10
Windows Server per VPN - Fritzbox verbinden
Guten Nabend,
ich habe gleich mehrere Fragen.
Folgendes Szenario:
Nun zur Frage, ich möchte gerne, dass sich die 3 Benutzer von zu Hause aus per RDP mit dem Server verbinden können ohne Risiko.
Würde es über die Fritzbox eigene VPN laufen?
Oder was wäre die beste Absicherung/ Alternativen per VPN auf diesen externen Server?
Vielen Dank.
ich habe gleich mehrere Fragen.
Folgendes Szenario:
- Windows Server 2016 (steht bei Hetzner) stateless Firewall vor dem Server (maximal 10 Regeln können gesetzt werden)
- 3 Benutzer sollen über VPN auf den Server per RDP zugreifen können
- alle Benutzer haben eine Fritzbox zu Hause
Nun zur Frage, ich möchte gerne, dass sich die 3 Benutzer von zu Hause aus per RDP mit dem Server verbinden können ohne Risiko.
Würde es über die Fritzbox eigene VPN laufen?
Oder was wäre die beste Absicherung/ Alternativen per VPN auf diesen externen Server?
Vielen Dank.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 618008
Url: https://administrator.de/contentid/618008
Printed on: April 25, 2024 at 13:04 o'clock
10 Comments
Latest comment
Gibt es einen Grund, warum Du die Fritzen und nicht die Endgeräte (Windows?) selber die VPN aufbauen lassen möchtest?!
Hi und Danke,
ja es gibt einen Grund, ich habe zu wenig Ahnung...von der Materie
ich wäre für jeden Hinweis/ Hilfe Dankbar.
ja es gibt einen Grund, ich habe zu wenig Ahnung...von der Materie
ich wäre für jeden Hinweis/ Hilfe Dankbar.
Der Windows-Server 2016 hat ja ne "eigene" VPN-Lösung integriert:
https://www.thomasmaurer.ch/2016/10/how-to-install-vpn-on-windows-server ...
Mit der sind Windows-Clients auch kompatibel. Dann musste den Kram nur noch durch die vorgelagerte Firewall bringen. Dafür wirds ja bei Hetzner auch ne Anleitung geben
Du kannst dann die RDP(?)-Funktionalität mit dem Aufbau der VPN-Verbindung über ein Script (d.h. für den Nutzer einen "Button") starten. Beim Schließen es "Arbeitsfensters" schließt sich dann auch automatisch die VPN-Verbindung und der Nutzer kann seinen Laptop wieder ganz normal nutzen. Die Anbindung der relevanten Endgeräte hat gegenüber der Fritze auch den Vorteil, dass die Heimnetzwerke Deiner User auch noch für andere -Familienmitglieder nutzbar sind
Ggfs auch:
https://www.mvps.net/docs/how-to-secure-remote-desktop-rdp/
https://www.wikihow.com/Secure-a-Remote-Desktop
https://www.itmz.uni-rostock.de/nd/anwendungen/software/windows/sicherhe ...
https://www.youtube.com/watch?feature=share&v=GdIxx2jVwQs&app=de ...
https://www.thomasmaurer.ch/2016/10/how-to-install-vpn-on-windows-server ...
Mit der sind Windows-Clients auch kompatibel. Dann musste den Kram nur noch durch die vorgelagerte Firewall bringen. Dafür wirds ja bei Hetzner auch ne Anleitung geben
Du kannst dann die RDP(?)-Funktionalität mit dem Aufbau der VPN-Verbindung über ein Script (d.h. für den Nutzer einen "Button") starten. Beim Schließen es "Arbeitsfensters" schließt sich dann auch automatisch die VPN-Verbindung und der Nutzer kann seinen Laptop wieder ganz normal nutzen. Die Anbindung der relevanten Endgeräte hat gegenüber der Fritze auch den Vorteil, dass die Heimnetzwerke Deiner User auch noch für andere -Familienmitglieder nutzbar sind
Ggfs auch:
https://www.mvps.net/docs/how-to-secure-remote-desktop-rdp/
https://www.wikihow.com/Secure-a-Remote-Desktop
https://www.itmz.uni-rostock.de/nd/anwendungen/software/windows/sicherhe ...
https://www.youtube.com/watch?feature=share&v=GdIxx2jVwQs&app=de ...
