Шлюз терминалов
Шлюз терминалов
Добрый день! Простите, если было, но не нашел. Искал в конфиге, искал по форуму, не смог
Есть ли возможность в втвари подключаться к терминальному серверу через шлюз терминалов?
Есть ли возможность в втвари подключаться к терминальному серверу через шлюз терминалов?
-
- Разработчик
- Сообщения: 11852
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Шлюз терминалов
Нет. Потому что никто не смог объяснить мне, зачем нужен этот костыль. "У нас так настроено" - не аргумент. Назовите хоть одну техническую причину использовать шлюз терминалов на стационарном рабочем месте.
Re: Шлюз терминалов
Терминальный сервер стоит в основном здании. Пара терминальников в филиале. Чтобы не напрямую через не очень безопасный rdp подключаться, подключаемся через шлюз, под https.
VPN тоже вариант, но в наших реалиях проще шлюз включить, чем отдельно впн настраивать. (У нас сейчас временно используется VPN на ISA сервере)
VPN тоже вариант, но в наших реалиях проще шлюз включить, чем отдельно впн настраивать. (У нас сейчас временно используется VPN на ISA сервере)
-
- Разработчик
- Сообщения: 11852
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Шлюз терминалов
Почему вы считаете, что rdp не очень безопасный?TED писал(а):Чтобы не напрямую через не очень безопасный rdp подключаться, подключаемся через шлюз, под https.
И тем более - почему вы считаете, что https безопаснее rdp?
Тоже вариант для решения какой задачи?TED писал(а):VPN тоже вариант
"у нас так настроено", ага.TED писал(а):но в наших реалиях проще шлюз включить, чем отдельно впн настраивать. (У нас сейчас временно используется VPN на ISA сервере)
Re: Шлюз терминалов
Плюсы костыля:aka писал(а):Нет. Потому что никто не смог объяснить мне, зачем нужен этот костыль.
1) Единая точка подключения снаружи внутрь периметра. Если надо открыть доступ снаружи к нескольким серверам, которые находятся внутри локалки за файерволлом, проще и удобнее открыть один порт 443 со шлюза терминалов, чем пробрасывать 100500 разных портов или городить ВПН.
2) Портабельность. Можно использовать одни и те же настройки клиентов как внутри, так и снаружи периметра. Полезно для всяких мобильных девайсов и ноутбуков, которые подключаются откуда угодно.
3) Безопасность. На шлюзе можно дополнительно рулить политиками серверов: настройки шлюза всегда будут перебивать настройки сервера. К примеру, если политика шлюза запрещает проброс дисков с клиента, даже если на сервере случайно (или намеренно) это разрешили, то клиенты не смогут воспользоваться этой фичей, если будут подключаться через шлюз.
Там много еще интересного. Но это то что я реально использую.
-
- Разработчик
- Сообщения: 11852
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Шлюз терминалов
Это же тоже "у нас так настроено".Rushmore писал(а):1) Единая точка подключения снаружи внутрь периметра. Если надо открыть доступ снаружи к нескольким серверам, которые находятся внутри локалки за файерволлом, проще и удобнее открыть один порт 443 со шлюза терминалов, чем пробрасывать 100500 разных портов или городить ВПН.
Для всяких мобильных откуда угодно - да. Я ж не против шлюза, я не вижу необходимости шлюза для втвари.Rushmore писал(а):2) Портабельность. Можно использовать одни и те же настройки клиентов как внутри, так и снаружи периметра. Полезно для всяких мобильных девайсов и ноутбуков, которые подключаются откуда угодно.
На сервере разрешили и потом сломали мозг пытаясь понять, почему оно не разрешилось...Rushmore писал(а):3) Безопасность. На шлюзе можно дополнительно рулить политиками серверов: настройки шлюза всегда будут перебивать настройки сервера. К примеру, если политика шлюза запрещает проброс дисков с клиента, даже если на сервере случайно (или намеренно) это разрешили, то клиенты не смогут воспользоваться этой фичей, если будут подключаться через шлюз.
Вижу причины в удобстве некоторых конфигураций. Спасибо за разъяснения, но этого мало. Там много надо писать, чтоб шлюз заработал. Нужна причина уровня "без шлюза не работает вот это". Что-то, для чего шлюз необходим.
-
- Сообщения: 592
- Зарегистрирован: Вт ноя 30, 2004 4:06 pm
- Откуда: Ростов-на-Дону
- Контактная информация:
Re: Шлюз терминалов
ВПН на паре Микротиков поднимается за 2 минуты. После чего работает всё и всегда.Rushmore писал(а): 1) Единая точка подключения снаружи внутрь периметра. Если надо открыть доступ снаружи к нескольким серверам, которые находятся внутри локалки за файерволлом, проще и удобнее открыть один порт 443 со шлюза терминалов, чем пробрасывать 100500 разных портов или городить ВПН.
А в данной схеме придётся таки пробрасывать 100500 портов для прочих служб, вроде SIP, видеонаблюдения, принтеров, внутренних проталов CRM и т.д.
Я про тот случай, когда работа не 100% ведётся в терминальном сеансе, а частично с персонального компьютера/ноутбука/смартфона пользователя.
А так же лови говолняк с поддержкой связанных протоколов (FTP, SIP+RTP, проброс видеопотока и дисков для RMM/iLo...)
PS
Наконец прочитал, что делает этот самый шлюз и убедился, что он действительно не нужен.
Re: Шлюз терминалов
2 ноутбука в одном филиале, 2 ноутбука в другом, 15 терминалов в третьем. На основной площадке порядка 30 терминальников на втвари.
Ноуты путешествуют между филиалами, плюс много удаленных сотрудников, которые подключаются по удаленке (порядка 40 клиентов на ноутах).
Микротиков не наберешься на пары ноутбуков. Шлюз работает отовсюду и https в принципе сам по себе безопаснее rdp. (Я не прав? Объясните)
Шлюз необходим для единого централизованного управления разрешенными серверами для публикации, управления пользователями с разрешенными удаленным подключением, и, что самое важное, безопасным подключением одних к другим по защищенному каналу, без необходимости открывать кучу портов для рдп, настраивать впны, давать админские права на клиентах, и прочие костыли (это к слову о том, у кого что костыль, и у нас так настроено, ага). Шлюз - это специально разработанная фича для рдп, и она реально удобная.
Ноуты путешествуют между филиалами, плюс много удаленных сотрудников, которые подключаются по удаленке (порядка 40 клиентов на ноутах).
Микротиков не наберешься на пары ноутбуков. Шлюз работает отовсюду и https в принципе сам по себе безопаснее rdp. (Я не прав? Объясните)
Шлюз необходим для единого централизованного управления разрешенными серверами для публикации, управления пользователями с разрешенными удаленным подключением, и, что самое важное, безопасным подключением одних к другим по защищенному каналу, без необходимости открывать кучу портов для рдп, настраивать впны, давать админские права на клиентах, и прочие костыли (это к слову о том, у кого что костыль, и у нас так настроено, ага). Шлюз - это специально разработанная фича для рдп, и она реально удобная.
Re: Шлюз терминалов
RDP тоже умеет ssl - надо только настроитьTED писал(а): https в принципе сам по себе безопаснее rdp.
-
- Разработчик
- Сообщения: 11852
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Шлюз терминалов
Шлюзы рулят для путешествующих сотрудников. Из какой-нибудь гостиницы с корявым интернетом, в котором закрыто всё кроме http/https, только через шлюз териналов и выйти. Но в таких местах не надо использовать втварь! Втварь - стационарный клиент. А для стационарного клиента лучше потрудиться настроить VPN, оно потом ещё не раз пригодится.TED писал(а):Ноуты путешествуют между филиалами, плюс много удаленных сотрудников, которые подключаются по удаленке (порядка 40 клиентов на ноутах). ... Шлюз - это специально разработанная фича для рдп, и она реально удобная.
-
- Разработчик
- Сообщения: 11852
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Шлюз терминалов
Настоящие параноики даже TLS 1.0 запрещают и TLS 1.2 настраивают: https://forum.wtware.com/viewtopic.php?f=23&t=47423Dim-soft писал(а):RDP тоже умеет ssl - надо только настроитьTED писал(а): https в принципе сам по себе безопаснее rdp.
-
- Сообщения: 592
- Зарегистрирован: Вт ноя 30, 2004 4:06 pm
- Откуда: Ростов-на-Дону
- Контактная информация:
Re: Шлюз терминалов
Доброго вечера (GMT+3)!
Я полностью согласен, что проще и лучше настроить VPN на микротах, чем вступать в отношения со всякими шлюзами.
Однако возникла задача. Вот облако https://42clouds.com/ru-ru/
Для работы с ним по RDP требуется поддержка NLA:
Я полностью согласен, что проще и лучше настроить VPN на микротах, чем вступать в отношения со всякими шлюзами.
Однако возникла задача. Вот облако https://42clouds.com/ru-ru/
Для работы с ним по RDP требуется поддержка NLA:
Хотелось бы настроить подключение строкой в меню.Для пользователей OC GNU\Linux необходимо установить RDP-клиент с поддержкой NLA (проверка подлинности на уровне сети) и режима работы через шлюз терминалов.
После успешной установки выполните подключение к удаленному рабочему столу с помощью команды
xfreerdp /v:ts-farm.42clouds.com /f /u:your_login /p:your_password /d:ad /g:gateway.42clouds.com /gu:your_login /gp:your_password /gd:ad /gt:rpc +clipboard /sec:nla /cert-ignore
где параметры
/v:ts-farm.42clouds.com - адрес подключения
/f - полноэкранный режим
/u:your_login - ваш логин от 42 Clouds
/p:your_password - ваш пароль от 42 Clouds
/d:ad - домен
/g:gateway.42clouds.com - адрес шлюза терминалов
/gu:your_login - ваш логин от 42 Clouds
/gp:your_password - ваш пароль от 42 Clouds
/gd:ad - домен
/gt:rpc - взаимодействие с Windows-службой RPC
+clipboard - поддержка буфера обмена
/cert-ignore - игнорировать ошибки сертификатов
-
- Разработчик
- Сообщения: 11852
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Шлюз терминалов
Можно я не буду комментировать людей, которые вводят пароль в командную строку? Втварь с такими не работает. Автор брезгует.
