11
RDP nur über VPN
Hallo zusammen,
wir wollen mehrer Mitarbeiter über OpenVPN per RDP auf einen PC innerhalb eines "Firmennetzwerks" zugreifen lassen. Das klappt soweit auch alles. Nur kenne ich die Pappenheimer. Da wird vergessen die VPN Verbindung aufzubauen oder die IP und die Zagangsdaten an andere weiter gegeben usw.
Nun die konkrete Frage:
Kann ich technisch sicherstellen, dass nur wer eine OpenVPN Verbindung zum Server aufgebaut hat auch RDP nutzen kann?
Vielen Dank und eine gut funktionierende Klimaanlage
Michael
wir wollen mehrer Mitarbeiter über OpenVPN per RDP auf einen PC innerhalb eines "Firmennetzwerks" zugreifen lassen. Das klappt soweit auch alles. Nur kenne ich die Pappenheimer. Da wird vergessen die VPN Verbindung aufzubauen oder die IP und die Zagangsdaten an andere weiter gegeben usw.
Nun die konkrete Frage:
Kann ich technisch sicherstellen, dass nur wer eine OpenVPN Verbindung zum Server aufgebaut hat auch RDP nutzen kann?
Vielen Dank und eine gut funktionierende Klimaanlage
Michael
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 381127
Url: https://administrator.de/contentid/381127
Printed on: April 23, 2024 at 21:04 o'clock
11 Comments
Latest comment
moin...
mit einem Security-Token!
Frank
mit einem Security-Token!
Frank
Guten Morgen Frank,
vielen Dank für deine schnelle Antwort. Leider ist mir die Antwort zu knapp. Wer erstellt das Token? Wo wir das Token eingesetzt? Gibt es dazu ein "How To"?
Das Thema ist für mich Neuland. Ich bitte um Nachsicht.
Grüße
Michael
vielen Dank für deine schnelle Antwort. Leider ist mir die Antwort zu knapp. Wer erstellt das Token? Wo wir das Token eingesetzt? Gibt es dazu ein "How To"?
Das Thema ist für mich Neuland. Ich bitte um Nachsicht.
Grüße
Michael
Wäre RDP over HTTPS nichts für euch?
Sorry, an eine Hardwarelösung hatte ich im ersten Moment gar nicht gedacht. Eine Softwarelösung wäre mir lieber.
Ich schauen mir gerade die Machbarkeit von RDP over HTTPS an. Mal schauen, ob es für uns machbar ist.
Ich schauen mir gerade die Machbarkeit von RDP over HTTPS an. Mal schauen, ob es für uns machbar ist.
Hi
ich verstehe nicht ganz ...
mach den RDP Server nicht von aussen erreichbar. Dann kann man den nur erreichen, wenn eine VPN da ist. Dafür ist sie ja da, die VPN ?!
Zu den Zugangsdaten: Verteile Client-Zertifikate an die Rechner. Dann kannst du sagen, das dieser User mit seinen AD Zugangsdaten nur mit diesem Client Zertifikat verbinden darf.
Prinzipiell reicht es, das der VPN-Client sich einfach per Zertifikat einwählt, ohne Benutzerdaten. Kommt auf eure Vorraussetzungen an.
Selbst wenn er seine Zugangsdaten an die Klowand schreibt, kommt man dann nicht auf die VPN.
ich verstehe nicht ganz ...
mach den RDP Server nicht von aussen erreichbar. Dann kann man den nur erreichen, wenn eine VPN da ist. Dafür ist sie ja da, die VPN ?!
Zu den Zugangsdaten: Verteile Client-Zertifikate an die Rechner. Dann kannst du sagen, das dieser User mit seinen AD Zugangsdaten nur mit diesem Client Zertifikat verbinden darf.
Prinzipiell reicht es, das der VPN-Client sich einfach per Zertifikat einwählt, ohne Benutzerdaten. Kommt auf eure Vorraussetzungen an.
Selbst wenn er seine Zugangsdaten an die Klowand schreibt, kommt man dann nicht auf die VPN.
Moin.
Dann wahlweise auch ESET Secure Authentification.