Ah ok, danke...
werde ich mal einlesen... und versuchen...
Habe dann bestimmt noch Fragen.
Vielen Dank
Gruß Stevie
werde ich mal einlesen... und versuchen...
Habe dann bestimmt noch Fragen.
Vielen Dank
Gruß Stevie
Naja, nach der VPN- Installation auf dem Server nach: https://www.thomasmaurer.ch/2016/10/how-to-install-vpn-on-windows-server ...
kann ich mich nun gar nicht mehr verbinden... Habe auch einen Teamviewer Host laufen...selbst den erreiche ich nicht mehr... Natürlich meine Unwissenheit..
Kann mir einer behilflich sein, bzw. das alles einrichten? Natürlich nicht Kostenlos?
Gruß Stevie
kann ich mich nun gar nicht mehr verbinden... Habe auch einen Teamviewer Host laufen...selbst den erreiche ich nicht mehr... Natürlich meine Unwissenheit..
Kann mir einer behilflich sein, bzw. das alles einrichten? Natürlich nicht Kostenlos?
Gruß Stevie
Beim Thema "nicht kostenlos" wird sich bestimmt der Kollege @certifiedit.net noch bei Dir melden
Bis dahin:
Du "errichtest" einen VPN-Server auf Deinem Windows-Server (GRE solltest Du da übrigens deaktivieren!). L2TP hat sich bei mir z.B. bewährt. Zu dem Thema kann man auch problemlos mal die Youtube-Suche quälen. Da gibts reichlich Hints, wie sowas konfiguriert wird. Und so ein bisschen Infos um das Thema herum können auch nicht schaden.
Mit der Konfiguration wird normalerweise auch die Firewall des Win-Servers(!) entsprechend durchlöchert. Das kannst Du ja in den erweiterten Einstellungen der Windows Firewall prüfen (Eingangsseitig). Und diese Ports sind dann erstmal(!) ZUSÄTZLICH – d.h. da geht der Rest auf dem Server(!) – z.B. RDP – immer noch.
Nun hast Du aber doch (auch noch) eine Firewall "davorgeschaltet", so wie ich das verstehe. D.h. Du connectest nicht auf den Server, sondern auf die (vorgeschaltete) Firewall von Hetzner. Hier muss dann also irgendwie erst ein Port geöffnet und eine Weiterleitung auf Deinen Server erfolgen.
So verstehe ich Deine Hetzner-Voraussetzung zumindest. Noch schöner wäre es natürlich, wenn Du auch die VPN direkt auf der Firewall-Appliance konfigurieren könntest. Dazu habe ich bei Hetzner allerdings nix gefunden?! Klingle doch bei denen einfach mal durch. Für sowas muss es doch dort Support-Unterlagen geben.
Viele Grüße
PS: Das man sich da beim ersten Mal auch mal aussperrt, ist durchaus nicht völlig unüblich Bei Deinem Setup mit extra Firewall aber technisch eher unwahrscheinlich. Das ist ja das smarte daran – von der höheren Sicherheit ganz abgesehen.
Bis dahin:
Du "errichtest" einen VPN-Server auf Deinem Windows-Server (GRE solltest Du da übrigens deaktivieren!). L2TP hat sich bei mir z.B. bewährt. Zu dem Thema kann man auch problemlos mal die Youtube-Suche quälen. Da gibts reichlich Hints, wie sowas konfiguriert wird. Und so ein bisschen Infos um das Thema herum können auch nicht schaden.
Mit der Konfiguration wird normalerweise auch die Firewall des Win-Servers(!) entsprechend durchlöchert. Das kannst Du ja in den erweiterten Einstellungen der Windows Firewall prüfen (Eingangsseitig). Und diese Ports sind dann erstmal(!) ZUSÄTZLICH – d.h. da geht der Rest auf dem Server(!) – z.B. RDP – immer noch.
Nun hast Du aber doch (auch noch) eine Firewall "davorgeschaltet", so wie ich das verstehe. D.h. Du connectest nicht auf den Server, sondern auf die (vorgeschaltete) Firewall von Hetzner. Hier muss dann also irgendwie erst ein Port geöffnet und eine Weiterleitung auf Deinen Server erfolgen.
So verstehe ich Deine Hetzner-Voraussetzung zumindest. Noch schöner wäre es natürlich, wenn Du auch die VPN direkt auf der Firewall-Appliance konfigurieren könntest. Dazu habe ich bei Hetzner allerdings nix gefunden?! Klingle doch bei denen einfach mal durch. Für sowas muss es doch dort Support-Unterlagen geben.
Viele Grüße
PS: Das man sich da beim ersten Mal auch mal aussperrt, ist durchaus nicht völlig unüblich
Bei Deinem Setup mit extra Firewall aber technisch eher unwahrscheinlich. Das ist ja das smarte daran – von der höheren Sicherheit ganz abgesehen.
Hallo und Guten Nabend,
Danke erst mal für die Hilfe!!!
Ich habe nun nach dieser Anleitung es soweit eingerichtet. VPN läuft und ich kann mich auch verbinden. Komme per RDP mit der Adresse 10.10.10.1 auch auf den Server. Geht aber nur, wenn der RDP Port 3389 (bei mir geändert 6389) offen ist. Irgendwo habe noch was vergessen? Muss ich noch was für VPN freigeben für RDP? Firewall Port?
Danke für Hilfe.
Danke erst mal für die Hilfe!!!
Ich habe nun nach dieser Anleitung es soweit eingerichtet. VPN läuft und ich kann mich auch verbinden. Komme per RDP mit der Adresse 10.10.10.1 auch auf den Server. Geht aber nur, wenn der RDP Port 3389 (bei mir geändert 6389) offen ist. Irgendwo habe noch was vergessen? Muss ich noch was für VPN freigeben für RDP? Firewall Port?
Danke für Hilfe.
Normalerweise – d.h. wenn Firewall und VPN auf dem selben Rechner laufen – könntest Du jetzt die VPN starten und dann testhalber die RDP-Verbindung nicht mehr mit der "äußeren" IP des Servers, sondern mit der selber vergebenen "privaten" IP innerhalb des VPN aufbauen.
Wenn das klappt, würde Du im nächsten Schritt den RDP-Port "scopen" ... d.h. den Bereich des Ports auf die internen IPs beschränken. Und mit IPSec könntest Du bei den Ports zusätzlich auch mit "sichere Verbindung" nachsteuern.
Und im Anschluss "alle" (bzw. fast alle) anderen Ports der Firewall schließen - mindestens mal die "alle" bzw. "öffentlichen".
Bloß verstehe ich nicht, wie da Deine "vorgeschaltete", dedizierte Firewall von Hetzner ins Bild passt?! In meinen Augen sind das ja Themen, die zumindest zum Teil an dieser konfiguriert gehörten und anschließend müsste der "direkte" Zugang auf den Server "unmöglich" sein.
Wenn das klappt, würde Du im nächsten Schritt den RDP-Port "scopen" ... d.h. den Bereich des Ports auf die internen IPs beschränken. Und mit IPSec könntest Du bei den Ports zusätzlich auch mit "sichere Verbindung" nachsteuern.
Und im Anschluss "alle" (bzw. fast alle) anderen Ports der Firewall schließen - mindestens mal die "alle" bzw. "öffentlichen".
Bloß verstehe ich nicht, wie da Deine "vorgeschaltete", dedizierte Firewall von Hetzner ins Bild passt?! In meinen Augen sind das ja Themen, die zumindest zum Teil an dieser konfiguriert gehörten und anschließend müsste der "direkte" Zugang auf den Server "unmöglich" sein.
Guten Nabend und vielen Dank,
VPN verbunden mit der internen IP verbunden. RDP Ports auf interne IPs beschränkt.
Wie steuer ich die Ports mit IPSec zusätzlich auch mit "sichere Verbindung" nach?
Noch mal zur Info für mich, gibt es keine Möglichkeit den RDP Port zu deaktivieren wenn VPN und Firewall auf dem gleichen Server laufen?
Danke
VPN verbunden mit der internen IP verbunden. RDP Ports auf interne IPs beschränkt.
Wie steuer ich die Ports mit IPSec zusätzlich auch mit "sichere Verbindung" nach?
Noch mal zur Info für mich, gibt es keine Möglichkeit den RDP Port zu deaktivieren wenn VPN und Firewall auf dem gleichen Server laufen?
