Windows vServer erreichbarkeit begrenzen

Mitglied: BattaGazi

BattaGazi (Level 1) - Jetzt verbinden

12.09.2020 um 22:13 Uhr, 957 Aufrufe, 24 Kommentare, 1 Danke

Hallo,

als neuling (Fachinformatiker) habe ich mir ein Windows vServer zugelegt.
Habe von dem Provider eine IPv4 adresse erhalten, mit dem ich eine RDP Verbindung zu Server aufbauen kann.
Erstes vorhaben, möchte nur aus bestimmetn Öffentlichen IP's auf den Server zugreiffen können.

Es handelt sich um einen System Windoews Server 2016, Plesk in der WEB Edition kann ich nach installieren.

Danach hatte ich vor eine VPN Verbindung aufzubauen via FritzBox.

Die Begerenzung bezüglich Öffentliche IP's bin ich nicht fündich geworden.
Eine VPN Verbindung zu der FritzBox mit Fernzugangs einricht ist mir gelungen, jedoch nachdem die Verbindung steht kann ich den Server per IPv4 nicht mehr erreichen.

Zuerst würde ich gerene als ersten die IP's begrenzen wollen, ein Tipp wie ich das beweltigen kann.

LG

BattalGazi
Mitglied: satosan
12.09.2020, aktualisiert um 22:27 Uhr
IPBan >> https://github.com/DigitalRuby/IPBan

Einfach in der ipban.config die IP's die zugelassen werden sollen in die 'Whitelist' aufnehmen. In den Blacklist-Regex einfach ein "." einsetzen. Dann wird alles automatisch geblockt was nicht bei eins auf dem Baum ist.

VG Sato
Bitte warten ..
Mitglied: tech-flare
12.09.2020 um 23:23 Uhr
Zitat von BattaGazi:

Hallo,

als neuling (Fachinformatiker) habe ich mir ein Windows vServer zugelegt.
was willst du damit erreichen?
Habe von dem Provider eine IPv4 adresse erhalten, mit dem ich eine RDP Verbindung zu Server aufbauen kann.
oh je
Erstes vorhaben, möchte nur aus bestimmetn Öffentlichen IP's auf den Server zugreiffen können.
gut
Es handelt sich um einen System Windoews Server 2016, Plesk in der WEB Edition kann ich nach installieren.
oh je oh je....

Meiner Meinung gehört so ein Server hinter eine richtige Firewall und Plesk, wenn überhaupt, nur auf Linux Server
Bitte warten ..
Mitglied: Vision2015
13.09.2020 um 08:02 Uhr
moin...

Zitat von BattaGazi:

Hallo,

als neuling (Fachinformatiker) habe ich mir ein Windows vServer zugelegt.
Hurra...
Habe von dem Provider eine IPv4 adresse erhalten, mit dem ich eine RDP Verbindung zu Server aufbauen kann.
nicht nur für RDP....
Erstes vorhaben, möchte nur aus bestimmetn Öffentlichen IP's auf den Server zugreiffen können.
dazu nutzt der Fachinformatiker in der regel ein VPN!
webseiten mal ausgenommen...

Es handelt sich um einen System Windoews Server 2016, Plesk in der WEB Edition kann ich nach installieren.
wozu...?
wenn es ein WEB und Mail Server sein soll, tausche das ganze nach Linux um...

Danach hatte ich vor eine VPN Verbindung aufzubauen via FritzBox.
nicht danach... als erstes

Die Begerenzung bezüglich Öffentliche IP's bin ich nicht fündich geworden.
was soll das auch nutzen, ip adressen kannst du fälschen!
Eine VPN Verbindung zu der FritzBox mit Fernzugangs einricht ist mir gelungen, jedoch nachdem die Verbindung steht kann ich den Server per IPv4 nicht mehr erreichen.
da hast du was falsch gemacht...

