Microsoft Remote Desktop através da porta ssh-forwarded

10

Tenho uma situação em que forneço acesso a um servidor Windows encaminhando a porta da área de trabalho remota 3389 com ssh do meu Mac para o "interior" de uma rede inacessível.

Agora posso conectar-me à versão para Windows da Área de Trabalho Remota, mas a versão para Mac da Área de Trabalho Remota atinge o tempo limite e não fornece acesso. Isso ocorre mesmo quando o número de IP é usado como host ao qual se conectar.

Alguma idéia de por que isso acontece e como posso solucionar isso?

Thorbjørn Ravn Andersen
fonte
Isso ainda é desejável devido a alterações de software. Abrindo uma recompensa.
Thorbjørn Ravn Andersen 12/04
Você tentou com o cliente mais recente, 2.1.2?
Ruskes
Ainda não. Eu tenho 2.1.0. Obrigado, vou tentar atualizar.
Thorbjørn Ravn Andersen
Eu mantive uma caixa virtual com o Windows instalado para situações como esta. Infelizmente, eu adoraria fazer as coisas funcionarem de forma nativa no Mac - mas quando um cliente não pode ou não me dá uma VPN adequada - executando o sistema operacional, eles fazem buracos (ou pior, dependem de comportamentos pontuais não padronizados) em o firewall deles é muito menos trabalhoso para mim no final. Afinal - estou executando o RDC para ver as janelas, então pouco importa que eu tenha esse SO executando localmente também. Como você precisa explicitamente do cliente Mac, pode conectar-se a uma conexão VPN?
bmike
O que acontece no Mac se você simplesmente telnet localhost: forwarded port? Funciona como esperado? Parece que há um problema com o seu túnel ssh.
db

Respostas:

5

Não encaminhe a porta local 3389, várias versões da Área de Trabalho Remota são muito inteligentes para o seu próprio bem.

Minhas etapas habituais envolvem o encaminhamento do local 3390 para o remoto 3389. Em seguida, no MacRDC eu uso: localhost:3390como o endereço para conectar também.

Não sei se você está usando alguma coisa para ajudar na configuração da conexão ssh, mas a partir da linha de comando, seria algo como:

ssh -L 3390:172.16.5.32:3389 [email protected]

Onde;
- 3390é a porta de encaminhamento local na minha caixa.
- 172.16.5.32é o host remoto do Windows. e;
- 3389é a porta da área de trabalho remota (obviamente).

Jason Salaz
fonte
Eu experimentei isso, mas infelizmente a porta 3390 também não funcionou :( Tentei adicionar o nome do host do servidor Windows em / private / etc / hosts (com o nome 127.0.0.1) para ver se conseguia enganar qualquer mecanismo de "procurar HOST", mas não. Qual versão do Windows é contra e qual versão da Área de Trabalho Remota para Mac?
Thorbjørn Ravn Andersen
MacRDC 2.0.1, Windows RDC faz tanto tempo que eu não sabia. Eu me lembro disso acontecendo com o stock mstsc do Windows XP e para a frente.
Jason Salaz 27/02
Seu comentário original significa que localhost:3390na janela da RDC não funcionou? E você tentou myhost:3390(com myhost aliasado na linha 127.0.0.1 no arquivo hosts) também, sem sucesso?
Jason Salaz
Além disso, você obtém alguma saída na janela do terminal? Falhas no canal ou algo do tipo? Alguma mensagem de erro externa ao aplicativo MacRDC?
Jason Salaz
Agora eu olhei para isso novamente, incluindo o hack "myhost-> localhost", e parece que não é suficiente. A roda gira no MacRDP tentando se conectar, mas ainda atinge o tempo limite. Não há mensagens no Console.app. Eu uso uma ferramenta personalizada para encaminhar a porta (sem acesso ssh). Eu realmente me pergunto o que ele tenta fazer que falha.
Thorbjørn Ravn Andersen 12/04
5

No seu mac, talvez tente esta solução:

  • instalar sshuttle (implementa ssh tunnel / proxy, mas também implementa algumas alterações de roteamento) ( https://github.com/apenwarr/sshuttle.git )
  • configure sshuttle para rotear apenas o endereço IP da caixa do Windows que você deseja acessar:

    sshuttle --dns -r [email protected] 1.1.1.1/32

    Substituir:

    1.1.1.1/32 com o endereço IP do host do Windows. Se houver um número de hosts que você precisa acessar e eles estiverem na mesma sub-rede, basta alterar o / 32 para algo maior, digamos / 24.

  • Inicie o seu cliente Mac RDP e tente acessar o endereço IP da máquina Windows. Talvez possa usar o nome do host se você também estiver encaminhando consultas DNS para a caixa que está usando como ponte.

Essa é uma variação do método -D3389, mas emprega os recursos de proxy de meias do ssh.

Wing Tang Wong
fonte
1
Impressionante ... bom trabalho.
Ruskes
Cinco anos depois, ainda é a melhor solução para esse problema.
Hassan
3

Você tentou desativar o requisito de "Autenticação no nível da rede" em "Painel de controle -> Sistema -> Permitir acesso remoto" na máquina de destino?

