5
RDP Verbindung über VPN - Sinn?
Macht es Sinn RDP über VPN zu leiten und geht das überhaupt?
Hi Spezialisten,
kann man den MS-Remotedesktop über VPN/IPSec leiten oder ist RDP sicher genug? Ich habe eine dynamische DNS Adresse und möchte mit meine Windows 7 Pro 64-Bit notebook auf das Netzwerk zugreifen. Das Netzwerk ist eine Domäne mit einem Windows Server 2oo8 small business server 2o11 und mehreren windows 7 workstations. Ich würde gerne beim Zugriff von aussen natürlich auch möglichst viel Sicherheit haben.
Hi Spezialisten,
kann man den MS-Remotedesktop über VPN/IPSec leiten oder ist RDP sicher genug? Ich habe eine dynamische DNS Adresse und möchte mit meine Windows 7 Pro 64-Bit notebook auf das Netzwerk zugreifen. Das Netzwerk ist eine Domäne mit einem Windows Server 2oo8 small business server 2o11 und mehreren windows 7 workstations. Ich würde gerne beim Zugriff von aussen natürlich auch möglichst viel Sicherheit haben.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 189260
Url: https://administrator.de/contentid/189260
Ausgedruckt am: 22.11.2024 um 13:11 Uhr
5 Kommentare
Neuester Kommentar
Wie landest du denn letzen Endes in der Domäne? Im Grunde brauchst du ja schonmal VPN, um überhaupt in deiner Domäne zu landen. Und wenn der Tunnel erstmal steht, ist RDP ja kein Problem mehr!
Vielleicht etwas mehr Input liefern, speziell wie du deiner Domäne von außen joinst.
Vielleicht etwas mehr Input liefern, speziell wie du deiner Domäne von außen joinst.
Booyah bringt es auf den Punkt.
Oder anders rum. Es funktioniert wunderbar über diverse Leitungen. Achte nur auf die Auflösung und Bandbreiteneinstellungen. Der Schlüssel ist die upload-Bandbreite der Gegenstelle.
Gruß
Netman
Oder anders rum. Es funktioniert wunderbar über diverse Leitungen. Achte nur auf die Auflösung und Bandbreiteneinstellungen. Der Schlüssel ist die upload-Bandbreite der Gegenstelle.
Gruß
Netman
Ich komme ganz einfach über Portfreigaben rein. Also Port translation von einem hohen Port auf 3389 - klappt alles ohne VPN.
Mir fällt da gerade ein Logikfehler in meinem Denken auf, welcher wahrscheinlich die vorübergehende Abwesenheit von Verständnis erklärt. Ihr dürft mich korrigieren.
Da der sämtliche traffic auf einem Client (notebook) über ein VPN Tunnel geleitet werden kann (wenn diese Funktion aktiviert ist), dann wird zwangsläufig auch RDP so reinkommen und beim Verhandeln der Verbindung erkennt das auch der Server und horcht auf den entsprechenden Ports. Oder?
Mir fällt da gerade ein Logikfehler in meinem Denken auf, welcher wahrscheinlich die vorübergehende Abwesenheit von Verständnis erklärt. Ihr dürft mich korrigieren.
Da der sämtliche traffic auf einem Client (notebook) über ein VPN Tunnel geleitet werden kann (wenn diese Funktion aktiviert ist), dann wird zwangsläufig auch RDP so reinkommen und beim Verhandeln der Verbindung erkennt das auch der Server und horcht auf den entsprechenden Ports. Oder?
Hallo Rocknrolla!
Du wirst in etwa folgende Konstellation haben (reine Phantasie-IPs):
privates Netzwerk daheim: 192.168.0/24
Öffentliche IP-Adresse daheim: 1.1.1.1
privates Netzwerk Firma: 192.168.222/24
Öffentliche IP-Adresse Firma: dynamisch, fester hostname via dyndns
Zugriff von daheim via RDP in die Firma auf einen bestimmten Rechner:
Du machst RDP auf, verbindest Dich auf die dynamische öffentliche IP der Firma (bzw. via dyndns) mit einem bestimmten Port, die Firewall in der Firma leitet den Port um auf eine private IP in der Firma auf Port 3389 (Port translation).
Du gibst Benutzername und Kennwort eines Domänenaccounts ein, ergo: die Verbindung steht. Das kann aber jeder, der alle Ports auf der dynamischen öffentlichen Adresse ausprobiert (ja, solche Typinnen und Typen gibt es). Irgendwann erwischt er den, der auf den Port 3389 umgeleitet wird und probiert alle möglichen Benutzernamen und Kennwörter durch.
