funpro
Goto Top

Einrichten von exteren Remote desktop (über internet) zugriff auf Client PCs die sich innerhalb einer Domain befinden

Grüß euch!

alos ich stehe vor folgenden Problem:

ich bin erst seit kurzem in diesem Business des "IT-Admis" tätig und bin deshalb noch ein Neuling.
Ich stehe jetzt vor dem Problem,dass ich mehrere PCs per Remote Desktop auch extern zur verfügung stellen soll.

Das System habe ich vorkonfiguriert von meinem Vorgänger übernommen, welcher bereits für den Server und einen einen Arbeitsplatz eine extere Remote Desktop verbindung erstellt hat.

auf den server komme ich mit einem dns namen (mail.exmaple.at) den er scheinbar (irgendwo) eingerichtet hat, so das ich nicht die externe IP vom server eingaben brauch.
auf die workstation kommt man wenn man mail.example.at:6003 eingibt. scheinbar ist das der RDP vom Client, die er durch einen regedit eintrag am client geändert hat (der standard ist ja irgendwas mit 3....)


intern in der domain komme ich jetzt nur mehr auf den client wenn ich bei remote desktop verbindung hinter dem client name den port angebe (example:6003).

jetzt zu meinem eigentlich problem:

jetzt soll ich halt 2 weitere pc extern anwählbar machen, weswegen ich mir gedacht habe das ich bei diesen einfach auch den port ändert und dann beim anmelden hinter den pc namen stelle (zb.: exmaple2:6004 und example3:6005)

doch durch diese änderung komme ich nun garnicht mehr, auch nicht intern auf die besagten PCs.

ich vermute mal das ich wohl irgendwo noch die ports mit den ips in verbindung bringen muss, doch leider finde ich nirgends am server eine liste bzw. parameter wo ich das eintragen könnte.

bitte um dringende antwort, sitze jetzt schon den ganzen vormittag dabei und nichts geht weiter face-wink

weiters würde mich intressieren wo mein vorgänger die externe ip hinterlegt hat; ist das unsere router ???

Server: windows server 2003
client: windows xp (der bereits extern verfügbar ist) und 2 weitere windows 7 pro (die noch nach extern erreichbar gemacht werden sollen)

lg funpro

Content-ID: 186155

Url: https://administrator.de/forum/einrichten-von-exteren-remote-desktop-ueber-internet-zugriff-auf-client-pcs-die-sich-innerhalb-einer-domain-186155.html

Ausgedruckt am: 23.12.2024 um 00:12 Uhr

Eisern
Eisern 08.06.2012 aktualisiert um 15:32:04 Uhr
Goto Top
Hallo,

dazu musst du doch einfach nur im Router einstellen das Anfragen der Ports 6004 auf den internen Port 3389 (RDP) und die interne IP des PCs umgeleitet werden. Für den Port 6005 genau das gleiche.

Eine Änderung des Ports inder Registry und einer damit verbundenen Erreichbarkeit aus dem Internet wird so nicht funktionieren.

Schau mal in eurem Router unter NAT nach, ich denke dort findest du die Einträge.

MfG, Tom

Edit: Die externe IP wird sicherlich bei eurem Provider als autodiscover hinterlegt sein, eine andere Idee hierzu habe ich leider nicht.
funpro
funpro 08.06.2012 um 15:59:18 Uhr
Goto Top
hi, das problem ist, das wir bei der telekom sind und so keinen zugriff auf den router haben.
naja es funktioniert ja schon, aber wie gesagt nur für den server und der einen workstation,

weswegen ich halt auch annahm das es auf für die anderen mit der änderung des prots gehen müsste.
Eisern
Eisern 08.06.2012 um 16:04:20 Uhr
Goto Top
Hey,

wie geht ihr denn ins Internet? Habt ihr kein WLAN etc.?
Im Normalfall hat man doch einen Router welcher auch das WLAN/DHCP macht. Was ist den bei den Clients für eine IP beim Gateway eingetragen? Diese IP sollte auch der Router sein.

MfG, Tom
funpro
funpro 08.06.2012 aktualisiert um 17:01:02 Uhr
Goto Top
wir sind per lan drinnen. wlan gibt es zwar auch, doch das haben wir mit einem zweiten router, der hängt einfach an einem lan port.
ja ich weiß welche ip der router hat, doch leider komme ich nicht drauf, da bei uns als businesskunde die telekom (A1) österreich keine zugangsdaten zu ihren geräten rausgibt.

lg
aqui
aqui 08.06.2012 aktualisiert um 17:42:16 Uhr
Goto Top
Betreibt ihr hinter dem Telekom A1 Router noch einen eigenen oder hängt ihr direkt am LAN Port dieses Telokom Routers ?
Wenn letzteres der Fall ist und der Router NAT macht (IP Adress Translation) hast du keinerlei Chance das zu konfigurieren.
Du benötigst dazu zwingend einen Router auf den du Zugriff hast auf die NAT Konfiguration um dort einen statischen Port Forwarding bzw. Port Translation Eintrag zu machen.
Kannst du das nicht, vergiss dein Vorhaben, denn sonst kannst du die NAT Firewall nicht berwinden die eurer lokales Netz schützt. Für Zugriffe von außen ist das aber zwingend erforderlich !!
In der Regel stellt der Provider Router transparentes Routing ohne NAT zur Verfügung am LAN Port mit einer öffentlichen IP.
An dieser schliesst der Endkunde dann sein eigenes LAN mit einer eigenen Firewall oder Router an.
Das musst du klären ob das bei dir der Fall ist. Da es ja mit einigen Adressen klappt sieht das eher danach aus und du kennst nicht wirklich die Anbindung.
Mach dich also genau kundig was da installiert ist und dann kommen wir auch weiter hier als zu raten face-sad
Wenn es dieses Setup dennoch nicht ist...wie gesagt dann hast du keine Chance !!
Pjordorf
Pjordorf 08.06.2012 um 17:54:38 Uhr
Goto Top
Hallo,

Zitat von @funpro:
bitte um dringende antwort,
Das kommt hier immer besonders gut an!

sitze jetzt schon den ganzen vormittag dabei und nichts geht weiter
Dann ist es mit deinen Grundlagen eines TCPIP netztes nicht weit bestellt, oder? Und mit deinen nicht vorhanden Grundlagen der IT willst du System Admin machen?

wir sind per lan drinnen.
Oder per LAN an euren von der Telekom zur verfügung gestellten Router angeschlossen.face-smile

Egal. Das was du vorhast ist schon als "Grob Fahrlässiges Handeln" auszulegen. Einen RDP Port direkt ins Internet zu stellen ist mehr als unklug. Das hat dein Vorgänger schon so gemacht. Vielleicht einer der Gründe warum du jetzt den Job hast? Weiterhin willst du dich mit einem Sicherheitsloch gar nicht erst begnügen, sondern du willst gleich 3 aufmachen.

Wie wird es richtig gemacht?

VPN = Virtual Private Network.

Dein Server OS 2003 kann dir sogar einen VPN Server machen und damit hast du dann schon die Grundlage um sogar mehr als nur RDP machen zu können. Und das sogar Kontrolliert und sicher. Da dein Server 2003 auch den PPTP VPN kann, empfiehlt es sich diesen erstmal zu nehmen. Deine Clients ausserhalb eures Netzes mit denen dann die Verbindung (RDP) aufgebaut werden wollen beherschen alle schon den VPN PPTP Client Modus. Einrichten. Fertig. Am Clientz VPN starten, anmelden, RDP starten und Arbeiten. Und das beste, da musst noch nicht mal irgendwelche Ports an den Clients und den RDP verbiegen. es bleibt alles beim Standard. Und in eurem Router wird lediglich das Portforwarding für TCP 1723 sowie das GRE protokoll auf den Server eingerichtet.

Noch besser wenn euer Router VPN kann. Dann diesen von der telekom dahingehend Einrichten lassen das dieser dein VPN Server darstellt. Wenn kein PPTP werden evtl. Clients benötigt.

Aber das mit dem VPN das weisst du ja alles als System Administrator schon. Ich meine, warum gibt es schließlich diese Ausbildnungsberufe die mehrere Jahre dauern?face-smile

Gruß,
Peter

(und wenn du jier im Forum nach Anleitungen von @aqui über VPN suchst bekommst du sehr viel Lesestoff geboten)
Epixc0re
Epixc0re 08.06.2012 um 19:43:31 Uhr
Goto Top
Hallo,
da ich selbst Teledumm(oder jetzt A1) geschädigter Kunde bin,
kann ich dir hier weiterhelfen.

Du hast folgende Möglichkeiten:


1. Du forderst das erstellen von Natting Rules bei der Teledumm Business Service Line an.
2. Du forderst an das du kein Natting sondern lieber Routing haben willst.

Beides ist innerhalb weniger Minuten (ich hab selbst 6 Business Anschlüsse) erledigt.

liebe Grüße,

Stefan
funpro
funpro 08.06.2012 um 22:42:26 Uhr
Goto Top
Zitat von @Pjordorf:
Hallo,

> Zitat von @funpro:
> bitte um dringende antwort,
Das kommt hier immer besonders gut an!


naja es ist halt dringend... face-wink

> sitze jetzt schon den ganzen vormittag dabei und nichts geht weiter
Dann ist es mit deinen Grundlagen eines TCPIP netztes nicht weit bestellt, oder? Und mit deinen nicht vorhanden Grundlagen der IT willst du System Admin machen?

naja es ist ein geringfügiger Job neben der uni, und war eigentlich als "einfacher" neben job ausgeschrieben. hat sich erst entwickelt das ich mehr mache als nur datenwartung und backups.
TCPIP Netze haben wir zwar durchgemacht, also die ganzen ebenen verschlüsselungen, ssh scripting topologien etc. doch halt nicht sowas.

> wir sind per lan drinnen.
Oder per LAN an euren von der Telekom zur verfügung gestellten Router angeschlossen.face-smile
ganz gena per lan an dem router, und nicht per WLan wie der kollege gefragt hatte face-wink

Egal. Das was du vorhast ist schon als "Grob Fahrlässiges Handeln" auszulegen. Einen RDP Port direkt ins Internet
zu stellen ist mehr als unklug. Das hat dein Vorgänger schon so gemacht. Vielleicht einer der Gründe warum du jetzt den
Job hast? Weiterhin willst du dich mit einem Sicherheitsloch gar nicht erst begnügen, sondern du willst gleich 3 aufmachen.


mir kam das schon komisch vor, habe selber bisher nur per Teamviewer bei kunden fernwartungen gemacht. da mein vorgänger aber jetzt bei einem größerem Betrieb arbeitet und noch nebenbei IT unterrichtet, dachte ich mir halt er weiß schon was er tut.
Danke fürs "aufmerksam machen" das es unsicher ist. das habe ich mir vorher auch schon gedacht.

Ist es eigentlich standard das der server von außen unter seiner fixen IP erreichbar ist?
Wie wird es richtig gemacht?

VPN = Virtual Private Network.

Dein Server OS 2003 kann dir sogar einen VPN Server machen und damit hast du dann schon die Grundlage um sogar mehr als nur RDP
machen zu können. Und das sogar Kontrolliert und sicher. Da dein Server 2003 auch den PPTP VPN kann, empfiehlt es sich diesen
erstmal zu nehmen. Deine Clients ausserhalb eures Netzes mit denen dann die Verbindung (RDP) aufgebaut werden wollen beherschen
alle schon den VPN PPTP Client Modus. Einrichten. Fertig. Am Clientz VPN starten, anmelden, RDP starten und Arbeiten. Und das
beste, da musst noch nicht mal irgendwelche Ports an den Clients und den RDP verbiegen. es bleibt alles beim Standard. Und in
eurem Router wird lediglich das Portforwarding für TCP 1723 sowie das GRE protokoll auf den Server eingerichtet.


der TCP port 1723 muss dann auf die Server IP verweisen oder wohin?
wie
Noch besser wenn euer Router VPN kann. Dann diesen von der telekom dahingehend Einrichten lassen das dieser dein VPN Server
darstellt. Wenn kein PPTP werden evtl. Clients benötigt.

Aber das mit dem VPN das weisst du ja alles als System Administrator schon. Ich meine, warum gibt es schließlich diese
Ausbildnungsberufe die mehrere Jahre dauern?face-smile

naja bin halt student der Informatik (Informationsmanagement), da gehen die halt mal schnell davon aus, das man auch gleich ein perfekter admin ist, obwohl man eher für die datenwartung zuständig ist.


