thekivi
Goto Top

Wie(Wo) definiert Windows lokale Adressen?

Hallo Miteinander

Frage in der Überschrift.

Ausgangslage/Problem:
Ich habe eine RDS Umgebung mit Gatewayserver auf Basis Windows 2019 installiert.
Für die Anmeldung über den RemoteGatewyserver wird eine 2FA verwendet.
Für den RemoteGatewayserver ist die Option "Remotedesktop-Gatewayserver für lokale Adressen umgehen" aktiviert.

Problem:
Theoretisch funktioniert alles so wie es soll. Aus dem eigenen Netz wird der GW Server nicht abgefragt/genutzt wenn ich über das Internet komme dann schon.
ABER wir haben Kunden die über ein VPN bei uns angebunden sind. Diese Kunden sollen das Gateway (und die Token Abfrage) nicht bekommen/nutzen. (Natürlich kann ich das Gateway aus der RDP Datei raus editieren aber es soll so einfach wie möglich für den Kunden funktionieren wenn er sich über das Webinterface anmeldet.)

Wie und wo kann ich Windows dazu bringen das Kundennetz als lokales Netz/Adresse zu definieren?
Erreichbar sind diese Netze über ein Routing in Standardgateway (zu den jeweiligen VPN Server).

Vielen Dank im Voraus

MfG
Thekivi

PS: Die richtigen Google Begriffe würden mir auch weiter helfen face-smile
rdsgwbild

Content-Key: 499968

Url: https://administrator.de/contentid/499968

Ausgedruckt am: 28.03.2024 um 16:03 Uhr

Mitglied: emeriks
emeriks 30.09.2019 um 11:36:13 Uhr
Goto Top
Hi,
das kann man auch per GUI ändern.

2019-09-30 11_35_09-window

E.
Mitglied: Thekivi
Thekivi 30.09.2019 um 11:48:39 Uhr
Goto Top
Danke für deinen Kommentar aber 1. geht das nicht wenn man das File über den WebAcces runterlädt(Außer man editiert mit einem Texteditor) und 2. will ich ja eben verhindern, dass jeder Kunde das bei jeder Anwendung machen muss (durchaus Möglich,dass der User 20 Verschiedene Anwendungen/App hat)

MfG
Thekivi
Mitglied: emeriks
emeriks 30.09.2019 um 13:20:28 Uhr
Goto Top
Nur geraten:
Könnte es sein, dass Windows hier wieder besonders "schlau" ist, und dabei die IE-Einstellungen heranzogen werden? Dort kann man unter
Eigenschaften - Sicherheit - Lokales Intranet
die entsprechenden Netze festlegen.
Das müsste man dann am Client eintragen.
Mitglied: colinardo
colinardo 30.09.2019 aktualisiert um 15:19:17 Uhr
Goto Top
Servus @Thekivi ,
wenn diese Option aktiviert ist, macht Windows ganz einfach folgendes:
  • Wenn der Client den RDP-Host direkt über Port 3389 erreichen kann dann macht er das, wenn nicht nimmt er das Gateway.
Es gibt hier also keine extra Definition was "lokale Netze" sind. Der RDP-Client prüft einfach nur ob er den Server direkt ohne Umweg über das GW erreichen kann. Lässt sich übrigens auch schön selbst über Wireshark überprüfen.

Wichtig für dich ist jetzt also über welche Adresse bzw. DNS-Namen du die TS veröffentlicht hast und wie die Clients diesen DNS Namen über das VPN auflösen. Löst der Client diesen Namen auf eine externe Adresse auf ist klar das der Client immer das GW für die Kommunikation benutzt (Port 3389 ist ja extern dicht.). Stelle also sicher das die Clients über das VPN per DNS auf die interne IP auflösen und die Firewalls den RDP-Port über die VPN-Verbindung nicht blockieren, und schon sollte der Client die direkte Verbindung bevorzugen.

Grüße Uwe
Mitglied: Thekivi
Thekivi 01.10.2019 um 08:22:43 Uhr
Goto Top
Guten Morgen,
Danke @emeriks und @colinardo ich habe gestern beides über OpenVPN getestet und es hat nicht funktioniert.
In der RDP Datei gibt es die Zeile "gatewayusagemethod:i:1" Bei 2(erzwingen) und 1(Bei bedarf) geht er über das Gateway bei 0 funktioniert es auch ohne Gateway. D.h. der TS ist ohne GW erreichbar. (DNS ist eine .com Adresse die auf eine Interne IP aufgelöst wird. Unsauber, wird aber für etwas anderes so gebraucht).
Ich hatte leider noch keine Zeit das ganze mit Wireshark zu überprüfen.

MfG
Thekivi