Как проксировать трафик Remote Desktop Gateway через Nginx?

Question

Александр Абакумов @nops

Системный инженер.

Как проксировать трафик Remote Desktop Gateway через Nginx?

Доброго всем дня.
Есть у меня 2 IP адреса, один заюзан на почту, второй под вебом(Nginx проксирует во внутренние службы)
Поднял на одном из сервером роль Remote Desktop Gateway, но незадача в том, что трафик на него я могу прокинуть только proxy_pass через Nginx.
Напрямую если обращаться к шлюзу все работает, но если отправлять трафик через Nginx то не работает, в круговую запрашивает пароль, а в логах следующее:
access.log

[02/Nov/2022:02:31:08 +0500] "RPC_IN_DATA /rpc/rpcproxy.dll?localhost:3388 HTTP/1.1" 401 13 "-" "MSRPC" "-"
[02/Nov/2022:02:31:08 +0500] "RPC_OUT_DATA /rpc/rpcproxy.dll?localhost:3388 HTTP/1.1" 401 13 "-" "MSRPC" "-"
 [02/Nov/2022:02:31:09 +0500] "RPC_OUT_DATA /rpc/rpcproxy.dll?localhost:3388 HTTP/1.1" 401 13 "-" "MSRPC" "-"
 [02/Nov/2022:02:31:09 +0500] "RPC_IN_DATA /rpc/rpcproxy.dll?localhost:3388 HTTP/1.1" 413 199 "-" "MSRPC" "-"

error.log

2022/11/02 02:31:08 [error] 2711#2711: *47 client intended to send too large body: 1073741824 bytes, client: X.X.X.X, server: server.ru, request: "RPC_IN_DATA /rpc/rpcproxy.dll?localhost:3388 HTTP/1.1", host: "server.ru"

Стоит Debian 9.
Подскажите, каким образом можно решить эту проблему?

Вопрос задан более двух лет назад
1380 просмотров

16 комментариев

Подписаться 1 Средний 16 комментариев

Alexey Dmitriev @SignFinder

1. почему только через nginx?
2. конфиг проксирования можете показать?

Написано более двух лет назад

Александр Абакумов @nops Автор вопроса

Alexey Dmitriev,
1. так сложилось, что весь входящий 80,443 порты проксирует nginx, он же занимается балансировкой между 4 другими узлами по методу ip_hash
2. Конечно могу

server {
    listen 443 ssl;
    server_name server.ru;
    ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
    ssl_certificate /etc/letsencrypt/live/server.ru/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/server.ru/privkey.pem;
    access_log /var/log/nginx/server.ru-access.log main;
    error_log /var/log/nginx/server.ru-error.log;

	location / {
	    proxy_pass https://10.178.5.31;
	    add_header X-Frame-Options "SAMEORIGIN";
	    proxy_set_header X-Custom-Referrer "RDG_OUT_DATA";
	    proxy_pass_request_headers      on;
	    proxy_redirect off;
	    proxy_set_header Host $host;
	    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
	    proxy_set_header X-Forwarded-Proto $scheme;
	    proxy_set_header X-Real-IP $remote_addr;
	}
    client_max_body_size 0;
    }

там подправил, не Centos, a Debian.
Сделано вот так https://habr.com/ru/company/netangels/blog/326400/...

Написано более двух лет назад

Alexey Dmitriev @SignFinder

Александр Абакумов, попробуйте проксировать через stream https://nginx.org/ru/docs/stream/ngx_stream_core_m...
И надеюсь это у вас "но если отправлять трафик через Nginx то не работает, в круговую запрашивает пароль", когда вы браузером пробуете зайти а не RDP клиентом.

Написано более двух лет назад
Александр Абакумов @nops Автор вопроса

Alexey Dmitriev, почему браузером? Браузер как раз открывает страничку прекрасно, а вот через рдп-клиента, прописывая шлюз, в круговую пароль просит.

Написано более двух лет назад
Alexey Dmitriev @SignFinder

Александр Абакумов, rdp клиенту, насколько я помню - нужен второй порт (номер к сожалению не помню) по протоколу UDP. Вы его пробросили?

Также возможно, что проксирование мешает проверка валидности ssl сертификатов при соединении.

Написано более двух лет назад
Александр Абакумов @nops Автор вопроса

Alexey Dmitriev, Нет. а надо было еще и порт какой-то UDP пробросить? Про это даже не читал нигде... Не сложно будет подсказать?
А сертификаты и на nginx и на самом сервере стоят валидные, Letscrypt правда, но валидные.

Написано более двух лет назад
Роман Безруков @NortheR73

Александр Абакумов, RD Gateway по умолчанию использует TCP 443 и UDP 3391. Использование UDP - опциональная настройка

Написано более двух лет назад
Александр Абакумов @nops Автор вопроса

Роман Безруков, то есть UDP 3391 можно напрямую прокинуть на сервер RDG?

