Шлюз терминалов

Ответить

Смайлики
:D :) :( :o :shock: :? 8) :lol: :x :P :oops: :cry: :evil: :twisted: :roll: :wink: :!: :?: :idea: :arrow: :| :mrgreen:

BBCode ОТКЛЮЧЕН
Смайлики ВКЛЮЧЕНЫ

Обзор темы
   

Развернуть Обзор темы: Шлюз терминалов

Re: Шлюз терминалов

forsoft » Чт апр 08, 2021 10:58 pm

Вообще не вижу нужды в шлюзе! Грамотно реализовать сеть + ВПН и все дела.
Вот например: у нас имеется:
4 физических сервера в датаценте, 1 сервер в центральном офисе.
На этих серверах крутится vmware.
На серверах в датацентре: 4-PFSense, 1server 2016 (WTWARE), 2-freepbx, 1-Linux server (docker, freepbx, srm), 1-Server 2016 (1C-SQL), 6-Server 2016 (RDP), 2-Linux mail server, 1- виртуальный Synology NAS "xpenology"( для бэкапов и частично файловой помойки).
В офисе, в принципе уже ничего не осталось кроме PfSense, СКУД и видеонаблюдения.
В 5-ти PfSense поднял Wireguard VPN, настроил маршрутизацию кто, откуда и куда должен ходить, и что видеть!
Имеется 4 доп офиса по 5-10 рабочих мест, там ставлю маршрутизаторы Keenetic и через wireguard VPN коннектим их куда надо. Плюс около 25 сотрудников работают из дома. Все пользователи работают на wtware. Ставлю её "HP 5740" или "raspberry pi 3b+" этого хватает!
Доступ к серверам ограничен по ip. Ну и т.д.

Re: Шлюз терминалов

Vodooo » Чт апр 08, 2021 9:58 pm

Очень печально, что нет подключения к шлюзу терминалов.
В начале я обрыл всё, думаю, а где, а на форум а тут...хмммм...крайне опечален.
Думаем перевести для теста часть компьютеров в офисе на втвари и далее, а тут такая подстава, уже столько лет и нет решения.
По чему используется шлюз, коллеги всё выше написали, нет у нас пользовательского vpn принципиально.

Re: Шлюз терминалов

aka » Ср мар 24, 2021 2:21 pm

Никакого движения. Он обязательно будет сделан, когда больше станет нечего делать. Наверное не в этом году.

Re: Шлюз терминалов

Barvinok » Ср мар 24, 2021 1:46 pm

aka писал(а): Вт фев 02, 2021 12:57 pm В планах, но не прямо сейчас.
Можно узнать, в каком состоянии шлюз?
Как раз понадобился.

Re: Шлюз терминалов

Barvinok » Вт фев 02, 2021 1:07 pm

aka писал(а): Чт июн 22, 2017 11:15 amШлюзы рулят для путешествующих сотрудников. Из какой-нибудь гостиницы с корявым интернетом, в котором закрыто всё кроме http/https, только через шлюз терминалов и выйти. Но в таких местах не надо использовать втварь! Втварь - стационарный клиент. А для стационарного клиента лучше потрудиться настроить VPN, оно потом ещё не раз пригодится.
Вот в этом месте спустя четыре года хочу внести поправочку.
При наличии запиленного wireguard, локального Хрома/скайпа/sip-phone, малинку c WTW сотрудники запросто таскают домой.
Можно и на ноут поставить для путешествий/командировок.
Локальный десктоп же.

Re: Шлюз терминалов

Barvinok » Вт фев 02, 2021 12:59 pm

aka писал(а): Вт фев 02, 2021 12:57 pm Тут аппаратная акселерация h264 на малине поехала, неплохо так выходит. Зарелизим h264 и будем посмотреть.
Оооо..!
Волшебно! Ждём с нетерпеньем!

Re: Шлюз терминалов

aka » Вт фев 02, 2021 12:57 pm

В планах, но не прямо сейчас. Писать много. Тут аппаратная акселерация h264 на малине поехала, неплохо так выходит. Зарелизим h264 и будем посмотреть.

Re: Шлюз терминалов

Barvinok » Вт фев 02, 2021 12:54 pm

Ну ёлы-палы... Никто ж не заставляет!
А по существу вопроса..?

Re: Шлюз терминалов

aka » Пн фев 01, 2021 10:30 pm

Можно я не буду комментировать людей, которые вводят пароль в командную строку? Втварь с такими не работает. Автор брезгует.

