[2003] RDP op poort 80 naast IIS*

Ik zit met het volgende probleem: op mijn werk draaien we een Windows 2003 Server met Terminal Server erop. Sommige klanten hebben connecties via de default poort (3389) dichtgezet: vaak is er wel verkeer mogelijk via poort 80.

Nu weet ik hoe ik de listening poort van TS moet veranderen, alleen draaien we ook IIS op poort 80 op de Win2k3 server. Deze gaan elkaar dus bijten. Een optie (aangezien we geen https gebruiken, is de listening poort op 443 te zetten. Ik heb nog niks kunnen proberen (ik riskeer liever niet om de TS listening poort op de server vanaf thuis te veranderen en dan er niet meer bij te kunnen), maar een alternatief idee is misschien dit:

1. TS web connection installeren op de server
2. Een nieuwe website in IIS definieren, op poort 80 maar dmv een host header (blabla.dyndns.org oid) te onderscheiden.
3. De properties van de nieuw gedefinieerde website zo instellen dat deze website naar een andere poort op de server verwijst (dus http://blabla.dyndns.org:3389)

Vervolgens zou je (hopelijk) bij klanten dan in een webbrowser via http://blabla.dyndns.org op de server moeten kunnen komen, maar of dit dus werkt weet ik niet.

Mijn vraag is dus of iemand weet of dit gaat werken, maar eigenlijk liever of iemand een alternatief weet aangezien dit het enige is wat ik kan bedenken om toch een connectie te kunnen maken.

Verwijderd schreef op donderdag 24 maart 2005 @ 13:37:
je zal dan een http tunnel oid moeten gebruiken. tenminste als ze alleen http verkeer toestaan ga ik er vanuit dat er ook een proxy staat...

Er staat inderdaad een proxy bij de meesten.

EN ik las net dit:

wat je ook kan doen met de nieuwe tsweb versie is de default.htm aanpassen. Zoek naar de regels waar MsRdpClient.AdvancedSettings2 staan en voeg een extra regel met toe met : MsRdpClient.AdvancedSettings2.RDPPort = xxxx .

Zo zou ik dus mijn TS Web Connection aan kunnen passen om over poort 80 te werken. De vraag is alleen of ik IIS kan gebruiken om op de server (via host header) het verkeer te forwarden naar de TS server. Anders moet ik inderdaad op de router van mijn werk poort 443 open moeten zetten en deze moeten forwarden naar poort 3389 op de server.

Eens kijken of ik beide opties kan uitproberen zonder dat er dingen erg mis gaan.

sanfranjake schreef op donderdag 24 maart 2005 @ 13:47:
Als ze het protocol blokkeren heb je nog steeds weinig kans natuurlijk

Jah dat klopt...
Maar ik denk dat er toch wel enkelen zijn die alleen de poorten dichtzetten en niet het protocol. (weinig cisco's gezien iig )

Het was ook maar een voorbeeldje... de meesten gebruiken namelijk Vigors enzo (hier en daar ook Linksys) en voor zover ik weet hebben die alleen een poort en site blocker. De grotere gebruiken ook ISA ja, maar dan ligt het nog aan de instellingen...

timcooijmans schreef op donderdag 24 maart 2005 @ 15:12:
Draai je een router? Anders zou je bijv. poort 81 82 whatever, kunnen door routen naar 3389 intern

Jazeker, maar dit gaat natuurlijk voorbij aan het probleem met de verbinding die ik vanuit klanten mag maken (alleen naar poort 80 / 443 van externe servers). Het portforwarden was dan waarschijnlijk ook niet nodig geweest, want als ik poort 81 of 82 mag benaderen, dan was poort 3389 ook geen probleem geweest

Het werkt gedeeltelijk:

• Listening Port veranderd naar 443
• Router aangepast
• verbinden met adres.nl:443

Het werkt dus alleen niet op plekken waar ze het protocol geblokkeerd hebben, maar bij het grootste gedeelte van de klanten kijkt men alleen naar poorten en adressen.

Helemaal goed werkt het dus nooit, maar ik ben iig een stuk geholpen. Bedankt voor de reacties!

Uiteindelijk hebben we het opgelost door een SSH Server te installeren, te weten Bitvise WinSSHD. Hiermee kun je een SSH connectie leggen en vervolgens een Remote Desktop Sessie hierover openen. Je moet dan wel gebruik maken van het (gratis) programmaatje Tunnelier (ook van Bitvise) maar het draait als een tierelier!

Hmm... je hebt een punt, alhoewel ik "omzeilen van een beveiliging" een iets te overtrokken set termen vind om deze situatie te beschrijven. De meeste firewall rules zijn ingesteld om de meest standaard aanvallen (dus een doelbewuste poging van buitenaf) af te weren. Dat dit betekent dat ik mijn werk niet goed kan doen is een lastige bijkomstigheid, maar als ik met medeweten van de mensen daar de benodigde connectie kan maken zonder dat daar (soms op vele niveaus hoger) aanpassingen aan het netwerk voor gedaan hoeven worden dan is dat een workaround in mijn optiek.

Het is dat we geen inbelmogelijkheid meer hebben, maar anders had het hele euvel ook omzeild kunnen worden door in te bellen met een ISDN of analoge telefoonlijn binnen het bedrijf, maar aangezien ook dat niet mogelijk is, moet je creatief zijn.

En dan te bedenken dat we die RDP nodig hebben om vanaf het IP van het werk (anderen worden niet toegestaan) remote configuratie van clienten mogelijk te maken