Zuerst würde ich gerene als ersten die IP's begrenzen wollen, ein Tipp wie ich das beweltigen kann.
wie wäre es mit der windows firewall? pass aber auf, das du dich nicht selber aussperrst

LG

BattalGazi
Bitte warten ..
Mitglied: cykes
13.09.2020 um 09:45 Uhr
Moin,

die wichtigste Frage zuerst: Was genau hast Du mit dem vServer vor?
Ggf. hast Du nämlich das völlig falsche bzw. für Deine Zwecke ungeeignete Paket gekauft.
So ein Windows Webserver ist ziemlich eingeschränkt bisa gar nicht nutzbar, um daran den Aufbau von Windows AD-Netzwerken zu üben. Dafür nimmt man auch keinen Server bei einem Hoster, da - wie die Kollegen bereits erwähnt haben - man sich
a) schnell aus Unerfahrenheit selbst aussperrt
b) keinen Übungsserver ins Internet stellt

Dafür wäre eine lokale Virtualisierung deutlich sinnvoller.
Bezüglich der Sperrung von (öffentlichen) IP-Adressen: Hast Du denn eine statische (öffentl.) IP an Deinem Anschluss? Ansonsten musst Du nämlich ganze Subnetze aus dem dynamischen Pool Deines Providers erlauben, die IP, die Du heute hast, kann sich morgen, in einer Woche/Monat/usw. wieder ändern und dann schaust Du in die Röhre.
Für das VPN wirst Du eventuell auf das gleich Problem stoßen. Du solltest immer ein Backup zur Verfügung haben über eine feste IP.

Gruß

cykes
Bitte warten ..
Mitglied: aqui
13.09.2020, aktualisiert um 11:16 Uhr
mit dem ich eine RDP Verbindung zu Server aufbauen kann.
Gilt als unsicher und solltest du immer im Hinterkopf haben !! VPN wäre wirklich sicher und dann können dir auch die v4 IP Absender Adressen Wumpe sein:
https://administrator.de/forum/azure-vm-rdp-zugriff-openvpn-absichern-60 ...
Wenn du dir nur mal die Angriffsrate mit einem Wireshark angesehen hättest die auf sowas im Sekundentakt und das 24 Stunden lang weltweit einprasselt, wüsstest du wovon alle oben sprechen ! Leider Fehlanzeige....
Solche laienhaften Konstrukte sind typische Opfer, besonders Winblows. Da merkt man bei allem leider den naiven und unbedarften Neuling...
Zur Thematik haben die Kollegen oben ja schon alles gesagt.
Bitte warten ..
Mitglied: satosan
13.09.2020, aktualisiert um 11:30 Uhr
Manchmal, ......


'Der Junge' hat erstmal nur gefragt wie er (ohne VPN) den Zugriff per RDP auf einige Addressen beschraenken kann. Das geht ja fuer so einen vHost am schnellsten mit IPBan. Mit der VPN wollte er sich ja, wie Eingangs erwaehnt, spaeter beschaeftigen. Da ist ein schneller Block via IPBan schon mal der richtige Weg um 'ungeliebten' Besuch auszusperren.

'Der Junge' hat vllt gar keine physische Hardware zu Hause. Womit soll der dann ueben? Also vHost irgendwo zum ueben mieten. Kann jederzeit einen Reset erfahren wenn etwas vollkommen schief laeuft.

Sich aus so einem vHost auszusperren ist schon ziemlich schwer. Ich kenne keinen vHost Anbieter der keine Console anbietet.

Was er mit dem Webserver vorhat und ob dieser geeignet ist hat er ja noch gar nicht gesagt und schon wird angenommen das das alles falsch war was er geplant und gemietet hat. Vielleicht wurde es ja von seinem Ausbildungsbestrieb vorgegeben sich mit sowas zu beschaeftigen.

Leute, ehrlich ....

Dann soll er doch bei ZeroTier vorbeischauen, sich da anmelden, ein Netz aufbauen, Clients auf dem Server und Home-PC/Laptop installieren und den Zugriff nur ueber das ZeroTier-Netz zulassen. Da kann er sich den Stress mit OpenVPN (als Beispiel) sparen. Das klappt auch mit der Fritzbox auf anhieb. Er faengt ja erst an zu lernen ... DAS SOLLTE MAN HIER NICHT VERGESSEN.

