Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 2992 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Help with firewall/network settings for RDP

rocc1801
The basics are that I'm trying to RDP into a system that is behind the firewall from outside the network, but the situation is a little more complicated than that and I've run out of ideas for things to try.  I'll try and describe the network and firewall setup as clearly as possible:

There is a main location where the RDP server and the firewall are (10.2.0.0/16 network), and a remote location where the RDP client is (10.1.0.0/16 network).  The two locations are connected through Cisco site-to-site VPN devices, which also serve as the network gateways.  The internal and external interfaces for the sophos have been configured to be on the 10.2.0.0/16 network with the default gateway set to the local Cisco device.  The installation wizard added the standard firewall rules to allow DNS, Terminal Applications, Email Messaging, and Web Surfing from the Internal (Network) to Any destination.

Without creating any additional firewall rules, the RDP connection fails, never getting past the "Initiating remote connection" phase and the firewall logs that it dropped the ACK SYN packet from the RDP server to the client.  There is no log of a request from the client to the server or anything other than the failed ACK SYN packet.

If I add a firewall rule that allows Any traffic from the Internal (Network) to the 10.1.0.0/16 network destination, the RDP connection still fails, but it advances to the "Configuring remote session" phase before giving the error "This computer can't connect to the remote computer.  Try connecting again.  If the problem continues, contact the owner of the remote computer or your network administrator."  The firewall log shows that it allowed the ACK SYN packet from the server to the client, but there is nothing else in the log to indicate why the connection failed.

The RDP connection worked fine before the firewall was put in place in the network, so I'm pretty sure that it has something to do with the problem, though I don't know if it is because of the network settings, the firewall settings, or what.  Any insight would be greatly appreciated.


This thread was automatically locked due to age.
  • 0
    Hi, and welcome tot he User BB!

    The internal and external interfaces for the sophos have been configured to be on the 10.2.0.0/16 network with the default gateway set to the local Cisco device.

    That could create routing conflicts.  Are both Interfaces in the same Ethernet segment?  Are the Interfaces defined with overlapping subnets?  Try #1 in Rulz.

    Cheers - Bob
  • 0 in reply to BAlfson

    That could create routing conflicts.  Are both Interfaces in the same Ethernet segment?  Are the Interfaces defined with overlapping subnets?  Try #1 in Rulz.


    There is nothing helpful in the logs mentioned in the Rule #1 post other than the stuff from the firewall log I mentioned earlier.  Right now I have multiple systems including the RDP server connected to a switch which feeds into the UTM internal interface, with the external interface connected to the Cisco gateway.  Both interfaces are defined with the 10.2.0.0/16 subnet.
  • 0
    Both interfaces are defined with the 10.2.0.0/16 subnet.

    Yes, that will create a routing conflict in the UTM and possibly your entire network if the interfaces aren't bridged.  Your comments in both posts indicate that this is the problem.

    Without knowing more about the purpose of the UTM and your topology, it's hard to make a suggestion on how to fix this.

    Cheers - Bob
  • 0 in reply to BAlfson
    I'll try to explain the topology of the network a little better:

    All of the devices (computers, printers, etc including the RDP server) are connected to a switch which feeds into the UTM.  The IPs of the devices are all on the 10.2.11.0/24 subnet with the gateway set to the internal interface of the UTM.  The internal interface of the UTM has a 10.2.11.x IP with the netmask set to 255.255.0.0.  The external interface is the same way (10.2.11.x, netmask 255.255.0.0) with the gateway set to the Cisco device.  The Cisco device cannot be changed, and the IP is set to 10.2.11.1 with netmask 255.255.0.0.  

    The other location with the RDP client is very similar.  There the Cisco device has an IP of 10.1.0.1 with netmask 255.255.0.0, and all of the devices are connected to a switch and then to the Cisco, having IPs on the 10.1.0.0/24 subnet.   Again, the Cisco device cannot be changed.

    Hopefully that will be enough information, but if anything needs clarification just let me know.
  • 0
    What is the purpose of having the UTM inside your LAN?  Can I assume that you have no Masquerading rules?

    Cheers - Bob
  • 0 in reply to BAlfson
    What is the purpose of having the UTM inside your LAN?  Can I assume that you have no Masquerading rules?


    I would have switched the places of the Cisco device and the UTM if I was able to log into the Cisco in order to change the settings appropriately.  Since I can't do that, the Cisco has to remain as the outermost point of the network.  All traffic from the internal network still goes through the UTM (at least that's the goal), there is just another stop at the Cisco before being sent out.

    As far as masquerading rules, the only one that is created is for the internal network to masquerade as the external address.
  • 0
    As far as masquerading rules, the only one that is created is for the internal network to masquerade as the external address. 

    That will definitely cause routing problems.  At first blush, I would say to delete the External interface and add eth1 in a bridge with the Internal interface while giving it the default gateway of the Cisco IP.  Depending on what you're doing in the UTM, there are other things to consider...

    Does your reseller have any expertise with TCP/IP, routing and the UTM? You need someone with experience to take a closer look at all of this to help you come up with an effective, robust solution.

    Cheers - Bob