Alman2 0 Geschrieben 11. März 2021 Melden Teilen Geschrieben 11. März 2021 Hallo zusammen, ich habe eine Möglichkeit gesucht um per RDP von überall (Internet) an einen Rechner in meinem Netz zu kommen der 24h läuft. Ich weiß, VPN wäre hier die richtige Vorgehensweise, allerdings kann ich nicht immer von jedem Rechner, von dem ich gerne per RDP nach Hause will, den entsprechenden VPN Zugang einstellen oder irgendwelche VPN Tools installieren. Daher gerne ohne! Gelöst habe ich es jetzt folgendermaßen: - Windows10 Rechner - Remotedesktop Zugriff hat nur eine Gruppe in der aktuell nur ein User ist - Dieser User hat einen kryptischen Namen und ein sehr starkes Passwort - Auf dem Win Rechner ist Duo (10 User kostenlos und damit perfekt für Privat) installiert und eine Verbindung per RDP ist nur mit 2 Faktor Authentifizierung über mein Handy möglich - Auf der FritzBox ist der Rechner per RDP Port von außen freigegeben und so mit meinem DynDNS immer erreichbar Meine Frage wäre an der Stelle jetzt, seht ihr hier noch irgendein Sicherheitsrisiko weshalb ich das Ganze nochmal überdenken sollte ? Oder gibt es noch weitere Schritte die ich unternehmen könnte, damit es noch sicherer wird (kostenfrei oder sehr günstig) ? Vielen Dank vorab und schöne Grüße Alman Zitieren Link zu diesem Kommentar
MurdocX 949 Geschrieben 11. März 2021 Melden Teilen Geschrieben 11. März 2021 vor 44 Minuten schrieb Alman2: Meine Frage wäre an der Stelle jetzt, seht ihr hier noch irgendein Sicherheitsrisiko weshalb ich das Ganze nochmal überdenken sollte ? Die Verbindung ist nur so sicher, wie das RDP. Das Protokoll selbst ist die Unsicherheit, weshalb man das über VPN tunnelt. Das wäre nicht der erste Wurm über RDP. Zitieren Link zu diesem Kommentar
Alith Anar 40 Geschrieben 11. März 2021 Melden Teilen Geschrieben 11. März 2021 Was spricht den gegen Teamviewer, LogMeIn oder co? Zitieren Link zu diesem Kommentar
Alman2 0 Geschrieben 11. März 2021 Autor Melden Teilen Geschrieben 11. März 2021 vor 6 Minuten schrieb Alith Anar: Was spricht den gegen Teamviewer, LogMeIn oder co? Das ich mit Windows Boardmitteln arbeiten möchte/muss vor einer Stunde schrieb MurdocX: Die Verbindung ist nur so sicher, wie das RDP. Das Protokoll selbst ist die Unsicherheit, weshalb man das über VPN tunnelt. Das wäre nicht der erste Wurm über RDP. Obwohl die Anmeldung gesichert ist ? Habe irgendwo mal gelesen das RDP auch über https möglich und damit sicherer ist. Ist das so oder habe ich da was falsch verstanden ? Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 11. März 2021 Melden Teilen Geschrieben 11. März 2021 Rdp ins Internet zu stellen ist fahrlässig. Es gab genügend rdp Lücken in der Vergangenheit. VPN wäre die richtige Lösung, alternativ dann entsprechende Infrastruktur die das per https anbietet. Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 11. März 2021 Melden Teilen Geschrieben 11. März 2021 2 hours ago, Alman2 said: Ich weiß, VPN wäre hier die richtige Vorgehensweise, allerdings kann ich nicht immer von jedem Rechner, von dem ich gerne per RDP nach Hause will, den entsprechenden VPN Zugang einstellen oder irgendwelche VPN Tools installieren. Wenn du der einzige sein willst, der auf deinen Rechner zu hause zugreift, dann kannst du das schon machen. Alternativ ein RDS Gateway, was aber mehr Infrastruktur bedeutet. Zitieren Link zu diesem Kommentar
Alman2 0 Geschrieben 11. März 2021 Autor Melden Teilen Geschrieben 11. März 2021 (bearbeitet) vor 48 Minuten schrieb Dukel: Alternativ ein RDS Gateway, was aber mehr Infrastruktur bedeutet. Hab ich mich gerade dran versucht aber irgendwas stimmt noch nicht mit den Zertifikaten oder so... Kapiere nicht so ganz wie dann der Zugriff von außen funktioniert, muss ich dann in der FritzBox auch noch eine Freigabe erteilen? Sieht ja erstmal gar nicht soooo schlecht aus ^^ [edit] bin auf jeden Fall müde und lass es für heute... bearbeitet 11. März 2021 von Alman2 Zitieren Link zu diesem Kommentar
testperson 1.675 Geschrieben 12. März 2021 Melden Teilen Geschrieben 12. März 2021 Hi, evtl. wäre es einfacher per SSL VPN / Clientless VPN an die Sache ranzugehen. Es wird durchaus Netzwerke geben, wo RDP nach extern geblockt ist und du wenn überhaupt eh nur per SSL "raus kommst". Warum musst du von überall auf deinen Rechner zugreifen? Ggfs. gibt es dafür ja andere/bessere Lösungen. Gruß Jan Zitieren Link zu diesem Kommentar
mwiederkehr 373 Geschrieben 12. März 2021 Melden Teilen Geschrieben 12. März 2021 Apache Guacamole wäre eine Möglichkeit. Das bietet RDP per HTML5. (Kann Microsoft neuerdings auch, allerdings benötigt es eine recht aufwändige Infrastruktur.) Würde die Installation über Container empfehlen, ist sonst etwas mühsam. Hier eine Anleitung inkl. Frontend mit Let's-Encrypt-Zertifikat: https://www.oradba.ch/2020/12/a-simple-container-based-guacamole-setup/. Guacamole unterstützt TOTP, man kann also den Google Authenticator etc. einbinden. Zitieren Link zu diesem Kommentar
Alman2 0 Geschrieben 20. März 2021 Autor Melden Teilen Geschrieben 20. März 2021 Also eigentlich würde ich gern den Ansatz mit dem RD Gateway weiter verfolgen... Leider bekomme ich das Ganze nicht zum laufen. Ich denke ich habe hier ein Zertifikatsproblem. Ich habe eine Domäne: DomäneXY.de Hier habe ich für mail.domäneXY.de ein gekauftes SSL Zertifikat für OWA. Dieses Domäne (mail.domäneXY.de) habe ich auch im Gateway angegeben. (siehe Bilder) Außerdem habe ich eine weitere Subdomain erstellt, die mit einem CNAME auf mail.domäneXY.de verweist. Diese Subdomain heißt zb rdp.domäneXY.de Jetzt versuche ich mich also von außen per RDP zu verbinden und gebe unter "mstsc/Erweitert/Verbindung von überall aus herstellen" in den Einstellungen unter Server rdp.domäneXY.de an. Dann wechsle ich wieder auf allgemein, gebe hier als Computer rdp.domäneXY.de an und bekomme auch eine Anmeldeaufforderung. Wenn ich mich aber versuche anzumelden, bekomme ich folgende Meldung: Was mache ich falsch ? Anbei noch die Bilder meiner gemachten Einstellungen in den RD-Gateway Einstellungen. Sorry, Bilder fehlen noch: Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 20. März 2021 Melden Teilen Geschrieben 20. März 2021 "Zertifikat anzeigen" könnte helfen - und die URL, auf die Du zugreifst. Paßt das nicht zusammen -> gelitten.com. Zitieren Link zu diesem Kommentar
Alman2 0 Geschrieben 24. März 2021 Autor Melden Teilen Geschrieben 24. März 2021 Am 20.3.2021 um 22:26 schrieb daabm: "Zertifikat anzeigen" könnte helfen - und die URL, auf die Du zugreifst. Paßt das nicht zusammen -> gelitten.com. Hi, den Fehler versuche ich gerade zu beheben. Wie Du schon richtig erkannt hast, waren URL und Zertifikat nicht gleich, da ich als Zertifikat einfach mein Exchange Zertifikat genommen habe. In den Remotedesktop Gateway Einstellungen habe ich jetzt meiner Meinung nach alle Zertifikate angepasst. Wenn ich von außen komme, bekomme ich aber immer noch das mail zertifikat und damit immer noch die Meldung, dass das nicht zusammenpasst. Gibt es eine Stelle die ich vergessen haben könnte ? Wenn ich das ganze intern teste, wird mir das korrekte neue Zertifikat angezeigt... Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 24. März 2021 Melden Teilen Geschrieben 24. März 2021 Das müssen die RDS-Profis beantworten - ich hab da nur rudimentäre Kenntnisse. Geraten: Kommst Du von innen als erstes auf das gleiche RD-Gateway wie von extern? Zitieren Link zu diesem Kommentar
Alman2 0 Geschrieben 24. März 2021 Autor Melden Teilen Geschrieben 24. März 2021 Also mein Problem ist der Exchange. Da habe ich ja auch eine HTTPS Freigabe und wenn ich von außen komme gibt es da einen Konflikt. Wenn ich die Portfreigabe für den Exchange anhalte, klappt es mit dem RDP Gateway... Also anmelden kann ich mich noch nicht aber aber ich komme auf jeden Fall mal über diese Zertifikatsmeldung hinaus. Wie löse ich das am besten ? Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 24. März 2021 Melden Teilen Geschrieben 24. März 2021 vor 15 Minuten schrieb Alman2: Wie löse ich das am besten ? Mit einem neuen Zertifikat und einem neuen Namen und einer weiteren externen IP. ;) Alternativ kann man bestimmt was mit einem ReverseProxy basteln. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.