ASA 5505 RDP

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
siland

Salve a tutti.

Ho la necessità di far utilizzare ad un operatore un client RDP in una sede distaccata dell'azienda (ip pubblico sede distaccata xxx.yyy.zzz.kkk) per accedere al server dietro ad un ASA 5505.
Purtroppo sul client non ho la possibilità, per motivi aziendali del cliente, di installare un anyconnect client per cui dovrei far accedere il client in maniera diretta.
Ho provato a configurare l'asa nel seguente modo (seguendo una guida online):

object network rdpuser-1
host xxx.yyy.zzz.kkk
object network rdp-host-pc
host 192.168.1.20
object service newRDP
service tcp source eq 3389
object network internal_RDS_NAT
host 192.168.1.20
object-group network rdp-group
network-object object rdpuser-1
network-object object rdpuser-2
access-list outside_access_in extended permit object newRDP object-group rdp-group object rdp-host-pc
object network internal_RDS_NAT
nat (inside,outside) static interface service tcp 3389 3389
access-group outside_access_in in interface outside

Purtroppo, però, non funziona.
Secondo voi, dove sto sbagliando?

Ciao e grazie
SA
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

Non vedo il nat verso la macchina 192.168.1.20 (che immagino essere il server)
Con il nat che hai fatto tu hai aperto l'RDP dall'esterno ma non hai detto all'ASA di "mappare" il server e il client se cerca il servizio RDP sull'indirizzo pubblico gestito dall'ASA non sà poi come arrivare al server.

prova a fare il nat così:

Codice: Seleziona tutto

nat (inside,outside) tcp interface 3389 192.168.1.20 3389
L'unica cosa che vedo io è quella.

Però tieni presente che c'è la possibilità di far accedere i client direttamente attraverso l'asa a dei client interni, non ricordo esattamente come si chiama la modalità ma è clientless,. Prova a cercare in giro, così faresti ancora prima e non vai a pubblicare l'RDP si un server sull'interfaccia pubblica ;)

Rizio
Si vis pacem para bellum
siland

Grazie per la risposta.

Però ho una versione 8.4 e il comando che mi hai fornito non sembra funzionare. Per caso sai indicarmi il relativo comando? Ho provato a googlare un po' ma ho qualche difficoltà.
Per quanto riguarda il clientless ti riferisci alla webvpn? Se sì, non è possibile utilizzarla dato che sull'ASA ho installato una licenza Anyconnect Essentials con estensioni Mobile che, a quanto letto in giro, sembra inibire la possibilità di utilizzo dell webvpn.

Ciao e grazie
SA
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

Io ho una 8.2, in effetti è un pò datata ormai.... non ho ram per fare l'upgrade (e quella certificatga Cisco costa una follia inutilmente!!! :( )
Purtroppo il comando per la 8.4 non saprei come metterlo giù, ma dove ti segna l'errore? Postami l'output del comando che vediamo di capire meglio.

Riguardo alla licenza si, mi riferivo proprio a quello, mi spiace allora.
E se tu recuperassi un altro router/asa piccolo (Es. un 5505 o un altro 1801 tipo) su cui far girare il webvpn? Potrebbe essere una soluzione percorribile?
Non ti saprei però dire un device (non di classe ASA) che sicuramente fà girare il server webvpn, dovresti informarti da qualche commerciale cisco un pò tecnico e capace.

Rizio
Si vis pacem para bellum
siland

Purtroppo gli ultimi consegnati hanno tutti 8.4 (in bene e in male) e non ho ancora avuto il tempo materiale per vedere bene le modifiche sulle NAT anche perchè normalmente effettuo solo connessioni tp2l o l2l in VPN.
Ho risolto in maniera, forse poco ortodossa:

ho configurato la SSLVPN (WebVPN) su una sede secondaria dove gli ASA hanno la licenza base, quindi accettano la WebVPN, e faccio passare la connessione da questo firewall.

Grazie mille, comunque, per il supporto.

SA
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

Ok, beh, l'importante è che tu sia riuscito a risolvere.
Rimango comunque nel dubbio su cosa non ti prendeva del comando nat la versione 8.4. ma amen, me lo toglierò appena faccio l'upgrade di OS.

Ciao
Rizio
Si vis pacem para bellum
siland

Scusa se non te l'ho scritto.

Dava un errore di sintassi errata dopo ...outside)

Da quel che ho potuto vedere le nat vengono dichiarate all'interno dell'object relativo ed è cambiata la sintassi dalla 8.2.

Appena risolvo, comunque, replico al messaggio.

Ciao
SA
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

Ok, tnk's
Si vis pacem para bellum
Rispondi