Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 2138 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Port forward fails from SSL client

mrainey
I have a branch office where everyone wants to RDP to their desktop from everywhere: Sitting at the reception's desk at lunch, visiting another branch and from home/road. Each desktop listens for RDP on a separate port. I just installed an ASG120 and am having problems getting the RDP to work from the SSL client.

I made a host PC for each desktop. I created a service RDP-port# for each desktop. I created a DNAT rule (ANY to RDP-port# ANY (Tried it with External Address per ASG KB) DNAT Destination PC HOST, Destination Service RDP-port#, then created a PF Rule Allow ANY RDP-port# to PC HOST.

I can RDP from within the office or from a subnet branch, but cannot RDP from the SSL client.

Before I put in the ASG they just had a netgear firewall router that port redirected where they did RDP to their desktop with Public IP address : port#


This thread was automatically locked due to age.
Parents
  • 0
    If you are using the SSL VPN, DNAT and Packet Filter rules are unnecessary.  Try using the INTERNAL IP addresses (or hostnames if your internal DNS is setup correctly) of the host PCs.  In fact, you can do away with using different port numbers on everything as well.  A SSL VPN Client should be able to access all internal systems if you configured the Astaro to use auto packet filtering for the SSL VPN.   I've set this up for several small workgroup-size customers (otherwise they have a dedicated Windows Terminal Server, which I prefer), works fine, and in my opinion, is much more secure than having open RDP ports to the whole outside world.
  • 0 in reply to BrucekConvergent
    I posted this quick reply before but it seems to have vanished?
    Thanks Bruce. Your comments are usually  right on, but this time you were helpful inadvertently.
    As I said in the original post, before I took responsibility for this office, they used their external IP address with a port forward to their desktop. Each PC has a custom port for RDP. Exposing all those ports on the external IP was a big motivation for installing the ASG.
    They have a TS that listens on the standard RDP port.
    I can’t change the culture overnight so I decided to keep their custom ports rather than edit the registry on each PC.
    Reading your post made me realize I was thinking about this wrongly. I am dnatting the ports so they don’t need to know their personal IP address. Just RDP to the INTERNAL IP of the ASG with their custom port and the ASG forwards them to their desktop.
    Works fine.
    However; something is still not right. I did not create a dnat rule for the TS and I DO have SSL set for automatic PF rules. YET, I can RDP to the TS from the Site to Site vpn, but NOT from the SSL client.
    Any suggestions on how to troubleshoot this?
  • 0 in reply to mrainey
    DOH!!!! Hate when I do this.
    Finally got some sleep and looked at it all again.
    In the SSL Local Networks box I had inadvertently dragged INTERNAL ADDRESS instead of INTERNAL NETWORK.

    Ende gut, alles gut [:)]
Reply
  • 0 in reply to mrainey
    DOH!!!! Hate when I do this.
    Finally got some sleep and looked at it all again.
    In the SSL Local Networks box I had inadvertently dragged INTERNAL ADDRESS instead of INTERNAL NETWORK.

    Ende gut, alles gut [:)]
Children
No Data