dirkschwarz
Goto Top

RDP Zugriff auf Windows Server über VPN Wireguard

Guten Tag,

folgend Situation, ich möchte einen Windows-Server (2019) hinter einen MikroTik über VPN erreichen können. MikroTik ist direkt im RZ und über eine öffentliche IP zu erreichen.

VPN Verbindung (WireGuard) zu dem MikroTik klappt problemlos - Ping/ Winbox etc. alles kein Problem.

Ich kann aber NICHT von meinem PC auf den Windows Server zugreifen - weder RDP/ noch Ping - Ping zwischen MikroTik und Windows-Server klappt natürlich.

Wenn ich einen Torch auf das WireGuard-Interface des MikroTiks mache, sehe ich auch das die Pakete korrekt geroutet werden, bekomme aber KEINE Antwort vom Windows-Server.

Testweise eingerichtete Dest-Nat Verbindung per RDP über die öffentliche IP auf den Server klappen sofort.

Inzwischen vermute ich, dass der Windows-Server die Anfrage des PC`s über den VPN blockt. Kann das sein? Wie kann ich das feststellen/ beheben? Kenn mich da leider mit Windows nicht so aus.

Hier nochmal das Szenario:

Windows-Server (192.168.3.10) <-> MikroTik Router (192.168.3.1 | WG: 10.80.0.1 | 185.x.x.x) <-> PC (WG 10.80.0.2)

---

identische Konfigurationen mit diversen Linux-Servern hinter dem MIkrotik klappen problemlos. Steh da gerade echt auf dem Schlauch.

Herzlichen Dank & Ruhige Weihnachtstage!

Content-ID: 5454815216

Url: https://administrator.de/contentid/5454815216

Ausgedruckt am: 19.12.2024 um 11:12 Uhr

10138557388
10138557388 22.12.2023 aktualisiert um 16:51:19 Uhr
Goto Top
Windows Firewall blocktt per Default ICMP / SMB etc. für ihm fremde Subnetze ... In den Firewall-regeln des Winblows freischalten in der Regel unter "Bereich => Remote IP Address" "Any" oder das WG Subnetz zusätzlich eintragen ...
# für ICMP und SMB kombiniert für alle Subnetze freischalten (AKA Datei- und Druckerfreigabe)
Get-NetFirewallRule -Group '@FirewallAPI.dll,-28502' -Direction Inbound | Get-NetFirewallAddressFilter | Set-NetFirewallAddressFilter -RemoteAddress Any  

screenshot

Pj.
Th0mKa
Th0mKa 22.12.2023 um 13:51:12 Uhr
Goto Top
Zitat von @dirkschwarz:
identische Konfigurationen mit diversen Linux-Servern hinter dem MIkrotik klappen problemlos. Steh da gerade echt auf dem Schlauch.
Wenn die Konfiguration wirklich identisch wäre würde es auch mit Windows funktionieren, ich tippe ebenfalls auf die Windows Firewall.

/Thomas
dirkschwarz
dirkschwarz 22.12.2023 um 14:25:46 Uhr
Goto Top
@10138557388

dort komme ich mit den erweiterten Firewall-Einstellungen hin - richtig?

Noch eine Frage: muss ich das für jede Regel machen oder kann ich einen Netzwerkbereich (WG) grundsätzlich zum "internen" vertrauenswürdigen Netz hinzufügen?

Danke!
10138557388
10138557388 22.12.2023 aktualisiert um 14:53:58 Uhr
Goto Top
Zitat von @dirkschwarz:
dort komme ich mit den erweiterten Firewall-Einstellungen hin - richtig?
🙈
Noch eine Frage: muss ich das für jede Regel machen oder kann ich einen Netzwerkbereich (WG) grundsätzlich zum "internen" vertrauenswürdigen Netz hinzufügen?
Überall wo es eingeschränkt ist. Eigenes Subnetz ist nunmal eigenes Subnetz.
Der Mikrotik sollte mit seiner Firewall primäre regeln wer wohin darf.
aqui
aqui 22.12.2023 um 16:35:57 Uhr
Goto Top
Für ICMP (Ping) ist es z.B. HIER beschrieben.
dirkschwarz
dirkschwarz 22.12.2023 um 18:46:22 Uhr
Goto Top
wenn ich alles richtig verstanden habe - hier alle drei Remote Desktop Einstellungen für Domain, öffentlich aktivieren - richtig?

screenshot 2023-12-22 184034

was ich aber nicht verstehe:

screenshot 2023-12-22 184411

hier ist doch der ping ipv4 für alle, auch öffentlich, erlaubt....
screenshot 2023-12-22 184935
10138557388
10138557388 22.12.2023 aktualisiert um 18:51:49 Uhr
Goto Top
Zitat von @dirkschwarz:

wenn ich alles richtig verstanden habe - hier alle drei Remote Desktop Einstellungen für Domain, öffentlich aktivieren - richtig?

screenshot 2023-12-22 184034

Natürlich nur für das Netzwerk-Profil was gerade aktiv ist für dein Netz!


hier ist doch der ping ipv4 für alle, auch öffentlich, erlaubt....
Quatsch, das Alle ist das Netzwerk-Profil nicht das es von überall erlaubt ist, dazu musst du den Eintrag öffnen und unter Bereich anpassen!
dirkschwarz
dirkschwarz 22.12.2023 um 18:54:46 Uhr
Goto Top
screenshot 2023-12-22 185320

mmmh -steht aber doch eigentlich auf "beliebige IP-Adressen"
10138557388
10138557388 22.12.2023 aktualisiert um 19:00:14 Uhr
Goto Top
Prüfe welches Profil du nutzt, dementsprechend muss auch die entsprechende Regel aktiv sein jede Regel hat ein zugeordnetes Profil ...

Im Zweifelsfall Firewall temp. ganz deakt. dann siehst du das es an der FW des Servers liegt wenn es dann klappt.
A.Mehrl
A.Mehrl 24.12.2023 um 07:32:41 Uhr
Goto Top
Bei den Remote Einstellungen die Einstellung "nur lokales Netzwerk" entfernen und auf deinem Router den RDP Port auf die IP deines Remote Servers umlenken.
So sollte es funktionieren.
10138557388
10138557388 24.12.2023 aktualisiert um 08:28:17 Uhr
Goto Top
Zitat von @A.Mehrl:
und auf deinem Router den RDP Port auf die IP deines Remote Servers umlenken.
Ohne RD Gateway und 2FA machen das nur noch Dummies die sich ihr Netzwerk verseuchen und den Server unbrauchbar machen wollen...
A.Mehrl
A.Mehrl 25.12.2023 um 06:41:13 Uhr
Goto Top
Da meine Serverfarm (mittlerweile die 3te) seit 1995 einwandfrei läuft, nie kompromittiert wurde, mach ich doch was richtig. Es gibt verschiedenste Möglichkeiten Systeme zu schützen. Nebenbei läuft mein Gateway auf dem RDP Server.
Außerdem dachte ich er will mal die Funktionalität seines Terminalservers testen und wenn er mal erreichbar ist das System wieder abzuschotten.
10138557388
10138557388 25.12.2023 aktualisiert um 08:22:04 Uhr
Goto Top
Zitat von @A.Mehrl:
Außerdem dachte ich er will mal die Funktionalität seines Terminalservers testen und wenn er mal erreichbar ist das System wieder abzuschotten.

Das hatte er bereits, stand im Eingangspost:
Testweise eingerichtete Dest-Nat Verbindung per RDP über die öffentliche IP auf den Server klappen sofort.
A.Mehrl
A.Mehrl 26.12.2023 um 04:58:39 Uhr
Goto Top
Sorry, habe ich überlesen.
dirkschwarz
dirkschwarz 29.12.2023 um 21:19:37 Uhr
Goto Top
so, falls es jemanden interessiert...

nachdem ich alles versucht habe - nichts hat zum Erfolg geführt - habe ich einen neuen Wireguard Klienten angelegt. Das wars - alles klappt wie gewünscht. Das Netzwerk hinter dem Wireguard Server ist problemlos zu erreichen.

Nochmal zur Klarheit - mit den "alten peers" lies sich problemlos eine WireGuard Verbindung herstellen, ein Zugriff auf den Router war problemlos möglich, nur das Netzwerk dahinter war "tot". Falls mal jemand dieses Problem hat - einfach mal eine neue Peer erstellen und testen.

Wunder der Computertechnik - wie soll man darauf kommen?!

Noch einen schönen Abend & Danke für die Hilfe!
aqui
Lösung aqui 29.12.2023 um 23:06:24 Uhr
Goto Top
Bitte dann auch nicht vergessen deinen Thread hier als erledigt zu markieren!
Wie kann ich einen Beitrag als gelöst markieren?