Toon posts:

NGINX & Microsoft Remote Desktop

Pagina: 1
Acties:

Vraag


  • Chris-1992
  • Registratie: Maart 2018
  • Laatst online: 25-01 09:10
Wij hebben momenteel een Reverse Proxy opstaan via PFsense & HAProxy.
Dit werkt allemaal zoals het moet werken.

Nu willen wij migreren naar NGINX als Reverse Proxy maar hier stoten we tegen één probleem.
Remote Desktop Work resources.



Hij kan de URL wel vinden maar bij het inloggen krijg ik steeds de melding dat ik een verkeerd account en/of paswoord gebruik.
Voorbeeld URL: https://example.domain.com/RDWeb/feed/webfeed.aspx

Wanneer we rechtstreeks naar de RDWEB surfen is er geen enkel probleem.
Dan werkt mijn login en krijg ik de correct RDAPP's terug.
Voorbeeld URL: https://example.domain.com/RDWeb/Pages/en-US/login.aspx

Dit is de config van NGINX.


Iemand een idee waar ik moet beginnen zoeken?

Alle reacties


  • TommieW
  • Registratie: December 2010
  • Laatst online: 17:04

TommieW

Numa numa.

Zie je nog bijzonderheden in de access/error logs van Nginx? (Iets anders dan status 200?)
Wat was de config van HAProxy?
Toevallig in de Windows Event Viewer nog iets te vinden van foutmeldingen? (Maar dat is misschien wat meer zoekwerk, aangezien dat vaak een gedrocht is om doorheen te klikken.)

Als je echt helemaal los wil gaan, kan je een packet capture doen met HAProxy en met Nginx en vergelijken of je ander gedrag ziet, bijvoorbeeld missende headers.

1700X@3,9GHZ - Asus Crosshair VI Hero - 32GB Corsair LPX - GTX 1070Ti
iPhone 13 Pro Max - Macbook Pro 16" M1 Pro


  • Chris-1992
  • Registratie: Maart 2018
  • Laatst online: 25-01 09:10
@TommieW
In de eventviewer kan ik niks terugvinden hierover.

In NGINX vind ik dit terug.

  • TommieW
  • Registratie: December 2010
  • Laatst online: 17:04

TommieW

Numa numa.

Nginx geeft dus een Unauthorized terug. Zou me niet verbazen als hij ergens een header mist. Ik denk dat je toch iets moet met m'n twee andere suggesties ;)

1700X@3,9GHZ - Asus Crosshair VI Hero - 32GB Corsair LPX - GTX 1070Ti
iPhone 13 Pro Max - Macbook Pro 16" M1 Pro


  • Xelefim
  • Registratie: Maart 2019
  • Laatst online: 24-01 11:49
Chris-1992 schreef op maandag 14 november 2022 @ 22:24:
@TommieW
In de eventviewer kan ik niks terugvinden hierover.

In NGINX vind ik dit terug.
[Afbeelding]
op de gateway vind je ook niks terug??

- BSc TI + CCNA R&S (Expired ofcourse) + CCNA SEC (Also expired ofc)-


  • Chris-1992
  • Registratie: Maart 2018
  • Laatst online: 25-01 09:10
Xelefim schreef op dinsdag 15 november 2022 @ 10:22:
[...]


op de gateway vind je ook niks terug??
Nee, ook niks te zien.

  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 16:00

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Ik ken nginx niet, maar krijg je met onderstaande config niet een certificaatfout?

code:
1
proxy_pass https://172.16.10.101:443


Ik zou die url even op FQDN proberen.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


  • Xelefim
  • Registratie: Maart 2019
  • Laatst online: 24-01 11:49
hmm... ikzelf gebruik altijd een WAP als reverse proxy en niet NGINX.
je configuratie lijkt me vrij kaal als je ook rdp-stream erdoor wilt kunnen krijgen.

op wat heb je je configuratie gebaseerd? iets dat je online hebt gevonden en dat zou moeten werken?

- wat als je rdp doet via een mstsc icoontje (incl gateway)?

- BSc TI + CCNA R&S (Expired ofcourse) + CCNA SEC (Also expired ofc)-


  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 21:58

Hero of Time

Moderator LNX

There is only one Legend

Je PFsense die HAproxy gebruikt werkt prima. Wat is de reden om voor Nginx te gaan en van HAproxy af te stappen? Nginx is veel meer dan een reverse proxy, wat naar mijn mening onnodig 'zwaar' is voor wat het moet doen.

Maar kijk eens naar je HAproxy configuratie. Hoe staat die ingesteld? Als je echt Nginx wilt gebruiken, moet het prima mogelijk zijn om de configuratie te vertalen. Tenzij HAproxy in tcp mode staat, ipv http mode.

Commandline FTW | Tweakt met mate


  • Chris-1992
  • Registratie: Maart 2018
  • Laatst online: 25-01 09:10
@Question Mark
Dan krijg ik inderdaad een cert fout, maar NGINX gaat het certificaat gebeuren overnemen en gaat bij de communicatie tussen NGINX en RDS het certificaat fout negeren.

@Xelefim
De RDP stream zelf gaat er niet door.
Die gaat over een ander IP en poort.
De RDWEB pagina werkt ook correct, kan mijn rdp icoontjes downloaden en gebruiken.
Maar als ik probeer met work resources geeft hij AUTH fout.
-> Na het inloggen krijg ik (normaal) een TXT file terug met encryption key

@Hero of Time
Ik wil van HAproxy afstappen omdat ik hier geen certificaten kan voorzien voor domeinen die ik niet in beheer heb. (toch niet dat ik weet? :D)
Ik moet elke 3 maand een TXT record aanmaken of verbinden via een API om nieuwe certificaten aan te vragen.
Bij NGINX gaat dit wel via Let's encrypt.

Type HTTP.

  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 21:58

Hero of Time

Moderator LNX

There is only one Legend

Chris-1992 schreef op woensdag 16 november 2022 @ 11:30:
@Hero of Time
Ik wil van HAproxy afstappen omdat ik hier geen certificaten kan voorzien voor domeinen die ik niet in beheer heb. (toch niet dat ik weet? :D)
Ik moet elke 3 maand een TXT record aanmaken of verbinden via een API om nieuwe certificaten aan te vragen.
Bij NGINX gaat dit wel via Let's encrypt.
Ah, maar hier maak je dan een fout. HAproxy kan wel degelijk met Let's Encrypt werken. Certbot heeft namelijk een ingebouwde webserver en het enige wat je dan moet doen, is een backend in HAproxy toevoegen om naar die instantie te verwijzen als het pad begint met /.well-known. :)

Zie o.a. https://www.lucastechblog...haproxy-and-lets-encrypt/ en https://serversforhackers.com/c/letsencrypt-with-haproxy als je geen LUA script zaken wilt gebruiken (en de methode die ik bedoel).

HAproxy kan SSL certificaten uit een map halen en kijkt naar de private key die erbij hoort aan de hand van de bestandsnaam. Dus iets als certificaat.pem heeft bijgehorende key certificaat.key (of certificaat.pem.key, weet even niet meer exact welke van de twee formaten het pakt) wat HAproxy automatisch oppakt. Zou de key certificate.key heten, dan werkt het niet, want niet dezelfde naam als het certificaat.

Enige kleinigheidje waar je mee zit, is dat je HAproxy op je PFsense draait en niet een server waar je eenvoudiger de config kan aanpassen.

Commandline FTW | Tweakt met mate


  • paror
  • Registratie: Mei 2009
  • Laatst online: 17-01 15:01
Misschien iets kleins maar in mijn nginx config staat geen poort ip:443 maar gewoon de https://url
En niet specifiek een :443 poort erachter, wellicht een klein dingetje die een redirect breekt van rdweb?

Daarnaast had ik rare 401 errors tot ik het volgende toevoegde in nginx config

proxy_read_timeout 3500;
proxy_connect_timeout 3500;
proxy_send_timeout 1500;
proxy_buffer_size 16k;
proxy_buffers 32 16k;
proxy_busy_buffers_size 64k;
Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee