Как проксировать трафик Remote Desktop Gateway через Nginx?

Question

Александр Абакумов @nops

Системный инженер.

Как проксировать трафик Remote Desktop Gateway через Nginx?

Доброго всем дня.
Есть у меня 2 IP адреса, один заюзан на почту, второй под вебом(Nginx проксирует во внутренние службы)
Поднял на одном из сервером роль Remote Desktop Gateway, но незадача в том, что трафик на него я могу прокинуть только proxy_pass через Nginx.
Напрямую если обращаться к шлюзу все работает, но если отправлять трафик через Nginx то не работает, в круговую запрашивает пароль, а в логах следующее:
access.log

[02/Nov/2022:02:31:08 +0500] "RPC_IN_DATA /rpc/rpcproxy.dll?localhost:3388 HTTP/1.1" 401 13 "-" "MSRPC" "-"
[02/Nov/2022:02:31:08 +0500] "RPC_OUT_DATA /rpc/rpcproxy.dll?localhost:3388 HTTP/1.1" 401 13 "-" "MSRPC" "-"
 [02/Nov/2022:02:31:09 +0500] "RPC_OUT_DATA /rpc/rpcproxy.dll?localhost:3388 HTTP/1.1" 401 13 "-" "MSRPC" "-"
 [02/Nov/2022:02:31:09 +0500] "RPC_IN_DATA /rpc/rpcproxy.dll?localhost:3388 HTTP/1.1" 413 199 "-" "MSRPC" "-"

error.log

2022/11/02 02:31:08 [error] 2711#2711: *47 client intended to send too large body: 1073741824 bytes, client: X.X.X.X, server: server.ru, request: "RPC_IN_DATA /rpc/rpcproxy.dll?localhost:3388 HTTP/1.1", host: "server.ru"

Стоит Debian 9.
Подскажите, каким образом можно решить эту проблему?

Вопрос задан более двух лет назад
1167 просмотров

16 комментариев

Подписаться 1 Средний 16 комментариев

Alexey Dmitriev @SignFinder

1. почему только через nginx?
2. конфиг проксирования можете показать?

Написано более двух лет назад

Александр Абакумов @nops Автор вопроса

Alexey Dmitriev,
1. так сложилось, что весь входящий 80,443 порты проксирует nginx, он же занимается балансировкой между 4 другими узлами по методу ip_hash
2. Конечно могу

server {
    listen 443 ssl;
    server_name server.ru;
    ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
    ssl_certificate /etc/letsencrypt/live/server.ru/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/server.ru/privkey.pem;
    access_log /var/log/nginx/server.ru-access.log main;
    error_log /var/log/nginx/server.ru-error.log;

	location / {
	    proxy_pass https://10.178.5.31;
	    add_header X-Frame-Options "SAMEORIGIN";
	    proxy_set_header X-Custom-Referrer "RDG_OUT_DATA";
	    proxy_pass_request_headers      on;
	    proxy_redirect off;
	    proxy_set_header Host $host;
	    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
	    proxy_set_header X-Forwarded-Proto $scheme;
	    proxy_set_header X-Real-IP $remote_addr;
	}
    client_max_body_size 0;
    }

там подправил, не Centos, a Debian.
Сделано вот так https://habr.com/ru/company/netangels/blog/326400/...

Написано более двух лет назад

Alexey Dmitriev @SignFinder

Александр Абакумов, попробуйте проксировать через stream https://nginx.org/ru/docs/stream/ngx_stream_core_m...
И надеюсь это у вас "но если отправлять трафик через Nginx то не работает, в круговую запрашивает пароль", когда вы браузером пробуете зайти а не RDP клиентом.

Написано более двух лет назад
Александр Абакумов @nops Автор вопроса

Alexey Dmitriev, почему браузером? Браузер как раз открывает страничку прекрасно, а вот через рдп-клиента, прописывая шлюз, в круговую пароль просит.

Написано более двух лет назад
Alexey Dmitriev @SignFinder

Александр Абакумов, rdp клиенту, насколько я помню - нужен второй порт (номер к сожалению не помню) по протоколу UDP. Вы его пробросили?

Также возможно, что проксирование мешает проверка валидности ssl сертификатов при соединении.

Написано более двух лет назад
Александр Абакумов @nops Автор вопроса

Alexey Dmitriev, Нет. а надо было еще и порт какой-то UDP пробросить? Про это даже не читал нигде... Не сложно будет подсказать?
А сертификаты и на nginx и на самом сервере стоят валидные, Letscrypt правда, но валидные.

Написано более двух лет назад
Роман Безруков @NortheR73

Александр Абакумов, RD Gateway по умолчанию использует TCP 443 и UDP 3391. Использование UDP - опциональная настройка

Написано более двух лет назад
Александр Абакумов @nops Автор вопроса

Роман Безруков, то есть UDP 3391 можно напрямую прокинуть на сервер RDG?

