit einem zweiten Faktor abgesichert.

vor 6 Stunden schrieb NorbertFe:

Rein interessehalber: Warum?

Weil ha-proxy genau dafür da ist.

nginx ist in erster Linie ein Webserver.

[Dukel 465]

vor 13 Minuten schrieb magheinz:

Sonst wäre es ja ein reiner Loadbalancer...

 

Was ist ein "Reiner" Loadbancer?

Ein LB verteilt zugriffe auf mehrere Backendsysteme. Je nach OSI Schicht gibt es dabei unterschiedliche Möglichkeiten einzugreifen (SSL, Urls,...).

Nginx kann auch TCP/UDP weiterleiten und verteilen. Ist das jetzt ein ReverseProxy, Webserver oder Loadbalancer?

[magheinz 111]

vor 4 Minuten schrieb Dukel:

 

Was ist ein "Reiner" Loadbancer?

Ein LB verteilt zugriffe auf mehrere Backendsysteme. Je nach OSI Schicht gibt es dabei unterschiedliche Möglichkeiten einzugreifen (SSL, Urls,...).

Nginx kann auch TCP/UDP weiterleiten und verteilen. Ist das jetzt ein ReverseProxy, Webserver oder Loadbalancer?

The basic definitions are simple:

• A reverse proxy accepts a request from a client, forwards it to a server that can fulfill it, and returns the server’s response to the client.
• A load balancer distributes incoming client requests among a group of servers, in each case returning the response from the selected server to the appropriate client.

hab ich bei nginx geklaut:

https://www.nginx.com/resources/glossary/reverse-proxy-vs-load-balancer/

 

nginx kann halt noch viel mehr. Wer viel mehr kann macht auch viel mehr Fehler.

[Alman2 0]

Hallo nochmal,

 

mit dem Kemp hatte ich bereits Probleme das ganze zum laufen zu bekommen.

Nebenbei habe ich das Ganze noch über den NGINX Proxy Manager versucht.

Ich habe am Ende drei Seiten die ich erreichen will:

1) Mein RDP-Gateway / bzw https://subdomain/rdweb

2) Meine QNAP

3) Meinen Exchange

 

Ich habe also jetzt folgendes gemacht:

 

Die Ports für HTTP & HTTPS für den NGINX Proxy Manager freigeben.

Für das RDP-Gateway habe ich eine Subdomain erstellt "TS01.domäneXY.de

Für meine QNAP habe ich eine Subdomain erstellt "QNAP.domäneXY.de

 

Damit wollte ich jetzt erstmal testen.

Allerdings bekomme ich die beiden Seiten von außen nicht aufgerufen...

Habt ihr noch irgendeine Idee was ich vielleicht falsch mache ?

Wenn ich die HTTPS Freigaben direkt auf das GW oder die QNAP lege, erreiche alles von außen...

 

So sieht meine Konfig aus:

bearbeitet 26. März 2021 von Alman2
Update

[Dukel 465]

Man erkennt nicht viel an der Config.

Entweder die externen Namen auf die jeweiligen Servern zeigen lassen oder die Url Teile (/rdweb zum RDS Host, /owa&/ecp&... zum Exchange, /qnap zur Storage) auf die jeweiligen Server.

Für erstes muss DNS passen.

 

EDIT:

So in der Art:

location /mapi {
    proxy_pass https://exchange01;
}
location /owa {
    proxy_pass https://exchange01;
}

location /rdweb {
    proxy_pass https://rds01;
}

bearbeitet 26. März 2021 von Dukel

[Alman2 0]

vor 9 Minuten schrieb Dukel:

Man erkennt nicht viel an der Config.

Naja, da gibt es auch nicht soviel zu sehen:

 

 

Also bei Forward Hostname kann ich schon mal keine komplette URL angeben. Das sieht dann hinterher so aus:

https://qnap.domäneXY.de:8081/cgi-bin/:80

Dass das nirgendwo hin führt ist ja klar.

Ich kenne mich mit Linux auch nicht so gut aus, daher fand ich diesen Proxy-Manager mit GUI ganz cool, allerdings weiß ich nicht wie ich Deinen Vorschlag mit der config umsetzen kann.

Mit den Custom Locations habe ich auch schon versucht zu spielen aber das klappt leider auch nicht.

Wie müsste ich vorgehen um das im DNS zu erledigen ? Wobei ich hier das Problem habe, dass die QNAP nicht Mitglied der Domäne ist.

Den Exchange habe ich noch gar nicht hinzugefügt, dass wollte ich erst machen wenn die anderen beiden klappen.

 

Hab das Gefühl das ich knapp dran bin aber noch irgendeine Kleinigkeit fehlt...

[Dukel 465]

Zeigen die Urls alle auf den R-Proxy?

Gibt es Logs?

Gehen die Adressen intern? http://1*****:80 ?

[Alman2 0]

Ja die URL's zeigen alle auf den R-Proxy. Wenn ich an der Destination URL rumspiele bekomme ich auch unterschiedliche Ergebnisse von außen. Und wenn ich einen Host auf Disable stelle, erreiche auch nichts mehr, also müsste die Kommunikation mit dem R-Proxy funktionieren.

Und die Seiten lassen sich intern so öffnen 

 

[edit] wie gesagt, nehme ich dem R-Proxy die Freigaben für HTTP & HTTPS weg und gebe sie zb direkt der QNAP oder dem RDG, komme ich von außen auch genau mit den URL's drauf die ich hier auch benutze. 

Irgendwas stimmt nicht mit der Weiterleitung vom R-Proxy zu den Websites...

 

[edit2] sry ist schon spät... Logs gibt es in dem GUI auf jeden Fall nicht

bearbeitet 27. März 2021 von Alman2