Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 2599 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Microsoft Terminal Server not accesible

Krischeu
Hi all out there,

I want to  have access from outside to my internal TerminalServer.
Can someone figure out this problem?
I am using ASL 5.0. Installed 5 NIC´ s. 
100Mbit/s Network from Universitiy.
static ip-adresses 130.83.x.x

Packetfilter is working fine for HTTP.
Unfortunately it is not working for me with Port 3389.
Do i need to add anything else?

Best regards


This thread was automatically locked due to age.
Parents
  • 0
    Hi,

    Try this;

    Define a network for your internal to server, ie: TS-Server
    Define a service: RDP 3389 TCP
    Define a DNAT-rule:
    TS   Any -> External (Address) / RDP   None   TS-Server
    Define a Packetfilter-rule: 
    Any > RDP > TS-Server > allow

    You may want to enable outgoing RDP also Internal > RDP > any

    This schould do the trick.
  • 0 in reply to Max_Nilsen
    Thanks for the fast response,
    but is it really neccesary to define a whole network for a TerminalServer?
    Is it not enough to define the TS as a host?
    Can you please give me more detailed explanation for DNAT?
    Do I really need this, because the http-Protocoll is working fine without the DNAT-Rule.

    Thanks for the next response

    Heinz
  • 0 in reply to Krischeu
    Yes, A host is enough:

    This is my configuration:

    1) Created a Service:
    -Service name: "MS_Remote_Desktop" 
    -leave source port with default range
    -Destination Port 3389

    2) Create a host for the terminal Server destination

    3) Create a DNAT rule as following:

    -> Rule Type: DNAT/SNAT
    -> Source Address: ":: NO MATCH ::"
    -> Destination Address "Public (Address)"
    -> Change source to: " :: NO CHANGE :: "
    -> Change Destination to: here put the host defined at point 2
    -> Service Destination " :: NO CHANGE ::"

    4) Create a packet filter rule to allow traffic from public address
    to your terminal server:

    - Source: "Any"
    - Service:"MS_remote_desktop" (as defined in point 1)
    - Destination: Host defined at point 2
    - Action: "Allow"

    Leave other options unchanged.

    Now try to access your remote desktop. Note that you can only access your remote desktop server if you are outside in public internet. Don't try to test it from behind the firewall otherwise it will not work.

    Make also sure that if you are accessing for instance your home from work, and you are behind another firewal... you can acctually access port 3389 to public internet.

    Cheers,

    neko
  • 0 in reply to ^-^Neko
    Thanks very much for this detailed answer.
    i will try this.
    if it is working, i will post it here.
    i do not know why i should use dnat, but if you think it is neccesary i will do so.
  • 0 in reply to Krischeu
    Okay!

    Anyway: You need DNAT because we have to tell the firewall where to route requests made on PORT 3389 to its public interface...

    Let's say is a kind of packet forwarding to the correct host.

    Cheers,

    Neko
  • 0 in reply to ^-^Neko
    Probably safer to create a VPN to the ASL box and RDP from there.
    Opening port 3389 to the world is maybe not the best option.   
  • 0 in reply to BigO
    You could also change the port from 3389 in the RDP-client to somthing else, and then change the port in the firewall.

    Some info here: http://www.petri.co.il/use_rdp_client_to_connect_to_a_different_port.htm
  • 0 in reply to Max_Nilsen
    The solution is easy.
    the port should not be forewarded in a static way.
    e.g. from 3389(external) to 3389(internal).
    It is working with 3389(external) to 1-65000(internal)
Reply Children
No Data