Написано более двух лет назад
Роман Безруков @NortheR73

Александр Абакумов, можно, только не забудьте в самом RDG его включить

Написано более двух лет назад
Роман Безруков @NortheR73

Александр Абакумов, как вариант - можно RD Gateway настроить на другой TCP-порт (отличный от 443) и прокидывать его на Nginx

Написано более двух лет назад
Александр Абакумов @nops Автор вопроса

Роман Безруков, А какая разница? Мне нужно чтобы http трафик, входящий, разруливал Nginx. На сколько я понял RDG использует HTTP протокол чтобы дать доступ до RDP.
А зачем на самом шлюзе менять порт, если с ним проблем нет, проблема как раз пробросать через Nginx трафика на шлюз. веб-трафик проходит, но видимо что-то еще нужно сделать, чтобы авторизация стала работать.
Роман Безруков, то есть по умолчанию оно не включено? А как тогда это мне поможет проксировать через Nginx трафик от клиентов?

Написано более двух лет назад
Valentin Barbolin @dronmaxman

https://www.reddit.com/r/nginx/comments/o1sfiv/iss...

Написано более двух лет назад
Александр Абакумов @nops Автор вопроса

Andrey Barbolin, Понял. То есть суть в том, чтобы пробросить UDP 3391? Я правильно понял?

Написано более двух лет назад
Роман Безруков @NortheR73

Александр Абакумов, для RD Gateway (HTTPS-to-RDP) снаружи достаточно только 443 порта, UDP 3391 включается по желанию/по необходимости.
Вы внутри RD Gateway какие-то настройки делали? Политики CAP/RAP настраивали для доступа?

Написано более двух лет назад
Александр Абакумов @nops Автор вопроса

Роман Безруков, да. Политики настроил чрез nginx прокировал 443 порт(конфиг выше). Если 443 порт прикидываю напрямую на RD Gateway, то все работает, если через Nginx, то нифига. В этом и есть проблема. Настройки вообще пока все по дефолту, никаких специфических настроек не сделано, пока это в процесс тестирования, попытки завести. Сейчас нагрузка пока не большая, потому могу заниматься тестированием, но скоро нужно будет готовить это все в продуктив.
Политики простые. в одной пользователи принадлежащие группе администраторы. Во второй разрешил подключение ко всем узлам. Как сказал выше, пока пытаюсь запустить такую схему.
Если исключить NginX, то все работает, как только появляется Nginx, работать перестает, постоянно просит пароль

Написано более двух лет назад
Роман Безруков @NortheR73

Александр Абакумов, оно?

Написано более двух лет назад

Пригласить эксперта

Ответы на вопрос 2

1 комментарий

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Proxy

+1 ещё

Простой
Странное поведение у 3proxy, как исправить?
- 1 подписчик
- 3 часа назад
- 11 просмотров
0

ответов
Windows

+1 ещё

Простой
Какие есть аналоги Proxifier?
- 2 подписчика
- 17 часов назад
- 216 просмотров
1

ответ
Nginx

+1 ещё

Сложный
Как настроить HTTPS прокси сервер на одном IP, что backend сервера видели IP клиента?
- 1 подписчик
- вчера
- 89 просмотров
4

ответа
C++

+3 ещё

Простой
Как перенаправлять весь траффик на определенный сайт через прокси сервер с помощью C/C++?
- 2 подписчика
- вчера
- 140 просмотров
0

ответов
MySQL

+2 ещё

Средний
Почему падает соединение с mysql за nginx?
- 2 подписчика
- 19 нояб.
- 159 просмотров
0

ответов
Компьютерные сети

+3 ещё

Простой
Как пробросить сервер за NAT провайдера?
- 1 подписчик
- 19 нояб.
- 373 просмотра
5

ответов
Nginx

+2 ещё

Простой
Reverse proxy и Mikrotik, как запустить?
- 1 подписчик
- 18 нояб.
- 180 просмотров
1

ответ
Nginx

Простой
У меня nginx не видит файлы в папке, почему?
- 1 подписчик
- 18 нояб.
- 184 просмотра
2

ответа
Windows

+3 ещё

Простой
Существует ли автокликер для RDP?
- 1 подписчик
- 16 нояб.
- 392 просмотра
3

ответа
Active Directory

+1 ещё

Простой
Как подключаться через RDP по имени ПК в домене?
- 2 подписчика
- 15 нояб.
- 3353 просмотра
1

ответ
Показать ещё Загружается…

Прикладной администратор SberApps

Сбер • Москва

от 230 000 ₽

Go Developer

Karma8

До 600 000 ₽

Devops (Персона)

Сбер • Москва

от 230 000 ₽

Телеграм бот

22 нояб. 2024, в 02:56

10000 руб./за проект

Перерисовать логотип в векторе

22 нояб. 2024, в 00:55

500 руб./за проект

Разработка алгоритма на python (Data engineering)

