Windows Server RDP hinter VPN

  • Moin zusammen,


    ich habe mal eine Frage hier in die Runde, die mir hoffentlich wer beantworten kann, bzw. mir Tipps dazu geben kann. Ich/Wir haben folgende Situation: Wir betreiben derzeit einen Windows Server (2016 Version), auf dem einige Gameserver liegen. Leider ist ja RDP offen wie ein Scheunentor. Dies stört mich etwas, da einige Leute drauf zugreifen müssen/wollen.

    Ich hatte da eine Idee, jetzt geht es darum, ob dies so umsetzbar ist und eventuell wie:

    • Der Windows-Server nennen wir der Einfachheit wegen mal Server A.
    • Auf einem kleinen Linux Server (Server B) würde ich einen OpenVPN Server einrichten.
    • Server A würde nur noch RDP Verbindungen zulassen von Server B.
    • Ein Problem dabei wäre, dass ich über den VPN nur Traffic zulassen will, der auch für das RDP gedacht ist. Alles andere sollte nicht darüber gehen.


    Also kurz gesagt, Windows RDP nur noch über VPN erreichbar machen.


    Ich hoffe mir kann da wer passenden Input zu geben.

    Vielen Dank schonmal

  • Einfach beim OpenVPN keine Routen für andere Netze (außer dem VPM Netz, Standard ist es das 10er) eintragen. Verbindungen zum VPN Server aufbauen nur direkt zur 10er IP verbinden.

    In Windows richtest du dann die FW so ein, das nur das 10er per RDP zugreifen darf.

    Du kannst auch (Wenn beide im gleichen Kundenaccount sind) das VLAN zwischen Windows und Linux aufbauen, VPN auf dem Linuxserver und da die richtige Route setzten. Das geht auch.

  • Ich habe kein Windows / RDP aber ich bin auch dazu übergegangen, das mit Wireguard zu machen und SSH, VNC & Co nur noch über Wireguard anzubieten.


    Anders als SSH, VNC, OpenVPN, ... kennt Wireguard nur Keys (Public, Private, Preshared) somit gibt es da keine Bots die endlos sinnlos Loginversuche machen.


    Der SSHD hat hinter Wireguard somit seine Ruhe und man braucht nicht mit Portänderungen oder fail2ban hantieren.


    Zitat

    Ein Problem dabei wäre, dass ich über den VPN nur Traffic zulassen will, der auch für das RDP gedacht ist. Alles andere sollte nicht darüber gehen.


    Das ist dann leider Sache der Netzwerkkonfiguration / Firewall. Und zwar auf beiden Seiten (Server und Client).


    Wenn man das wirklich wasserdicht machen will, ist es auch wieder Aufwand. Normal wird es nicht gemacht und man geht von der "Vertrauenswürdigkeit" innerhalb des virtuellen lokalen/privaten Netzwerks aus.


    Das ist eben der Haken an der Geschichte, mit VPN (komplettes Netzwerkinterface + IP) eröffnet man sich viele neue Verbindungsmöglichkeiten — in beide Richtungen, nicht nur beschränkt auf einen Dienst — und am Ende hängen die lokalen privaten Freigaben am Server oder die Clients reden untereinander miteinander wenns doch nur für die Verbindung zum Server gedacht war. Kann ja auch so gewollt sein, aber man muss es halt wissen und abschätzen was passiert, wenn der Server dann doch mal auf einem anderen Weg gehackt werden sollte.

  • Das ist eben der Haken an der Geschichte, mit VPN (komplettes Netzwerkinterface + IP) eröffnet man sich viele neue Verbindungsmöglichkeiten — in beide Richtungen, nicht nur beschränkt auf einen Dienst — und am Ende hängen die lokalen privaten Freigaben am Server oder die Clients reden untereinander miteinander wenns doch nur für die Verbindung zum Server gedacht war. Kann ja auch so gewollt sein, aber man muss es halt wissen und abschätzen was passiert, wenn der Server dann doch mal auf einem anderen Weg gehackt werden sollte.

    Wenn man die Client2Client Config in der openvpn rausnimmt, muss man die gewünschten Weiterleitungen explizit angeben.

    Also openvpn mit Cert und User einrichten

    keine client2client Option aktivieren

    mittels iptables in der FORWARD nur 3389 erlauben (wenn man das nur für bestimmte clients erlauben will, IP Vergabe mittels CCD und dann nur für diese IP freigeben).