Gruß,
Peter

(und wenn du jier im Forum nach Anleitungen von @aqui über VPN suchst bekommst du sehr viel Lesestoff geboten)

danke für den tipp schaue ich mir gerne an. ich will ja schließlich nicht immer der mit den "dummen" fragen bleiben.

wenn du noch ein paar gute seiten hast, dann würde ich mich gerne über eine PM mit den links freuen face-smile
funpro
funpro 08.06.2012 um 22:46:34 Uhr
Goto Top
Zitat von @Epixc0re:
Hallo,
da ich selbst Teledumm(oder jetzt A1) geschädigter Kunde bin,
kann ich dir hier weiterhelfen.

vielen dank stefan

Du hast folgende Möglichkeiten:


1. Du forderst das erstellen von Natting Rules bei der Teledumm Business Service Line an.
2. Du forderst an das du kein Natting sondern lieber Routing haben willst.

also was jetzt face-wink zuerst natting und dann auf routing umstellen ?!

Lieber routing und sonst natting rules ?

Beides ist innerhalb weniger Minuten (ich hab selbst 6 Business Anschlüsse) erledigt.

gut zu wissen, war voll schockiert als die mir die zugangsdaten verweigert hatten!

liebe Grüße,

Stefan
Epixc0re
Epixc0re 08.06.2012 um 23:16:34 Uhr
Goto Top
Hi,

grundsätzlich ziehe ich immer Routing vor, da ich selbst verantwortlich sein was wie / wann / wo in meinem Netzwerk passiert, dies impliziert natürlich auch das du dann deine eigene Firewall hinter dem Teledumm Modem stehen hast.


Die Zugangsdaten werden sie Dir auch nicht geben, ich kenn einige Leute von der Teledumm persönlich, und selbst die wollen die einfach nicht rausrücken.

liebe Grüße
aqui
aqui 09.06.2012 aktualisiert um 13:35:16 Uhr
Goto Top
Ansonsten wenn du NATing machst und ein VPN auf dem Server erstellst steht hier:
VPNs einrichten mit PPTP -->> "Achtung hinter NAT Firewalls"
ganz genau was du (oder besser der Service von Telekom A1) zu tun hast mit Port Forwarding auf dem Router...
Pjordorf
Pjordorf 09.06.2012 um 13:51:40 Uhr
Goto Top
Hallo,

Zitat von @Epixc0re:
dies impliziert natürlich auch das du dann deine eigene Firewall hinter dem Teledumm Modem stehen hast.
Was aber laut seiner Frage
Ist es eigentlich standard das der server von außen unter seiner fixen IP erreichbar ist?
wohl nicht der fall ist und sein Netz komplett ohne Firewall am Router der telekom hängt? (Ist aber noch keine gesicherte Erkenntniss).

Gruß,
Peter
aqui
aqui 09.06.2012 aktualisiert um 13:57:55 Uhr
Goto Top
Ist dann die Frage was die A1 Telekom macht. Die haben den Router dann im NAT Betrieb mit einer privaten RFC 1918 IP Adresse im lokalen Netzwerk.
Das ist ja das was der Kollege EpiXcore als A1 Geschädigter meinte....sofern das hier richtig verstanden wurde..??
Auf besonderen Wunsch kann man dann wohl transparentes Routing statt dem derzeit laufenden NAT aktivieren lassen dort dann wohl mit einer öffentlichen IP am LAN Port des Routers. Routing dann vermutlich ohne NAT was dann natürlich zwingend eine eigene Firewall oder NAT Router erfordert.
Wenn derzeit nur NAT rennt kommt er eh um eine Einrichtung von Port Forwarding sei es für RDP oder VPN über die A1 Hotline/Service eh nicht vorbei !!
Pjordorf
Pjordorf 09.06.2012 um 14:20:40 Uhr
Goto Top
Hallo,

Zitat von @funpro:
naja es ist halt dringend... face-wink
Naja, führt halt nur zu bewussten Verzögerungen gerade eben weil es für dich dringend ist. Für dringende Angelegenheiten gibt es den Hersteller Support. face-smile

naja es ist ein geringfügiger Job neben der uni
Ja ja. immer das gleicheface-smile

TCPIP Netze haben wir zwar durchgemacht, also die ganzen ebenen verschlüsselungen, ssh scripting topologien etc. doch halt nicht sowas.
Informatikstudium und keine Ahnung wie die Grundlagen sind?!? Und ich dachte immer in Österreich kann man etwas lernenface-smile

mir kam das schon komisch vor,
Gut.

habe selber bisher nur per Teamviewer bei kunden fernwartungen gemacht.
Teamviewer <> RDP. Teamviewer <> VPN. Teamviewer kann eine eigene VPN session aufmachen. VPN = Sicherheit. Du hast doch schon gelernt das in der IT Äpfel und Birnen nicht vergleichbar sind, oder?

da mein vorgänger aber jetzt bei einem größerem Betrieb arbeitet
Armer Konzern. face-smile

und noch nebenbei IT unterrichtet,
Ist nicht dein Ernst.

dachte ich mir halt er weiß schon was er tut.
Naja, die 0 und 1 (nullen und einsen face-smile) kann man in der IT sehr wohl schnell entlarven. Gerade die Nullen fallen schnell auf (sofern man selbst sein Handwerkszeug versteht, versteht sichface-smile)

das es unsicher ist. das habe ich mir vorher auch schon gedacht.
Und warum nicht dann mal ein wenig Recherchiert ob dein Gefühl und deine Vermutung richtig ist? Oder lernt ihr das schon nicht mehr an einer Uni?

Ist es eigentlich standard das der server von außen unter seiner fixen IP erreichbar ist?
dazu sollten wir doch erstmal festlegen was du jetzt unter einer Fixen IP verstehst. Ein Server soll immer eine Feste IP habe. (Fest = fix. ist das so in deinem sinne gemeint?) Und das eine serfver von aussen (du meinst von ausserhalb seines Blechkleides, oder) erreichbar sein muss, ist doch klar. oder willst du nur mit Disketten und USB Sticks da dran? Was also ist mit Ausserhalb gemeint? das Inernet? Der 2.te Standort? Aus dem anderen Büro? Dein LAN? Was denn nun? Definitiv sollte keine Server oder auch Client direkt aus nicht vertrauenswürdige Netze direkt erreichbar sein. Bei einem WebServer z.B. sieht es da anders aus. Der wird ja gerade deshalb aufgesetzt damit jeder aus dem bösen Internet darauf Zugreifen soll. Allerdings mein WebServer im LAN (Intranetserver) soll natürlich nicht direkt aus dem bösen Internet erreichbar sein. Also was meinst du?

Wie wird es richtig gemacht?
Internet - Router - Firewall - LAN. Of sind Router und Firewall ein Gehäuse.

der TCP port 1723 muss dann auf die Server IP verweisen oder wohin?
Warum sollte der TCP Port 1723 sowie das GRE Protokoll (Beides wird bei PPTP zwingend benötigt) auf den VPN Server verweisen. NA KLAR ... face-smile Oder soll das auf deine Currywurst zeigen? Überleg doch mal ein ganz klein wenig was du hier gefragt hastface-smile

naja bin halt student der Informatik (Informationsmanagement),
Ist das jetzt eine Entschuldigung oder Grundface-smile

da gehen die halt mal schnell davon aus, das man auch gleich ein perfekter admin ist,
Und wir hier auch wenn du uns nicht aufklärst. Wir wissen nicht was du nicht weistface-smile

obwohl man eher für die datenwartung zuständig ist.
Du konntest dort nicht Nein sagen, wurdest also gezwungen gegen deinen Willen diese Aufgabe zu übernehmen?face-smile

Aber seit wann kein Student an einer Uni schon nicht mehr in Bücher nachlesen oder heutztage eine Suchmaschine seiner Wahl bedienen? es gibt sogar Doktorarbeiten welche nur so entstehen (heisst allerdings nicht das der Dr. dann auch Wissen hatface-smile)

Aber genug gelässtertface-smile Zurück zu deinem Problem.
Wir kenne dein Netzaufbau nicht. Nur das du ein Kunde der telekom bist. Welch ein Gerät verwendet wird (Router / Firewall / NAT) wissen wir nicht. Welche Vorraussetzungen auf der Externen Client Seite existieren. Was euer tatsächliches Ziel sein soll. welche Absicherung / nicht Absicherung bei euch gefordert ist. Wir wissen nicht ob bei euch alles ein Öffentliches Netz darstellt oder ob ihr ein privates Netz betreibt (betreiben wollt). Ob ihr evtl. Hardware zur verfügung habt wo ein VPN Server schon existiert (eingerichtet werden kann) usw. Hilf uns ein wen ig. dann können wir mit dir eine Lösung erarbeiten welche du dann umsetzen kannst. Und dann ist es auch ganz schnell erledigt (wegen deiner Dringlichkeitface-smile)

Gruß,
Peter