Как проксировать трафик Remote Desktop Gateway через Nginx?

Question

[Александр Абакумов]

Доброго всем дня.
Есть у меня 2 IP адреса, один заюзан на почту, второй под вебом(Nginx проксирует во внутренние службы)
Поднял на одном из сервером роль Remote Desktop Gateway, но незадача в том, что трафик на него я могу прокинуть только proxy_pass через Nginx.
Напрямую если обращаться к шлюзу все работает, но если отправлять трафик через Nginx то не работает, в круговую запрашивает пароль, а в логах следующее:
access.log

[02/Nov/2022:02:31:08 +0500] "RPC_IN_DATA /rpc/rpcproxy.dll?localhost:3388 HTTP/1.1" 401 13 "-" "MSRPC" "-"
[02/Nov/2022:02:31:08 +0500] "RPC_OUT_DATA /rpc/rpcproxy.dll?localhost:3388 HTTP/1.1" 401 13 "-" "MSRPC" "-"
 [02/Nov/2022:02:31:09 +0500] "RPC_OUT_DATA /rpc/rpcproxy.dll?localhost:3388 HTTP/1.1" 401 13 "-" "MSRPC" "-"
 [02/Nov/2022:02:31:09 +0500] "RPC_IN_DATA /rpc/rpcproxy.dll?localhost:3388 HTTP/1.1" 413 199 "-" "MSRPC" "-"

error.log

2022/11/02 02:31:08 [error] 2711#2711: *47 client intended to send too large body: 1073741824 bytes, client: X.X.X.X, server: server.ru, request: "RPC_IN_DATA /rpc/rpcproxy.dll?localhost:3388 HTTP/1.1", host: "server.ru"

Стоит Debian 9.
Подскажите, каким образом можно решить эту проблему?

Comments

[Alexey Dmitriev]

1. почему только через nginx?
2. конфиг проксирования можете показать?

[Александр Абакумов]

Alexey Dmitriev,
1. так сложилось, что весь входящий 80,443 порты проксирует nginx, он же занимается балансировкой между 4 другими узлами по методу ip_hash
2. Конечно могу

server {
    listen 443 ssl;
    server_name server.ru;
    ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
    ssl_certificate /etc/letsencrypt/live/server.ru/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/server.ru/privkey.pem;
    access_log /var/log/nginx/server.ru-access.log main;
    error_log /var/log/nginx/server.ru-error.log;

	location / {
	    proxy_pass https://10.178.5.31;
	    add_header X-Frame-Options "SAMEORIGIN";
	    proxy_set_header X-Custom-Referrer "RDG_OUT_DATA";
	    proxy_pass_request_headers      on;
	    proxy_redirect off;
	    proxy_set_header Host $host;
	    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
	    proxy_set_header X-Forwarded-Proto $scheme;
	    proxy_set_header X-Real-IP $remote_addr;
	}
    client_max_body_size 0;
    }

там подправил, не Centos, a Debian.
Сделано вот так https://habr.com/ru/company/netangels/blog/326400/...

[Alexey Dmitriev]

Александр Абакумов, попробуйте проксировать через stream https://nginx.org/ru/docs/stream/ngx_stream_core_m...
И надеюсь это у вас "но если отправлять трафик через Nginx то не работает, в круговую запрашивает пароль", когда вы браузером пробуете зайти а не RDP клиентом.

[Александр Абакумов]

Alexey Dmitriev, почему браузером? Браузер как раз открывает страничку прекрасно, а вот через рдп-клиента, прописывая шлюз, в круговую пароль просит.

[Alexey Dmitriev]

Александр Абакумов, rdp клиенту, насколько я помню - нужен второй порт (номер к сожалению не помню) по протоколу UDP. Вы его пробросили?

Также возможно, что проксирование мешает проверка валидности ssl сертификатов при соединении.

[Александр Абакумов]

Alexey Dmitriev, Нет. а надо было еще и порт какой-то UDP пробросить? Про это даже не читал нигде... Не сложно будет подсказать?
А сертификаты и на nginx и на самом сервере стоят валидные, Letscrypt правда, но валидные.

[Роман Безруков]

Александр Абакумов, RD Gateway по умолчанию использует TCP 443 и UDP 3391. Использование UDP - опциональная настройка

[Александр Абакумов]

Роман Безруков, то есть UDP 3391 можно напрямую прокинуть на сервер RDG?

[Роман Безруков]

Александр Абакумов, можно, только не забудьте в самом RDG его включить

[Роман Безруков]

Александр Абакумов, как вариант - можно RD Gateway настроить на другой TCP-порт (отличный от 443) и прокидывать его на Nginx

[Александр Абакумов]

Роман Безруков, А какая разница? Мне нужно чтобы http трафик, входящий, разруливал Nginx. На сколько я понял RDG использует HTTP протокол чтобы дать доступ до RDP.
А зачем на самом шлюзе менять порт, если с ним проблем нет, проблема как раз пробросать через Nginx трафика на шлюз. веб-трафик проходит, но видимо что-то еще нужно сделать, чтобы авторизация стала работать.
Роман Безруков, то есть по умолчанию оно не включено? А как тогда это мне поможет проксировать через Nginx трафик от клиентов?

[Valentin Barbolin]

https://www.reddit.com/r/nginx/comments/o1sfiv/iss...

[Александр Абакумов]

Andrey Barbolin, Понял. То есть суть в том, чтобы пробросить UDP 3391? Я правильно понял?

[Роман Безруков]

Александр Абакумов, для RD Gateway (HTTPS-to-RDP) снаружи достаточно только 443 порта, UDP 3391 включается по желанию/по необходимости.
Вы внутри RD Gateway какие-то настройки делали? Политики CAP/RAP настраивали для доступа?

[Александр Абакумов]

Роман Безруков, да. Политики настроил чрез nginx прокировал 443 порт(конфиг выше). Если 443 порт прикидываю напрямую на RD Gateway, то все работает, если через Nginx, то нифига. В этом и есть проблема. Настройки вообще пока все по дефолту, никаких специфических настроек не сделано, пока это в процесс тестирования, попытки завести. Сейчас нагрузка пока не большая, потому могу заниматься тестированием, но скоро нужно будет готовить это все в продуктив.
Политики простые. в одной пользователи принадлежащие группе администраторы. Во второй разрешил подключение ко всем узлам. Как сказал выше, пока пытаюсь запустить такую схему.
Если исключить NginX, то все работает, как только появляется Nginx, работать перестает, постоянно просит пароль

[Роман Безруков]

Александр Абакумов, оно?

Answer 1

[ky0]

Вы используете веб-сервер не по назначению. Вебморду RDG ещё куда ни шло, но само видео лучше проксировать другими методами.

Comments

[Александр Абакумов]

Расскажите поподробнее. Я другие порты, что не http могу прокинуть хоть напрямую, хоть другими средствами прикидывать на сервер, но у меня не хватает знаний.

Answer 2

[Quqas]

RDgateway только прикидывается https туннелем, но им не является и никакой апач не поможет = нет http(s) трафика - нечего и прокидывать.

но есть хинт rdgateway позволяет сменить свой порт. так что доп адрес и nginx не нужен. достаточно лишь на микроте правило для порта (но нужно чтоб одинаковые на внешнем и внутреннем ip)

ну и правильно объяснить юзерам как его прописывать через : в mstsc

+например дефолтный mstsc из семёры не могёт нестандартный порт шлюза. нужны обновы