Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 3 subscribers
  • Views 13454 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Remote Desktop

GenZ
HI
I had forefront TMG and changed to Sophos UTM,
Most of the things I needed to do I got sorted out.
But I am having an issue with RDP when trying to remote into my Windows server 2012.
I set up a firewall rule allowing RDP into my server, I set up a DNAT rule as well, I followed this article How to Port Forward Service Ports with NAT: Astaro Security Gateway 
but still I cant connect.
Forefront was so easy, I opened 3389, port forwarded it to my internal network and it worked fine but with the UTM it seems a real pain.

Can anyone help me out with this one its pretty confusing.
Thanks


This thread was automatically locked due to age.
  • 0
    Show screenshots of your DNAT settings and the details of the service definition.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    Here is the DNAT Rule   and the service definition is the  Microsoft Remote Desktop (RDP) TCP 1:65535 → 3389.
    Any suggestions? 
    Thanks
  • 0
    your service definitions have a source port of 1:65535 and a destination port of 3389, correct?  

    I'm assuming that on your DC, you are using a custom port other than 3389 for RDP.  If not, then I don't get why you have two different service definitions for the same thing.  With UTM, if you are not doing port translation, And the service to, should be left blank. 

    Just to make certain, Going To is External (WAN) (ADDRESS), right?

    I personally prefer to use Internet IPv4 rather than Any.

    Expand Advanced and tick the Log Initial Packets box.  Now you'll see connection attempts that match the DNAT in the Firewall log.  Make a test connection from outside of your network (out on the internet somewhere).  You cannot test from inside of your network, it will not work without further config changes.  Do you see the test connection attempts in the firewall log?
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    For whatever reason, the thing that always stopped me from success with the forwarding setup like that, was adding something in the "And the service to" field at the bottom being listed with something.  You already have it defined up top, try removing the MS Remote Desktop from the field I mentioned and try it again.  You could also replace that range you have further up with just the Microsoft Remote Desktop protocol, it's already defined, no reason to make another definition for it.  [:)]

    XG 19.5 GA 64-bit | Intel Xeon 4-core v3 1225 3.20Ghz
    16GB Memory | 500GB SSD HDD | GB Ethernet x5

  • 0
    Hi, GenZ, and welcome to the User BB!

    In addition to what the other two guys have said, check that the "DC" Host definition does not violate #3 in Rulz.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to GenZ
    Here is the DNAT Rule   and the service definition is the  Microsoft Remote Desktop (RDP) TCP 1:65535 → 3389.
    Any suggestions? 
    Thanks


    My assumptions here are that you are allowing RDP from any source on the Internet to this server.  You are also not changing the default port of 3389.  Based on the other' recommendations and these assumptions, perform the following:

    For traffic from:  Internet IPv4
    Using service:  Microsoft Remote Desktop (RDP)
    And the service to:  
    Automatic Firewall rule:  checked

    Click save and you should be good to go.
  • 0
    HI Guys,
    that solution worked,
    Thanks heaps for the help, I removed the "And the service to" and changed the "For traffic from" to IPv4 and it worked fine,
    Cheers [:)]
  • 0
    Good to hear that you're fixed.  Enjoy.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
Cookie Information Banner