VG Sato
Bitte warten ..
Mitglied: maretz
13.09.2020 um 12:10 Uhr
Nun - was man aber eben auch nicht vergessen sollte ist das eben im Sekundentakt die Angriffe auf eigene Server einprasseln WEIL eben soviele ungeschützte Büchsen im Netz stehen... Und das man ggf sogar in richtige Späße reinläuft wenn ein Angriff vom eigenen Server „erfolgreich“ war aber entdeckt wurde - weil ja jeder Serverbetreiber dann den Angreifer zur Rechenschaft zieht...

Von daher würde ich auch sagen - lieber auf ner eigenen VM lokal testen, da ist das Risiko deutlich geringer...
Bitte warten ..
Mitglied: cykes
13.09.2020 um 13:38 Uhr
Zitat von satosan:

Manchmal, ......
[...]
>Was er mit dem Webserver vorhat und ob dieser geeignet ist hat er ja noch gar nicht gesagt und schon wird angenommen das das alles falsch war was er geplant und gemietet hat. Vielleicht wurde es ja von seinem Ausbildungsbestrieb vorgegeben sich mit sowas zu beschaeftigen.
Genau aus dem Grund habe ich das als erstes gefragt. Nach meinem Eindruck ist es ihm außerdemnicht bewußt, was die Webserver-Edition genau macht (und gleichermaßen was nicht). Kann und muss er auch noch nicht wissen, aber trotzdem wird er auf Probleme stoßen und dann selbst feststellen, ob das vielleicht doch keine so gute Idee war und er sich das Geld dafür vielleicht auch sparen kann.
Leute, ehrlich ....
[...]
Er faengt ja erst an zu lernen ... DAS SOLLTE MAN HIER NICHT VERGESSEN.
Genau aus dem Grund soll er es ja (in der) richtig(en Reihenfolge) lernen, sollte ein halbherzig konfigurierter vServer gehackt und missbraucht werden (für was auch immer), ist er auch schnell dran und da ist es egal, ob der vServer unter Linux oder Windows oder wasaujchimmer läuft. Es fliegen genug Mail-/Web-/FTP- oder wasauchimmer Server im Netz rum, damit sollte er nicht anfangen.

Gruß

cykes
Bitte warten ..
Mitglied: satosan
13.09.2020, aktualisiert um 16:04 Uhr
Zitat von BattaGazi:
Zuerst würde ich gerene als ersten die IP's begrenzen wollen, ein Tipp wie ich das beweltigen kann.

Das war die Frage zum Thread. Nix anderes.

VG Sato
Bitte warten ..
Mitglied: aqui
13.09.2020 um 16:27 Uhr
Zuerst würde ich gerene als ersten die IP's begrenzen wollen
Winblows Firewall und dort ist das mit 3 Mausklicks erledigt...
Bitte warten ..
Mitglied: Vision2015
13.09.2020 um 17:17 Uhr
Zitat von satosan:

Zitat von BattaGazi:
Zuerst würde ich gerene als ersten die IP's begrenzen wollen, ein Tipp wie ich das beweltigen kann.

Das war die Frage zum Thread. Nix anderes.
jo...
wie wäre es mit der windows firewall? pass aber auf, das du dich nicht selber aussperrst
wurde ihm ja auch schon geschrieben...

VG Sato
Frank
Bitte warten ..
Mitglied: satosan
13.09.2020, aktualisiert um 17:50 Uhr
Zitat von aqui:
Winblows Firewall und dort ist das mit 3 Mausklicks erledigt...
Ich mach mir mal den Scherz und sage es sind 20.

Ich mag nur diese Loesung nicht, weil sie 'absolut' ist. Gibt ja immer so ein 'Worstcase-Scenario' wenn man mit der Materie anfaengt. Das war so mein Gedanke. Mit IPBan kannst Du einstellen nach wie vielen 'failed' Logins eine IP gesperrt wird und wann Du sie automatisch wieder 'frei gibst'. Fuer den 'Test-Gebrauch' und wenn ich sicher bin in dem was ich 'tue', ist die 'absolute' Win-FW Loesung aber natuerlich ok. Keine Frage.

VG Sato
Bitte warten ..
Mitglied: Lochkartenstanzer
14.09.2020 um 09:08 Uhr
Zitat von BattaGazi:

Hallo,

als neuling (Fachinformatiker) habe ich mir ein Windows vServer zugelegt.
Habe von dem Provider eine IPv4 adresse erhalten, mit dem ich eine RDP Verbindung zu Server aufbauen kann.
Erstes vorhaben, möchte nur aus bestimmetn Öffentlichen IP's auf den Server zugreiffen können.

Es handelt sich um einen System Windoews Server 2016, Plesk in der WEB Edition kann ich nach installieren.

Danach hatte ich vor eine VPN Verbindung aufzubauen via FritzBox.

Die Begerenzung bezüglich Öffentliche IP's bin ich nicht fündich geworden.
Eine VPN Verbindung zu der FritzBox mit Fernzugangs einricht ist mir gelungen, jedoch nachdem die Verbindung steht kann ich den Server per IPv4 nicht mehr erreichen.

Zuerst würde ich gerene als ersten die IP's begrenzen wollen, ein Tipp wie ich das beweltigen kann.


Standardverfahren: Firewall aktivieren. Alle Verbindungen außer VPN sperren und nur per VPN draufgehen.

lks
Bitte warten ..
Mitglied: battalgazi
14.09.2020 um 10:16 Uhr
Zur Anfang möchte ich allen danken die sich die Mühe gemacht haben mir zu antworten, besonders dir satosan.
habe mit dem Windows vServer nicht bestimmtes vor, nur um zu lernen.
Selbsversändlich kann man auch im lokalennetz was aufbauen mit dem gedancken habe ich mich auch beschäftigt.
Auf die Windows Firewall bin ich nicht draufgekommen, ich dk***, das mit dem IPBAN wuste ich nicht mal super Idee.

Das ich ein VPN einrcihten werden bzw. versucht habe eine einzurichten habe ich ja bereits geschrieben.
Das die vernüftigste Lösung eine VPN Verbindung ist, ist mir auch bekannt.
Eins nach dem anderen, bin noch in der Lernphase.

Möchte auch die Angriffe auf den Server zulassen um nachher mit Wireshark das ui beobachten.
Eventuell nachher z.B. mit pfSense dies zu unterbinden, wenn das von euch zu empfehlen ist.

Werde mich selbsverständlich mit der VPN weiter beschäftigen, das hinzubekommen.

LG

BttalGazi
Bitte warten ..
Mitglied: aqui
14.09.2020 um 10:21 Uhr
Wenn es das denn nun war bitte dann auch
https://administrator.de/faq/32
nicht vergessen !
Bitte warten ..
Mitglied: battalgazi
15.09.2020 um 10:22 Uhr
Ich hoffe dank eurer hilfe werde ich das lösen, soweit bin ich jedoch noch nicht.

Wird als ersten gemacht, möchte nähmlich nicht jedesmal ein Thred eröffnen.

Zu dem Standartverfahren von Lochkartenstanzer, wie kann ich alle funktionen ausser die VPN Verbindung sperren ?
Bitte warten ..
Mitglied: aqui
15.09.2020, aktualisiert um 17:48 Uhr
wie kann ich alle funktionen ausser die VPN Verbindung sperren ?
Das hängt immer von deinem verwendeten VPN Protokoll ab.
Ist es z.B. IPsec, dann sperrst du in der Firewall alles außer UDP 500, UDP 4500 und ESP Protokoll.
Ist es OpenVPN sperrst du alles außer UDP 1194
Usw. usw. usw.
Bitte warten ..
Mitglied: battalgazi
15.09.2020 um 17:23 Uhr
Das ich eine VPN Verbindung per FritzBox Fernzuganag eingereichtet habe, habe ich doch erwähnt.
(Wer lesen kann ist im Vorteil)
Werden der Einstellungen habe ich keine Einstellungen vorgenommen, ansonst hatte ich das auch geschrieben.
Habe auch in den Einstellungen nachträglich nicht dazu finden können, laut google ist es IPsec.

