Jump to content

RDP über Internet


Recommended Posts

Hallo zusammen,

 

ich habe eine Möglichkeit gesucht um per RDP von überall (Internet) an einen Rechner in meinem Netz zu kommen der 24h läuft.

Ich weiß, VPN wäre hier die richtige Vorgehensweise, allerdings kann ich nicht immer von jedem Rechner, von dem ich gerne per RDP nach Hause will, den entsprechenden VPN Zugang einstellen oder irgendwelche VPN Tools installieren.

Daher gerne ohne!

Gelöst habe ich es jetzt folgendermaßen:

 

- Windows10 Rechner 

- Remotedesktop Zugriff hat nur eine Gruppe in der aktuell nur ein User ist

- Dieser User hat einen kryptischen Namen und ein sehr starkes Passwort

- Auf dem Win Rechner ist Duo (10 User kostenlos und damit perfekt für Privat) installiert und eine Verbindung per RDP ist nur mit 2 Faktor Authentifizierung über mein Handy möglich

- Auf der FritzBox ist der Rechner per RDP Port von außen freigegeben und so mit meinem DynDNS immer erreichbar

 

Meine Frage wäre an der Stelle jetzt, seht ihr hier noch irgendein Sicherheitsrisiko weshalb ich das Ganze nochmal überdenken sollte ?

Oder gibt es noch weitere Schritte die ich unternehmen könnte, damit es noch sicherer wird (kostenfrei oder sehr günstig) ?

 

Vielen Dank vorab und schöne Grüße

Alman

Link to post
vor 44 Minuten schrieb Alman2:

Meine Frage wäre an der Stelle jetzt, seht ihr hier noch irgendein Sicherheitsrisiko weshalb ich das Ganze nochmal überdenken sollte ?

Die Verbindung ist nur so sicher, wie das RDP. Das Protokoll selbst ist die Unsicherheit, weshalb man das über VPN tunnelt. Das wäre nicht der erste Wurm über RDP. 

Link to post
vor 6 Minuten schrieb Alith Anar:

Was spricht den gegen Teamviewer, LogMeIn oder co?

Das ich mit Windows Boardmitteln arbeiten möchte/muss

vor einer Stunde schrieb MurdocX:

Die Verbindung ist nur so sicher, wie das RDP. Das Protokoll selbst ist die Unsicherheit, weshalb man das über VPN tunnelt. Das wäre nicht der erste Wurm über RDP. 

Obwohl die Anmeldung gesichert ist ? 

Habe irgendwo mal gelesen das RDP auch über https möglich und damit sicherer ist. Ist das so oder habe ich da was falsch verstanden ? 

Link to post
2 hours ago, Alman2 said:
 

Ich weiß, VPN wäre hier die richtige Vorgehensweise, allerdings kann ich nicht immer von jedem Rechner, von dem ich gerne per RDP nach Hause will, den entsprechenden VPN Zugang einstellen oder irgendwelche VPN Tools installieren.

Wenn du der einzige sein willst, der auf deinen Rechner zu hause zugreift, dann kannst du das schon machen.

Alternativ ein RDS Gateway, was aber mehr Infrastruktur bedeutet.

Link to post
Posted (edited)
vor 48 Minuten schrieb Dukel:

Alternativ ein RDS Gateway, was aber mehr Infrastruktur bedeutet.

Hab ich mich gerade dran versucht aber irgendwas stimmt noch nicht mit den Zertifikaten oder so...

Kapiere nicht so ganz wie dann der Zugriff von außen funktioniert, muss ich dann in der FritzBox auch noch eine Freigabe erteilen?

Sieht ja erstmal gar nicht soooo schlecht aus ^^

image.png.79ebbf84b62d1137f19d957358c99dea.png

 

[edit] bin auf jeden Fall müde und lass es für heute...

Edited by Alman2
Link to post

Hi,

 

evtl. wäre es einfacher per SSL VPN / Clientless VPN an die Sache ranzugehen. Es wird durchaus Netzwerke geben, wo RDP nach extern geblockt ist und du wenn überhaupt eh nur per SSL "raus kommst".

