Доступ по RDP через SSH туннель

Если ранее я показал, как я взаимодействую с домашним полигоном на базе Debian 10 + Proxmox 6 через поднимаемый туннель своего VPN сервера который в интернете сидя на работе

• Доступ к инфраструктуре через SSH туннель

, то сейчас я задействую OpenVPN-сервер дабы подключаться к офисным ресурсам с любого месторасположения сидя за своим ноутбуком (Lenovo E555) под управлением Ubuntu 18.04 Desktop amd64. Будь я подключение через USB модем (ZTE MF823D) или кафе (Wi-Fi), дома (Провайдер) и т.д.

Схема будет немного замороченной, но безопасной по части подключения к офисной сети. Итак, как всегда шаги от и до результата.

Шаг №1: У меня в организации в качестве шлюза для офиса используется TMG 2010 Version 7.0.9193.575, на нем я настраиваю непростое правило банального проброса порта за исключением что в качестве источника подключения (Source) у меня выступает статический IP-адрес моего OpenVPN-сервера.

on srv-gw.polygon.com

Start - All Programs - Microsoft Forefront TMG - Forefront TMG Management - Microsoft Forefront Threat Management - Forefront TMG (srv-gw) — через правый клик на Firewall policy открываю мастер New - No-Web Server Protocol Publishing Rule...

• Server publishing rule name: RULE IN: OpenVPN-TUNNEL-RDP-TO-W10X64

и нажимаю Next

• Server IP Address: указываю IP адрес своего рабочего компьютера в офисе, 10.90.90.10

и нажимаю Next

• Selected protocol: выбираю RDP (Terminal Services) Server

после нажимаю Ports (здесь же) и предопределяю порт на внешнее подключение:

• Publish on this port instead of the default port: 25555
• Send requests to the default port on the published server
• Allow traffic from any allowed source port

и нажимаю OK, Next

• Listen for requests from these networks: отмечаю External, Internal

и нажимаю Next, Finish

После открываю созданное правило и перехожу на вкладку From где удаляю источник Anywhere (ото всюду) на Add - New - Computer

• Name: OpenVPN-WAN
• Computer IP Address: указываю статический IP адрес своего OpenVPN сервера.

После чего нажимаю Apply для активации внесенный изменений в правила Forefront TMG

На заметку: На Forefront TMG важен порядок правил, они применяются сверху в низ, а в конце правило Deny, что не разрешено, то запрещено.

Шаг №2: На рабочей станции в офисе нужно чтобы учетная запись под которой я сейчас работаю была либо как Администратор либо состояла в группе подключения через удаленный рабочий стол.

Шаг №3: Настраиваю подключение через туннель между OpenVPN сервером и офисным подключение к своему рабочему месту.

on Lenovo E555 Ubuntu 18.04 Desktop

Client Remmina — нажимаю на плюсик (Create a new connection profile)

• Название: w10x64(vpn+sshtunnel)
• Протокол: RDP - Протокол удаленного рабочего стола

вкладка "Основные"

• Сервер: IP&DNS:25555 (это настроенное правило проброса порта на TMG)
• Имя пользователя: ekzorchik
• User password: 712mbddr@
• Домен: polygon.com
• Разрешение: Вручную (1280x960)
• Глубина цвета: High color (16 бит/пиксель)
• Общая папка: отмечаю и выбираю Documents (мне так удобно), т.е. в RDP соединение пробрасывается моя локальная папка для обмена файлами

вкладка "Дополнительные"

• Качество: Низкое (самое быстрое)
• Звук: Выключен
• Безопасность: Согласование

вкладка "SSH Tunnel"

• Включить туннель SSH: отмечаю галочкой
• Вручную: IP&DNS(OpenVPN-сервера):PORT
• Имя пользователя: ekzorchik
• Пароль: отмечаю, но можно через публичный ключ

После нажимаю "Сохранить", в первый раз когда будет инициировано подключение будет запрос на указание пароля на подключение по SSH к OpenVPN-серверу, ввожу его и нажимаю "Сохранить пароль".

Шаг №4: Теперь у меня есть отличное от привычного сейчас Remote Desktop Gateway подключения к офисной сети, так сказать резерв на случай если сервис RDP не подхватит и или потеряет сгенерированный сертификат от Let's Encrypted.

• Доступ к RDP через авторизацию RADIUS
• Нужно обновить сертификат для Remote Desktop Gateway

Шаг №5: Если теперь кликнуть на созданное подключение, то я успешно подключаюсь к своему офисному рабочему месту с источника, как OpenVPN-сервер.

Итого я настроил себе еще один вид доступа к офисной сети не зависящий от прихоти Remote Desktop Gateway, просто у нас были случаи когда сертификат перегенерированный не встал и пришлось ехать на работу дабы поправить или искать может у кого есть открытая TeamViewer сессия. Но это все конечно хорошо, но я за проверенные способы. Надо бы конечно настроить VPN, но это пока не горит.

На этом заметка завершена, с уважением автор блога Олло Александр aka ekzorchik.