Problem bei VPN-Einrichtung für Windows 8.1 auf KVM-Server

  • Hallo liebe Forengemeinde.


    Vorab zur Info:
    - Ich habe mir vorgestern den Root Server L geholt.
    - Ich bin (nur) Anwendungsentwickler, also seit bitte gnädig mit mir, wenn es um technische Hintergründe geht.


    Ich habe auf dem Server per KVM Windows 8.1 installiert (ditte keine Diskussion über Sinn oder Unsinn davon).
    Zur Absicherung habe ich den RDP-Port geändert und ich wollte eine VPN-Verbindung (mit Windows-Bordmitteln) einrichten.
    Leider bekommt kein Client eine Verbindung mit meiner Maschine.
    Wo könnte das Problem liegen?
    Muss ich beim Anlegen des VPN etwas Besonderes beachten? Braucht der VPN vielleicht einen extra Netzwerkadapter, den ich vom Netcup-Support einrichten lassen muss?


    Zum Verbinden mit dem VPN habe ich einfach die IP meines Servers, den Benutzernamen und Passwort eingegeben.


    Habt ihr noch weitere Vorschläge zur Absicherung nach Außen?


    Ich wollte noch Comodo (Antivirus+Firewall) installieren.
    Mehr hatt ich erstmal nicht geplant.

  • Die Absicherung hängt davon ab, was Du damit vor hast. Willst Du die Maschine als Desktop nutzen, würde ich auf jeden Fall Anti Virus drauf packen und eine extrem restriktive Firewall konfigurieren, sodass selbst RDP ohne VPN nicht mehr möglich ist.


    Zu Deinem Problem habe ich folgendes gefunden:
    Windows 8.1 Allow incoming VPN connection - Super User

  • Die Absicherung hängt davon ab, was Du damit vor hast. Willst Du die Maschine als Desktop nutzen, würde ich auf jeden Fall Anti Virus drauf packen und eine extrem restriktive Firewall konfigurieren, sodass selbst RDP ohne VPN nicht mehr möglich ist.


    Zu Deinem Problem habe ich folgendes gefunden:
    Windows 8.1 Allow incoming VPN connection - Super User

    Den VPN an sich habe ich auf dem Win 8.1 auf dem Server eingerichtet bekommen. Er erstellt auch (formell) einen lauschenden Netzwerkadapter. Nur ob der wirklich nach außen horcht, weiß ich nicht.
    Oder muss ich bei der Verbindung am Client einen Port angeben, oder sowas?


    RDP funktioniert doch ab Werk eh nur im internen Netz, oder?!
    Daher ja auch die Lösung mit dem VPN.

  • Hallo,

    RDP ist nicht dazu gedacht durchs offene Internet zu laufen.

    Darf ich fragen, warum du das so siehst?


    RDP nutzt ja TLS zur Verschlüsselung und Authentifizierung des Servers, sodass bei der Verwendung eines eigenen Zertifikats (also entweder ein selbstsigniertes (wobei man das Zertifikat ohne den Private Key auf dem Client-Rechner importiert, oder bei der Verbindungsherstellung den Fingerabdruck vergleicht und eine Ausnahme hinzufügt), oder ein von einer öffentlichen CA signiertes Zertifikat) die Verbindung zum Server sicher ist.


    Wenn man nicht gerade die "Authentifizierung auf Netzwerkebene" (NLA, Network Level Authentication) deaktiviert hat (was nur notwendig wäre wenn man XP-Clients zum Verbinden über RDP verwendet), hat man auch nicht das Problem der RDP-Versionen vor 6.0, wo der Server vor der Authentifizierung bereits eine Session für das Login erstellen musste, was viel Resourcen beanspruchte und eine DoS-Angriffsfläche bot.


    Ich verwende auch bei meinen Windows-Servern RDP übers Internet und kann mir nicht vorstellen, warum RDP nicht über das offene Internet laufen sollte; außer wenn man beispielsweise die Windows-Authentifizierung zu unsicher findet (seit RDP 8.1 reicht ja anscheinend ein Passwort-Hash, wenn dieser immer 16 Byte lang ist, gibt es nur 2^(8*16) (ca. 3,4 * 10^38 ) Möglichkeiten; bei einem 25-stelligen Passwort aus Groß- und Kleinbuchstaben und Zahlen hingegen hätte man schon 62^25 (ca. 6,5 * 10^44) Möglichkeiten).

  • Ein Großteil ist hier bei mir wirklich Paranoia.
    Das die Verbindung recht gut verschlüsselt ist, ist mir bewusst.


    Mich stört es einfach, dass man fleißig Logins versuchen kann, ohne das man groß daran gehindert wird. Ähnlich wie es bei SSH mit aktivierter Passwort Anmeldung ist. Keine Ahnung ob es so etwas wie Fail2Ban für RDP gibt.


    Ich versuche solche kritischen Dienste immer mit VPN abzuschotten, sodass es erst gar nicht die Möglichkeit gibt, an diese heran zu kommen.

  • Man könnte natürlich eine Linuxmaschine mit iptables zwischen setzen und jeden income für rdp kontrollieren + forwarden, das wäre nicht das Problem. Viel mehr ist die Frage ob sich der Aufwand überhaupt lohnt. Ich weiß nicht, ob man mit der Windows-Firewall genau so tolle Sachen machen kann, wie mit iptables. Und hey... fail2ban ist auch nichts anderes als iptables-Einträge, was vorher logs analysiert.