Funktioniert als 2. Faktor, lässt sich in alle möglichen Sachen reindübeln und kann Hard- und Softwaretokens.
Dann wahlweise auch ESET Secure Authentification.
Funktioniert als 2. Faktor, lässt sich in alle möglichen Sachen reindübeln und kann Hard- und Softwaretokens.
Guten morgen,
gibt es einen Grund dafür, dass RDP von außen auch ohne VPN erreichbar sein muss? Das wäre mir persönlich zu heikel und ich würde das, wie @SeaStorm schon erwähnt hat, auch dicht machen und per VPN zugänglich, damit hätte sich das doch schon erledigt.
Gruß
gibt es einen Grund dafür, dass RDP von außen auch ohne VPN erreichbar sein muss? Das wäre mir persönlich zu heikel und ich würde das, wie @SeaStorm schon erwähnt hat, auch dicht machen und per VPN zugänglich, damit hätte sich das doch schon erledigt.
Gruß
Moin,
ich gehe mal stark davon aus, das der PC ohne VPN gar nicht von außen erreichbar sein wird (Sollte er auch gar nicht, wie @SeaStorm bereits schrieb). Von daher hat sich das Problem doch schon erledigt.
Davon abgesehen, wird der interne Name bzw IP ja eh nicht mit der externen identisch sein.
Wenn du denen also eine vorkonfigurierte RDP bastelst, geht es eh nicht ohne VPN.
ich gehe mal stark davon aus, das der PC ohne VPN gar nicht von außen erreichbar sein wird (Sollte er auch gar nicht, wie @SeaStorm bereits schrieb). Von daher hat sich das Problem doch schon erledigt.
Davon abgesehen, wird der interne Name bzw IP ja eh nicht mit der externen identisch sein.
Wenn du denen also eine vorkonfigurierte RDP bastelst, geht es eh nicht ohne VPN.
Gib mal ein Feedback, wenn du es hinbekommen hast.
Moin,
Der TO hat doch ein ganz anderes Thema.
Es geht darum, wenn keine VPN Session offen ist und dann versucht wird eine RDP Session zu dem jeweiligen Server zu starten.
Avaik ist das nur ein Problem wenn sich der Client in einem "bösartigen" local network befindet.
Nach meinem Verständnis muss jedoch immer noch erst ein Server mit passenden credentials angetroffen werden bevor über haupt der User sowie Kennwort über tragen wird.
An der Stelle wäre dann ja noch die Option eben diese Geschichte auch noch mit einem Zertifikat ab zusichern. Ebenso wie schon genannt die OpenVPN Session.
Nicht zu vergessen, das es ja auch so Dinge von MS gibt wie (leider angekündigt) Direct Access.
Wird aber durch eine neue Technologie ersetzt, nämlich Allways on VPN.
Das scharmante wäre hier, man kann es komplett über die AD verwalten und ausrollen. Zusätzlich sind hier die Tunnel immer offen und es kann so konfiguriert werden, dass eben nur zu definierten Endpunkte getunnelt wird.
Gruß
Spirit
Der TO hat doch ein ganz anderes Thema.
Es geht darum, wenn keine VPN Session offen ist und dann versucht wird eine RDP Session zu dem jeweiligen Server zu starten.
Avaik ist das nur ein Problem wenn sich der Client in einem "bösartigen" local network befindet.
Nach meinem Verständnis muss jedoch immer noch erst ein Server mit passenden credentials angetroffen werden bevor über haupt der User sowie Kennwort über tragen wird.
An der Stelle wäre dann ja noch die Option eben diese Geschichte auch noch mit einem Zertifikat ab zusichern. Ebenso wie schon genannt die OpenVPN Session.
Nicht zu vergessen, das es ja auch so Dinge von MS gibt wie (leider angekündigt) Direct Access.
Wird aber durch eine neue Technologie ersetzt, nämlich Allways on VPN.
Das scharmante wäre hier, man kann es komplett über die AD verwalten und ausrollen. Zusätzlich sind hier die Tunnel immer offen und es kann so konfiguriert werden, dass eben nur zu definierten Endpunkte getunnelt wird.
Gruß
Spirit
