zzaaiiggaa
Goto Top

Windows Server - sichere RDP VPN?

Hallo zusammen,

ich habe in der Cloud einen Windows Server und möchte mich per RDP drauf verbinden.
VPN auf Softwarebasis funktioniert "bescheiden" nach updates funktioniert es einfach oft nicht mehr.

Gibt es noch eine Möglichkeit wie man das ganze "stabil" aufbauen kann ohne ständig Probleme zu haben?

Danke!

Content-ID: 1366535417

Url: https://administrator.de/forum/windows-server-sichere-rdp-vpn-1366535417.html

Ausgedruckt am: 22.12.2024 um 08:12 Uhr

StefanKittel
StefanKittel 08.10.2021 um 12:28:13 Uhr
Goto Top
Moin,

Anbieter fragen ob die VPN dafür anbieten.

Alternativ 2. Server mieten und als VPN-Server installieren.
Windows-Server sagen, dass er nur Verbindungen von dort annehmen darf.

Stefan
Visucius
Visucius 08.10.2021 aktualisiert um 12:54:29 Uhr
Goto Top
Hm, ich habe das sowohl mit dem WinServer2016 eigenen l2tp/ipsec (C2S) als auch mit Wireguard (S2S) gemacht. Stabil war das über 2 Jahre ohne Probleme eigentlich in beiden Versionen.

"Sicher" ist natürlich ne andere Frage. Aber was ist schon "sicher" in dieser Welt face-wink

Wenn Du die Firewall "auslagerst" - wie von @StefanKittel erläutert wäre das mit Sicherheit besser.
ZZaaiiggaa
ZZaaiiggaa 08.10.2021 um 14:05:09 Uhr
Goto Top
Zitat von @Visucius:

Hm, ich habe das sowohl mit dem WinServer2016 eigenen l2tp/ipsec (C2S) als auch mit Wireguard (S2S) gemacht. Stabil war das über 2 Jahre ohne Probleme eigentlich in beiden Versionen.

"Sicher" ist natürlich ne andere Frage. Aber was ist schon "sicher" in dieser Welt face-wink

Wenn Du die Firewall "auslagerst" - wie von @StefanKittel erläutert wäre das mit Sicherheit besser.

Welches von den beiden war am einfachsten und am kostenlosesten?
Danke face-smile
Visucius
Visucius 08.10.2021 aktualisiert um 15:11:53 Uhr
Goto Top
Also ich hatte das über Strato. Das war dort ein v20/Win für irgendwas um 9 EUR/Monat. Wir haben den für ne Branchen-SW genutzt, die nur eingeschrängt "gruppentauglich" ist (Access-DB). War damals der Anlass sich hier anzumelden: V-Server Windows 2016, RDP und VPN

Vorteile:
a) Hat man den Dreh mal raus kann man das recht gut aufsetzen.
b) Dicke Bandbreite
c) Man kann die Ports umlegen und damit die Anbindung (etwas) verschleiern.
d) Fixe IP
e) Hat über 2 Jahre ziemlich problemlos funktioniert
f) Ich konnte mit iOS-Geräten auf eine Windows-Branchen-SW zugreifen

Nachteile:
a) Wenn Du ein Online-Backup haben möchtest, das den gesamten Server backuped, kostet Dich das 15 EUR/Monat extra (200 statt 5GB). Das ist aber dann wirklich ziemlich bequem - auch für den Fall, dass man sich im Rahmen der Konfiguration aus Versehen "ausschließt". Für diesen Fall bietet Strato alternativ auch ne "Notfalllösung" mit der Du dann temporär Deine Firewall deaktivierst (Registry) um wieder Zugriff zu erhalten.

b) Die Anzahl der parallelen Remote-Zugriffe ist "hart" auf 2 limitiert. Die Strato-Lizenz lässt nicht mehr zu

c) Wir hatten letzten Herbst den Fall, dass Teile des Rechenzentrums nicht erreichbar waren und uns der Support von Do 17.00 (Ticketeröffnung) bis Fr. 11.00 Uhr (wieder Online) nicht mitteilen konnte, woran es liegt, wie lange es dauert und wann wir wieder "arbeiten" können!

d) Der WinServer dort hängt (natürlich) in einer Domäne und hat auch diverse andere Ports z.B. zu MS offen. Die öffnen sich auch wieder, falls Du auf Idee kommst, "alles" unnötige zu schließen. Im Prinzip sollte der ja nur noch den VPN-Port nach außen "bloßlegen".

VPN:
l2tp/iPSec hat den Vorteil, dass es von allen(?) Clients systemweit unterstützt wird. Die Konfiguration wird auf Youtube problemlos erläutert. Wir haben ohne Zertifikate gearbeitet, sondern ein 99 Zeichen "shared secret" verwendet. Allerdings dauert der VPN-Aufbau üblicherweise einen kleinen Moment. Voraussetzung für die Konfiguration war - wenn ich das richtig erinnere - der Windows Webserver.

Wireguard kann man im Gegensatz zu l2tp/IPSec ebenso für Site2Site nutzen. Ich habe damit zunächst mein Büro-Netzwerk als im zweiten Schritt dann auch die Cients ausgestattet. Du brauchst aber für jeden Client auch nen eigenen SW-Paket. Für Windows ist das aber relativ bequem. Die VPN-Verbindung ist so stabil, dass sie Updates von Windows und Wireguard übersteht, bzw. sich sofort wieder aufbaut. Ich habe hier Notebooks zurückbekommen, die haben die VPN über Monate einfach laufen gehabt ohne, dass die MAs irgendwie damit interagiert haben. Der Webserver kann in diesem Setup gleich am Anfang deinstalliert werden um die Angriffsvektoren zu reduzieren. Das "reinfrickeln" in Wireguard ist Anfangs vermutlich gewöhnungsbedürftig, später fragt man sich, warum nicht schon immer so face-wink

Preislich nimmst sich das nix, weil l2tp im WinServer integriert sind und Wireguard opensource ist.

Eine Anmerkung: Wir haben im neuen Büro jetzt in eine bessere Anbindung investiert und alles "inhouse" gelöst. Kommt auf Dauer günstiger als der gemietete Kram irgendwo in nem Rechenzentrum auf das ich keinen direkten Zugriff habe und ich bin bei den "RDP-Parallel-Zugriffen" flexibler. Zugriff von außen und auch auf ein heimisches Backup-NAS erfolgt über Wireguard face-wink


Eine zweite Anmerkung: Der von StefanKittel angemerkte vorgeschaltete "Firewall-Server" kann als Linux-Ausführung relativ günstig gehalten werden (ich meine, ab 3 EUR/Monat?!)