Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 2116 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

RDP using alternate ports

shuston
I have an Astaro 120. Firmware: 8.103.  I have about 10 users who need to access their computers via RDP sessions.  I'm requesting some info on how to set up the firewall rules to allow these sessions on alternate assigned ports.

Thanks in advance for any assistance. [:)]


This thread was automatically locked due to age.
  • 0
    It's possible to do that, but I usually have folks use L2TP over IPsec remote access.  Then, you either can use a broad Firewall rule like

    VPN Pool (L2TP) -> RDP -> Internal (Network) : Allow


    or use granular rules like

    shuston (User Network) -> RDP -> {DNS Host for shuston-desktop} : Allow



    You can do it with DNAT, but it requires a separate NAT rule for each device like

    Internet -> RDP-shuston -> External (Address) : DNAT RDP to {DNS Host for shuston-desktop}


    where the bold part is the same in every rule.

    Cheers - Bob
  • 0 in reply to BAlfson

    or use granular rules like
    shuston (User Network) -> RDP -> {DNS Host for shuston-desktop} : Allow


    Hi Bob,

    are you sure this one will work? I think with l2tp the user ip is not populated to User(Network) Object. This one will work with SSLVPN.

    Regards
    Manfred
  • 0
    Bob, Thanks for the info.  Would I not also set up the alternate ports in the firewall rule?
  • 0
    @Manfred: Yes, it applies in all Remote Access methods.  I just confirmed my memory by testing PPTP, L2TP and Cisco from my iPhone.

    Shustion, the advantage of the VPN approach is that you don't need alternate ports.  The user connects via L2TP and accesses his/her PC directly.  With DNS setup correctly, I just put bobdesktop in the RDP client and I'm there!

    Cheers - Bob
  • 0
    Hi Bob,

    I also just confirmed my memory :-).

    My productive system (8.303) recognizes 2 ip adresses if I l2tp in - the public ip of my home uplink and the one from the l2tp pool. But the firewall rule with my user(network) object does not match and the pakets get dropped.

    My test utm9 (8.965-7) recognizes only one ip - the one from the l2tp pool and the rule matches.

    There are two other differences in my test. Productive is cert based and users are remote authenticated and test is psk and local authenticated.

    With which version did you do your tests?

    Regards
    Manfred
  • 0
    My Local user is identical to my Active Directory User and has the same password.  All tests done in 8.305.

    L2TP is PSK (iPhone can't do certs) and authenticates via RADIUS.  The "balfson (User Network)" object is populated with the IP assigned to me out of the "VPN Pool (L2TP)" and this is confirmed by a logged Firewall rule #1.

    PPTP authenticates via RADIUS.  The "balfson (User Network)" object is populated and yet the traffic is handled by the later rule that applies to the entire VPN Pool - the traffic selector in rule #1 fails!

    Cisco authenticates Locally.  The "balfson (User Network)" object is populated and yet the traffic is handled by the later rule that applies to the entire VPN Pool - the traffic selector in rule #1 fails!

    Before today, I had only tried the experiment with L2TP, which works correctly.  I had assumed that because the other methods populated the object that it would work correctly.  Clearly, that was an error.  I'd be interested to know if this all works correctly in V9.

    Cheers - Bob