Написано более двух лет назад
Роман Безруков @NortheR73

Александр Абакумов, можно, только не забудьте в самом RDG его включить

Написано более двух лет назад
Роман Безруков @NortheR73

Александр Абакумов, как вариант - можно RD Gateway настроить на другой TCP-порт (отличный от 443) и прокидывать его на Nginx

Написано более двух лет назад
Александр Абакумов @nops Автор вопроса

Роман Безруков, А какая разница? Мне нужно чтобы http трафик, входящий, разруливал Nginx. На сколько я понял RDG использует HTTP протокол чтобы дать доступ до RDP.
А зачем на самом шлюзе менять порт, если с ним проблем нет, проблема как раз пробросать через Nginx трафика на шлюз. веб-трафик проходит, но видимо что-то еще нужно сделать, чтобы авторизация стала работать.
Роман Безруков, то есть по умолчанию оно не включено? А как тогда это мне поможет проксировать через Nginx трафик от клиентов?

Написано более двух лет назад
Valentin Barbolin @dronmaxman

https://www.reddit.com/r/nginx/comments/o1sfiv/iss...

Написано более двух лет назад
Александр Абакумов @nops Автор вопроса

Andrey Barbolin, Понял. То есть суть в том, чтобы пробросить UDP 3391? Я правильно понял?

Написано более двух лет назад
Роман Безруков @NortheR73

Александр Абакумов, для RD Gateway (HTTPS-to-RDP) снаружи достаточно только 443 порта, UDP 3391 включается по желанию/по необходимости.
Вы внутри RD Gateway какие-то настройки делали? Политики CAP/RAP настраивали для доступа?

Написано более двух лет назад
Александр Абакумов @nops Автор вопроса

Роман Безруков, да. Политики настроил чрез nginx прокировал 443 порт(конфиг выше). Если 443 порт прикидываю напрямую на RD Gateway, то все работает, если через Nginx, то нифига. В этом и есть проблема. Настройки вообще пока все по дефолту, никаких специфических настроек не сделано, пока это в процесс тестирования, попытки завести. Сейчас нагрузка пока не большая, потому могу заниматься тестированием, но скоро нужно будет готовить это все в продуктив.
Политики простые. в одной пользователи принадлежащие группе администраторы. Во второй разрешил подключение ко всем узлам. Как сказал выше, пока пытаюсь запустить такую схему.
Если исключить NginX, то все работает, как только появляется Nginx, работать перестает, постоянно просит пароль

Написано более двух лет назад
Роман Безруков @NortheR73

Александр Абакумов, оно?

Написано более двух лет назад

Пригласить эксперта

Ответы на вопрос 2

1 комментарий

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Linux

+2 ещё

Простой
RDP SERVER ON LINUX GUI?
- 1 подписчик
- 13 часов назад
- 98 просмотров
2

ответа
Nginx

+1 ещё

Простой
Динамический proxy_pass на основе динамического location?
- 2 подписчика
- вчера
- 322 просмотра
1

ответ
Telegram

+1 ещё

Простой
Можно ли увидеть реальный ip через вэбапп десктопной телеги?
- 1 подписчик
- 05 апр.
- 179 просмотров
1

ответ
Node.js

+1 ещё

Простой
Как сконфигурировать Nginx для https сервера?
- 3 подписчика
- 02 апр.
- 1682 просмотра
2

ответа
Nginx

+1 ещё

Простой
Как пробросить Ngnix?
- 1 подписчик
- 31 мар.
- 233 просмотра
0

ответов
Proxy

Простой
Настройка VDS сервиса Vultr через Putty — ошибка shadowsocks, почему?
- 1 подписчик
- 28 мар.
- 36 просмотров
1

ответ
Ubuntu

+2 ещё

Средний
Как сделать через конфигурацию 3x-UI проброс трафика или нужен скрипт?
- 1 подписчик
- 28 мар.
- 271 просмотр
1

ответ
Proxy

Средний
Как маршрутизировать трафик с разных ip на разные прокси с авторизацией?
- 1 подписчик
- 27 мар.
- 39 просмотров
1

ответ
RDP

+1 ещё

Средний
Почему не печатает принтер через RDP в windows 11?
- 2 подписчика
- 27 мар.
- 344 просмотра
3

ответа
Proxy

+1 ещё

Простой
Openwrt как роутить трафик от разных клиентов на разные прокси?
- 3 подписчика
- 25 мар.
- 1221 просмотр
1

