none
Accesso internet a remote app_non trovo il problema RRS feed

  • Domanda

  • ciao a tutti.

    un mio cliente dispone di un  software per la gestione aziendale con un costosissima licenza per postazione pari a oltre 1500€ all'anno.

    Essendo 15 postazioni i costi lieviterebbero e non di poco ma allo stesso tempo e possibile avviare più task dello stesso con utenze diverse nello stesso pc.

    L'idea e la seguente, installare in un pc apposito il software citato e rendere via desktop remoto per ogni utente il software disponibile per l'accesso da ogni postazione sparse per la penisola.

    Fin qui tutto ok. per mezzo della apertura della porta 3389 classica gli utenti si connetto e utilizzano il software in armonia senza problemi.

    Ma non solo. ho configurato tutte le stampati di ogni postazione per far si che dal desktop remoto alla stampa questo stampi sul pc da dove si esegue il software per mezzo di desktopo remoto.

    Ora il cliente mi contatta nuovamenti con la seguente richiesta.

    Vorrebbe che dal browser digitanto "www.sito.com" possa eseguire lo stesso applicativo.

    Cosa assolutamente fattibile con le remote app e l''applicativo rd web desktop remoto.

    dopo diverse guide microsoft e non ho potuto configurare quanto richiesto ma ho un paletto per raggiungere la vetta e poter formulare un preventivo.

    Su rete locale se digito da IE l'indirizzo fisico del server "https://10.0.0.10/RDWeb" questo risponde correttamente e le app remote si aprono correttamente.

    IL problema nasce con l'accesso remoto, che con ip pubblico diventa https://5.14.100.7/RDWeb ---> port forwaport forwarding ----> TCP 443 e 3389 ----> 192.168.1.122.

    qui avviene il problema....il server e pubblicato correttamente sul web e risponde, le app compaiono completamente ma una volta che provo ad eseguirle il server sgancia e mi da l'errore "remote app disconnessa".

    Ora le porte 3389 e 443 sono aperte e verificate e non capisco se un'altra porta deve essere aperta che non conosco oppure ce qualche impostazione di sicureza che sicuramente non ho abiltato.

    mercoledì 28 dicembre 2016 03:01

Risposte

  • ciao a tutti eccomi di nuovo.

    IL problema è stato risolto.

    quindi ricapitolando : www.sito.com/rdweb ----> forwarding su porta 80 per accedere al server web 

    user name e password assengnato e autenticazione avvenuta il server web mi mostra la lista di applicazioni remote in questo caso la calcolatrice.

    Clicco su calcolatrice e mi chiede le credenziali "sicurezza windows" le inserisco e tramite porta 3389 la calcolatrice si apre.

    il problema ??

    In impostazioni Distribuzione Come nome server ho inserito non il nome del server in questo caso "Server"

    ma l'intero dominio ovvero "www.nomedominio.net" ed ecco che anche con una connessione da cellulare come modem il tutto funziona perfettamente.

    Ora posso procedere alla installazione di un HTTPS con certificato valido e configurare e mettere in sicurezza il tutto.Vi ringrazio per la collaborazione e prenderò in esame la vpn come soluzione e sarà il cliente a decidere....

    lunedì 2 gennaio 2017 16:48

Tutte le risposte

  • Ciao, sprova a verificare pubblicando una app standard (es. calcolatrice).

    Saluti
    Nino

    mercoledì 28 dicembre 2016 08:02
    Moderatore
  • Ciao , puoi provare a farli accedere in vpn , avresti traffico più sicuro e nessun problema di forwarding.

    QuirinoS

    mercoledì 28 dicembre 2016 09:42

  • Fin qui tutto ok. per mezzo della apertura della porta 3389 classica gli utenti si connetto e utilizzano il software in armonia senza problemi.


    Ma insomma...veramente il cliente dovrebbe essere informato che una 3389 aperta senza una vpn è un buco di sicurezza grande come una casa...non si lasciano porte terminal aperte...ci vuole poco a bucarle..Supporto pienamente QuirinoS, ci va messa una VPN client to site, a quel punto risolvi anche tutti i problemi di protocolli che non vanno visto che è tutto aperto sul traffico.

    Quella 3389 va chiusa...ed anche in fretta..

    ciao.

