Aller au contenu

RDP client avec Terminal Server Gateway ?

Aloyse57

Par Aloyse57
dans GNU/Linux, *BSD et dérivés d'UNIX

Messages recommandés

Aloyse57 Mentor

Aloyse57

Posté(e)
Posté(e)

Bonjour,

 

Je suis en train d'évaluer Linux pour remplacer les ordis Windows dans ma compagnie.

Les serveurs resteront sous Windows car ils supportent les applis métier et Exchange/Outlook.

 

Mon idée était de remplacer des stations de travail par des NUC ou des Clients légers qui autoriseraient des connexions à un serveur TerminalServer (déjà en prod).

 

J'ai cherché un peu partout pour trouver sous Linux un RDP client qui supporte les gateways. Ça n'a pas l'air d'exister.

 

Avant de laisser tomber, j'aimerais savoir si l'un d'entrevous plus expert que moi aurait une solution RDP compatible (pas LogmeIn, Teamviewer, VNC, etc...).

 

Merci,

Lien vers le commentaire
Partager sur d’autres sites
Aloyse57 Mentor

Aloyse57

Posté(e)
  • Auteur
Posté(e)

Merci,

Je viens de regarder ça et après quelques heures d'essais, je laisse tomber cette voie ; c'est compliqué à souhait.

Je ne vais pas confier le fonctionnement de la compagnie à une seule solution logicielle bancale.

Il n'y a pas en 2014 de client Linux RDP avec gateway, point barre.

 

Je vais essayer de trouver un VPN client Fortinet maintenant ; si je trouve et que ça fonctionne, je pourrais me passer du gateway.

Lien vers le commentaire
Partager sur d’autres sites
  • 2 semaines après...
Aloyse57 Mentor

Aloyse57

Posté(e)
  • Auteur
Posté(e)

On est bien d'accord que c'est cette partie là qui t'intéresse ? :

70511725.PNG

 

DJems, si tu nous lis ^^

Oui, c'est bien ça.

J'ai contourné le problème pour l'instant en installant un VPN FortiClient SSL.

Ça fonctionne, mais ça m'oblige à créer un accès par utilisateur en plus du RDP. Comme les employés changent beaucoup d'une semaine à l'autre, ça va être folklo à gérer.

--> pas viable car je vais devenir  :mad:avec le 3ème qui me dit qu'il ne se souvient plus de ses mots de passe  vpn et session.

«Djems» est un membre (pas actif depuis des années) ou une compagnie (pas trouvé de réfs) ?

Lien vers le commentaire
Partager sur d’autres sites
djems54 Apprenti

djems54

Posté(e)
Posté(e)

Hello,

 

FreeRDP supporte les gateway (depuis 2ans au moins). Pendant un moment, les versions packagées (sous Debian/Ubuntu en tout cas) ne marchaient pas. Il fallait compiler à la main en ajoutant l'option.

 

Je ne sais pas ce que ça donne aujourd'hui, et je n'ai pas de TS Gateway sous la main pour tester désolé.


Re,

 

Ce lien peut peut-être t'aider : http://ifconfig.dk/freerdp/

 

(si tu n'étais pas déjà tombé dessus)

Lien vers le commentaire
Partager sur d’autres sites
  • 3 mois après...
  • 1 mois après...
ledufakademy Débutant

ledufakademy

Posté(e)
Posté(e)

Déjà faire transiter, en direct, un flux RD dans du HTTPS (heartbleed , et là suite à venir ...) pour aller taper les serveur tse de l'infra : moi je ferai pas.

On fait de plus en plus n'importe quoi avec le HTTP ! ... on y encapsule n'importe quoi et après on se plains de s'être fait hacké ...

Mais soit ...

 

Ensuite tu as Remmina qui propose le mode gateway ...

Sinon le vpn reste la solution pro, quand même.

 

Pour ceux qui n'ont pas le sou il y a aussi le portail captif qui ouvre uniquement le port 3389 pour une ip donnée et pour un login associé (radius ou ad) : et la avec ton client RDP de base c'est gagné.

Zyxell fait ca, fortinet, cisco, watchguard , netasq etc ... aussi.

Lien vers le commentaire
Partager sur d’autres sites
Aloyse57 Mentor

Aloyse57

Posté(e)
  • Auteur
Posté(e)

Déjà faire transiter, en direct, un flux RD dans du HTTPS (heartbleed , et là suite à venir ...) pour aller taper les serveur tse de l'infra : moi je ferai pas.