Danke
Bei der Portfreigabe gibt es ja die Option "nur sichere Verbindung" zulassen (mit mehreren Unteroptionen). Im folgenden Link wird das ein wenig erläutert. Mit iPSec-Anmeldung sollte das kompatibel sein. Die L2TP/iPSec hast Du ja vermutlich am Windows-Server aktiviert?!
ABER: Ich kann das jetzt nur "unterstellen": MMn. reicht es dafür nicht L2TP mit "preshared keys" laufen zu haben. Dafür müsstest du ja eigentlich mit Zertifikaten arbeiten um Dich entsprechend zu "authentifizieren". Das habe ich selber nie so konfiguriert. Ich habe mich auf einen 99-stelligen preshared-Key verlassen und mittlerweile habe ich das "alles" eh auf Wireguard geswitched (damit kann ich das gesamte IIS-Modul am Server deaktivieren).
Hier werden die Port-Optionen nochmal erläutert.
https://www.microsoftpressstore.com/articles/article.aspx?p=2224362& ...
http://openbook.rheinwerk-verlag.de/windows_server_2008/windows_server_ ...
Hier einige Erklärungen zu (evtl. offenen Ports):
https://www.nodeprotect.com/blog/windows-firewall-default-rules-explaine ...
Irgendwo beim BSI habe ich auch mal eine "Sicherheitseinschätzung" der verschiedenen Portnummern gefunden ... aber offenbar nicht abgespeichert.
Und am Ende mit sowas den eigenen Server mal "penetrieren":
http://www.dnstools.ch/port-scanner.html
https://www.shodan.io
https://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1
PS: Der Denkfehler ist wohl, dass da eine Firewall VOR den Ports hängt (innerhalb des Betriebssystems). Aber die Firewall konfiguriert die Ports nur _ sozusagen auf der selben Ebene. D.h. wenn der Port "gescoped" wird, reagiert der einfach nicht auf andere Anfragen – für die ist er dann "geschlossen". Deshalb ist die Lösung mit Deiner vorgeschalteten Hetzner-Firewall eigentlich richtig cool. Da habe ich aber keine Ahnung wie Du die in das Setup sinnvoll einbindest.
... und irgendwie fühlt sich hier auch außer mir niemand angesprochen. Dafür gibts ja hier richtige Cracks in diesen Netzwerk-Dingen: @aqui help?
ABER: Ich kann das jetzt nur "unterstellen": MMn. reicht es dafür nicht L2TP mit "preshared keys" laufen zu haben. Dafür müsstest du ja eigentlich mit Zertifikaten arbeiten um Dich entsprechend zu "authentifizieren". Das habe ich selber nie so konfiguriert. Ich habe mich auf einen 99-stelligen preshared-Key verlassen und mittlerweile habe ich das "alles" eh auf Wireguard geswitched (damit kann ich das gesamte IIS-Modul am Server deaktivieren).
Hier werden die Port-Optionen nochmal erläutert.
https://www.microsoftpressstore.com/articles/article.aspx?p=2224362& ...
http://openbook.rheinwerk-verlag.de/windows_server_2008/windows_server_ ...
Hier einige Erklärungen zu (evtl. offenen Ports):
https://www.nodeprotect.com/blog/windows-firewall-default-rules-explaine ...
Irgendwo beim BSI habe ich auch mal eine "Sicherheitseinschätzung" der verschiedenen Portnummern gefunden ... aber offenbar nicht abgespeichert.
Und am Ende mit sowas den eigenen Server mal "penetrieren":
http://www.dnstools.ch/port-scanner.html
https://www.shodan.io
https://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1
PS: Der Denkfehler ist wohl, dass da eine Firewall VOR den Ports hängt (innerhalb des Betriebssystems). Aber die Firewall konfiguriert die Ports nur _ sozusagen auf der selben Ebene. D.h. wenn der Port "gescoped" wird, reagiert der einfach nicht auf andere Anfragen – für die ist er dann "geschlossen". Deshalb ist die Lösung mit Deiner vorgeschalteten Hetzner-Firewall eigentlich richtig cool. Da habe ich aber keine Ahnung wie Du die in das Setup sinnvoll einbindest.
... und irgendwie fühlt sich hier auch außer mir niemand angesprochen. Dafür gibts ja hier richtige Cracks in diesen Netzwerk-Dingen: @aqui help?
