37
Terminalserver Security (Private IP.-Adresse)
Hallo liebe Gemeinde,
ich habe mich dazu entschlossen einen Terminalserver aufzusetzen und habe es auch letztendlich hinbekommen. Meine Konfiguration sieht folgendermaßen aus:
Root Server bei Hetzner auf dem folgendes installiert ist:
1) Windows Server 2019 mit nur einer Rolle, und zwar der Hyper-V Rolle
2) Unter diesem Host Server zwei VM's auch mit jeweils Windows Server 2019 : 1. VM : AD, DC, DNS. 2. VM : Remote Desktop Services (Terminalserver)
Ich 2 öffentliche IP's bestellt die ich dann den VM's per MAC-Adresse zugewiesen habe. So weit so gut. Es hat auch alles soweit funktioniert. Jeder meiner Mitarbeiter konnte sich auf dem Server einloggen und daran arbeiten. Dann bekam ich eine E-Mail vom BSI das der LDAP Port meiner AD öffentlich zugänglich sei und für DDoS Attacken angreifbar wäre. Nach einer Recherche im Netz bin ich ( ich hoffe das ich richtig liege), darauf aufmerksam geworden das man den DC mit AD nicht an einem öffentlichen Netz betreiben sollte. Da meines eine öffentliche IP-Adresse hatte, gehe ich davon aus das dies gemeint ist. Nun wollte ich diesen zwei VM's private IP-Adressen zuweisen in Form von z.B : 192.168.xx.xx , weiß aber nicht wie ich das ganze angehen soll und es stellt sich mir auch die Frage das wenn der RDS-Server ( Terminalserver) nur eine private also interne IP-Adresse bekommt, wie sollen dann meine Mitarbeiter dadrauf zugreifen? Ich steh hier echt auf dem Schlauch. Wir sind ein kleiner Betrieb mit maximal 25 Usern. Könnt ihr mir da bitte weiterhelfen ?
MFG
ich habe mich dazu entschlossen einen Terminalserver aufzusetzen und habe es auch letztendlich hinbekommen. Meine Konfiguration sieht folgendermaßen aus:
Root Server bei Hetzner auf dem folgendes installiert ist:
1) Windows Server 2019 mit nur einer Rolle, und zwar der Hyper-V Rolle
2) Unter diesem Host Server zwei VM's auch mit jeweils Windows Server 2019 : 1. VM : AD, DC, DNS. 2. VM : Remote Desktop Services (Terminalserver)
Ich 2 öffentliche IP's bestellt die ich dann den VM's per MAC-Adresse zugewiesen habe. So weit so gut. Es hat auch alles soweit funktioniert. Jeder meiner Mitarbeiter konnte sich auf dem Server einloggen und daran arbeiten. Dann bekam ich eine E-Mail vom BSI das der LDAP Port meiner AD öffentlich zugänglich sei und für DDoS Attacken angreifbar wäre. Nach einer Recherche im Netz bin ich ( ich hoffe das ich richtig liege), darauf aufmerksam geworden das man den DC mit AD nicht an einem öffentlichen Netz betreiben sollte. Da meines eine öffentliche IP-Adresse hatte, gehe ich davon aus das dies gemeint ist. Nun wollte ich diesen zwei VM's private IP-Adressen zuweisen in Form von z.B : 192.168.xx.xx , weiß aber nicht wie ich das ganze angehen soll und es stellt sich mir auch die Frage das wenn der RDS-Server ( Terminalserver) nur eine private also interne IP-Adresse bekommt, wie sollen dann meine Mitarbeiter dadrauf zugreifen? Ich steh hier echt auf dem Schlauch. Wir sind ein kleiner Betrieb mit maximal 25 Usern. Könnt ihr mir da bitte weiterhelfen ?
MFG
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 566963
Url: https://administrator.de/contentid/566963
Ausgedruckt am: 22.11.2024 um 02:11 Uhr
37 Kommentare
Neuester Kommentar
Moin,
das was du da gebaut hast, ist sicherheitstechnisch eine Katastrophe. Weder einen DC, noch RDP hängt man nackt ins Internet.
Der Zugriff sollte nur per VPN erfolgen. Also wenn überhaupt eine VM öffentlich erreichbar machen, die nur das VPN terminiert und die anderen Maschinen dann nur intern erreichbar machen.
Zum Thema VPN gibt es hier gute Tutorials von @aqui
So wie ich an Hand deiner Fragestellung deinen Kenntnisstand einschätze, würde ich dir dringend raten, einen Dienstleister zur Untersuchung dazu zu holen.
Was du da treibst kann für dich auch schnell unternehmerisch gefährlich werden. (DSGVO-Verstoß. was ist, wenn dein Server gekapert wird?)
VG
das was du da gebaut hast, ist sicherheitstechnisch eine Katastrophe. Weder einen DC, noch RDP hängt man nackt ins Internet.
Der Zugriff sollte nur per VPN erfolgen. Also wenn überhaupt eine VM öffentlich erreichbar machen, die nur das VPN terminiert und die anderen Maschinen dann nur intern erreichbar machen.
Zum Thema VPN gibt es hier gute Tutorials von @aqui
So wie ich an Hand deiner Fragestellung deinen Kenntnisstand einschätze, würde ich dir dringend raten, einen Dienstleister zur Untersuchung dazu zu holen.
Was du da treibst kann für dich auch schnell unternehmerisch gefährlich werden. (DSGVO-Verstoß. was ist, wenn dein Server gekapert wird?)
VG
1
Guten Morgen, na das klingt ja spannend. Und dann kümmert sich auch gleich noch der BSI um einen 
a) Hoffe, Du hast da im derzeitigen Stand noch keine Daten (Firma, MA, Kunden, ...usw.) drauf?!
b) So wie ich das hier erlebe, wirst Du verm. wenig Unterstützung dabei finden einen AD-Server auf diese Weise zu betreiben. Die meisten sehen ihn als "Kleinod", der eher extra abgesichert gehört als exkludiert in nem Rechenzentrum im irgendwo.
c) Normalerweise ist der Trick, die äußere IP für einen VPN-Zugang anzusprechen - alles andere wird per Firewall unterbunden. Innerhalb dieser VPN laufen dann die Funktionen des Servers mit "privaten" IPs. Sozusagen wie ein Schichtenmodell und mit der VPN durchstöst Du die "harte" Schale
d) Ich vermute Du wirst hier für Dein Setup wohl noch einige Schläge einstecken müssen
a) Hoffe, Du hast da im derzeitigen Stand noch keine Daten (Firma, MA, Kunden, ...usw.) drauf?!
b) So wie ich das hier erlebe, wirst Du verm. wenig Unterstützung dabei finden einen AD-Server auf diese Weise zu betreiben. Die meisten sehen ihn als "Kleinod", der eher extra abgesichert gehört als exkludiert in nem Rechenzentrum im irgendwo.
c) Normalerweise ist der Trick, die äußere IP für einen VPN-Zugang anzusprechen - alles andere wird per Firewall unterbunden. Innerhalb dieser VPN laufen dann die Funktionen des Servers mit "privaten" IPs. Sozusagen wie ein Schichtenmodell und mit der VPN durchstöst Du die "harte" Schale
d) Ich vermute Du wirst hier für Dein Setup wohl noch einige Schläge einstecken müssen
Servus,
Oh je... nimm lieber den Server schnell vom Netz. So wie du ihn konfiguriert hast macht man das nicht!
Vorschlag von mir , wie ich es bereits mehrfach aufgesetzt habe (gibt noch mehr Möglichkeiten)
- Die 1. IP ist für den HyperVisor (Esxi, Hyper V, proxmox etc)
- du bestellst eine 2. IP
- auf den hyper Visor installierst du zb.: *sense und bindest die 2. IP an die WAN Schnittstelle
- du legst eine interne LAN Schnittstelle auf dem Hyper Visor an und fügst sie der *sense VM zu.
- du legst die Firewall Regel und VPN an.
- deine Windows Server legst du im LAN hinter der *sense an.
- der Zugriff erfolgt gesichert über die *sense
Danach kannst du selbst bei Hetzner den Zugriff auf die 1. IP sperren und zb nur für deine IP freigeben, weiterhin kannst du den hypervisor auch eine 2. LAN IP geben, damit du über VPN diesen Steuern kannst und den direkten Zugriff auf die 1. öffentliche sperren kannst
Das war die Kurzform
Oh je... nimm lieber den Server schnell vom Netz. So wie du ihn konfiguriert hast macht man das nicht!
Vorschlag von mir , wie ich es bereits mehrfach aufgesetzt habe (gibt noch mehr Möglichkeiten)
- Die 1. IP ist für den HyperVisor (Esxi, Hyper V, proxmox etc)
- du bestellst eine 2. IP
- auf den hyper Visor installierst du zb.: *sense und bindest die 2. IP an die WAN Schnittstelle
- du legst eine interne LAN Schnittstelle auf dem Hyper Visor an und fügst sie der *sense VM zu.
- du legst die Firewall Regel und VPN an.
- deine Windows Server legst du im LAN hinter der *sense an.
- der Zugriff erfolgt gesichert über die *sense
Danach kannst du selbst bei Hetzner den Zugriff auf die 1. IP sperren und zb nur für deine IP freigeben, weiterhin kannst du den hypervisor auch eine 2. LAN IP geben, damit du über VPN diesen Steuern kannst und den direkten Zugriff auf die 1. öffentliche sperren kannst
Das war die Kurzform
OT:
Das bereitet mir am frühen Morgen ja schon Schmerzen...
Zitat von @tech-flare:
Oh je... nehme lieber den Server schnell vom Netz. So wie du es konfiguriert hast macht man das nicht!
@wuebra: Nimm dir doch bitte mal kurz die Zeit und lies etwas über Imperative von irregulären VerbenOh je... nehme lieber den Server schnell vom Netz. So wie du es konfiguriert hast macht man das nicht!
Das bereitet mir am frühen Morgen ja schon Schmerzen...
Zitat von @BirdyB:
OT:
Das bereitet mir am frühen Morgen ja schon Schmerzen...
Versuchst du gerade wieder sinnlose Kommentare zu verteilen, weil du fachlich nicht helfen kannst?OT:
Zitat von @tech-flare:
Oh je... nehme lieber den Server schnell vom Netz. So wie du es konfiguriert hast macht man das nicht!
@wuebra: Nimm dir doch bitte mal kurz die Zeit und lies etwas über Imperative von irregulären VerbenOh je... nehme lieber den Server schnell vom Netz. So wie du es konfiguriert hast macht man das nicht!
Das bereitet mir am frühen Morgen ja schon Schmerzen...
Dein Kommentar dazu ist sowas von nutzlos. Du verweist auf Aqui ohne Verlinkungen zum Tutorial. Zumal Aqui kein Tutorial mit VPN in Verbindung mit einem TS bei einem Hoster geschrieben hat
Zitat von @tech-flare:
Versuchst du gerade wieder sinnlose Kommentare zu verteilen, weil du fachlich nicht helfen kannst?
Nö, ich hab oben schon meine fachlichen Hinweise geschrieben. Ich mache dich auf eklatante Fehler in deiner Grammatik aufmerksam.Versuchst du gerade wieder sinnlose Kommentare zu verteilen, weil du fachlich nicht helfen kannst?
Ich glaube ja immer noch daran, dass hier Profis unterwegs sind, die auch Wert auf korrekte Ausdrucksweisen legen.
Zitat von @BirdyB:
Ich glaube ja immer noch daran, dass hier Profis unterwegs sind, die auch Wert auf korrekte Ausdrucksweisen legen.
Dann verlasse bitte das Forum, denn dein Hinweis war nicht fachlich für den Ersteller.Zitat von @tech-flare:
Versuchst du gerade wieder sinnlose Kommentare zu verteilen, weil du fachlich nicht helfen kannst?
Nö, ich hab oben schon meine fachlichen Hinweise geschrieben. Ich mache dich auf eklatante Fehler in deiner Grammatik aufmerksam.Versuchst du gerade wieder sinnlose Kommentare zu verteilen, weil du fachlich nicht helfen kannst?
Ich glaube ja immer noch daran, dass hier Profis unterwegs sind, die auch Wert auf korrekte Ausdrucksweisen legen.
Und wenn du ein „Profi“ wärst, dann würdest du die Leute nicht öffentlich anprangern, sondern ihnen direkt schreiben.... zumal die Grammatik nichts mit dem Thema zu tun hat.
Du verweist auf jemanden, der kein passendes Tutorial dazu geschrieben hat und selbst stellst du hier banale Fragen für ein Netzwerk in der eigenen neuen Wohnung (das sollte ein Profi schon selbst lösen können)
1
Zitat von @BirdyB:
Ich glaube ja immer noch daran, dass hier Profis unterwegs sind, die auch Wert auf korrekte Ausdrucksweisen legen.
Ich glaube ja immer noch daran, dass hier Profis unterwegs sind, die auch Wert auf korrekte Ausdrucksweisen legen.
/me 2
lks
Zitat von @tech-flare:
Hm, nö...Zitat von @BirdyB:
Ich glaube ja immer noch daran, dass hier Profis unterwegs sind, die auch Wert auf korrekte Ausdrucksweisen legen.
Dann verlasse bitte das Forum, denn dein Hinweis war nicht fachlich für den Ersteller.Zitat von @tech-flare:
Versuchst du gerade wieder sinnlose Kommentare zu verteilen, weil du fachlich nicht helfen kannst?
Nö, ich hab oben schon meine fachlichen Hinweise geschrieben. Ich mache dich auf eklatante Fehler in deiner Grammatik aufmerksam.Versuchst du gerade wieder sinnlose Kommentare zu verteilen, weil du fachlich nicht helfen kannst?
Ich glaube ja immer noch daran, dass hier Profis unterwegs sind, die auch Wert auf korrekte Ausdrucksweisen legen.
Und wenn du ein „Profi“ wärst, dann würdest du die Leute nicht öffentlich anprangern, sondern ihnen direkt schreiben.... zumal die Grammatik nichts mit dem Thema zu tun hat.
Da scheine ich dein Ego ja wirklich getroffen zu haben...Du verweist auf jemanden, der kein passendes Tutorial dazu geschrieben hat und selbst stellst du hier banale Fragen für ein Netzwerk in der eigenen neuen Wohnung (das sollte ein Profi schon selbst lösen können)
Interessanter Punkt. Auch wenn ich etwas selbst lösen kann, macht es oft durchaus Sinn, sich andere Meinungen einzuholen. Das hilft beim Erwerb von neuem Wissen, bringt einen auf den neuesten Stand und vermeidet Fehler aus Betriebsblindheit. Das ist übrigens auch eine Eigenschaft von professionellem Arbeiten: der fachliche Austausch.Übrigens: Ich freue mich darüber, wenn mich jemand auf Fehler aufmerksam macht. So kann ich lernen und mich verbessern.
Moin,
Mein Rat:
Um Dir zu verdeutlichen warum sich alle aufregen: Das ist in etwa so, als ob Du Gasleitungen, genauso wie Du es von Wasserrohren kennst, verlegt hättest und jetzt fragst, warum es so komisch zischt, wenn Du das Gas aufdrehst.
Ein "Profi" würde das so machen:
Das ist so grob das richtige Vorgehen, was Dich aber vermutlich überfordern dürfte.
Wenn da eine Firma mit 50 Mitarbeitern dranhängt, sparst Du am falschen Ende das Geld.
lks
PS:
Kollge @aqui hat da viele sehr gute Anleitungen zu dem ganzen Thema, falls Du selbst an der gasleitung weiterschrauben willst.
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
VPNs mit DD-WRT, pFsense oder OPNsense auf Basis von PPTP
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
PPS:
Das Cat9-LART sieht so aus:
edit: Typos
Mein Rat:
- Hol Dir Cat 9 und geißel Dich erstmal selbst.
- Dann suchst Du Dir einen Dienstleister, der Dir das ordentlich macht. Es gibt auch hier im Forum genügend, aber nimm besser einen, der ein Deiner Nähe ist und den Du mit Cat9 bearbeiten kannst, wenn er Murks macht.
Um Dir zu verdeutlichen warum sich alle aufregen: Das ist in etwa so, als ob Du Gasleitungen, genauso wie Du es von Wasserrohren kennst, verlegt hättest und jetzt fragst, warum es so komisch zischt, wenn Du das Gas aufdrehst.
Ein "Profi" würde das so machen:
- Anlegen eines internen virtuellen Switch, an den AD und TS mit RFC-1918-Adressen kommen.
- Dann eine Firewall, die die böse Außenwelt mit dem internen Netz verbindet, dabei aber nur verkehr aus dem VPN für den Zugriff auf das interne Netz zuläßt.
- Den Hyper-V so einstellen, daß er nur von den Hetzner-Managementadressen oder per VPN erreichbar ist.
Das ist so grob das richtige Vorgehen, was Dich aber vermutlich überfordern dürfte.
Wenn da eine Firma mit 50 Mitarbeitern dranhängt, sparst Du am falschen Ende das Geld.
lks
PS:
Kollge @aqui hat da viele sehr gute Anleitungen zu dem ganzen Thema, falls Du selbst an der gasleitung weiterschrauben willst.
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
VPNs mit DD-WRT, pFsense oder OPNsense auf Basis von PPTP
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
PPS:
Das Cat9-LART sieht so aus:
edit: Typos
das man den DC mit AD nicht an einem öffentlichen Netz betreiben sollte.
Sowas Gruseliges mag man sich gar nicht mehr vorstellen. Einen Winblows Server im öffentlichen Internet zu exponieren. Eigentlich muss man solchen Dilletantismus in einem Administrator Forum gar nicht mehr kommentieren. Man kann nur diese Firma bedauern wenn sie demnächst als eine der zahllosen Hacking oder Trojaner Opfer in den Medien auftaucht.Ohne Worte...!!!
Da hilft dann in der Tat nur noch das oben abgebildete Tool !
1
Moin,
niemals ohne Firewall und damit meine ich nicht die Windows-Firewall sondern etwas Richtiges.
Gruß
bdmvg
niemals ohne Firewall und damit meine ich nicht die Windows-Firewall sondern etwas Richtiges.
Gruß
bdmvg
Das Cat9 löst soooooooooo viele Probleme!
Nichts desto trotz denke ich, das man einem Anfänger (ich unterstelle mal das er Anfänger ist), solche Fehler zugestehen sollte. Wir haben auch mal klein angefangen und wer nicht fragt bleibt dumm. Auch wenn das nun zugegebener Maßen schon extrem ist und in der Ausbildung intensivst behandelt hätte werden sollen. Das is ma Grammatik.
Was mich noch interessiern würde: stellt denn der Hoster keine VPN Tools oder vorkonfigurierte Firewall zur Verfügung?
Nichts desto trotz denke ich, das man einem Anfänger (ich unterstelle mal das er Anfänger ist), solche Fehler zugestehen sollte. Wir haben auch mal klein angefangen und wer nicht fragt bleibt dumm. Auch wenn das nun zugegebener Maßen schon extrem ist und in der Ausbildung intensivst behandelt hätte werden sollen. Das is ma Grammatik
.Was mich noch interessiern würde: stellt denn der Hoster keine VPN Tools oder vorkonfigurierte Firewall zur Verfügung?
Zitat von @Dr.Bit:
Wir haben auch mal klein angefangen und wer nicht fragt bleibt dumm. Auch wenn das nun zugegebener Maßen schon extrem ist und in der Ausbildung intensivst behandelt hätte werden sollen.
Wir haben auch mal klein angefangen und wer nicht fragt bleibt dumm. Auch wenn das nun zugegebener Maßen schon extrem ist und in der Ausbildung intensivst behandelt hätte werden sollen.
Naja, Ein Anfänger darf Fehler machen. Da bin ich genauso Deiner Meinung. Aber ich erwarte von Anfängern, daß sie nicht so blauäugig sind
lks
Zitat von @Lochkartenstanzer:
Naja, Ein Anfänger darf Fehler machen. Da bin ich genauso Deiner Meinung. Aber ich erwarte von Anfängern, daß sie nicht so blauäugig sind gleich Gasleitungen verlegen, wenn sie vorher nur mit Wasser zu tun hatten einfach Server ins Internet stellen ohne sich vorher erkundigt haben, was da schiefgehen kann.
lks
Sag ich ja, das hätte in der Ausbildung abgefrühstückt werden müssen!Zitat von @Dr.Bit:
Wir haben auch mal klein angefangen und wer nicht fragt bleibt dumm. Auch wenn das nun zugegebener Maßen schon extrem ist und in der Ausbildung intensivst behandelt hätte werden sollen.
Wir haben auch mal klein angefangen und wer nicht fragt bleibt dumm. Auch wenn das nun zugegebener Maßen schon extrem ist und in der Ausbildung intensivst behandelt hätte werden sollen.
Naja, Ein Anfänger darf Fehler machen. Da bin ich genauso Deiner Meinung. Aber ich erwarte von Anfängern, daß sie nicht so blauäugig sind
lks
Doch eine Firewall ist vorhanden aber nichts besonderes.
Und wo ist die in dem obigen Szenario involviert?
lks
Ich hab da in der Firewall nichts eingestellt mann kann da nur quell ip ziel ip un die port s angeben die man sperren/freischalten will
Sprichst du von der Windows-Firewall? Oder bietet Hetzner auch eine Firewall an?
Du solltest dir eine richtige Firewall als VM installieren (z.B. opnSense/pfSense) und deine Windows-Server nur im internen Netz dahinter erreichbar machen.
Das ist zwar immer noch nicht Goldstandard (Da würde man eine Firewall auf eigener Hardware nehmen), aber besser als nichts.
Du solltest dir eine richtige Firewall als VM installieren (z.B. opnSense/pfSense) und deine Windows-Server nur im internen Netz dahinter erreichbar machen.
Das ist zwar immer noch nicht Goldstandard (Da würde man eine Firewall auf eigener Hardware nehmen), aber besser als nichts.
Zitat von @MarkusAntonius:
Ich hab da in der Firewall nichts eingestellt mann kann da nur quell ip ziel ip un die port s angeben die man sperren/freischalten will
Ich hab da in der Firewall nichts eingestellt mann kann da nur quell ip ziel ip un die port s angeben die man sperren/freischalten will
Das reicht i.d.R. den Zugriff auf das Hetzner-Netz und Eueren Standort zu begrenzen, sofern Ihr feste IP_Adressen habt.
Aber nachdem Du auch damit überfordert scheinst, solltest Du dringen einen Dienstleister in Deiner Reichweite anfragen.
lks
Also ich hätte auch eine UTM Firewall zur Verfügung, wüsste aber nicht wie ich diese an den Server dran bekommen soll bzw. vor dem Server. Kann denn niemand eine gute Anleitung bieten ?
MFG
MFG
UTM Firewall : das wird nichts beim Root-Server bei Hetzner, da wird nicht 'mal eben eine Höheneinheit einem Kunden freigemacht und der eigene Router kompromitiert...
bitte überdenke nun das ganze Konzept:
Wenn Firmendaten Deinen Mitarbeitern zugänglich gemacht werden sollen, brauchst Du eine ordentliche Firewall als VPN-Endpunkt und dahinter die produktiven Server-Instanzen mit privaten IPs; das ganze kann auf einem Root-Server als Hypervisor eingerichtet werden - auch wenn viele zurecht und mit guten Gründen eine physische Firewall-Appliance fordern würden. (Ich persönlich würde dennoch diesen Aufbau Cloud-Instanzen vorziehen.)
Solange Du das nicht selbst aufbauen kannst und einen externen beauftragt hast, fahre die Kiste runter damit wir nicht unter Microsofts Blacklists von ganzen Netzwerksegmenten mit leiden.
HG
Mark
Nach meinem Dafürhalten müßte Hetzner ihm die Zugangsdaten bzw. die VPN Konfiguration mitteilen, damit er sein Netz an den Server bei Hetzner anbinden kann. Die werden ihm nicht erlauben in ihrem Netz irgendwelche Firewalls zu installieren bzw. zu konfigurieren.
Ich kann mir gut vorstellen. daß die das auch schon gemacht haben und er das nur nicht verstanden hat. Vielleicht noch einmal die Zugangsdaten intensiv durchgucken. Vielleicht steht da ja irgendwas von VPN Zugang.
Ich kann mir gut vorstellen. daß die das auch schon gemacht haben und er das nur nicht verstanden hat. Vielleicht noch einmal die Zugangsdaten intensiv durchgucken. Vielleicht steht da ja irgendwas von VPN Zugang.
Zitat von @Dr.Bit:
Nach meinem Dafürhalten müßte Hetzner ihm die Zugangsdaten bzw. die VPN Konfiguration mitteilen, damit er sein Netz an den Server bei Hetzner anbinden kann. Die werden ihm nicht erlauben in ihrem Netz irgendwelche Firewalls zu installieren bzw. zu konfigurieren.
Ich kann mir gut vorstellen. daß die das auch schon gemacht haben und er das nur nicht verstanden hat. Vielleicht noch einmal die Zugangsdaten intensiv durchgucken. Vielleicht steht da ja irgendwas von VPN Zugang.
Bei Hetzner gibt es kein VPN - dies muss man sich selbst einrichten, aber das ist eine FingerübungNach meinem Dafürhalten müßte Hetzner ihm die Zugangsdaten bzw. die VPN Konfiguration mitteilen, damit er sein Netz an den Server bei Hetzner anbinden kann. Die werden ihm nicht erlauben in ihrem Netz irgendwelche Firewalls zu installieren bzw. zu konfigurieren.
Ich kann mir gut vorstellen. daß die das auch schon gemacht haben und er das nur nicht verstanden hat. Vielleicht noch einmal die Zugangsdaten intensiv durchgucken. Vielleicht steht da ja irgendwas von VPN Zugang.
Zitat von @tech-flare:
Bei Hetzner gibt es kein VPN - dies muss man sich selbst einrichten, aber das ist eine Fingerübung
Bei Hetzner gibt es kein VPN - dies muss man sich selbst einrichten, aber das ist eine Fingerübung
https://wiki.hetzner.de/index.php/Robot_Firewall
So allgemein scheint das ja nicht zu stimmen?!
Zitat von @tech-flare:
Bei Hetzner gibt es kein VPN - dies muss man sich selbst einrichten, aber das ist eine Fingerübung
Bei Hetzner gibt es kein VPN - dies muss man sich selbst einrichten, aber das ist eine Fingerübung
Bei Hetzner gibt es vieles, sogar Sachen, die man nicht auf der Webseite liest - wenn man dafür bezahlt.
lks
Zitat von @MarkusAntonius:
Also ich hätte auch eine UTM Firewall zur Verfügung, wüsste aber nicht wie ich diese an den Server dran bekommen soll bzw. vor dem Server. Kann denn niemand eine gute Anleitung bieten ?
Also ich hätte auch eine UTM Firewall zur Verfügung, wüsste aber nicht wie ich diese an den Server dran bekommen soll bzw. vor dem Server. Kann denn niemand eine gute Anleitung bieten ?
Die ist nicht für Deine Anwendungsfall geeignet. natürlich könntest Du auch Deinen eigenen Server und Deine Firewall bei Hetzner ins Rack schrauben (Collocation), aber das dürfte Dich überfordern.
Du müßtest, wie oben schon gesagt auf Deinem Hyper-V-Server eine Firewall-VM installieren und Deine Kisten "dahinter" klemmen (Stichwort virtuelle switches).
Aber ich würde Dir dringend nochmal raten, jemanden der sich damit auskennt hinzuzuziehen.
lks
Zitat von @Dr.Bit:
Nach meinem Dafürhalten müßte Hetzner ihm die Zugangsdaten bzw. die VPN Konfiguration mitteilen, damit er sein Netz an den Server bei Hetzner anbinden kann. Die werden ihm nicht erlauben in ihrem Netz irgendwelche Firewalls zu installieren bzw. zu konfigurieren.
Nach meinem Dafürhalten müßte Hetzner ihm die Zugangsdaten bzw. die VPN Konfiguration mitteilen, damit er sein Netz an den Server bei Hetzner anbinden kann. Die werden ihm nicht erlauben in ihrem Netz irgendwelche Firewalls zu installieren bzw. zu konfigurieren.
Man kann bei Hetzner über den Robot so ziemlich alles selbst machen. Auch eigene Firewall kann man bei denen ins Rack schrauben (lassen). Kostet halt Miete.
lks
Zitat von @Visucius:
https://wiki.hetzner.de/index.php/Robot_Firewall
So allgemein scheint das ja nicht zu stimmen?!
Das ist eine stateless "Firewall" ohne jegliche VPN FunktionZitat von @tech-flare:
Bei Hetzner gibt es kein VPN - dies muss man sich selbst einrichten, aber das ist eine Fingerübung
Bei Hetzner gibt es kein VPN - dies muss man sich selbst einrichten, aber das ist eine Fingerübung
https://wiki.hetzner.de/index.php/Robot_Firewall
So allgemein scheint das ja nicht zu stimmen?!
Zitat von @Lochkartenstanzer:
Man kann bei Hetzner über den Robot so ziemlich alles selbst machen. Auch eigene Firewall kann man bei denen ins Rack schrauben (lassen). Kostet halt Miete.
lks
ja - das stimmt....aber grundsätzlich gibt es Softwareseitig keine Firewall mit VPN Funktion bei Hetzner, welche man mit ein paar Klicks aktivieren kann ;)Zitat von @Dr.Bit:
Nach meinem Dafürhalten müßte Hetzner ihm die Zugangsdaten bzw. die VPN Konfiguration mitteilen, damit er sein Netz an den Server bei Hetzner anbinden kann. Die werden ihm nicht erlauben in ihrem Netz irgendwelche Firewalls zu installieren bzw. zu konfigurieren.
Nach meinem Dafürhalten müßte Hetzner ihm die Zugangsdaten bzw. die VPN Konfiguration mitteilen, damit er sein Netz an den Server bei Hetzner anbinden kann. Die werden ihm nicht erlauben in ihrem Netz irgendwelche Firewalls zu installieren bzw. zu konfigurieren.
Man kann bei Hetzner über den Robot so ziemlich alles selbst machen. Auch eigene Firewall kann man bei denen ins Rack schrauben (lassen). Kostet halt Miete.
lks
Alles weitere geht natürlich und muss man fürstlich bezahlen.
ICh sag nur ein 8 GB USB Stick für ESX für 1,79 € netto im Monat ;)
Das ist ja fast geschenkt.
Das ist wirklich ein günstiger Preis, egal was der Stick selbst kostet. Du mußt die Technikerstunden dafür gegenrechnen, die für die Bereitstellung und ggf. Wartung anfallen. Allein das Setup kann mit dem Verwaltungskram außenrum einen Techniker 30-60 Minuten beschäftigen. Da kann es locker 2 Jahre dafür benötigen, das zu amortisieren.
lks
Zitat von @Lochkartenstanzer:
Das ist wirklich ein günstiger Preis, egal was der Stick selbst kostet. Du mußt die Technikerstunden dafür gegenrechnen, die für die Bereitstellung und ggf. Wartung anfallen. Allein das Setup kann mit dem Verwaltungskram außenrum einen Techniker 30-60 Minuten beschäftigen. Da kann es locker 2 Jahre dafür benötigen, das zu amortisieren.
lks
Was für ein Techniksetup? Sie machen dafür nichts....sie stecken nur einen USB Stick an. Mehr nicht. Kein ISO drauf...nix.Das ist wirklich ein günstiger Preis, egal was der Stick selbst kostet. Du mußt die Technikerstunden dafür gegenrechnen, die für die Bereitstellung und ggf. Wartung anfallen. Allein das Setup kann mit dem Verwaltungskram außenrum einen Techniker 30-60 Minuten beschäftigen. Da kann es locker 2 Jahre dafür benötigen, das zu amortisieren.
lks
Der Stick ist dafür da, damit ich das ISO (ich selbst) remote darauf installieren kann. Das dauert keine 5 Minuten
Zitat von @tech-flare:
Was für ein Techniksetup? Sie machen dafür nichts....sie stecken nur einen USB Stick an. Mehr nicht. Kein ISO drauf...nix.
Der Stick ist dafür da, damit ich das ISO (ich selbst) remote darauf installieren kann. Das dauert keine 5 Minuten
Was für ein Techniksetup? Sie machen dafür nichts....sie stecken nur einen USB Stick an. Mehr nicht. Kein ISO drauf...nix.
Der Stick ist dafür da, damit ich das ISO (ich selbst) remote darauf installieren kann. Das dauert keine 5 Minuten
So kenne ich das auch. Daher ist das IMHO etwas überzogen. Den Preis für den Stick kann man auch in die Miete mit einbinden wenn man den überhaupt berechnen muß.
Kurzes Feedback:
Habe es nun so gemacht wie beschrieben. War ein bisschen viel reinarbeiten aber nun hat es geklappt.
Vielen Dank an alle.
Habe es nun so gemacht wie beschrieben. War ein bisschen viel reinarbeiten aber nun hat es geklappt.
Vielen Dank an alle.
Glückwunsch!
