Cloudflare avec Devolutions Gateway

Devolutions Gateway peut opérer derrière un tunnel Cloudflare pour ajouter une couche de protection supplémentaire à une installation interne de Devolutions Gateway ou pour permettre un tunnel sortant lorsque la modification d'une configuration de pare-feu n'est pas disponible. L'utilisation de Devolutions Gateway derrière un tunnel Cloudflare est disponible pour Devolutions Server et Devolutions Hub Business.

Configurer le tunnel Cloudflare

1. Se connecter au tableau de bord Cloudflare.

   Un plan gratuit de Cloudflare peut être utilisé pour installer et exécuter les tunnels Cloudflare.

2. Aller dans la section À Confiance Zéro qui se trouve sous Tableau de bord Cloudflare.

3. Aller dans Réseaux – Tunnels et cliquer sur Créer un tunnel.

   

4. Sélectionner Cloudflared et cliquer sur Suivant.

   

5. Entrer un nom et cliquer sur Enregistrer le tunnel.

   

6. Choisir le système d'exploitation et l'architecture appropriés.

7. Télécharger l'installateur via le lien donné.

   

8. Copier la chaîne de configuration.

   

9. Exécuter l'installateur Cloudflare.

10. Dans la section Installer et exécuter un connecteur de la fenêtre d'installation Cloudflare copier la commande.

11. Ouvrir le serveur avec le démon de tunnel Cloudflare installé et ouvrir Invite de commande en tant qu'administrateur.

12. Coller la chaîne de configuration copiée à partir de l'étape 8 et appuyer sur entrer.

    Il est conseillé de vérifier que le Statut indique Connecté.

    

13. Cliquer sur Suivant.

    

14. Entrer un sous-domaine unique.

15. Choisir HTTPS comme Type.

    1. Activer l'option Pas de vérification TLS sous Paramètres supplémentaires de l'application – TLS lors de l'utilisation d'un certificat auto-signé pour une passerelle.

    Utiliser localhost:7171 comme URL si la configuration par défaut du gateway a été utilisée.

16. Cliquer sur Enregistrer le tunnel.

    

17. Cliquer sur le nom du tunnel nouvellement créé.

18. Cliquer sur Modifier.

    

19. Aller à l'onglet Nom d'hôte public et cliquer sur Ajouter un nom d'hôte public.

    

20. Entrer un sous-domaine unique (différent de l'étape 14).

21. Choisir TCP comme Type.

    Utiliser localhost:8181 comme URL si la configuration par défaut de la gateway a été utilisée.

22. Cliquer sur Enregistrer le nom d'hôte.

    

Lorsque terminé, il devrait y avoir deux noms d'hôte publics.

Récupérer la clé de provisionnement Devolutions Server ou Devolutions Hub Business

1. Se connecter à l'instance Devolutions Server ou Devolutions Hub Business en tant qu'utilisateur ayant accès à la configuration de Devolutions Gateway.
2. Aller dans Administration — Devolutions Gateway.
3. Cliquer sur le bouton Plus et sélectionner Télécharger la clé publique.

Installer Devolutions Gateway avec Cloudflare

1. Ouvrir une connexion au serveur hébergeant Devolutions Gateway et télécharger l'installateur.

2. Exécuter l'installateur.

3. Cliquer sur Suivant.

   

4. Une fois le chemin d'installation souhaité sélectionné, cliquer sur le bouton Suivant.

   

5. Cliquer sur Suivant.

   

6. Cliquer sur Suivant dans la fenêtre Écouteurs.

   Il est conseillé de laisser les écouteurs par défaut car ils correspondront probablement à la configuration du tunnel Cloudflare.

   

7. Entrer l'URI externe par lequel le gateway sera joignable.

8. Cliquer sur Suivant.

   

9. Spécifier le chemin des certificats TLS ou l'emplacement du magasin de certificats du système.

10. Cliquer sur Suivant.

    

11. Spécifier le chemin de la clé publique préalablement récupérée depuis Devolutions Server ou Devolutions Hub Business.

    Ce fichier clé doit être accessible au compte NetworkService, sur lequel s'exécute Devolutions Gateway.

12. Cliquer sur Suivant.

    

13. Cliquer sur Installer.

Lancer le client Cloudflared sur l'hôte de Remote Desktop Manager

Le client Cloudflared doit être téléchargé et lancé pour tunneliser correctement la connexion. Ce client créera une connexion de tunnel sortante Cloudflare depuis le client local Remote Desktop Manager vers le tunnel Cloudflare se connectant à Devolutions Gateway.

Le code suivant doit être exécuté dans une fenêtre de terminal tant que le tunnel doit être ouvert et chaque fois qu'un gateway sera accédé derrière un tunnel Cloudflare :
cloudflared-windows-amd64.exe access tcp --hostname gateway-client-tcp.mydomain.com --url localhost:8181

Pour éviter d'exécuter le code à chaque fois, créer un service :

1. Lancer une session PowerShell avec élévation.

2. Entrer ce code pour créer un nouveau service PowerShell :

   New-Service -Name "Cloudflared Egress" -BinaryPath "C:\Tools\cloudflared-windows-amd64.exe access tcp --hostname gateway-client-tcp.mydomain.com --url localhost:8181"
   
   Start-Service -Name 'Cloudflared Egress'
   

3. Démarrer le service.

Le tunnel fonctionne maintenant de manière permanente côté client.

Configurer Devolutions Server ou Devolutions Hub Business

Devolutions Server

1. Se connecter à une instance Devolutions Server en tant qu'utilisateur ayant accès à la configuration de Devolutions Gateway.

2. Aller dans Administration — Devolutions Gateway.

3. Cliquer sur le bouton Ajouter (+) et choisir Gateway.

   

4. Entrer les détails précédemment récupérés de Cloudflare utilisés pour configurer Devolutions Gateway.

   Il peut être nécessaire de préfixer le domaine du tunnel Cloudflare avec https://. Détection automatique ne fonctionnera que si le nom d'hôte a été configuré pour être le même que le nom d'hôte TCP dans Cloudflare. Tester la connexion si le domaine du tunnel est accessible.

5. Cliquer sur Enregistrer.

   

6. Cliquer sur le bouton points de suspension (Plus) à côté de la passerelle nouvellement configurée et sélectionner Publier la liste de révocation.

   1. Si l'option Publier la configuration de la Gateway est disponible, elle devrait être effectuée avant Publier la liste de révocation.

   

Devolutions Hub Business

1. Se connecter à une instance Devolutions Hub Business en tant qu'utilisateur ayant accès à la configuration de Devolutions Gateway.

2. Aller dans Administration — Devolutions Gateway.

3. Cliquer sur le bouton Ajouter (+).

   

4. Entrer les détails précédemment récupérés de Cloudflare utilisés pour configurer Devolutions Gateway.

   Il peut être nécessaire de préfixer le domaine du tunnel Cloudflare avec https://. Détection automatique ne fonctionnera que si le nom d'hôte a été configuré pour être le même que le nom d'hôte TCP dans Cloudflare. Tester la connexion si le domaine du tunnel est accessible.

   

5. Passer par n'importe quelle combinaison d'onglets Coffres, Groupes ou Utilisateurs pour décider comment les licences seront distribuées.

6. Cliquer sur Ajouter.

7. Cliquer sur le bouton des points de suspension (Plus) à côté du gateway nouvellement configuré et sélectionner Publier la configuration du gateway.