Utilisation de Windows comme passerelle vers Internet

Mon client bloque actuellement le RDP sortant et SSH, ce qui signifie qu'aucun de ses employés ne peut accéder à des boîtes Windows et Linux externes (au niveau de la console). Cependant, un besoin a récemment été créé pour donner access à un éventail de points de terminaison RDP et SSH dispersés sur Internet. Les adresses IP du noeud final sont une cible en mouvement, et une list d'access existe pour définir ces adresses IP.

Donc, maintenant, mon client veut avoir un seul server Windows qu'il contrôle comme seul sharepoint sortie pour RDP / SSH sur Internet. Considérez-le une jump box to the internet . Si l'un de nos administrateurs a access à cette boîte Windows, ils peuvent se connecter et, à partir de là, rebondir vers des points d'extrémité RDP / SSH sur Internet.

Une boîte standard de Windows 2008 va-t-elle fonctionner comme une boîte de saut? Par exemple, je me souviens que Win2k8 limite le nombre d'users qui peuvent se connecter simultanément, ce qui signifie que la zone de saut peut ne pas être accessible si beaucoup d'users s'y trouvent. Conseils sur la façon de faire fonctionner …?

Ajoutez un server Windows comme votre «Boîte de départ», puis ajoutez le rôle de licence des Services Terminal Server dans une boîte 2k8 existante sur le réseau. Ensuite, vous pouvez avoir autant d'users que a) le matériel prend en charge et b) vous pouvez vous permettre d'acheter des licences pour. J'utilise une boîte 2k3 comme un server RDP (terminal) dans une configuration similaire et ça marche bien. Piggybacking RDP n'est pas formidable, mais c'est beaucoup mieux que rien. SSH sur le server de terminal est indiscernable de SSH sur la boîte locale. 2k8 vous permet de faire d'autres choses raffinées avec la virtualisation d'applications, mais je n'ai pas beaucoup d'expertise là-bas; D'après ce que je sais, il serait excessif dans votre situation.

Modifier: Informations récapitulatives sur les licences TS ici . Dans la page citée:

Pour utiliser la Licence TS pour gérer les CAL TS, vous devrez faire ce qui suit sur un server exécutant Windows Server 2008:

  1. Installez le service de rôle de Licence TS.
  2. Ouvrez le Gestionnaire de licences TS et connectez-vous au server de licences des Services Terminal Server.
  3. Activez le server de licences.
  4. Installez les CAL TS requirejses sur le server de licences.

Les licences sont par périphérique ou par user, je ne sais pas ce qui vous convient le mieux, mais le guide étape par étape est ici .

L'installation d'un server SSH sur la boîte est-elle une option? Si oui, pourquoi ne pas configurer un server SSH, et autoriser l'utilisation pour le transfert de ports uniquement. Fondamentalement, vous avez configuré un server SSH comme hôte bastion.

Si ce n'est pas une option, envisagez de configurer un VPN sur cette boîte. Les personnes établissent une connection au VPN, puis une fois la connection établie, permettez-les.

Le RDP peut être plus facile. Il semble que vous pourriez configurer le service de la passerelle Bureau à distance et configurer les stratégies pour permettre aux personnes souhaitées, utiliser cette passerelle pour toutes les connections.

Si vous prévoyez d'utiliser RDP pour vous connecter au «saut», puis utilisez le saut vers RDP dans d'autres boîtes, alors oui, vous aurez un problème. La boîte de sauts ne permettra que 2 connections, et l'exécution de sessions RDP piggyback est très lente. Cela fonctionnera, mais ce ne sera pas amusant 🙂

Est-ce un maximum de 2 connections RDP sortantes?

Non, c'est le nombre maximum d'users concurrents qui se connectent à votre boîte de sauts en utilisant RDP (vous ne pouvez avoir que deux sessions RDP entrantes sur un server Windows qui ne gère pas la licence du terminal).

Des meilleures options?
Je configurerais une boîte Linux avec ssh. Ensuite, permettez à vos administrateurs d'utiliser ssh pour le transfert des sessions ssh et rdp vers les machines distantes.

Vous pouvez facilement contrôler où permettre au trafic d'accéder (en utilisant iptables) et contrôler facilement l'access à la boîte sans coûts supplémentaires (autrement, le matériel).