Microsoft Remote Desktop via le port ssh-forwarded

10

J'ai une situation où je donne accès à un serveur Windows en transférant le port de bureau distant 3389 avec ssh de mon Mac vers "l'intérieur" d'un réseau autrement inaccessible.

Je peux maintenant me connecter avec la version Windows de Remote Desktop, mais la version Mac de Remote Desktop expire et ne fournit pas d'accès. C'est même lorsque vous utilisez le numéro IP comme hôte auquel vous connecter.

Une idée pourquoi cela se produit et comment je peux contourner ce problème?

remote-desktop  ssh 
Thorbjørn Ravn Andersen
source
Ceci est toujours souhaitable en raison du changement de logiciel. Ouverture d'une prime.
Thorbjørn Ravn Andersen
Avez-vous essayé avec un client plus récent, 2.1.2?
Ruskes
Pas encore. J'ai 2.1.0. Merci, je vais essayer de mettre à jour.
Thorbjørn Ravn Andersen
J'ai gardé une boîte virtuelle avec des fenêtres installées pour des situations comme celle-ci. Malheureusement, j'adorerais que les choses fonctionnent en natif sur le Mac - mais lorsqu'un client ne peut pas ou ne veut pas me fournir un VPN approprié - exécutant le système d'exploitation, il perce des trous (ou pire, s'appuie sur des comportements ponctuels non standard) dans leur pare-feu est beaucoup moins de travail pour moi au final. Après tout - j'utilise RDC pour voir les fenêtres, donc peu importe que ce système d'exploitation fonctionne également localement. Puisque vous avez explicitement besoin du client Mac, pouvez-vous vous connecter à une connexion VPN?
bmike
Que se passe-t-il sur le Mac si vous simplement telnet localhost: port redirigé? Fonctionne-t-il comme prévu? On dirait qu'il y a un problème avec votre tunnel ssh.
db

Réponses:

5

Ne transférez pas le port local 3389, les différentes versions de Remote Desktop sont trop intelligentes pour leur bien.

Mes étapes habituelles impliquent le transfert du 3390 local vers le 3389 distant. Ensuite, dans MacRDC j'utilise: localhost:3390comme adresse pour se connecter aussi.

Je ne sais pas si vous utilisez quoi que ce soit pour aider à la configuration de la connexion ssh, mais à partir de la ligne de commande, ce serait quelque chose comme:

ssh -L 3390:172.16.5.32:3389 jason@remote.net

Où;
- 3390est le port de transfert local sur ma boîte.
- 172.16.5.32est l'hôte Windows distant. et;
- 3389est le port Remote Desktop (évidemment).

Jason Salaz
source
J'ai essayé, mais malheureusement, le port 3390 n'a pas fonctionné non plus :( J'ai essayé d'ajouter le nom d'hôte du serveur Windows à / private / etc / hosts (aliasé à 127.0.0.1) pour voir si je pouvais tromper tout mécanisme de "recherche d'hôte", mais non. Quelle version de Windows est-ce et contre quelle version de Remote Desktop pour Mac?
Thorbjørn Ravn Andersen
MacRDC 2.0.1, Windows RDC ça ​​fait si longtemps que je ne pourrais pas vous le dire. Il me semble que cela se produit avec le stock mstsc de Windows XP et versions ultérieures.
Jason Salaz
Votre commentaire d'origine signifie que localhost:3390dans la fenêtre RDC n'a pas fonctionné? Et vous avez également essayé myhost:3390(avec myhost aliasé dans la ligne 127.0.0.1 dans le fichier hosts), également en vain?
Jason Salaz
De plus, obtenez-vous une sortie dans votre fenêtre de terminal? Échecs de canaux ou quelque chose du genre? Des messages d'erreur externes à l'application MacRDC?
Jason Salaz
J'ai maintenant revu cela, y compris le hack "myhost-> localhost", et il semble que ce ne soit pas suffisant. La roue tourne dans MacRDP essayant de se connecter, mais expire toujours. Il n'y a aucun message dans Console.app. J'utilise un outil personnalisé pour porter en avant (pas d'accès ssh). Je me demande vraiment ce qu'il essaie de faire qui échoue.
Thorbjørn Ravn Andersen
5

Sur votre Mac, essayez peut-être cette solution:

  • installer sshuttle (implémente ssh tunnel / proxy, mais implémente également quelques modifications de routage) ( https://github.com/apenwarr/sshuttle.git )

  • configurez sshuttle pour router uniquement l'adresse IP de la boîte Windows que vous souhaitez atteindre:

    sshuttle --dns -r YourUserName@YourSSHBox.com 1.1.1.1/32

    Remplacer:

    1.1.1.1/32 avec l'adresse IP de l'hôte Windows. S'il y a un certain nombre d'hôtes auxquels vous devez accéder et qu'ils sont dans le même sous-réseau, vous pouvez simplement changer le / 32 en quelque chose de plus large, par exemple / 24.

  • Lancez votre client Mac RDP et essayez d'accéder à l'adresse IP de la machine Windows. Peut-être pouvez-vous utiliser le nom d'hôte si vous transférez également des requêtes DNS vers la boîte que vous utilisez comme pont.

Il s'agit d'une variante de la méthode -D3389, mais qui utilise les fonctionnalités de proxy socks de ssh.

Wing Tang Wong
source
1
Impressionnant ... bon travail.
Ruskes
Cinq ans plus tard, toujours la meilleure solution à ce problème.
Hassan
3

Avez-vous essayé de désactiver l'exigence «Authentification au niveau du réseau» dans «Panneau de configuration -> Système -> Autoriser l'accès à distance» sur la machine cible?