Danke
Bitte warten ..
Mitglied: aqui
15.09.2020, aktualisiert um 17:48 Uhr
Wer lesen kann ist im Vorteil
Absolut !
Dann gilt für dich: UDP 500, UDP 4500 und das ESP Protokoll (IP Nummer 50), da die FritzBox ja IPsec native macht als VPN wie jedermann weiss.
Zusätzlich solltest du noch TCP/UDP 53 (DNS) mit freigeben denn sonst könnte der Rechner keine Hostnamen auflösen.
Bitte warten ..
Mitglied: battalgazi
16.09.2020 um 08:33 Uhr
Ihr seid ein tolles Team, Leute.
(Auch du aqui, )
Habt mir wirklich viel geholfen, habe in den paar tagen viel gelernt.
Jedermann bin ich zwar noch nicht, dank eurer Unterstuztung werde ich zu denen gehören.

Werde nun die Einstellungen auf der Firewall vornehmen, Feedback kommt.

LG
Bitte warten ..
Mitglied: satosan
16.09.2020, aktualisiert um 13:40 Uhr
Warum ist eigentlich die VPN mit der Fritzbox so noetig? Muss ich irgendwie nochmal drauf zurueckkommen. Warum den Schmerz mit diesen bloeden Fritzboxen.

Mach doch auf der Fritzbox 'alles' zu und melde Dich bei Zerotier (Wireguard) an. Tailscale ginge auch. Weiss aber nicht ob die noch kostenlos sind. Bau Dir da ein internes Netz auf. Installiere den jeweiligen Client auf Deinen Geraeten und connect diese mit dem internen Netzwerk. Dann kannst Du Dir die Portfreigaben auf Fritzbox und X und Y und Z ersparen. Wenn sich public IP's aendern wird Dich das nicht jucken. Gib dann nur Dein 'internes' Netz (Zerotier/Tailscale) fuer RDP frei und block alles andere.

Wenn Du dann ganz sicher gehen willst, melde Dich vor jedem RDP login in Zerotier online an (2FA). Mach einen Haken an der Maschine mit der Du Zugriff auf den Server haben willst. Log Dich dann mit der Maschine in den Server ein. Wenn Du fertig bist nimmst den Haken in Zerotier wieder raus. Dann ist das Geraet aus dem Netz und keiner kann damit etwas anfangen.

Nur mal so eine Idee ... Aber wer soll dann von aussen noch rankommen?

VG Sato
Bitte warten ..
Mitglied: battalgazi
24.09.2020, aktualisiert um 11:12 Uhr
auf dem Server bekomme ich folgende Fehlermeldung :

Die verstärkten Sicherheitskonfiguration ist AUS

Zur Test zwecken habe ich auf dem Localen Rechner ausprobiert, wo es ohne probleme durchlief.

Beides als Administrator ausgeführt.

LG

BattalGazi
Bitte warten ..
Mitglied: satosan
25.09.2020, aktualisiert um 12:31 Uhr
Ist Dein Win-OS in D oder ENG? Ich nehme an Du hast den Installationspfad nicht ...

Option 1

1. Rufe das Skript unter https://raw.githubusercontent.com/DigitalRuby/IPBan/master/IPBanCore/Win ... auf
2. Speichern
3. Passe den Installationspfad unter $INSTALL_PATH = "C:/Program Files/IPBan" an in $INSTALL_PATH = "C:/IPBan"
4. Starte das Skript

Option 2

1. Downloade der/die/das/den Release 1.5.7 von hier >> https://github.com/DigitalRuby/IPBan/releases
2. Extrahiere die zip nach C:\IPBan
3. Oeffne CMD-Window als Administrator und folge folgenden Befehlen ...

Dann mach Deine Aenderungen in der Config-Datei unter C:\IPBan\ipban.config. Bitte achte darauf das IPBan nach Aenderungen in der Config als Service gestoppt, geloescht und immer wieder neu gestartet werden muss.

Ich mache das mit folgendem Skript ...

Falls Du nicht weiter kommst, gib einfach Bescheid.

