Zum Inhalt springen

Frage zu VPN und Remotedesktopverb.

perseus

Von perseus
in Security

 Teilen

Empfohlene Beiträge

xbox360

xbox360

Geschrieben
Geschrieben

theoretisch ja.

muss auf jeden fall Portweiterleitung einrichten, solang es keine end-to-end verbindung ist

theoretischer ablauf:

vpn aubauen ==> RDP sitzung starten

ansonsten kann ich meinem vorredner nur zustimmen:

Wie Üblich: ungenaue Problemschilderung - unscharfe Antwort --- genaue Problemstellung - genaue Antwort

Link zu diesem Kommentar
Auf anderen Seiten teilen
Eye-Q

Eye-Q

Geschrieben
Geschrieben
muss auf jeden fall Portweiterleitung einrichten, solang es keine end-to-end verbindung ist

Einspruch! Das ist ja gerade das Prinzip eines VPN, dass man eben keine Portweiterleitungen benötigt, da man nach dem Aufbauen der VPN-Verbindung schon im internen Netzwerk ist (außer wenn das noch irgendwie stärker reglementiert ist). Bei einem gewöhnlichen VPN-Router geht der gesamte Verkehr, der an das entfernte interne Netzwerk gerichtet ist (das wird über das Subnetz des angesprochenen Ziels bestimmt), über die VPN-Verbindung geschickt und kommt sozusagen aus der LAN-Verbindung des Routers heraus. Somit verhält sich der PC so als wenn er im internen Netzwerk stände.

Link zu diesem Kommentar
Auf anderen Seiten teilen
truebsalgeblaese

truebsalgeblaese

Geschrieben
Geschrieben

Kommt auf den jeweiligen VPN-Gateway an - bei manchen existiert ein extra Netz für die VPN-Clients, bei manchen wird ein internes NAT aufgebaut, ...

Und bei vielen Typen kann man auch das NAT oder die Firewallregeln (oft will man ja, dass über gewisse VPNs nur gewisse Server erreichbar sind, ander (z.B. Admins) müssen aber mehr erreichen können) anpassen.

Und wenn dann noch Site2Site VPNs berücksichtig werden sollen, wird es noch aufwendiger.

Von daher - bitte mehr Details, dann gibt es auch klarere Antworten.

tsg

Link zu diesem Kommentar
Auf anderen Seiten teilen
perseus

perseus

Geschrieben
  • Autor
Geschrieben

Danke für die zahlreichen Antworten.

Sorry ich musste dringend weg.

Kurz zum Aufbau:

Ich möchte von zuhause aus (Win XP SP3) auf den Internet Server Windows2008 R2 IIS7.5 beim Provider via VPN zugreifen.

Ich habe eine PPTP VPN eingerichtet und kann die Verbindung aufbauen. Ich erhalte eine statische IP vom Server (10er Adresse) die ich zugewiesen bekomme. Hierzu habe ich lediglich 2 IP Adressen eingerichtet. Sagen wir mal 10.1.10.2-10.1.10.3

Wenn ich nun die VPN-Verbindung aufbaue erhalte ich als Netwerk IP 10.1.10.2. Nun wollte ich einfach die RDP über diesen Tunnel aufbauen.

Geb ich nun die zugewiesene IP (Also 10.1.10.2) in das RDP programm ein, und versuche ich mich mit RDP einzuloggen erhalte ich die Meldung das da bereits eine Verbindung besteht.

Gebe ich allerdings die 2te statische IP Adresse ein (Also 10.1.10.3) so Kann ich zwar mit RDP Auf den Server einloggen, aber sehe die Verbindung als RAS. Die gesamte Verkehr läuft dann über RAS. Aber mein Ziel ist das ganze über VPN zum laufen zu bringen.

NAT etc. brauch ich dafür nicht. Da ich ja von zu hause auf den Web-Server zugreife.

Link zu diesem Kommentar
Auf anderen Seiten teilen
Eye-Q

Eye-Q

Geschrieben
Geschrieben
Wenn ich nun die VPN-Verbindung aufbaue erhalte ich als Netwerk IP 10.1.10.2. Nun wollte ich einfach die RDP über diesen Tunnel aufbauen.

Geb ich nun die zugewiesene IP (Also 10.1.10.2) in das RDP programm ein, und versuche ich mich mit RDP einzuloggen erhalte ich die Meldung das da bereits eine Verbindung besteht.

Vollkommen normal, da die 10.1.10.2 ja die IP-Adresse deines lokalen PCs ist, die der bei der Einwahl auf den RAS-Server zusätzlich bekommt. Wenn Du versuchst, dich per RDP auf diese IP-Adresse zu verbinden, geht das natürlich nicht, weil Windows XP nur eine Usersession zulässt und Du dir mit dem Anmelden per RDP deine eigene Konsolenanmeldung wegnehmen würdest.

Gebe ich allerdings die 2te statische IP Adresse ein (Also 10.1.10.3) so Kann ich zwar mit RDP Auf den Server einloggen, aber sehe die Verbindung als RAS. Die gesamte Verkehr läuft dann über RAS. Aber mein Ziel ist das ganze über VPN zum laufen zu bringen.

Der RAS-Dienst des Windows Servers dient als Einwähl-Endpunkt für das VPN, ansonsten könntest Du auch gar keine RDP-Verbindung über die 10.1.10.3 aufbauen.

So wie Du das konfiguriert hast, ist das richtig.