    A.

    giovedì 29 dicembre 2016 18:09
    Moderatore
  • ciao a tutti e grazie per le risposte.

    in fase di test ho citato la 3389 e configurata ma posso cambiarla, ma non solo una volta compreso il problema applicherò dei filtri e le connessioni potranno avvenire solo da determinati host gli altri verrano scartati quindi non capisco il problema di scurezza.

    sono link che non andranno indicizzati e risponderanno a porte specifiche tra l'altro ho fatto in modo che il dominio non sia pingabile.

    Una volta fatto funzionare a dovere con le impostazioni standard prenderò tutti i provvedimenti necessari e forse seguire il consiglio della vpn.

    ora il problema non e ne il port forwading quindi prima di mettere il sicurezza il tutto devo farlo funzionare.

    non ha senso ora applicare tutti i criteri di sicurezza se da internet il server mi sbatte fuori.

    Ricapitolando il mio problema :

    che da locale digiti l'ip del server o il dominio tutto funziona correttamente.

    Con accesso da rete esterna per comprenderci da un'altra adsl tutto funziona correttamente fino a quando non provo a lanciare il software elencato in remote app.

    ottengo l'errore "remote app disconnessa ecc."

    Per rispondere a nino i test sono fatti appunto con la calcolatrice.

    lunedì 2 gennaio 2017 14:17
  • il server rds è protetto in qualche modo da un firewall, da un'appliance, si trova in una dmz o ha qualche particolare configurazione che ritieni di dover segnalare ?

    com'è connesso questo server RDS a internet ?

    puoi postare un ipconfig /all di questo server RDS ?


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    edo[at]mvps[dot]org

    lunedì 2 gennaio 2017 14:34
    Moderatore
  • Ci sono una serie di osservazioni nle tuo discorso che non sono corrette: - il non pingabile non vuol dire che i servizi non sono esposti o che con un normale scanning sull'ip pubblico le porte risultino chiuse, hai solo rimosso la risposta icmp. Se hai aperta una porta risponde. - cambiare la porta non è una soluzione, come sopra. Se provo a bucarti un servizio mi importa poco che porta è, può essere triggerata, quindi i metodi di accesso li provo tutti. - terzo ed ultimo, perchè sistemare tutto per avere una cosa vulnerabile quando con una vpn sarebbe già funzionante non lo capisco. Oggigiorno meno servizi esponi meglio è, a meno che non investi fior di quattrini nella protezione, certificati ssl ad esempio per dirne una. Mi trovo quindi a riproporre la soluzione vpn, se fossi un cliente vorrei sapere se il mio sysadmin mi espone a vulnerabilità ed in questo caso lo stai facendo anche se non ne sei convinto. Vedi tu. Ciao. A.
    lunedì 2 gennaio 2017 15:45
    Moderatore
  • ciao e grazie per le tue osservazioni.

    Vorrei prima comprendere il funzionamento del servizio.

    Poi provvederò alla sicurezza....il cliente mi ha fatto una specifica richiesta, quando il servizio che mi ha chiesto sarà operativo esporrò tutte le vulnerabilità e non sarò io a decidere.

    Per rispondere ad edoardo tutti i firewall sono disabilitati, antivirus compresi.

    come spiegato prima e necessario che prima funzioni il tutto poi provvederò alle successive configurazione inclusi certificati ecc.

    ma se così non va da adesso cosa sto a configurare firewall e protezioni per crearmi ancora più problemi.

    lunedì 2 gennaio 2017 16:26
  • ciao a tutti eccomi di nuovo.

    IL problema è stato risolto.

    quindi ricapitolando : www.sito.com/rdweb ----> forwarding su porta 80 per accedere al server web 

    user name e password assengnato e autenticazione avvenuta il server web mi mostra la lista di applicazioni remote in questo caso la calcolatrice.

    Clicco su calcolatrice e mi chiede le credenziali "sicurezza windows" le inserisco e tramite porta 3389 la calcolatrice si apre.

    il problema ??

    In impostazioni Distribuzione Come nome server ho inserito non il nome del server in questo caso "Server"

    ma l'intero dominio ovvero "www.nomedominio.net" ed ecco che anche con una connessione da cellulare come modem il tutto funziona perfettamente.

    Ora posso procedere alla installazione di un HTTPS con certificato valido e configurare e mettere in sicurezza il tutto.Vi ringrazio per la collaborazione e prenderò in esame la vpn come soluzione e sarà il cliente a decidere....

    lunedì 2 gennaio 2017 16:48