 

Warum musst du von überall auf deinen Rechner zugreifen? Ggfs. gibt es dafür ja andere/bessere Lösungen.

 

Gruß

Jan

Link to post

Apache Guacamole wäre eine Möglichkeit. Das bietet RDP per HTML5. (Kann Microsoft neuerdings auch, allerdings benötigt es eine recht aufwändige Infrastruktur.) Würde die Installation über Container empfehlen, ist sonst etwas mühsam. Hier eine Anleitung inkl. Frontend mit Let's-Encrypt-Zertifikat: https://www.oradba.ch/2020/12/a-simple-container-based-guacamole-setup/.

 

Guacamole unterstützt TOTP, man kann also den Google Authenticator etc. einbinden.

Link to post
  • 2 weeks later...

Also eigentlich würde ich gern den Ansatz mit dem RD Gateway weiter verfolgen...

Leider bekomme ich das Ganze nicht zum laufen. Ich denke ich habe hier ein Zertifikatsproblem.

 

Ich habe eine Domäne: DomäneXY.de

Hier habe ich für mail.domäneXY.de ein gekauftes SSL Zertifikat für OWA.

Dieses Domäne (mail.domäneXY.de) habe ich auch im Gateway angegeben. (siehe Bilder)

Außerdem habe ich eine weitere Subdomain erstellt, die mit einem CNAME auf mail.domäneXY.de verweist. Diese Subdomain heißt zb rdp.domäneXY.de

Jetzt versuche ich mich also von außen per RDP zu verbinden und gebe unter "mstsc/Erweitert/Verbindung von überall aus herstellen" in den Einstellungen unter Server rdp.domäneXY.de an.

Dann wechsle ich wieder auf allgemein, gebe hier als Computer rdp.domäneXY.de an und bekomme auch eine Anmeldeaufforderung.

Wenn ich mich aber versuche anzumelden, bekomme ich folgende Meldung:

Meldung.png.05c055ee2772472c5cfff51f22349529.png

 

Was mache ich falsch ?

Anbei noch die Bilder meiner gemachten Einstellungen in den RD-Gateway Einstellungen.

 

Sorry, Bilder fehlen noch:

 

RD-Lizenzierung.jpg

Remotedesktopgateway.jpg

WebAccess.jpg

Zertifikate.jpg

Link to post
Am 20.3.2021 um 22:26 schrieb daabm:

"Zertifikat anzeigen" könnte helfen - und die URL, auf die Du zugreifst. Paßt das nicht zusammen -> gelitten.com.

Hi, den Fehler versuche ich gerade zu beheben.

Wie Du schon richtig erkannt hast, waren URL und Zertifikat nicht gleich, da ich als Zertifikat einfach mein Exchange Zertifikat genommen habe.

In den Remotedesktop Gateway Einstellungen habe ich jetzt meiner Meinung nach alle Zertifikate angepasst. Wenn ich von außen komme, bekomme ich aber immer noch das mail zertifikat und damit immer noch die Meldung, dass das nicht zusammenpasst. Gibt es eine Stelle die ich vergessen haben könnte ?

Wenn ich das ganze intern teste, wird mir das korrekte neue Zertifikat angezeigt...

Link to post

Also mein Problem ist der Exchange. Da habe ich ja auch eine HTTPS Freigabe und wenn ich von außen komme gibt es da einen Konflikt.

Wenn ich die Portfreigabe für den Exchange anhalte, klappt es mit dem RDP Gateway... Also anmelden kann ich mich noch nicht aber aber ich komme auf jeden Fall mal über diese Zertifikatsmeldung hinaus.

Wie löse ich das am besten ?

Link to post
vor 15 Minuten schrieb Alman2:

Wie löse ich das am besten ?

Mit einem neuen Zertifikat und einem neuen Namen und einer weiteren externen IP. ;) Alternativ kann man bestimmt was mit einem ReverseProxy basteln.

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...