-
- Сообщения: 592
- Зарегистрирован: Вт ноя 30, 2004 4:06 pm
- Откуда: Ростов-на-Дону
- Контактная информация:
Re: Шлюз терминалов
Ну ёлы-палы... Никто ж не заставляет!
А по существу вопроса..?
А по существу вопроса..?
Последний раз редактировалось Barvinok Вт фев 02, 2021 12:58 pm, всего редактировалось 1 раз.
-
- Разработчик
- Сообщения: 11852
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Шлюз терминалов
В планах, но не прямо сейчас. Писать много. Тут аппаратная акселерация h264 на малине поехала, неплохо так выходит. Зарелизим h264 и будем посмотреть.
-
- Сообщения: 592
- Зарегистрирован: Вт ноя 30, 2004 4:06 pm
- Откуда: Ростов-на-Дону
- Контактная информация:
Re: Шлюз терминалов
Вот в этом месте спустя четыре года хочу внести поправочку.aka писал(а): ↑Чт июн 22, 2017 11:15 amШлюзы рулят для путешествующих сотрудников. Из какой-нибудь гостиницы с корявым интернетом, в котором закрыто всё кроме http/https, только через шлюз терминалов и выйти. Но в таких местах не надо использовать втварь! Втварь - стационарный клиент. А для стационарного клиента лучше потрудиться настроить VPN, оно потом ещё не раз пригодится.
При наличии запиленного wireguard, локального Хрома/скайпа/sip-phone, малинку c WTW сотрудники запросто таскают домой.
Можно и на ноут поставить для путешествий/командировок.
Локальный десктоп же.
-
- Разработчик
- Сообщения: 11852
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Шлюз терминалов
Никакого движения. Он обязательно будет сделан, когда больше станет нечего делать. Наверное не в этом году.
Re: Шлюз терминалов
Очень печально, что нет подключения к шлюзу терминалов.
В начале я обрыл всё, думаю, а где, а на форум а тут...хмммм...крайне опечален.
Думаем перевести для теста часть компьютеров в офисе на втвари и далее, а тут такая подстава, уже столько лет и нет решения.
По чему используется шлюз, коллеги всё выше написали, нет у нас пользовательского vpn принципиально.
В начале я обрыл всё, думаю, а где, а на форум а тут...хмммм...крайне опечален.
Думаем перевести для теста часть компьютеров в офисе на втвари и далее, а тут такая подстава, уже столько лет и нет решения.
По чему используется шлюз, коллеги всё выше написали, нет у нас пользовательского vpn принципиально.
Re: Шлюз терминалов
Вообще не вижу нужды в шлюзе! Грамотно реализовать сеть + ВПН и все дела.
Вот например: у нас имеется:
4 физических сервера в датаценте, 1 сервер в центральном офисе.
На этих серверах крутится vmware.
На серверах в датацентре: 4-PFSense, 1server 2016 (WTWARE), 2-freepbx, 1-Linux server (docker, freepbx, srm), 1-Server 2016 (1C-SQL), 6-Server 2016 (RDP), 2-Linux mail server, 1- виртуальный Synology NAS "xpenology"( для бэкапов и частично файловой помойки).
В офисе, в принципе уже ничего не осталось кроме PfSense, СКУД и видеонаблюдения.
В 5-ти PfSense поднял Wireguard VPN, настроил маршрутизацию кто, откуда и куда должен ходить, и что видеть!
Имеется 4 доп офиса по 5-10 рабочих мест, там ставлю маршрутизаторы Keenetic и через wireguard VPN коннектим их куда надо. Плюс около 25 сотрудников работают из дома. Все пользователи работают на wtware. Ставлю её "HP 5740" или "raspberry pi 3b+" этого хватает!
Доступ к серверам ограничен по ip. Ну и т.д.
Вот например: у нас имеется:
4 физических сервера в датаценте, 1 сервер в центральном офисе.
На этих серверах крутится vmware.
На серверах в датацентре: 4-PFSense, 1server 2016 (WTWARE), 2-freepbx, 1-Linux server (docker, freepbx, srm), 1-Server 2016 (1C-SQL), 6-Server 2016 (RDP), 2-Linux mail server, 1- виртуальный Synology NAS "xpenology"( для бэкапов и частично файловой помойки).
В офисе, в принципе уже ничего не осталось кроме PfSense, СКУД и видеонаблюдения.
В 5-ти PfSense поднял Wireguard VPN, настроил маршрутизацию кто, откуда и куда должен ходить, и что видеть!
Имеется 4 доп офиса по 5-10 рабочих мест, там ставлю маршрутизаторы Keenetic и через wireguard VPN коннектим их куда надо. Плюс около 25 сотрудников работают из дома. Все пользователи работают на wtware. Ставлю её "HP 5740" или "raspberry pi 3b+" этого хватает!
Доступ к серверам ограничен по ip. Ну и т.д.