Autenticação em nível nativo

brablc
fonte
Ele é capaz de se conectar com uma instalação do Windows RDP .. assim, sim, ele já fez isso :)
Kenan Sulayman
1
A versão 2.1.1 adicionou suporte ao NLA - consulte macupdate.com/app/mac/8431/microsoft-remote-desktop-connection : verifica a identidade do computador baseado no Windows antes de estabelecer uma conexão de área de trabalho remota. Você pode selecionar esta opção ao se conectar a um computador que esteja executando o Windows Vista ou Windows 7. A autenticação no nível da rede é mais segura do que as opções de autenticação nas versões anteriores do Windows. Se você desabilitar esse requisito (falamos da última caixa de seleção), ele deverá conseguir fazer o login com o cliente 2.1.0 através do túnel SSL.
brablc
Desculpe, você não viu que queria apontar a parte NTLM da cena. Talvez vale a pena tentar!
Kenan Sulayman
Na verdade, não tenho certeza de que o NLA esteja relacionado ao NTLM. O NLA apenas tenta verificar as credenciais antes de trazer uma tela de login para o usuário. Isso elimina um vetor de ataque. Mas o Windows dele está protegido por um firewall, portanto ele não precisa considerar isso.
brablc
2

A área de trabalho remota do Windows implementa mais algoritmos de autenticação e criptografia específicos para o Windows. Isso acontecia com frequência; na verdade, somos forçados a usar a Área de Trabalho Remota do Windows por nossos administradores de rede, pois estamos usando métodos de autenticação que o OSX não implementa. Vamos cruzar os dedos e esperar que a Microsoft libere uma correspondência para a Área de trabalho remota do Windows, o mais cedo possível.

Kenan Sulayman
fonte
Você tem alguma sugestão para eu procurar para que o MacRDP não atinja o tempo limite?
Thorbjørn Ravn Andersen
Se expirar o tempo limite, nenhuma conexão poderá ser estabelecida. De qualquer forma, como o Windows obtém sucesso na conexão, meu palpite é autenticação ou criptografia! :)
Kenan Sulayman
1

Experimente o CoRD: insira a descrição do link aqui

Descobri que funciona melhor que o cliente RDP oficial e tende a lidar com configurações imperfeitas de maneira mais suave.

Alex
fonte
Estou usando o CoRD agora, mas ele tem algumas rugas e prefiro usar o cliente oficial.
Thorbjørn Ravn Andersen
1

O cliente OSX Microsoft Remote Desktop parece não suportar o método de autenticação padrão usado pelo Windows 7+

A solução é fazer o seguinte na máquina Windows:

  • Iniciar -> Editar Diretiva de Grupo
  • Configuração do computador

    • Modelos Administrativos

      • Componentes do Windows

        • Serviços de trabalho remoto
        • Host de sessão da área de trabalho remota

          • Segurança

            1. Altere 'Exigir o uso de conexões específicas da área de trabalho remota (RDP)' para Ativado e escolha RDP no menu suspenso.

            2. Altere 'Exigir autenticação de usuário para conexões remotas usando autenticações em nível de rede' para Desativado

Agora você deve conseguir conectar-se usando o OSX Remote Desktop Client sem problemas através do túnel SSH.

Joakim
fonte
Também encontrei esse problema ao tentar criar um túnel SSH para uma máquina Windows. Funcionou bem ao fazê-lo usando o Putty no Windows. Criando exatamente o mesmo túnel no OSX, no entanto, o tempo limite acabou. Se o túnel não estivesse totalmente configurado, o Remote Desktop Client falharia imediatamente, então eu sabia que estava obtendo algum tipo de conexão.
Joakim
-1

Às vezes, apenas a atualização do software resolve o problema.

insira a descrição da imagem aqui

Na pendência do seu sistema operacional, você deve ter a versão correta do WRDC.

Como você possui o 2.1.0 desatualizado, atualize para um dos seguintes. Ver. 2.1.1 da Microsoft ou a versão mais recente. 2.1.2 de baixo.

http://www.cloud9realtime.com/Guides/Macintosh%20RDP%20Guide.pdf

insira a descrição da imagem aqui

Se a atualização do software não ajudar e se você não conseguir se conectar com o endereço IP, o nome do host ou o nome do computador, é provável que a porta 3389 esteja bloqueada em algum lugar da sua WAN.

Para testar sua configuração de encapsulamento ssh, tente telnetar para a porta em sua máquina local.

Ruskes
fonte
Adicione pelo menos o link :-) Também: Isso é apenas um palpite ou você verificou se ele resolve o problema?
nohillside
@patrix Não tenho a configuração para verificar, mas li sobre isso.
Ruskes
1
No momento, a resposta parece ser mais um palpite do que uma solução. E baixar o software beta de uma conta anônima do Dropbox também não é para os fracos de coração!
Nohillside
1
2.1.1 é um download gratuito para aqueles que desejam esse. Google vai chegar lá, mas pelo menos para este link mostra os downloads disponíveis: microsoft.com/en-us/download/...
Tim B
-2

O encaminhamento para a porta 3389 é obrigado a causar problemas. O sistema reconhecerá o que você está tentando fazer e basicamente entrará em curto-circuito. Esta é a desvantagem do DIY Remote Desktop , imho.


fonte
1
Então, por que funciona com a Área de Trabalho Remota do Windows, mas não com a versão para Mac da Área de Trabalho Remota (também da Microsoft)?
Thorbjørn Ravn Andersen