Bonjour à tous,

J'ai un serveur RDS sous Windows avec la passerelle SSL configurée afin d'avoir un accès depuis l'extérieur au serveur. Ce serveur est derrière un pare-feu Stormshield SN310 sur lequel une règle NAT redirige le port externe 7443 vers le port 443 du serveur en interne. Une autre règle autorise le protocole RDP à atteindre le serveur depuis Internet (certainement inutile).

Devant ce pare-feu il y a un routeur VoIP que je ne contrôle pas, qui redirige le port externe (côté WAN) 7443 vers le port 7443 du pare-feu en interne (port 443 étant déja utilisé par l'interface web du routeur).

Mais lorsque l'on tente de se connecter au serveur RDS depuis Internet, on obtient une erreur disant que le certificat est invalide. Cela est du au pare-feu qui remplace le certificat SSL de la passerelle RDS par son propre certificat SSL (utilisé normalement pour le filtrage SSL). Je ne comprends pas pourquoi le pare-feu impose son certificat, alors que l'inspection SSL n'est pas activée, et que les modes IDS/IPS sont désactivés pour les règles que j'ai mentionné plus haut.

Y aurait t'il un moyen pour que le certificat RDS ne soit plus remplacé par le stormshield ?

Cela bloque l'accès aux bureaux à distance alors que d'un point de vue réseau, tout est correctement configuré pour fonctionner...

Merci de ta réponse @gyto6,

Alors j'ai enfin eu le support stormshield au téléphone, d'après eux il s'agirait d'un problème de redirection, en fait sur mon pare-feu le port 7443 était utilisé par le portail captif, je l'ai donc désactivé (inutile dans mon cas). Mais ça ne semble pas régler le problème...

Bonjour,

Tout semble dire que l'inspection SSL du Stormshield est belle et bien active...

D'abord, tu peux éditer le certificat de la passerelle RDS avec celui du Stormshield après avoir modifié soigneusement les noms pour qu'ils correspondent toujours à l'adresse DNS de ta passerelle. Récupère le certificat du Stormshield, édite le dans l'interface Passerelle RDS de Windows Server et installe-le dans ton service ainsi que dans le Stormshield pour le remplacer.

Pas bête, mais chez un autre client, la même configuration fonctionne...

Deuxièmement, as-tu bien installé le certificat de la passerelle RDS dans le magasin "Autorité de Certification Racine de Confiance de l'Entreprise"? Car le message peut également indiquer que le certificat n'est pas installé sur le poste client.

Et chez les autres pas besoin non plus d'enregistrer le certificat sur les postes car c'est un certificat public (et non pas autosigné).

[EDIT] Aucun autre règle implicite ne semble court-circuiter mes règles explicites (pas de VPN SSL, admin web sur un autre port...)

Merci de ta réponse @gyto6,

Alors j'ai enfin eu le support stormshield au téléphone, d'après eux il s'agirait d'un problème de redirection, en fait sur mon pare-feu le port 7443 était utilisé par le portail captif, je l'ai donc désactivé (inutile dans mon cas). Mais ça ne semble pas régler le problème...

Pas bête, mais chez un autre client, la même configuration fonctionne...

Et chez les autres pas besoin non plus d'enregistrer le certificat sur les postes car c'est un certificat public (et non pas autosigné).

Si ça fonctionne chez les autres clients, le stormshield n'est en effet pas en défaut. J'ai eu ce soucis chez un client sur Windows 7, et après m'être arraché les cheveux à chercher la source du problème, je me suis résolu à installer Windows 10 sur le poste (anciennement Windows 7) pour résoudre le soucis.
 
J'avais, installé, supprimé et réinstallé le certificat x fois sur le poste, mais rien ne semblait résoudre le message d'erreur sur le client.

Au plaisir

Sinon faut que je voye pour installer le certificat du pare-feu sur tous les postes clients, mais bon le client n'a plus d'interêt à payer un certificat auprès d'une autorité si c'est pour le court-circuiter par un auto signé.
On dirait qu'une fonction force le remplacement du certificat mais je ne sais pas laquelle.

J'ai vérifié le certificat SSL de la passerelle et il me semble bon. J'ai trouvé une seule fois ce problème sur Internet, une personne dit qu'il faut désactiver l'inspection SSL.
Ne pouvant pas la desactiver en pleine journée (finalement elle est bien utilisée pour le HTTPS et d'autres protocoles), j'ai ajouté le domaine correspondant à la passerelle à la liste des noms de certificats à ne pas decrypter, mais ça ne change rien (à mon avis l'inspection SSL ne fonctionne que dans le sens vers Internet et pas l'inverse).
Je n'ai plus de nouvelle piste alors j'attends le retour du support.

Je n'ai pas essayé de reset la configuration de l'inspection SSL, je le garde au cas où, mais je pense tenir le problème.

Sur le second pare-feu j'ai réglé le problème avec le support stormshield, il s'agissait du portail captif qui était actif sur le port 443, court-circuitant le port 443 en entrée du boitier. L'accès RDP fonctionne désormais.

Pour le pare-feu dont je parle depuis le début, je me suis rendu compte que le routeur du prestataire de téléphonie bloque le port 7443 que le pare-feu translate vers le 443 du serveur RDP, contrairement à ce que m'a dit mon collègue. Un simple scan intense + UDP sur nmap montre que ce port n'est pas ouvert. Plus qu'a attendre que le prestataire de téléphonie fasse son travail correctement.