Remote Desktop Zugriff auf netcup-Rootserver über Wireguard

  • Hi Leute,

    ich habe einen neuen Root Server bei netcup, auf dem RDP aktiviert ist. RDP funktioniert auch über die "normale" öffentliche IP. Ich möchte aber zukünftig nur noch über einen VPN darauf zugreifen. Dafür habe ich mir Wireguard auf dem Server (Windows Server 2019) und meine Test-Client (Windows 10) installiert.



    Config Server:

    Code
    [Interface]
    PrivateKey = **********
    ListenPort = 51820
    Address = 10.254.0.1/24
    
    [Peer]
    PublicKey = **********
    AllowedIPs = 10.254.0.2/32

    Config Clients:

    Code
    [Interface]
    PrivateKey = ****************
    Address = 10.254.0.2/32
    DNS = 1.1.1.1
    
    [Peer]
    PublicKey = ****************
    PresharedKey = ****************
    AllowedIPs = 10.254.0.0/24
    Endpoint = 99.99.99.999:51820

    Die Wireguard-Credentials und IPs scheinen OK zu sein. Wenn ich eine Verbindung herstelle kommen keine Fehlermeldungen im Protokoll.


    Wenn ich nun auf dem client einen Verbindungsversuch an 10.254.0.1 mache kommt die Standard-Fehlermeldung, dass Remotedesktop am Server entweder nicht aktiv oder der Server aus ist.

    Wenn ich 10.254.0.1 pinge kommt "Allgemeiner Fehler". Habe aber irgendwo gelesen, das sei normal bei Windows Servern.


    Ich habe testweise:

    - mit deaktivierter Firewall getestet

    - den Routing und RAS Dienst auf dem Server derzeit aktiviert.

    - anderen Port getestet

    - die credentials x mal geprüft


    Ich suche da echt schon länger. Hat jemand nocht eine Idee was das Problem sein könnte?

    Viele Grüße,

    Joe

  • Einmal schauen ob der RDP Dienst auch auf der VPN IP lauscht (direkt auf dem Server mittels telnet testen). Danach kann man beim VPN weitermachen. IP Forwarding müsste auf dem Server selber egal sein, da du ja nur darauf zugreifen willst.

    Ich würde aber eh einen kleinen VPS/RS mit PFSense usw. davor setzen und den Server ganz aus dem Netz verbannen. Bei den Lizenzkosten für Windows sollten die paar € auch nicht mehr ins Gewicht fallen.

  • Danke erstmal, dass Du dich des Probs annimmst :)

    Das resultat von konsole: "telnet 10.254.0.1 3389" (direkt auf dem Server) ist ein leeres Konsolenfenster mit einem nicht blinkenden Cursor. Glaube das beideutet, dass die Verbindung klappt, also rdp an dieser IP lauscht, oder?

  • Tip für eine Lösung innerhalb von 5 Minuten:

    https://zerotier.com/ Account machen, Clients auf Server und Client installieren.

    Netz erstellen, beide Geräte ins Netz joinen und authentifizieren.

    Du hast dann 2 Netzwerkinterfaces, ein "echtes" und eines von ZT. Du sperrst RDP für das "echte" Interface und nimmst nur mehr RDP über ZT her.


    Vorteil: das Standardgateway geht default nicht über den ZT Client, daher kann dieser einfach dauerhaft laufen und Du musst vor einer RDP Session nichts machen. Einfach mit der privaten IP übers Internet verbinden.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    Gefällt mir 1
  • danke für Deine Antwort. Kenne Zerotier garnicht, habe aber gerade überflogen. Bräuchte dann die Basic Version mit ZeroTier Hosted Controller...

    Ist das denn sicher? Loggen die nicht mit oder sowas?

  • Ja, Basic mit ZT Controller reicht und passt. Wenn Du einen eigenen Controller haben willst und sehr viel mehr Geräte im Netz betreiben willst (basic Version hat 50 Nodes, dabei gilt jedes Gerät ggfalls mehrfach, wenn es in mehr als einem Netz ist), gibts auch dafür Optionen ( https://github.com/key-networks/ztncui oder https://github.com/dec0dOS/zero-ui ).


    Technisch gesehen vermittelt der Controller nur die Verbindung, ist aber beim Datentransfer selbst außen vor. Man überträgt also nicht "über den Controller", außer die beiden Partner können gar keine Verbindung aufbauen (hatte ich noch nie), dann würde über den Controller relayed. Das hat dann herbe Geschwindigkeitseinbußen beim offiziellen Controller zur Folge, beim eigenen Controller hängts dann an der Controlleranbindung (meist keine Einschränkungen).


    Einen eigenen Controller würde man am Besten in einem Docker Umfeld laufen lassen. Der Vorteil von ZT: selbst wenn man einen eigenen Controller betreibt, können Clients, die am MyZT Controller hängen damit in Verbindung treten und Netzwerke joinen, da das ganze über ZT Root Server föderiert wird. Es "geht also einfach", egal ob man nun am MyZT Controller oder an einem eigenen hängt.


    Achtung bei Windows Server: bitte https://zerotier.atlassian.net…er+Windows+Remote+Desktop beachten. Und bei ZT Client Updates sollte man die Firewallregel vorübergehend deaktivieren, sonst sperrt man sich aus oder muss dann die Oberfläche des Servercontrolpanels verwenden.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    Gefällt mir 1
  • Ja zerotier scheint fast ohne Konfiguration gut zu funktionieren :)

    Habe nun in der Firewall alle Remotedesktop-Regeln auf den Bereich von zerotier ( 10.147.20.0/24 ) eingeschränkt und greife nur noch über die zerotier-IPs zu. Also danke nochmal für die Hilfe :thumbup:

  • Schön, dass es für Dich schnell zu einer Lösung geführt hat. Nebenbei: man kann ZT auch wunderbar für andere Dinge verwenden, z.B. kann man damit SICHER SMB / Windowsfreigabe übers Internet machen. D.h. Du kannst über ein Netzlaufwerk zu Hause auf einen Ordner auf dem Server zugreifen. Wichtig: SMB natürlich nur übers ZT Interface, nicht übers Internet Interface freigeben.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)