Cloudflare avec Devolutions Gateway

Devolutions Gateway pouvoir fonctionner derrière un tunnel Cloudflare afin d’ajouter une couche de protection supplémentaire à une installation Devolutions Gateway interne ou permettre un tunnel sortant lorsqu’il n’est pas possible de modifier la configuration d’un pare-feu. Utiliser Devolutions Gateway derrière Cloudflare Tunnel être possible à la fois pour Devolutions Server et Devolutions Cloud.

1. Se connecter au tableau de bord de Cloudflare.

   Un plan gratuit de Cloudflare peut être utilisé pour installer et exécuter des tunnels Cloudflare.

2. Aller à la section À confiance zéro qui se trouve sous Cloudflare Dashboard.

3. Aller à Networks – Tunnels et cliquer sur Create a tunnel.

   

4. Sélectionner Cloudflared et cliquer sur Suivant.

   

5. Entrer un nom et cliquer sur Save tunnel.

   

6. Choisir le système d'exploitation et l'architecture appropriés.

7. Télécharger l'installateur via le lien donné.

   

8. Copier la chaîne de configuration.

   

9. Exécuter l'installateur Cloudflare.

10. Dans la section Installer et exécuter un connecteur de la fenêtre d'installation de Cloudflare, copier la commande.

11. Ouvrir le serveur avec le démon Cloudflare tunnel installé et ouvrir Invite de commandes en tant qu'administrateur.

12. Coller la chaîne de configuration copiée de l'étape 8 et appuyer sur entrée.

    Il est conseillé de vérifier que le Statut indique Connecté.

    

13. Cliquer sur Suivant.

    

14. Saisir un sous-domaine unique.

15. Choisir HTTPS comme Type.

    1. Activer l'option Aucune vérification TLS sous Paramètres d'application supplémentaires – TLS lors de l'utilisation d'un certificat auto-signé pour une gateway.

    Utiliser localhost:7171 comme URL si la configuration par défaut du gateway a été utilisée.

16. Cliquer sur Enregistrer le tunnel.

    

17. Cliquer sur le Tunnel name nouvellement créé.

18. Cliquer sur Modifier.

    

19. Aller à l'onglet Nom d'hôte public et cliquer sur Ajouter un nom d'hôte public.

    

20. Saisir un sous-domaine unique (différent de l'étape 14).

21. Choisir TCP comme Type.

    Utiliser localhost:8181 comme URL si la configuration du point d'accès Par défaut a été utilisée.

22. Cliquer sur Save hostname.

    

Une fois terminé, il devrait y avoir deux noms d'hôtes publics.

1. Se connecter à l’instance Devolutions Server ou Devolutions Cloud en tant qu’utilisateur ayant accès à la configuration Devolutions Gateway.

2. Aller à Administration — Devolutions Gateway.

3. Cliquer sur le bouton Plus et sélectionner Télécharger la clé publique.

1. Ouvrir une connexion au serveur hébergeant Devolutions Gateway et télécharger l'installateur.

2. Exécuter l'installateur.

3. Cliquer sur Suivant.

   

4. Une fois le chemin d'installation souhaité sélectionné, cliquer sur le bouton Suivant.

   

5. Cliquer sur Suivant.

   

6. Cliquer sur Suivant dans la fenêtre Écouteurs.

   Il est conseillé de laisser les écouteurs par défaut car ils correspondront probablement à la configuration du tunnel Cloudflare.

   

7. Entrer l'URI externe par lequel le gateway sera accessible.

8. Cliquer sur Suivant.

   

9. Spécifier le chemin d'accès aux certificats TLS ou à l'emplacement du magasin de certificats système.

10. Cliquer sur Suivant.

    

11. Spécifier le chemin vers la clé publique précédemment récupérée depuis Devolutions Server ou Devolutions Cloud.

    Ce fichier de clé doit être accessible au compte NetworkService , sous lequel Devolutions Gateway s'exécute.

12. Cliquer sur Suivant.

    

13. Cliquer sur Install.

Le client Cloudflared doit être téléchargé et lancé pour canaliser correctement la connexion. Ce client créera une connexion de tunnel Cloudflare sortante depuis le client Remote Desktop Manager local vers le tunnel Cloudflare se connectant à Devolutions Gateway.

Exécuter le code suivant dans une fenêtre de terminal tant que le tunnel doit être ouvert et chaque fois qu'une gateway sera accédée derrière un tunnel Cloudflare :

cloudflared-windows-amd64.exe access tcp --hostname gateway-client-tcp.mydomain.com --url localhost:8181

Pour éviter d'exécuter le code à chaque fois, créer un service :

1. Lancer une session PowerShell élevée.

2. Entrer ce code pour créer un nouveau service PowerShell :

   New-Service -Name "Cloudflared Egress" -BinaryPath "C:\Tools\cloudflared-windows-amd64.exe access tcp --hostname gateway-client-tcp.mydomain.com --url localhost:8181"
   
   Start-Service -Name 'Cloudflared Egress'
   

3. Démarrer le service.

Le tunnel fonctionne maintenant en permanence côté client.

1. Se connecter à une instance de Devolutions Server en tant qu'utilisateur ayant accès à la configuration de Devolutions Gateway.

2. Aller à Administration — Devolutions Gateway.

3. Cliquer sur le bouton Add (+) et choisir Gateway.

   

4. Entrer les détails précédemment récupérés de Cloudflare utilisés pour configurer Devolutions Gateway.

   Il peut être nécessaire de faire précéder le domaine du tunnel Cloudflare de https://. Détection automatique ne fonctionnera que si le nom d'hôte a été configuré pour être le même que le nom d'hôte TCP dans Cloudflare. Tester la connexion si le domaine du tunnel est accessible.

5. Cliquer sur Enregistrer.

   

6. Cliquer sur le bouton points de suspension (Plus) à côté du gateway nouvellement configuré et sélectionner Publier la liste de révocation.

   1. Si l'option Publier la configuration du Gateway est disponible, cela doit être fait avant Publier la liste de révocation.

   

1. Se connecter à une instance Devolutions Cloud en tant qu’utilisateur ayant accès à la configuration Devolutions Gateway.

2. Aller à Administration — Devolutions Gateway.

3. Cliquer sur le bouton Ajouter (+).

4. Entrer les détails précédemment récupérés de Cloudflare utilisés pour configurer Devolutions Gateway.

   Il peut être nécessaire de faire précéder le domaine du tunnel Cloudflare de https://. Détection automatique ne fonctionnera que si le nom d'hôte a été configuré pour être le même que le nom d'hôte TCP dans Cloudflare. Tester la connexion si le domaine du tunnel est accessible.

   

5. Parcourir toute combinaison des onglets Coffres, Groupes ou Utilisateurs pour décider comment les licences seront distribuées.

6. Cliquer sur Ajouter.

7. Cliquer sur le bouton points de suspension (More) à côté du point d'accès nouvellement configuré et sélectionner Publish Gateway configuration.