Re: Шлюз терминалов

Barvinok » Пн фев 01, 2021 8:57 pm

Доброго вечера (GMT+3)!
Я полностью согласен, что проще и лучше настроить VPN на микротах, чем вступать в отношения со всякими шлюзами.
Однако возникла задача. Вот облако https://42clouds.com/ru-ru/
Для работы с ним по RDP требуется поддержка NLA:
Для пользователей OC GNU\Linux необходимо установить RDP-клиент с поддержкой NLA (проверка подлинности на уровне сети) и режима работы через шлюз терминалов.
После успешной установки выполните подключение к удаленному рабочему столу с помощью команды
xfreerdp /v:ts-farm.42clouds.com /f /u:your_login /p:your_password /d:ad /g:gateway.42clouds.com /gu:your_login /gp:your_password /gd:ad /gt:rpc +clipboard /sec:nla /cert-ignore
где параметры
/v:ts-farm.42clouds.com - адрес подключения
/f - полноэкранный режим
/u:your_login - ваш логин от 42 Clouds
/p:your_password - ваш пароль от 42 Clouds
/d:ad - домен
/g:gateway.42clouds.com - адрес шлюза терминалов
/gu:your_login - ваш логин от 42 Clouds
/gp:your_password - ваш пароль от 42 Clouds
/gd:ad - домен
/gt:rpc - взаимодействие с Windows-службой RPC
+clipboard - поддержка буфера обмена
/cert-ignore - игнорировать ошибки сертификатов
Хотелось бы настроить подключение строкой в меню.

Re: Шлюз терминалов

aka » Чт июн 22, 2017 11:17 am

Dim-soft писал(а):
TED писал(а): https в принципе сам по себе безопаснее rdp.
RDP тоже умеет ssl - надо только настроить
Настоящие параноики даже TLS 1.0 запрещают и TLS 1.2 настраивают: https://forum.wtware.com/viewtopic.php?f=23&t=47423

Re: Шлюз терминалов

aka » Чт июн 22, 2017 11:15 am

TED писал(а):Ноуты путешествуют между филиалами, плюс много удаленных сотрудников, которые подключаются по удаленке (порядка 40 клиентов на ноутах). ... Шлюз - это специально разработанная фича для рдп, и она реально удобная.
Шлюзы рулят для путешествующих сотрудников. Из какой-нибудь гостиницы с корявым интернетом, в котором закрыто всё кроме http/https, только через шлюз териналов и выйти. Но в таких местах не надо использовать втварь! Втварь - стационарный клиент. А для стационарного клиента лучше потрудиться настроить VPN, оно потом ещё не раз пригодится.

Re: Шлюз терминалов

Dim-soft » Вт июн 13, 2017 5:59 pm

TED писал(а): https в принципе сам по себе безопаснее rdp.
RDP тоже умеет ssl - надо только настроить

Re: Шлюз терминалов

TED » Вт июн 13, 2017 11:34 am

2 ноутбука в одном филиале, 2 ноутбука в другом, 15 терминалов в третьем. На основной площадке порядка 30 терминальников на втвари.
Ноуты путешествуют между филиалами, плюс много удаленных сотрудников, которые подключаются по удаленке (порядка 40 клиентов на ноутах).
Микротиков не наберешься на пары ноутбуков. Шлюз работает отовсюду и https в принципе сам по себе безопаснее rdp. (Я не прав? Объясните)
Шлюз необходим для единого централизованного управления разрешенными серверами для публикации, управления пользователями с разрешенными удаленным подключением, и, что самое важное, безопасным подключением одних к другим по защищенному каналу, без необходимости открывать кучу портов для рдп, настраивать впны, давать админские права на клиентах, и прочие костыли (это к слову о том, у кого что костыль, и у нас так настроено, ага). Шлюз - это специально разработанная фича для рдп, и она реально удобная.

Re: Шлюз терминалов

Barvinok » Пт июн 09, 2017 9:58 am

Rushmore писал(а): 1) Единая точка подключения снаружи внутрь периметра. Если надо открыть доступ снаружи к нескольким серверам, которые находятся внутри локалки за файерволлом, проще и удобнее открыть один порт 443 со шлюза терминалов, чем пробрасывать 100500 разных портов или городить ВПН.
ВПН на паре Микротиков поднимается за 2 минуты. После чего работает всё и всегда.

А в данной схеме придётся таки пробрасывать 100500 портов для прочих служб, вроде SIP, видеонаблюдения, принтеров, внутренних проталов CRM и т.д.
Я про тот случай, когда работа не 100% ведётся в терминальном сеансе, а частично с персонального компьютера/ноутбука/смартфона пользователя.

А так же лови говолняк с поддержкой связанных протоколов (FTP, SIP+RTP, проброс видеопотока и дисков для RMM/iLo...)

PS
Наконец прочитал, что делает этот самый шлюз и убедился, что он действительно не нужен.

Re: Шлюз терминалов

aka » Чт июн 08, 2017 11:32 pm

Rushmore писал(а):1) Единая точка подключения снаружи внутрь периметра. Если надо открыть доступ снаружи к нескольким серверам, которые находятся внутри локалки за файерволлом, проще и удобнее открыть один порт 443 со шлюза терминалов, чем пробрасывать 100500 разных портов или городить ВПН.
Это же тоже "у нас так настроено".
Rushmore писал(а):2) Портабельность. Можно использовать одни и те же настройки клиентов как внутри, так и снаружи периметра. Полезно для всяких мобильных девайсов и ноутбуков, которые подключаются откуда угодно.
Для всяких мобильных откуда угодно - да. Я ж не против шлюза, я не вижу необходимости шлюза для втвари.
Rushmore писал(а):3) Безопасность. На шлюзе можно дополнительно рулить политиками серверов: настройки шлюза всегда будут перебивать настройки сервера. К примеру, если политика шлюза запрещает проброс дисков с клиента, даже если на сервере случайно (или намеренно) это разрешили, то клиенты не смогут воспользоваться этой фичей, если будут подключаться через шлюз.
На сервере разрешили и потом сломали мозг пытаясь понять, почему оно не разрешилось...

Вижу причины в удобстве некоторых конфигураций. Спасибо за разъяснения, но этого мало. Там много надо писать, чтоб шлюз заработал. Нужна причина уровня "без шлюза не работает вот это". Что-то, для чего шлюз необходим.

Re: Шлюз терминалов

Rushmore » Чт июн 08, 2017 9:46 pm

aka писал(а):Нет. Потому что никто не смог объяснить мне, зачем нужен этот костыль.
Плюсы костыля:

1) Единая точка подключения снаружи внутрь периметра. Если надо открыть доступ снаружи к нескольким серверам, которые находятся внутри локалки за файерволлом, проще и удобнее открыть один порт 443 со шлюза терминалов, чем пробрасывать 100500 разных портов или городить ВПН.

2) Портабельность. Можно использовать одни и те же настройки клиентов как внутри, так и снаружи периметра. Полезно для всяких мобильных девайсов и ноутбуков, которые подключаются откуда угодно.

3) Безопасность. На шлюзе можно дополнительно рулить политиками серверов: настройки шлюза всегда будут перебивать настройки сервера. К примеру, если политика шлюза запрещает проброс дисков с клиента, даже если на сервере случайно (или намеренно) это разрешили, то клиенты не смогут воспользоваться этой фичей, если будут подключаться через шлюз.

Там много еще интересного. Но это то что я реально использую.

Re: Шлюз терминалов

aka » Чт июн 08, 2017 4:47 pm

TED писал(а):Чтобы не напрямую через не очень безопасный rdp подключаться, подключаемся через шлюз, под https.
Почему вы считаете, что rdp не очень безопасный?
И тем более - почему вы считаете, что https безопаснее rdp?
TED писал(а):VPN тоже вариант
Тоже вариант для решения какой задачи?
TED писал(а):но в наших реалиях проще шлюз включить, чем отдельно впн настраивать. (У нас сейчас временно используется VPN на ISA сервере)
"у нас так настроено", ага.

Re: Шлюз терминалов

TED » Чт июн 08, 2017 4:22 pm

Терминальный сервер стоит в основном здании. Пара терминальников в филиале. Чтобы не напрямую через не очень безопасный rdp подключаться, подключаемся через шлюз, под https.
VPN тоже вариант, но в наших реалиях проще шлюз включить, чем отдельно впн настраивать. (У нас сейчас временно используется VPN на ISA сервере)

Re: Шлюз терминалов

aka » Чт июн 08, 2017 3:07 pm

Нет. Потому что никто не смог объяснить мне, зачем нужен этот костыль. "У нас так настроено" - не аргумент. Назовите хоть одну техническую причину использовать шлюз терминалов на стационарном рабочем месте.

Шлюз терминалов

TED » Чт июн 08, 2017 1:33 pm

Добрый день! Простите, если было, но не нашел. Искал в конфиге, искал по форуму, не смог :)
Есть ли возможность в втвари подключаться к терминальному серверу через шлюз терминалов?

Вернуться к началу