ответ
Показать ещё Загружается…

Devops/SRE engineer

YCLIENTS • Москва

от 350 000 до 400 000 ₽

Backend Python Developer Junior+

InCodeWeTrust

от 110 000 до 150 000 ₽

DevOps инженер

Viletech • Москва

от 70 000 до 120 000 ₽

1. почему только через nginx?
2. конфиг проксирования можете показать?
Alexey Dmitriev,
1. так сложилось, что весь входящий 80,443 порты проксирует nginx, он же занимается балансировкой между 4 другими узлами по методу ip_hash
2. Конечно могу

server { listen 443 ssl; server_name server.ru; ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; ssl_certificate /etc/letsencrypt/live/server.ru/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/server.ru/privkey.pem; access_log /var/log/nginx/server.ru-access.log main; error_log /var/log/nginx/server.ru-error.log; location / { proxy_pass https://10.178.5.31; add_header X-Frame-Options "SAMEORIGIN"; proxy_set_header X-Custom-Referrer "RDG_OUT_DATA"; proxy_pass_request_headers on; proxy_redirect off; proxy_set_header Host $host; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_set_header X-Real-IP $remote_addr; } client_max_body_size 0; }

там подправил, не Centos, a Debian.
Сделано вот так https://habr.com/ru/company/netangels/blog/326400/...
Александр Абакумов, попробуйте проксировать через stream https://nginx.org/ru/docs/stream/ngx_stream_core_m...
И надеюсь это у вас "но если отправлять трафик через Nginx то не работает, в круговую запрашивает пароль", когда вы браузером пробуете зайти а не RDP клиентом.
Alexey Dmitriev, почему браузером? Браузер как раз открывает страничку прекрасно, а вот через рдп-клиента, прописывая шлюз, в круговую пароль просит.
Александр Абакумов, rdp клиенту, насколько я помню - нужен второй порт (номер к сожалению не помню) по протоколу UDP. Вы его пробросили?

Также возможно, что проксирование мешает проверка валидности ssl сертификатов при соединении.
Alexey Dmitriev, Нет. а надо было еще и порт какой-то UDP пробросить? Про это даже не читал нигде... Не сложно будет подсказать?
А сертификаты и на nginx и на самом сервере стоят валидные, Letscrypt правда, но валидные.
Александр Абакумов, RD Gateway по умолчанию использует TCP 443 и UDP 3391. Использование UDP - опциональная настройка
Роман Безруков, то есть UDP 3391 можно напрямую прокинуть на сервер RDG?
Александр Абакумов, можно, только не забудьте в самом RDG его включить
Александр Абакумов, как вариант - можно RD Gateway настроить на другой TCP-порт (отличный от 443) и прокидывать его на Nginx
Роман Безруков, А какая разница? Мне нужно чтобы http трафик, входящий, разруливал Nginx. На сколько я понял RDG использует HTTP протокол чтобы дать доступ до RDP.
А зачем на самом шлюзе менять порт, если с ним проблем нет, проблема как раз пробросать через Nginx трафика на шлюз. веб-трафик проходит, но видимо что-то еще нужно сделать, чтобы авторизация стала работать.
Роман Безруков, то есть по умолчанию оно не включено? А как тогда это мне поможет проксировать через Nginx трафик от клиентов?
Andrey Barbolin, Понял. То есть суть в том, чтобы пробросить UDP 3391? Я правильно понял?
Александр Абакумов, для RD Gateway (HTTPS-to-RDP) снаружи достаточно только 443 порта, UDP 3391 включается по желанию/по необходимости.
Вы внутри RD Gateway какие-то настройки делали? Политики CAP/RAP настраивали для доступа?
Роман Безруков, да. Политики настроил чрез nginx прокировал 443 порт(конфиг выше). Если 443 порт прикидываю напрямую на RD Gateway, то все работает, если через Nginx, то нифига. В этом и есть проблема. Настройки вообще пока все по дефолту, никаких специфических настроек не сделано, пока это в процесс тестирования, попытки завести. Сейчас нагрузка пока не большая, потому могу заниматься тестированием, но скоро нужно будет готовить это все в продуктив.
Политики простые. в одной пользователи принадлежащие группе администраторы. Во второй разрешил подключение ко всем узлам. Как сказал выше, пока пытаюсь запустить такую схему.
Если исключить NginX, то все работает, как только появляется Nginx, работать перестает, постоянно просит пароль

Answer 1 · 2022-11-02 12:49:07

ky0 @ky0 Куратор тега Nginx

Миллиардер, филантроп, патологический лгун

Вы используете веб-сервер не по назначению. Вебморду RDG ещё куда ни шло, но само видео лучше проксировать другими методами.

Ответ написан более двух лет назад

1 комментарий

Answer 2 · 2022-12-21 07:53:52

RDgateway только прикидывается https туннелем, но им не является и никакой апач не поможет = нет http(s) трафика - нечего и прокидывать.

но есть хинт rdgateway позволяет сменить свой порт. так что доп адрес и nginx не нужен. достаточно лишь на микроте правило для порта (но нужно чтоб одинаковые на внешнем и внутреннем ip)

ну и правильно объяснить юзерам как его прописывать через : в mstsc

+например дефолтный mstsc из семёры не могёт нестандартный порт шлюза. нужны обновы

Как проксировать трафик Remote Desktop Gateway через Nginx?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт