RDP nur über VPN
Hallo zusammen,
wir wollen mehrer Mitarbeiter über OpenVPN per RDP auf einen PC innerhalb eines "Firmennetzwerks" zugreifen lassen. Das klappt soweit auch alles. Nur kenne ich die Pappenheimer. Da wird vergessen die VPN Verbindung aufzubauen oder die IP und die Zagangsdaten an andere weiter gegeben usw.
Nun die konkrete Frage:
Kann ich technisch sicherstellen, dass nur wer eine OpenVPN Verbindung zum Server aufgebaut hat auch RDP nutzen kann?
Vielen Dank und eine gut funktionierende Klimaanlage
Michael
wir wollen mehrer Mitarbeiter über OpenVPN per RDP auf einen PC innerhalb eines "Firmennetzwerks" zugreifen lassen. Das klappt soweit auch alles. Nur kenne ich die Pappenheimer. Da wird vergessen die VPN Verbindung aufzubauen oder die IP und die Zagangsdaten an andere weiter gegeben usw.
Nun die konkrete Frage:
Kann ich technisch sicherstellen, dass nur wer eine OpenVPN Verbindung zum Server aufgebaut hat auch RDP nutzen kann?
Vielen Dank und eine gut funktionierende Klimaanlage
Michael
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 381127
Url: https://administrator.de/forum/rdp-nur-ueber-vpn-381127.html
Ausgedruckt am: 13.04.2025 um 18:04 Uhr
11 Kommentare
Neuester Kommentar
Hi
ich verstehe nicht ganz ...
mach den RDP Server nicht von aussen erreichbar. Dann kann man den nur erreichen, wenn eine VPN da ist. Dafür ist sie ja da, die VPN ?!
Zu den Zugangsdaten: Verteile Client-Zertifikate an die Rechner. Dann kannst du sagen, das dieser User mit seinen AD Zugangsdaten nur mit diesem Client Zertifikat verbinden darf.
Prinzipiell reicht es, das der VPN-Client sich einfach per Zertifikat einwählt, ohne Benutzerdaten. Kommt auf eure Vorraussetzungen an.
Selbst wenn er seine Zugangsdaten an die Klowand schreibt, kommt man dann nicht auf die VPN.
ich verstehe nicht ganz ...
mach den RDP Server nicht von aussen erreichbar. Dann kann man den nur erreichen, wenn eine VPN da ist. Dafür ist sie ja da, die VPN ?!
Zu den Zugangsdaten: Verteile Client-Zertifikate an die Rechner. Dann kannst du sagen, das dieser User mit seinen AD Zugangsdaten nur mit diesem Client Zertifikat verbinden darf.
Prinzipiell reicht es, das der VPN-Client sich einfach per Zertifikat einwählt, ohne Benutzerdaten. Kommt auf eure Vorraussetzungen an.
Selbst wenn er seine Zugangsdaten an die Klowand schreibt, kommt man dann nicht auf die VPN.
Moin.
Dann wahlweise auch ESET Secure Authentification.
Funktioniert als 2. Faktor, lässt sich in alle möglichen Sachen reindübeln und kann Hard- und Softwaretokens.
Dann wahlweise auch ESET Secure Authentification.
Funktioniert als 2. Faktor, lässt sich in alle möglichen Sachen reindübeln und kann Hard- und Softwaretokens.
Guten morgen,
gibt es einen Grund dafür, dass RDP von außen auch ohne VPN erreichbar sein muss? Das wäre mir persönlich zu heikel und ich würde das, wie @SeaStorm schon erwähnt hat, auch dicht machen und per VPN zugänglich, damit hätte sich das doch schon erledigt.
Gruß
gibt es einen Grund dafür, dass RDP von außen auch ohne VPN erreichbar sein muss? Das wäre mir persönlich zu heikel und ich würde das, wie @SeaStorm schon erwähnt hat, auch dicht machen und per VPN zugänglich, damit hätte sich das doch schon erledigt.
Gruß
Moin,
ich gehe mal stark davon aus, das der PC ohne VPN gar nicht von außen erreichbar sein wird (Sollte er auch gar nicht, wie @SeaStorm bereits schrieb). Von daher hat sich das Problem doch schon erledigt.
Davon abgesehen, wird der interne Name bzw IP ja eh nicht mit der externen identisch sein.
Wenn du denen also eine vorkonfigurierte RDP bastelst, geht es eh nicht ohne VPN.
ich gehe mal stark davon aus, das der PC ohne VPN gar nicht von außen erreichbar sein wird (Sollte er auch gar nicht, wie @SeaStorm bereits schrieb). Von daher hat sich das Problem doch schon erledigt.
Davon abgesehen, wird der interne Name bzw IP ja eh nicht mit der externen identisch sein.
Wenn du denen also eine vorkonfigurierte RDP bastelst, geht es eh nicht ohne VPN.
Moin,
Der TO hat doch ein ganz anderes Thema.
Es geht darum, wenn keine VPN Session offen ist und dann versucht wird eine RDP Session zu dem jeweiligen Server zu starten.
Avaik ist das nur ein Problem wenn sich der Client in einem "bösartigen" local network befindet.
Nach meinem Verständnis muss jedoch immer noch erst ein Server mit passenden credentials angetroffen werden bevor über haupt der User sowie Kennwort über tragen wird.
An der Stelle wäre dann ja noch die Option eben diese Geschichte auch noch mit einem Zertifikat ab zusichern. Ebenso wie schon genannt die OpenVPN Session.
Nicht zu vergessen, das es ja auch so Dinge von MS gibt wie (leider angekündigt) Direct Access.
Wird aber durch eine neue Technologie ersetzt, nämlich Allways on VPN.
Das scharmante wäre hier, man kann es komplett über die AD verwalten und ausrollen. Zusätzlich sind hier die Tunnel immer offen und es kann so konfiguriert werden, dass eben nur zu definierten Endpunkte getunnelt wird.
Gruß
Spirit
Der TO hat doch ein ganz anderes Thema.
Es geht darum, wenn keine VPN Session offen ist und dann versucht wird eine RDP Session zu dem jeweiligen Server zu starten.
Avaik ist das nur ein Problem wenn sich der Client in einem "bösartigen" local network befindet.
Nach meinem Verständnis muss jedoch immer noch erst ein Server mit passenden credentials angetroffen werden bevor über haupt der User sowie Kennwort über tragen wird.
An der Stelle wäre dann ja noch die Option eben diese Geschichte auch noch mit einem Zertifikat ab zusichern. Ebenso wie schon genannt die OpenVPN Session.
Nicht zu vergessen, das es ja auch so Dinge von MS gibt wie (leider angekündigt) Direct Access.
Wird aber durch eine neue Technologie ersetzt, nämlich Allways on VPN.
Das scharmante wäre hier, man kann es komplett über die AD verwalten und ausrollen. Zusätzlich sind hier die Tunnel immer offen und es kann so konfiguriert werden, dass eben nur zu definierten Endpunkte getunnelt wird.
Gruß
Spirit