VG Sato
Bitte warten ..
Mitglied: satosan
30.09.2020 um 09:17 Uhr
@BataGazzi

Hat's denn geklappt? Wenn nicht sag doch einfach nochmal bescheid. aonsonsten koenntest Du den Thread ja vielleicht als 'Geloest' markieren.

VG Sato
Bitte warten ..
Heiß diskutierte Inhalte
Switche und Hubs
Kaufberatung (10G) Switche für Unternehmensnetzwerk
ipzipzapFrageSwitche und Hubs27 Kommentare

Moin, unsere Firma zieht um und am neu renovierten Standort muss/soll alles neu. Auf drei Etagen stehen Racks, in ...

Drucker und Scanner
Vorlage Endlospapier Nadeldrucker
Hanspeter82FrageDrucker und Scanner17 Kommentare

Hallo, hab die Aufagbe bekommen, eine Vorlage zuerstellen bzgl. Druck auf Endlos Papier über einen Nadeldrucker. Habe allerdings kein ...

Exchange Server
Primäre Mailadresse auf Kleinbuchstaben anpassen
JoergDdorfFrageExchange Server16 Kommentare

Hallo Alle, wir betreiben ein Exchange Hybrid (2016/365). Ich stehe vor dem Problem, dass ich die bestehenden primären Mailadresse ...

LAN, WAN, Wireless
2 Lan Dosen (Unterputz) miteinander Verbinden
gelöst RickHHFrageLAN, WAN, Wireless12 Kommentare

Moin zusammen, ich würde mir gerne auf dem Dachboden 2 Landosen in einen Raum Bauen. Ein Netzwerkkabel geht hoch, ...

Windows Userverwaltung
Active Directory Gruppen auslesen
gelöst MMaiwaldFrageWindows Userverwaltung12 Kommentare

Guten Abend, ich habe mir das Codeschnipsel geschnappt und möchte dieses noch erweitern. Dazu möchte ich noch die Beschreibung ...

Windows Netzwerk
Tool zum prüfen ob Gerät noch online ist
Ringi1970FrageWindows Netzwerk10 Kommentare

Hallo zusammen, ich suche nach einer Freeware, die mir bestimmte Geräte / Workstations (Windows Geräte, feste IP Adressen) prüft ...

Ähnliche Inhalte
UMTS, EDGE & GPRS
Erreichbarkeit
gelöst BerndPFrageUMTS, EDGE & GPRS13 Kommentare

Servus, habe 2 LTE Verbindungen drei.at, mit fixIPs und 2 x Fritzbox LTE 6820 an jeder Seite. Heute Morgen ...

LAN, WAN, Wireless
Externe Erreichbarkeit sicherstellen
Mr.ErrorFrageLAN, WAN, Wireless9 Kommentare

Hallo liebe Gemeinde, wir diskutieren jetzt schon eine ganze weile Abteilungs intern, wie die Ausfallsicherheit unserer externen Erreichbarkeit verbessern ...

DSL, VDSL
Google erreichbarkeit gestört?
gelöst SeaStormFrageDSL, VDSL14 Kommentare

Hallo zusammen, habt ihr heute zufällig auch immer mal wieder "aussetzer", wenn ihr Google aufrufen wollt? Wir haben immer ...

Windows Server
Domäne Erreichbarkeit durch VPN
j1m3e84FrageWindows Server9 Kommentare

Hallo, wir möchten unsere Externen Büros / Mitarbeiter auf den Baustellen mit in die Domäne holen. Aktuell hat jeder ...

Batch & Shell
PowerShell IP Abfrage Erreichbarkeit
gelöst ingo1988FrageBatch & Shell6 Kommentare

Hallo, ich habe mit PowerShell eine Abfrage erstellt, die überprüft ob eine IP erreichbar ist. Wenn nicht wird eine ...

Router & Routing

Netzwerk VPN Strukturierung, Erreichbarkeit

thomasreinholdFrageRouter & Routing5 Kommentare

Hallo Liebe Community, ich stehe vor folgendem Problem: Ich habe eine direkte openVPN Verbindung zwischen Rechenzentrum und Standort 1 ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT