5
Wie(Wo) definiert Windows lokale Adressen?
Hallo Miteinander
Frage in der Überschrift.
Ausgangslage/Problem:
Ich habe eine RDS Umgebung mit Gatewayserver auf Basis Windows 2019 installiert.
Für die Anmeldung über den RemoteGatewyserver wird eine 2FA verwendet.
Für den RemoteGatewayserver ist die Option "Remotedesktop-Gatewayserver für lokale Adressen umgehen" aktiviert.
Problem:
Theoretisch funktioniert alles so wie es soll. Aus dem eigenen Netz wird der GW Server nicht abgefragt/genutzt wenn ich über das Internet komme dann schon.
ABER wir haben Kunden die über ein VPN bei uns angebunden sind. Diese Kunden sollen das Gateway (und die Token Abfrage) nicht bekommen/nutzen. (Natürlich kann ich das Gateway aus der RDP Datei raus editieren aber es soll so einfach wie möglich für den Kunden funktionieren wenn er sich über das Webinterface anmeldet.)
Wie und wo kann ich Windows dazu bringen das Kundennetz als lokales Netz/Adresse zu definieren?
Erreichbar sind diese Netze über ein Routing in Standardgateway (zu den jeweiligen VPN Server).
Vielen Dank im Voraus
MfG
Thekivi
PS: Die richtigen Google Begriffe würden mir auch weiter helfen
Frage in der Überschrift.
Ausgangslage/Problem:
Ich habe eine RDS Umgebung mit Gatewayserver auf Basis Windows 2019 installiert.
Für die Anmeldung über den RemoteGatewyserver wird eine 2FA verwendet.
Für den RemoteGatewayserver ist die Option "Remotedesktop-Gatewayserver für lokale Adressen umgehen" aktiviert.
Problem:
Theoretisch funktioniert alles so wie es soll. Aus dem eigenen Netz wird der GW Server nicht abgefragt/genutzt wenn ich über das Internet komme dann schon.
ABER wir haben Kunden die über ein VPN bei uns angebunden sind. Diese Kunden sollen das Gateway (und die Token Abfrage) nicht bekommen/nutzen. (Natürlich kann ich das Gateway aus der RDP Datei raus editieren aber es soll so einfach wie möglich für den Kunden funktionieren wenn er sich über das Webinterface anmeldet.)
Wie und wo kann ich Windows dazu bringen das Kundennetz als lokales Netz/Adresse zu definieren?
Erreichbar sind diese Netze über ein Routing in Standardgateway (zu den jeweiligen VPN Server).
Vielen Dank im Voraus
MfG
Thekivi
PS: Die richtigen Google Begriffe würden mir auch weiter helfen
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 499968
Url: https://administrator.de/contentid/499968
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
5 Kommentare
Neuester Kommentar
Hi,
das kann man auch per GUI ändern.
E.
das kann man auch per GUI ändern.
E.
Danke für deinen Kommentar aber 1. geht das nicht wenn man das File über den WebAcces runterlädt(Außer man editiert mit einem Texteditor) und 2. will ich ja eben verhindern, dass jeder Kunde das bei jeder Anwendung machen muss (durchaus Möglich,dass der User 20 Verschiedene Anwendungen/App hat)
MfG
Thekivi
MfG
Thekivi
Nur geraten:
Könnte es sein, dass Windows hier wieder besonders "schlau" ist, und dabei die IE-Einstellungen heranzogen werden? Dort kann man unter
Eigenschaften - Sicherheit - Lokales Intranet
die entsprechenden Netze festlegen.
Das müsste man dann am Client eintragen.
Könnte es sein, dass Windows hier wieder besonders "schlau" ist, und dabei die IE-Einstellungen heranzogen werden? Dort kann man unter
Eigenschaften - Sicherheit - Lokales Intranet
die entsprechenden Netze festlegen.
Das müsste man dann am Client eintragen.
Servus @Thekivi ,
wenn diese Option aktiviert ist, macht Windows ganz einfach folgendes:
Wichtig für dich ist jetzt also über welche Adresse bzw. DNS-Namen du die TS veröffentlicht hast und wie die Clients diesen DNS Namen über das VPN auflösen. Löst der Client diesen Namen auf eine externe Adresse auf ist klar das der Client immer das GW für die Kommunikation benutzt (Port 3389 ist ja extern dicht.). Stelle also sicher das die Clients über das VPN per DNS auf die interne IP auflösen und die Firewalls den RDP-Port über die VPN-Verbindung nicht blockieren, und schon sollte der Client die direkte Verbindung bevorzugen.
Grüße Uwe
wenn diese Option aktiviert ist, macht Windows ganz einfach folgendes:
- Wenn der Client den RDP-Host direkt über Port 3389 erreichen kann dann macht er das, wenn nicht nimmt er das Gateway.
Wichtig für dich ist jetzt also über welche Adresse bzw. DNS-Namen du die TS veröffentlicht hast und wie die Clients diesen DNS Namen über das VPN auflösen. Löst der Client diesen Namen auf eine externe Adresse auf ist klar das der Client immer das GW für die Kommunikation benutzt (Port 3389 ist ja extern dicht.). Stelle also sicher das die Clients über das VPN per DNS auf die interne IP auflösen und die Firewalls den RDP-Port über die VPN-Verbindung nicht blockieren, und schon sollte der Client die direkte Verbindung bevorzugen.
Grüße Uwe
1
Guten Morgen,
Danke @emeriks und @colinardo ich habe gestern beides über OpenVPN getestet und es hat nicht funktioniert.
In der RDP Datei gibt es die Zeile "gatewayusagemethod:i:1" Bei 2(erzwingen) und 1(Bei bedarf) geht er über das Gateway bei 0 funktioniert es auch ohne Gateway. D.h. der TS ist ohne GW erreichbar. (DNS ist eine .com Adresse die auf eine Interne IP aufgelöst wird. Unsauber, wird aber für etwas anderes so gebraucht).
Ich hatte leider noch keine Zeit das ganze mit Wireshark zu überprüfen.
MfG
Thekivi
Danke @emeriks und @colinardo ich habe gestern beides über OpenVPN getestet und es hat nicht funktioniert.
In der RDP Datei gibt es die Zeile "gatewayusagemethod:i:1" Bei 2(erzwingen) und 1(Bei bedarf) geht er über das Gateway bei 0 funktioniert es auch ohne Gateway. D.h. der TS ist ohne GW erreichbar. (DNS ist eine .com Adresse die auf eine Interne IP aufgelöst wird. Unsauber, wird aber für etwas anderes so gebraucht).
Ich hatte leider noch keine Zeit das ganze mit Wireshark zu überprüfen.
MfG
Thekivi