Authentification au niveau natif

brablc
source
Il est capable de se connecter avec une installation Windows RDP .. alors, oui, il l'a déjà fait :)
Kenan Sulayman
1
La version 2.1.1 a ajouté la prise en charge de NLA - voir macupdate.com/app/mac/8431/microsoft-remote-desktop-connection : vérifie l'identité de l'ordinateur Windows avant d'établir une connexion Bureau à distance. Vous pouvez sélectionner cette option lorsque vous vous connectez à un ordinateur qui exécute Windows Vista ou Windows 7. L'authentification au niveau du réseau est plus sécurisée que les options d'authentification dans les versions antérieures de Windows. Si vous désactivez cette exigence (nous parlons de la toute dernière case à cocher), il devrait pouvoir se connecter avec le client 2.1.0 via le tunnel SSL.
brablc
Désolé, je n'ai pas vu que vous vouliez souligner la partie NTLM du plan. Peut-être vaut la peine d'essayer!
Kenan Sulayman
Je ne suis pas sûr que NLA soit lié à NTLM. NLA essaie simplement de vérifier les informations d'identification avant d'apporter un écran de connexion à l'utilisateur. Cela élimine un vecteur d'attaque. Mais son Windows est derrière un pare-feu, il n'a donc pas besoin de le considérer.
brablc
2

Le Bureau à distance Windows implémente davantage d'algorithmes d'authentification et de chiffrement spécifiques à Windows. Cela nous est souvent arrivé, en fait, nous sommes obligés d'utiliser Windows Remote Desktop par nos administrateurs réseau car nous utilisons des méthodes d'authentification qu'OSX n'implémente pas. Croisons les doigts et espérons que Microsoft publiera une correspondance pour le Bureau à distance de qualité Windows dès que possible.

Kenan Sulayman
source
Avez-vous des suggestions à faire pour que MacRDP ne s'arrête pas?
Thorbjørn Ravn Andersen
S'il expire, aucune connexion ne peut être établie. Quoi qu'il en soit, comme Windows réussit à se connecter, je suppose que c'est l'authentification ou le cryptage! :)
Kenan Sulayman
1

Le client OSX Microsoft Remote Desktop ne semble pas prendre en charge la méthode d'authentification par défaut utilisée par Windows 7+

La solution consiste à effectuer les opérations suivantes sur la machine Windows:

  • Démarrer -> Modifier la stratégie de groupe

  • La configuration d'un ordinateur

    • Modèles d'administration

      • Composants Windows

        • Services de bureau à distance

        • Hôte de session Bureau à distance

          • Sécurité

            1. Remplacez «Exiger l'utilisation de spécifiques pour les connexions Bureau à distance (RDP)» par Activé et choisissez RDP dans la liste déroulante.

            2. Remplacez «Exiger l'authentification des utilisateurs pour les connexions à distance à l'aide des authentifications au niveau du réseau» par Désactivé

Vous devriez maintenant pouvoir vous connecter à l'aide du client de bureau à distance OSX sans aucun problème via le tunnel SSH.

Joakim
source
J'ai également rencontré ce problème lors de la tentative de création d'un tunnel SSH vers une machine Windows. Cela a bien fonctionné lors de l'utilisation de Putty sous Windows. Cependant, la création du même tunnel exact sur OSX a simplement expiré après un certain temps. Si le tunnel n'était pas configuré du tout, le client Bureau à distance échouerait immédiatement, donc je savais qu'il obtenait une sorte de connexion.
Joakim
-1

Parfois, la simple mise à jour du logiciel résout le problème.

entrez la description de l'image ici

En attendant votre système d'exploitation, vous devez vous assurer d'avoir la bonne version de WRDC.

Étant donné que vous avez la version 2.1.0 obsolète, vous devez mettre à jour l'un des éléments suivants. Ver. 2.1.1 de Microsoft ou de la dernière version. 2.1.2. par le bas.

http://www.cloud9realtime.com/Guides/Macintosh%20RDP%20Guide.pdf

entrez la description de l'image ici

Si la mise à jour du logiciel n'aide pas et si vous ne pouvez pas vous connecter avec l'adresse IP, le nom d'hôte ou le nom de l'ordinateur, il est probable que le port 3389 soit bloqué quelque part dans votre WAN.

Pour tester votre configuration de tunneling ssh, essayez de telneting sur le port de votre machine locale.

Ruskes
source
Veuillez ajouter au moins le lien :-) Aussi: Est-ce juste une supposition ou avez-vous vérifié que cela résout le problème?
nohillside
1
Kenan Sulayman
@patrix Je n'ai pas la configuration à vérifier, mais j'ai lu à ce sujet.
Ruskes
1
Pour le moment, la réponse semble être plus une supposition qu'une solution. Et le téléchargement de logiciels bêta à partir d'un compte Dropbox anonyme n'est pas pour les âmes sensibles non plus!
nohillside
1
2.1.1 est un téléchargement gratuit pour ceux qui le souhaitent. Google vous y mènera, mais au moins pour l'instant ce lien vous montre les téléchargements disponibles: microsoft.com/en-us/download/…
Tim B
-2

La redirection vers le port 3389 est susceptible de vous poser des problèmes. Le système reconnaîtra ce que vous essayez de faire et se court-circuitera. C'est l'inconvénient de DIY Remote Desktop , à mon humble avis.

1
Alors pourquoi ça marche avec Windows Remote Desktop mais pas avec la version Mac de Remote Desktop (de Microsoft aussi)?
Thorbjørn Ravn Andersen
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.