Schlimmstenfalls errät er einen gültigen Account und ist drin. Vllt. weniger schlimm, er errät einen Benutzernamen und gibt das Kennwort solange falsch ein, bis der Account gesperrt wird (besonders lustig, wenn's der Adminaccount ist).
Abhilfe: RDP-Verbindung nur von Deiner öffentlichen IP daheim zulassen. Diese Hürde kann aber von findigen Menschen trotzdem überwunden werden.
Zugriff von daheim via VPN und RDP in die Firma auf einen bestimmten Rechner:
Durch den Aufbau des VPN-Tunnels erhält Dein Rechner automatisch eine private IP-Adresse aus dem Firmennetzwerk (192.168.222.x), wenn DHCP aktiviert ist. Dadurch verhält sich Dein Laptop, als stünde er in der Firma. Du kannst nun eine RDP-Verbindung zu irgendeinem Rechner in der Firma aufbauen, sofern er dafür konfiguriert ist, und Dich dort anmelden. Wenn es Dir nur darum geht, zB auf ein Netzlaufwerk zuzugreifen, brauchst Du nichtmal eine RDP-Verbindung aufzubauen, denn Dein Laptop verhält sich nach dem Aufbau der VPN-Verbindung ohnehin so, als stünde er in der Firma. Du mußt nur das Netzlaufwerk auf Deinem Laptop verbinden und Dich dabei mit Deinem Domainaccount anmelden.
Da Du schreibst,"Ich würde gerne beim Zugriff von aussen natürlich auch möglichst viel Sicherheit haben", kommst Du an einem VPN-Tunnel keinesfalls vorbei!
Ich hoffe, ich habe mich verständlich genug ausgedrückt.
kristov
Du wirst in etwa folgende Konstellation haben (reine Phantasie-IPs):
privates Netzwerk daheim: 192.168.0/24
Öffentliche IP-Adresse daheim: 1.1.1.1
privates Netzwerk Firma: 192.168.222/24
Öffentliche IP-Adresse Firma: dynamisch, fester hostname via dyndns
Zugriff von daheim via RDP in die Firma auf einen bestimmten Rechner:
Du machst RDP auf, verbindest Dich auf die dynamische öffentliche IP der Firma (bzw. via dyndns) mit einem bestimmten Port, die Firewall in der Firma leitet den Port um auf eine private IP in der Firma auf Port 3389 (Port translation).
Du gibst Benutzername und Kennwort eines Domänenaccounts ein, ergo: die Verbindung steht. Das kann aber jeder, der alle Ports auf der dynamischen öffentlichen Adresse ausprobiert (ja, solche Typinnen und Typen gibt es). Irgendwann erwischt er den, der auf den Port 3389 umgeleitet wird und probiert alle möglichen Benutzernamen und Kennwörter durch.
Schlimmstenfalls errät er einen gültigen Account und ist drin. Vllt. weniger schlimm, er errät einen Benutzernamen und gibt das Kennwort solange falsch ein, bis der Account gesperrt wird (besonders lustig, wenn's der Adminaccount ist).
Abhilfe: RDP-Verbindung nur von Deiner öffentlichen IP daheim zulassen. Diese Hürde kann aber von findigen Menschen trotzdem überwunden werden.
Zugriff von daheim via VPN und RDP in die Firma auf einen bestimmten Rechner:
Durch den Aufbau des VPN-Tunnels erhält Dein Rechner automatisch eine private IP-Adresse aus dem Firmennetzwerk (192.168.222.x), wenn DHCP aktiviert ist. Dadurch verhält sich Dein Laptop, als stünde er in der Firma. Du kannst nun eine RDP-Verbindung zu irgendeinem Rechner in der Firma aufbauen, sofern er dafür konfiguriert ist, und Dich dort anmelden. Wenn es Dir nur darum geht, zB auf ein Netzlaufwerk zuzugreifen, brauchst Du nichtmal eine RDP-Verbindung aufzubauen, denn Dein Laptop verhält sich nach dem Aufbau der VPN-Verbindung ohnehin so, als stünde er in der Firma. Du mußt nur das Netzlaufwerk auf Deinem Laptop verbinden und Dich dabei mit Deinem Domainaccount anmelden.
Da Du schreibst,"Ich würde gerne beim Zugriff von aussen natürlich auch möglichst viel Sicherheit haben", kommst Du an einem VPN-Tunnel keinesfalls vorbei!
Ich hoffe, ich habe mich verständlich genug ausgedrückt.
kristov
Ja Kristov, danke - das war richtig. Ich hatte ganz einfach eine schwache Minute und wusste nicht so Recht wie ich das anstellen soll. Den ersten von dir beschriebenen Teil hatte ich vorher. Jetzt habe ich VPN. Thx allen fürs helfen!