Link zu diesem Kommentar
Auf anderen Seiten teilen
perseus

perseus

Geschrieben
  • Autor
Geschrieben

Ich versteh aber da etwas nicht ganz richtig.

Es passiert folgendes:(Nach aufbau von VPN und anschliessend RDP)

Auf dem lokalen PC(win XP SP3) erhalte ich bei Eingabe von IPconfig 10.1.10.2

Aufdem Server erhalte ich bei IPconfig 10.1.10.3.

Aber:

Auf dem Server: sehe ich bei PPTP-Verbindung gar keinen Verkehr. Wenn ich im Netzwerkumgebung gehe und die VPN-Verbindung anschaue steht da nur Null also es werden weder Pakete gesendet noch empfangen. Das bedeutet dass die Sitzung mit der RDP verschlüsselt wird. -Das ist ganz unsicher- Es wird nichts per PPTP-VPN ausgetauscht.

Ich habe noch eine andere Frage bezüglich der VPN-Verbindung:

VPN soll für private Virtuelle Netz stehen. Wie kommt es dass Hacker über die Private IP ZB. 10.1.10.2 sich auf dem Server einzuloggen versuchen? Die Private IP sollte eigentlich nur den berechtigten User zugeteilt werden oder? Ich konnte im Internet hierüber überhaupt nichts finden.

Danke für eure Hilfe

Link zu diesem Kommentar
Auf anderen Seiten teilen
Eye-Q

Eye-Q

Geschrieben
Geschrieben
Aber:

Auf dem Server: sehe ich bei PPTP-Verbindung gar keinen Verkehr. Wenn ich im Netzwerkumgebung gehe und die VPN-Verbindung anschaue steht da nur Null also es werden weder Pakete gesendet noch empfangen. Das bedeutet dass die Sitzung mit der RDP verschlüsselt wird. -Das ist ganz unsicher- Es wird nichts per PPTP-VPN ausgetauscht.

Versuch' mal, ohne das VPN vorher aufzubauen, eine RDP-Verbindung auf die 10.1.10.3 zu öffnen, ich garantiere dir, dass das nicht funktionieren wird, weil die 10.1.10.3 per Definition eine private IP-Adresse ist, die nicht im Internet geroutet werden kann. Es gibt drei Möglichkeiten, wie man an einen Server, der eine IP-Adresse 10.1.10.3 besitzt, ran kommt:

  • Man ist physikalisch im selben Netzwerk
  • Man ist per VPN mit dem Netzwerk verbunden, in dem der Server steht
  • Port 3389 ist auf einem Router/Security Gateway auf diesen Server weitergeleitet, dann geht das aber nur über die externe, öffentliche IP-Adresse

Da Möglichkeit 1 und 3 bei dir rausfallen, kommt nur noch Möglichkeit 2 in Frage. Die Anzeige auf dem Windows-Server zeigt dir eine PPTP-Verbindung an, aber ganz bestimmt nicht deine VPN-Einwahlverbindung, da die RDP-Daten zwangsweise über die VPN-Verbindung übertragen werden müssen.

Ich habe noch eine andere Frage bezüglich der VPN-Verbindung:

VPN soll für private Virtuelle Netz stehen. Wie kommt es dass Hacker über die Private IP ZB. 10.1.10.2 sich auf dem Server einzuloggen versuchen? Die Private IP sollte eigentlich nur den berechtigten User zugeteilt werden oder?

Du kannst auf eine IP-Adresse, die 10.1.10.3 lautet, nicht über das Internet rankommen, außer es sind Ports von einem Router/einer Firewall/whatever auf einen PC/Server mit einer privaten IP-Adresse weitergeleitet, dann musst Du aber die öffentliche IP-Adresse des Routers/der Firewall/whatever angeben, um dich per RDP mit dem Server zu verbinden.

Woran willst Du überhaupt erkannt haben, dass Hacker versuchen, sich über die private IP einzuloggen? Und über welche Dienste (HTTP/FTP/RDP/Telnet/whatever)? Manche Dienste wie HTTP sind bei einem Webserver mit IIS natürlich von außen erreichbar, sonst ergibt der Webserver überhaupt keinen Sinn. Diese von außen erreichbaren Dienste werden bei einem Server, der keine öffentliche IP-Adresse besitzt, sondern per NAT und Portweiterleitungen mit dem Internet verbunden ist, natürlich als Dienste mit privater IP-Adresse geführt, weil der Webserver eben nicht weiß, welche öffentliche IP-Adresse er per NAT hat.

Link zu diesem Kommentar
Auf anderen Seiten teilen
perseus

perseus

Geschrieben
  • Autor
Geschrieben

Hallo Eye-Q,

vielen Dank für Deine Antwort. Der Server steht mit öffentliche IP-Adresse im Internet beim Provider. Es gibt dort eine externe Firewall der eingeschaltet ist.

Woran willst Du überhaupt erkannt haben, dass Hacker versuchen, sich über die private IP einzuloggen?

Ich hab dafür ein kleines Programm geschrieben und kann sehen, dass die Angriffe auch über die Private IP kommen. Ob Die Angriffe über RDP sind oder nicht kann ich nicht sagen. In meinem Netz bin nur ich der die Verbindung zum Server aufbaut. Sonst gibt es niemand. Desdhalb versteh ich das ganze nicht so recht. Wie die Hacker überhaupt ins Private Netz gelangen können.

Mein Versuch jedenfalls die RDP über VPN zum laufen zu bringen scheiterts.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
 Teilen
Zur Themenübersicht

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Links

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...