21 нояб. 2024, в 23:30

300000 руб./за проект

1. почему только через nginx?
2. конфиг проксирования можете показать?
Alexey Dmitriev,
1. так сложилось, что весь входящий 80,443 порты проксирует nginx, он же занимается балансировкой между 4 другими узлами по методу ip_hash
2. Конечно могу

server { listen 443 ssl; server_name server.ru; ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; ssl_certificate /etc/letsencrypt/live/server.ru/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/server.ru/privkey.pem; access_log /var/log/nginx/server.ru-access.log main; error_log /var/log/nginx/server.ru-error.log; location / { proxy_pass https://10.178.5.31; add_header X-Frame-Options "SAMEORIGIN"; proxy_set_header X-Custom-Referrer "RDG_OUT_DATA"; proxy_pass_request_headers on; proxy_redirect off; proxy_set_header Host $host; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_set_header X-Real-IP $remote_addr; } client_max_body_size 0; }

там подправил, не Centos, a Debian.
Сделано вот так https://habr.com/ru/company/netangels/blog/326400/...
Александр Абакумов, попробуйте проксировать через stream https://nginx.org/ru/docs/stream/ngx_stream_core_m...
И надеюсь это у вас "но если отправлять трафик через Nginx то не работает, в круговую запрашивает пароль", когда вы браузером пробуете зайти а не RDP клиентом.
Alexey Dmitriev, почему браузером? Браузер как раз открывает страничку прекрасно, а вот через рдп-клиента, прописывая шлюз, в круговую пароль просит.
Александр Абакумов, rdp клиенту, насколько я помню - нужен второй порт (номер к сожалению не помню) по протоколу UDP. Вы его пробросили?

Также возможно, что проксирование мешает проверка валидности ssl сертификатов при соединении.
Alexey Dmitriev, Нет. а надо было еще и порт какой-то UDP пробросить? Про это даже не читал нигде... Не сложно будет подсказать?
А сертификаты и на nginx и на самом сервере стоят валидные, Letscrypt правда, но валидные.
Александр Абакумов, RD Gateway по умолчанию использует TCP 443 и UDP 3391. Использование UDP - опциональная настройка
Роман Безруков, то есть UDP 3391 можно напрямую прокинуть на сервер RDG?
Александр Абакумов, можно, только не забудьте в самом RDG его включить
Александр Абакумов, как вариант - можно RD Gateway настроить на другой TCP-порт (отличный от 443) и прокидывать его на Nginx
Роман Безруков, А какая разница? Мне нужно чтобы http трафик, входящий, разруливал Nginx. На сколько я понял RDG использует HTTP протокол чтобы дать доступ до RDP.
А зачем на самом шлюзе менять порт, если с ним проблем нет, проблема как раз пробросать через Nginx трафика на шлюз. веб-трафик проходит, но видимо что-то еще нужно сделать, чтобы авторизация стала работать.
Роман Безруков, то есть по умолчанию оно не включено? А как тогда это мне поможет проксировать через Nginx трафик от клиентов?
Andrey Barbolin, Понял. То есть суть в том, чтобы пробросить UDP 3391? Я правильно понял?
Александр Абакумов, для RD Gateway (HTTPS-to-RDP) снаружи достаточно только 443 порта, UDP 3391 включается по желанию/по необходимости.
Вы внутри RD Gateway какие-то настройки делали? Политики CAP/RAP настраивали для доступа?
Роман Безруков, да. Политики настроил чрез nginx прокировал 443 порт(конфиг выше). Если 443 порт прикидываю напрямую на RD Gateway, то все работает, если через Nginx, то нифига. В этом и есть проблема. Настройки вообще пока все по дефолту, никаких специфических настроек не сделано, пока это в процесс тестирования, попытки завести. Сейчас нагрузка пока не большая, потому могу заниматься тестированием, но скоро нужно будет готовить это все в продуктив.
Политики простые. в одной пользователи принадлежащие группе администраторы. Во второй разрешил подключение ко всем узлам. Как сказал выше, пока пытаюсь запустить такую схему.
Если исключить NginX, то все работает, как только появляется Nginx, работать перестает, постоянно просит пароль

Answer 1 · 2022-11-02 12:49:07

ky0 @ky0 Куратор тега Nginx

Миллиардер, филантроп, патологический лгун

Вы используете веб-сервер не по назначению. Вебморду RDG ещё куда ни шло, но само видео лучше проксировать другими методами.

Ответ написан более двух лет назад

1 комментарий

Answer 2 · 2022-12-21 07:53:52

RDgateway только прикидывается https туннелем, но им не является и никакой апач не поможет = нет http(s) трафика - нечего и прокидывать.

но есть хинт rdgateway позволяет сменить свой порт. так что доп адрес и nginx не нужен. достаточно лишь на микроте правило для порта (но нужно чтоб одинаковые на внешнем и внутреннем ip)

ну и правильно объяснить юзерам как его прописывать через : в mstsc

+например дефолтный mstsc из семёры не могёт нестандартный порт шлюза. нужны обновы

Как проксировать трафик Remote Desktop Gateway через Nginx?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт