Windows Server als Terminal Server

  • Wenn Du sicher gehen willst, dass der Windows Server übers Internet nicht erreichbar ist, kannst Du auch dessen Internet Netzwerkadapter einfach deaktivieren (nicht über RDP, sondern über die VNC SCP GUI Anzeige) und nur den VLAN Netzwerkadapter aktiviert lassen. Dann KANN gar nichts mehr versehentlich ins Internet und Du könntest die Windows Firewall deutlich relaxter konfigurieren, da davor ja noch die pf/OPNsense hängt.


    Auch an dieser Stelle sei wieder der Hinweis auf https://www.zerotier.com/ zu geben, das ein controllerbasiertes VPN ist und mit Situationen wie dieser sehr sehr gut zurechtkommen würde, sogar ohne Portweiterleitung oder Firewall-VPN.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    Edited 2 times, last by TBT ().

    Like 1 Sad 1
  • Normalerweise sollte die Verbindung über die IP Adresse ohne Probleme klappen, wenn der Ping schon zum WS geht.
    Gut das du zum Testen mal die Firewall auf den WS ausgemacht hast, das Internet hattest du ja schon auf dem WS abgeschaltet.

    Dann kann das Problem nur an der pfsense liegen, Einrichtung von Openvpn oder läuft auf dem WS noch weitere Sicherheitssoftware die auch eine Firewall hat?


    Bitte auch mal in VNC SCP Anzeige mal Testen ob der Server auch das LAN von der pfsense oder dein Client bei aufgebauter VPN Verbindung erreichen kann?


    Evtl hilft das weiter:

    Link1: https://administrator.de/forum…-rdp-zulassen-561369.html

    Link2: https://administrator.de/knowl…wie-immer-mit-254195.html

    Mit freundlichen Grüßen
    Track1991

    Edited 3 times, last by Track1991 ().

  • Dankeschön :)



    edit:

    opnsense ist jetzt erreichbar, die Netzwerkeigenschaften waren verstellt.


    Ich habe vorhin so viel an pfsense rumgespielt das ich mich dort nicht mal mehr das interface erreicht habe.

    Aus lauter Verzweiflung habe ich jetzt opnsense installiert, aber dort komm ich auch nicht ins interface. Obwohl ich am WS nichts geändert habe.


    Screenshot 14.11.2022 um 22.19.01 PM.png

  • Das hört sich doch sehr gut an. :)


    Bei Opensense muss man die VNC SCP Anzeige zum Einstellen nutzen, weil diese nach dem Einstellen der Interfaces nur über das LAN Interface erreichbar ist (Sprich du kannst jetzt per VNC SCP Anzeige auf deinen WS nun auf die Webinterface der Opensense zugreifen).


    Dann kannst du jetzt in Ruhe Openvpn und die Firewall Einstellen.


    Tipp gute aktuelle Videoreihe zu Firewalls und Opensense: https://www.youtube.com/watch?…jNrAz1uRqIcanXreg&index=1

    Mit freundlichen Grüßen
    Track1991

    Edited once, last by Track1991 ().

  • So, ich habe gestern erstmal ne Pause eingelegt :S


    Leider gehts immer noch nicht voran, ich habe OpenVPN neu eingerichtet und beim Verbinden kommt diese Meldung:

    Die scheinbare öffentliche IP-Adresse dieses Computers hat sich nach der Verbindung von OpenVPn_SERver nicht geändert. Sie ist weiterhin XX.XXX.XX.XXX.


    Dies könnte bedeuten, dass Ihr VPN nicht korrekt konfiguriert ist.


    Der Fehler ist behoben, aber ich kann vom WS nicht mehr den opnsense anpingen und die RDP geht auch noch nicht

    Ich habe absolut keine Ahnung was ich wieder falsch gemacht habe ;(

  • Ich fasse noch mal zusammen, was ich verstanden habe:


    - Du hast einen Windows Server, der hinter einem anderen VPS mit OpenSense hängt. D.h., der Windows Server hat die priämre Netzwerkkarte deaktiviert und kommuniziert nur über ein VLAN mit der OpenSense. Die OpenSense ist auch Defaultgateway für den Windows Server

    - Auf der OpenSense läuft ein OpenVPN Server für die Verbindungen von außen

    - Wenn keine VPN Verbindung besteht, kannst du vom Windows Server aus die OpenSense pingen

    - Wenn eine VPN Verbindung besteht, geht es nicht mehr.


    Ist das soweit korrekt?


    Ist auf beiden Seiten des VLANs ein passende IP aus dem gleichen Subnetz eingerichtet? Stimmen die Routen auf dem Windows Server und auf der OpenSense?


    Wird für die VPN Clients NAT gemacht auf der OpenSense oder routest du den VPN Traffic vollwertig?

  • die LAN Ip auf dem Opnsense Server ist weg also nur noch 0.0.0.0

    Oha. Das hat aber weder was mit VLAN noch mit OpenVPN zu tun. Da stimmt ja die Basiskonfiguration noch nicht.


    und auf dem WS war die IP wieder auf automatisch gestellt.

    Das hätte ich auf dem VLAN auch so erwartet. Und das native Interface ist ja eh deaktiviert. Ist es doch hoffentlich, oder?

  • Oha. Das hat aber weder was mit VLAN noch mit OpenVPN zu tun. Da stimmt ja die Basiskonfiguration noch nicht.


    Das hätte ich auf dem VLAN auch so erwartet. Und das native Interface ist ja eh deaktiviert. Ist es doch hoffentlich, oder?


    Das lief eigentlich vorgestern noch, keine ahnung was dort passiert ist.

    Hab opnsense zurückgesetzt jetzt war die ip wieder da.


    Ich hatte dem opnsense Server und dem WS statische Ips vergeben.

    Darum hat mich gewundert das der WS wieder auf automatisch gesetzt war.

  • Nein, das habe ich in der Firewall noch nicht eingestellt.


    also VPN funktioniert nach wie vor nicht.


    Code
    2022-11-18T16:09:46    Warning    openvpn    Could not determine IPv4/IPv6 protocol. Using AF_INET6    
    2022-11-18T16:09:46    Warning    openvpn    NOTE: the current --script-security setting may allow this configuration to call user-defined scripts    
    2022-11-18T16:09:46    Warning    openvpn    NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x. Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.    
    2022-11-18T16:09:46    Warning    openvpn    DEPRECATED OPTION: --cipher set to 'AES-256-OFB' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-256-OFB' to --data-ciphers or change --cipher 'AES-256-OFB' to --data-ciphers-fallback 'AES-256-OFB' to silence this warning.    
    2022-11-18T16:09:46    Warning    openvpn    WARNING: --topology net30 support for server configs with IPv4 pools will be removed in a future release. Please migrate to --topology subnet as soon as possible.

    Das steht in der Konsole...

    Einstellung füge ich gleich nach

  • Nein, das habe ich in der Firewall noch nicht eingestellt.

    Das solltest du erst mal ändern, bevor du dich um VPN kümmerst. Der Weg vom Windows Server über seine Firewall inklusive aller notwendigen Routen ist essenziell, vorher brauchst du mit VPN und anderen Zugängen nicht anzufangen. Das wird dann eh nicht klappen, darüber auf den Windows Server zu kommen.


    also VPN funktioniert nach wie vor nicht.

    Was heißt "funktioniert nicht"? Die VPN Verbindung? Zugriff über VPN auf die OpenSense? Zugriff über VPN auf den WS? Letzteres kann noch nicht funktionieren, siehe oben.

  • Bist du dir sicher, dass du die brauchst? OPNSense bietet eigentlich für seine Clients automatisch Netzzugriff via NAT. Ich hätte den Konfigurationsbedarf eher auf Windows Seite gesehen, da du ja mit einer statischen Konfiguration arbeitest.

  • ich hatte in der Windows Firewall eine Regel Namens Vlan out eingerichtet und dort die ips von 192.186.1.0 - 192.168.1.255 eingetragen.

    Gibt es noch noch eine Einstellung?

    Ich bin mehr oder weniger unerfahren im Windows Server Bereich und das letzte mal als ich ein Debian Server in den Händen hatte war bei der Version 16