Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 1597 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

NAT and Terminal Services - Ver. 3.20

CPolly
Hello,

I am trying to use Terminal Server thru the FW. The issue is that I have 2 Terminal Servers on the inside and I need to have users trying to connect from the outside only connect to the TS set up for remote users. What is occurring is that when they connect, they connect to the Main Server instead. I am not sure how to restrict them from getting to one and make them connect to the remote user TS.
My thought was to add a second address to the external interface for NAT purposes. This way when using a specific address, users can only connect to the right server. Is this correct? If it is, can someone map out the steps I need to take to do this? I thank you in advance for your help and guidance.

Cepolly
  


This thread was automatically locked due to age.
  • 0
    I should add that am very new to Astaro and really am somewhat lost.

    Here's what I did so far:
    1 - Added a new Host name and associated the new external IP.
    2 - Created a new NAT rule pointing the external IP to the internal server already defined.
    3 - Added a new Interface on the external interface with the Additional IP Address option.

    the mask is 255.255.255.255

    Any help on this would be great. Thanks.
    Cpolly  
  • 0 in reply to CPolly
    One more thing. everything went well except for the Interface. It shows down and under Address/NetMask, it says n/a. it doesn't accept my entries.

    Can anyone tell me what I missed?

    Thanks again.   
  • 0
    I'm wondering if perhaps you're using the wrong tool within ASL.  Are you trying to make your terminal server visible to the world, or just specific users?  If the latter, I'd set up a VPN connection (either PPTP or IPSEC depending on client capabilities) and assign IPs out of a specific range to the VPN clients.  Then you simply have to make a packet filter rule that allows the VPN clients to only see the one (desired) terminal server but not the rest of the net, and you should be clean.  At least, I've done something similar to allow one of my users access to only a Linux box but not the rest of my network, and it seems to be quite clean.

    Dan  
  • 0 in reply to martindw
    Yes the IP is open. This was a setup prior to my arrival. My goal here is to get the users off the main server and on to the profile server. 
    A VPN sounds good and its something that I'd like to do.
    But as I am new to Astaro, how would I set up the VPN? Would I use the MS VPN client or does Astaro have one? 
    And what would I need to set up on the Astaro to make VPN work? 
    The reason that this is set up this way is due to the need to open a fat client DB app across the net.

    Thanks again for the comments.  
  • 0 in reply to CPolly
    If you don't already have client software, the easiest thing to do is set up PPTP Roadwarrior Access (from the Networking) menu.  You need to give PPTP a group of unique IPs that it can use for its PPTP pool (I don't now remember if this was already done by default or if I had to do it  ).

    Next you need to set up a packet filter rule that allows users from the PPTP pool to hit your terminal server (and, if I understand you correctly, nothing else).

    Finally you need to create users in your Definitions section and give those users PPTP access.  That menu, fortunately, is pretty self-explanatory.

    With this set-up, a W2K or WXP built-in VPN client can be configured to log into the ASL WAN IP address and it'll go right through.  With Windows 98 it's a little trickier. . .requires MS VPN in DUN 1.4 and then only works sometimes. . .I'm still not fully satisfied I've got that part down  [:(]t works very well.

    HTH,

    Dan 

    ps - of course, you then want to take away any rules that you might have made that even contemplated exposing your terminal server to the outside world. . .those are dangerous!    
  • 0 in reply to martindw
    Thanks. I'll try it. I'm sure it will help.