Azure VM RDP Zugriff via openVPN absichern
Hallo liebes Forum,
testweise habe ich mit eine Azure (Win) VM eingerichtet und kann per default via RDP (TCP 3389) über die feste IP auf die VM zugreifen.
RDP-Zugriff möchte ich natürlich nicht so direkt zulassen und habe mir überlegt, ob ich einen openVPN Server direkt auf demselben
Server installieren könnte.
Ist mir klar, dass das keine saubere Lösung ist, wollte für meine Testumgebung aber keine zweite (Linux) VM mit openVPN aufsetzen,
die mir MS natürlich zusätzlich zusätzlich berechnen würde.
Ich bräuchte Eure Meinung, ob openVPN auf derselben Maschine laufen könnte und ob ich mir dadurch ein Sicherheitsleck
"einkaufen" würde.
Beste Grüße
Benson
testweise habe ich mit eine Azure (Win) VM eingerichtet und kann per default via RDP (TCP 3389) über die feste IP auf die VM zugreifen.
RDP-Zugriff möchte ich natürlich nicht so direkt zulassen und habe mir überlegt, ob ich einen openVPN Server direkt auf demselben
Server installieren könnte.
Ist mir klar, dass das keine saubere Lösung ist, wollte für meine Testumgebung aber keine zweite (Linux) VM mit openVPN aufsetzen,
die mir MS natürlich zusätzlich zusätzlich berechnen würde.
Ich bräuchte Eure Meinung, ob openVPN auf derselben Maschine laufen könnte und ob ich mir dadurch ein Sicherheitsleck
"einkaufen" würde.
Beste Grüße
Benson
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 604209
Url: https://administrator.de/forum/azure-vm-rdp-zugriff-via-openvpn-absichern-604209.html
Ausgedruckt am: 23.12.2024 um 18:12 Uhr
13 Kommentare
Neuester Kommentar
Ja, natürlich kann es das und es ist natürlich kein Sicherheitsleck. Ganz im Gegenteil, denn RDP gilt mit seiner sehr schwachen Verschlüsselung als nicht sicher. Du tust also gut daran das abzusichern.
Aller weiteren OVPN Infos findest du HIER:
Aller weiteren OVPN Infos findest du HIER:
Static Key ist immer ein Vabanque Spiel mit der Sicherheit. Besser wären die OVPN üblichen Zertifikate...!
Autostart:
https://blog.joergboesche.de/openvpn-windows-autostart-mit-automatischem ...
https://www.it-management-kirchberger.at/manuals-tutorials/clients-manua ...
https://www.internet-xs.de/support/vpn-verbindung/openvpn-client-bei-sys ...
Usw. usw.
Autostart:
https://blog.joergboesche.de/openvpn-windows-autostart-mit-automatischem ...
https://www.it-management-kirchberger.at/manuals-tutorials/clients-manua ...
https://www.internet-xs.de/support/vpn-verbindung/openvpn-client-bei-sys ...
Usw. usw.
Das Netzwerkinterface von Windows sollte man nicht direkt ins Internet stellen. Worst practice. Egal ob da ein OpenVPN Listener läuft oder der für RDP. Wenn es denn unbedinbt sein muß über einen Reverse Proxy (und der kostet defintiv extra)
RDP von Windows 2016 ist nach ein paar Tagen über Zerodays gehackt, egal wie stark das Kennwort ist (hatte ich mal) und ich wage mal zu behaupten, daß es um die Robistheit des Windows NEtzwerkadapters auch nicht allzuweit bestellt ist.
Und warum so kompliziert wenn es auch einfach geht... Azure offeriert unter anderem Point-to-Point VPN und Point-to-Site VPN , da gibts sogar einen Konfigurator für, der einem für den Client-PC gleich ein Icon auf den Bildschirm heftet.
RDP von Windows 2016 ist nach ein paar Tagen über Zerodays gehackt, egal wie stark das Kennwort ist (hatte ich mal) und ich wage mal zu behaupten, daß es um die Robistheit des Windows NEtzwerkadapters auch nicht allzuweit bestellt ist.
Und warum so kompliziert wenn es auch einfach geht... Azure offeriert unter anderem Point-to-Point VPN und Point-to-Site VPN , da gibts sogar einen Konfigurator für, der einem für den Client-PC gleich ein Icon auf den Bildschirm heftet.
ich glaub du hast da was mißverstanden, Site-to-Site würde nur mit festen IP Addressen auf deiner Seite gehen, das dürfte schon mal am Provider scheitern. Aber ist auch nicht nötig.
Ich meinte Point to Site wo dein Rechner als Client (Point) die VPN Verbinudng zu einem Endpunkt in Azure aufbaut (Site) und das wird als VPN Gatway zur Verfügung gestellt.
Bei mir hat die Point to Site Variante mit allem funktioniert, was es so an Internetzugängen gibt, nur nicht wenn ich im Homeoffice schon im Firmen-VPN eingewählt bin.
Aber OpenVPN wäre auch eine Alternative... dafür gibts im Azure sogar Vorlangen-VM s im Marketplace. Wäre aber sichereer wenn man das selber baut denn man weiß ja nie was in so einerVorlangen-VM drin ist, selbst Microsoft distanziiert sich davon.
Ich meinte Point to Site wo dein Rechner als Client (Point) die VPN Verbinudng zu einem Endpunkt in Azure aufbaut (Site) und das wird als VPN Gatway zur Verfügung gestellt.
Bei mir hat die Point to Site Variante mit allem funktioniert, was es so an Internetzugängen gibt, nur nicht wenn ich im Homeoffice schon im Firmen-VPN eingewählt bin.
Aber OpenVPN wäre auch eine Alternative... dafür gibts im Azure sogar Vorlangen-VM s im Marketplace. Wäre aber sichereer wenn man das selber baut denn man weiß ja nie was in so einerVorlangen-VM drin ist, selbst Microsoft distanziiert sich davon.
Site-to-Site würde nur mit festen IP Addressen auf deiner Seite gehen
Jein. DDNS würde auch klappen. Schlimmer wären DS-Lite Anschlüsse. Da gehts nicht, oder eben nur mit IPv6.OpenVPN als VM selbst zu bauen, anhand dieses Artikels:
Oder auch hier steht wie es geht:Merkzettel: VPN Installation mit OpenVPN
gerne die Reverse Proxy Thematik angehen
https://containo.us/traefik/oder Nginx Reverse Proxy.
Kann mir das jemand erklären, warum ich das VPN-Netz maskieren muss?
Das ist auch kompletter Unsinn, denn die internen Netze NATet (IP Adress Translation) man natürlich niemals. Genau das hast du aber gemacht (Maquerading= NAT). Das geht immer mit einem massiven Performance Verlust einher bzw. kann gravierende Nachteile mit Fragmentierungen nach sich ziehen. Kein Netzwerker macht so einen Unsinn denn intern besteht logischerweise niemals Zwang zu NATen.Außerdem mit der dann aktiven NAT Firewall machst du kein transparentes Routing mehr. Dein Routing ist also eine Einbahnstraße.
Vergiss den Unsinn also.
Was du falsch gemacht hast hat 2 Gründe:
- a.) Du hast vergessen IP Forwarding zu aktivieren auf dem Server
- b.) Du hast vergessen eine statische Route auf das interne OVPN IP Netz im Router einzutragen sofern ein externer Internet Router im Spiel ist.
Merkzettel: VPN Installation mit OpenVPN
Deine aktuelle "Lösung" ist also mehr als suboptimal...auch wenn es vermeintlich rennt.
Traceroute und Wireshark sind wie immer deine besten Freunde !
Mir ist nicht klar, wo ich die feste Route eintragen soll. Der openVPN-Server ist ja m. E. auch in meinem Falle der Router (Azure).
Das ist richtig ! Wenn der OVPN Server dein Tunnelendpunkt mit der öffentlichen IP ist dann ist dem auch so. Dann benötigst du dort natürlich keine extra statische Route, denn der Server "kennt" diese beiden IP Netz ja da sie direkt an ihm angeschlossen sind.Du hast es ja schon richtig gemacht und bei aktivem OVPN Client ein route print in der Eingabeaufforderung (Windows) eingegeben. Dort sollte dann jeweils ein Eintrag für das interne OpenVPN Netz vorhanden sein und auch einer für dein lokales LAN !
Beides ist bei dir der Fall, folglich werden aus beide Netze in den Tunnel geroutet
Ich denke aber, dass hier keine Route eingetragen werden muss, da es ja keine Site-to-Site Kopplung ist.
Auch das ist richtig !OVPN technisch hast du soweit alles richtig gemacht.
Es ist also stark zu vermuten, sofern ein Winblows OS als Server im Spiel ist, fast immer bei Winblows die lokale Firewall des Servers zuschlägt. Da die Windows eigene Auto Erkennung des Tunnelnetzes durch das fehlende Gateway immer fehlschlägt deklariert die lokale Firewall dieses Netz immer als "Public" und blockt somit jeglichen Zugriff. Typische Winblows Firewall Problematik.
Was du aber immer in den Firewall mit erweiterer Einstellung Optionen entsprechend auf ein Private Profil anpassen kannst mit einem Mausklick, was das Problem dann sofort löst.
Alternativ kannst du die FW auch entsprechend manuell customizen nach deinen Sicherheitsvorgaben.
Es kann final nur noch ein Firewall Problem sein !