On fait de plus en plus n'importe quoi avec le HTTP ! ... on y encapsule n'importe quoi et après on se plains de s'être fait hacké ...

Mais soit ...

 

Ensuite tu as Remmina qui propose le mode gateway ...

Sinon le vpn reste la solution pro, quand même.

 

Pour ceux qui n'ont pas le sou il y a aussi le portail captif qui ouvre uniquement le port 3389 pour une ip donnée et pour un login associé (radius ou ad) : et la avec ton client RDP de base c'est gagné.

Zyxell fait ca, fortinet, cisco, watchguard , netasq etc ... aussi.

L'infra est taillée pour. C'est pas donné au bout du compte, surtout quand ça s'appuie sur du virtualisé AMHA. Cependant, c'est un autre débat  ;)

 

Me faire hacker, bof. Là où je bosse, sérieusement il n'y a pas de secret : c'est l'huile de coude syndiquée tarifée à l'heure (tous les employés (BTP) de la province (Québec) dans le même domaine d'activité sont payés au même taux).

La seule chose un poil sensible serait l'ERP, mais ça ce n'est pas sur le même VLAN.

 

J'ai essayé Remmina mais c'est folklo à configurer : ça ne m'intéresse pas d'y consacrer des heures, sachant que les NUC seraient donnés à des néophytes. Si ça coince après, ce sera encore des heures pour déboguer tout ça.

Linux m'intéresse si j'y gagne en temps et en argent, pas si c'est pour me compliquer la maintenance, surtout qu'une licence Windows Pro, c'est anecdotique sur 5-10 ans.

Evidemment je ne sors pas de la boucle infernale : si je ne me mets pas à Linux, alors je n'ai pas d'expérience, donc tout est trop long et compliqué. Si je m'y mets sérieusement, il faut des résultats rapidement. Mais sérieux et rapide vont mal ensemble en informatique, sauf si on suit LA RACHE.

 

Le VPN, c'est non car comme je l'indiquais précédemment, ça m'obligerait a créer un compte par connexion VPN. Or les employés dans notre domaine, sont employés à l'heure. Pas de contrat, pas de job : les CDI, CDD ça n'existe pas.

Pour suivre les embauches/cessations d'emploi (envoyés par RH) et les répercuter dans les droits VPN, il va me falloir un tech à plein temps : c'est un coût parfaitement inadmissible (mais moralement attrayant, 1 emploi de plus de créé, c'est bon).

 

Portail captif : ça fonctionnerait avec 100 sources différentes (IP dynamiques) pour 1 destination (serveur RDP) ? Je vais regarder ça, c'est la première fois que j'en entends parler pour du RDP.

Lien vers le commentaire
Partager sur d’autres sites
ledufakademy Débutant

ledufakademy

Posté(e)
Posté(e)

J'ai cherché pour toi ....

En fait il y aussi sur les Zyxell -ZyWall- (c'est coréen je crois) le SSL Application.

 

Mais tu peux aussi faire une règle qui ouvre le port 3389 uniquement si l’utilisateur à saisir le bon mot de passe sur le portail captif.

En gros il suffit de se loguer avec un user de l'ad, si le compte est valide + mot de passe alors le port est 3389 ouvert à cette utilisateur ET son IP : il suffit ensiute de lancer un client RDP classique.

 

Cela évites des attaques directes sur la techno RDP 3389 de Microdaube : et crois il y en a un max.

 

Note :

 

Remote Desktop Connections
Use SSL VPN to allow remote users to manage LAN computers. Depending on the
functions supported by the remote desktop software, they can install or remove
software, run programs, change settings, and open, copy, create, and delete files.
This is useful for troubleshooting, support, administration, and remote access to
files and programs.
The LAN computer to be managed must have VNC (Virtual Network Computing) or
RDP (Remote Desktop Protocol) server software installed. The remote user’s
computer does not use VNC or RDP client software. The ZyWALL works with the
following remote desktop connection software:
RDP
• Windows Remote Desktop (supported in Internet Explorer)
VNC
• RealVNC
• TightVNC
• UltraVNC
For example, user A uses an SSL VPN connection to log into the ZyWALL. Then he
manages LAN computer B which has RealVNC server software installed.
Figure 527 SSL-protected Remote Management
https://
SSL
A
B
Weblinks
You can configure weblink SSL applications to allow remote users to access web
sites.

 

Page 808 doc zywall usg 300

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

Aller sur la liste des sujets
×
×
  • Créer...