vServer (VPS): Wie richtet man eine RDP-Verbindung über VPN zu einem Windows Server ein?

  • Hallo,


    wir haben einen Windows Server und möchten uns gerne per RDP darauf verbinden, dabei aber RDP nicht für das öffentliche Netzwerk öffnen, sondern uns stattdessen per VPN mit dem Server verbinden und uns dann darauf per RDP einloggen.


    Wir haben eine Verbindung mittels SoftEther VPN herstellen können, wobei man aber eine IP im 169er-Netz erhält und sich damit nicht im selben privaten/lokalen Netzwerk wie der Server befindet. Damit ist dann aber zumindest eine Verbindung per RealVNC (nach Bereitstellung des Services durch TightVNC Server) möglich, wobei hier aber wiederum jeder Nutzer unter ein und derselben Session angemeldet ist. D.h. man bewegt die Maus des anderen Nutzers und vice versa usw.


    Wie wäre das korrekte Schritt-für-Schritt-weise Vorgehen, wenn man RDP über VPN nutzen wöllte (d.h. jeder sich wie gewohnt mit seinem expliziten Nutzeraccount separat und parallel einloggen könnte)?

    Bräuchte man hierzu einen separaten Netzwerk-Adapter auf dem Windows-Server (woher nehmen?) oder funktioniert dies ähnlich per virtuellem VPN Hub, wie ihn SoftEther VPN einrichtet?


    Vielen Dank!

  • Zur hilfreichsten Antwort springen
  • Hallo,


    vorweg gesagt habe ich keine Ahnung von SoftEther. Aber wenn der VPN steht, dann einfach in der Windows Firewall die RDP Freigabe ausschließlich auf das VPN Netz beschränken. Je nach dem wie scharf du das Teil abhärten möchtest, kannst du noch als zusätzliche Schutzmaßnahme via GPO den Zugriff einschränken.


    Bräuchte man hierzu einen separaten Netzwerk-Adapter auf dem Windows-Server (woher nehmen?)


    Also bei OpenVPN wird ein virtuelles Interface eingerichtet. Ich vermute mal, dass es bei SoftEther ähnlich ist (?)


    MfG

  • Aber wenn der VPN steht, dann einfach in der Windows Firewall die RDP Freigabe ausschließlich auf das VPN Netz beschränken. Je nach dem wie scharf du das Teil abhärten möchtest, kannst du noch als zusätzliche Schutzmaßnahme via GPO den Zugriff einschränken.


    Also bei OpenVPN wird ein virtuelles Interface eingerichtet. Ich vermute mal, dass es bei SoftEther ähnlich ist (?)

    Genau so hatte ich das ja auch gedacht, aber SoftEther richtet da nur einen seltsamen "VPN Hub" ein und keinen tatsächlichen Netzwerkadapter, weswegen der Server nach VPN-Einwahl auch nicht direkt erreichbar ist, da er ja keine IP mit dem VPN-Netz teilt. Ganz komisches Konstrukt und mich wundert, dass da überhaupt VNC läuft und wie er da konkret kommuniziert.

  • Ich arbeite gern mit Windows, würde aber persönlich niemals ausschließlich die Windows-Firewall nutzen um das System abzusichern.


    Mein Vorschlag:

    - miete einen zweiten kleinen RS1000 und installiere eine kostenlose Firewall z.B. opnsense

    - benutze das VLAN um die beiden zu verbinden

    - deaktiviere die öffentliche Schnittstelle am Windows-Server

    - opnsense hat jegliche Art von vpn und eine hervorragende Dokumentation. Nimm wireguard oder meinetwegen openvpn, was für den Remote Desktop auch locker reicht

  • Danke, readyfornix - ist aber ein weiterer Server und dann noch per VLAN nicht überflüssiger Overhead?


    Ich habs grad zumindest erstmal mit ZeroTier hinbekommen... sehr einfach, aber "halbe Cloud"-VPN-Lösung. Wenn es die Zeit hergibt, schauen wir uns nochmal die Lösung mit zusätzlichem Server an.

  • ist aber ein weiterer Server und dann noch per VLAN nicht überflüssiger Overhead?

    Das kommt grundsätzlich drauf an, was du bzw. ihr vorhabt. Grundsätzlich ist es immer von Vorteil, wenn man Server hinter einer "dedizierten" Firewall verbirgt.

    Im Falle von Windows Server ist das besonders empfehlenswert.

  • Ich habs grad zumindest erstmal mit ZeroTier hinbekommen... sehr einfach, aber "halbe Cloud"-VPN-Lösung. Wenn es die Zeit hergibt, schauen wir uns nochmal die Lösung mit zusätzlichem Server an.

    Schau dir mal WireGuard an. Darüber greife ich mittlerweile auf alle meine Server zu. U.a. auch einen mit Windows.

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | Webhosting EiWoMiSau


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

  • Das kommt grundsätzlich drauf an, was du bzw. ihr vorhabt. Grundsätzlich ist es immer von Vorteil, wenn man Server hinter einer "dedizierten" Firewall verbirgt.

    Im Falle von Windows Server ist das besonders empfehlenswert.

    Darauf soll letztlich eine Blazor-Website laufen, also müssen zumindest die Web-Ports (80, 443) nach außen offen sein/bleiben.

  • dann müsstest du deinen softether-server eh' umkonfigurieren. weil 443 hierfür default genutzt wird.

    Joa, ist dank ZeroTier eh gelöscht.


    Wieso findet man eigentlich zu VPN-Server-Einrichtungen ausschließlich Einrichtungen unter Linux oder mittels Fremdanbieter?


    Man kann ja auch einen Windows-integrierten VPN-Adapter gezielt für bestimmte Nutzer erstellen und sich dahin verbinden - ganz ohne Dritt-Software oder Dritt-Verbindung. Nur finde ich hierzu wieder nichts dazu, wie man das mit Zertifikaten hinbekommt und wie man bei erfolgreicher Verbindung den Server selbst anspricht, also bspw. eine Remote Desktop Verbindung aufmacht. Kennt ihr dazu vielleicht einen vernünftigen Guide oder Gründe, die dagegen sprechen?

    • Hilfreichste Antwort

    Wieso findet man eigentlich zu VPN-Server-Einrichtungen ausschließlich Einrichtungen unter Linux oder mittels Fremdanbieter?

    Normalerweise lässt man einen VPN ausschließ auf bzw. zwischen Firewalls terminieren aber aus Sicherheitsgründen nicht auf Server oder Clients im internen Netz direkt. Sowas sollte man eher nur in Ausnahmefällen machen.


    Von den ganzen Fremdanbietern (VPN Hosting Provider) sollte man dringend die Finger davon lassen. Zumindest wenn einem Sicherheit und Datenschutz wichtig sind.

    Man kann ja auch einen Windows-integrierten VPN-Adapter gezielt für bestimmte Nutzer erstellen und sich dahin verbinden - ganz ohne Dritt-Software oder Dritt-Verbindung.

    Das geht durchaus. Windows hat einen eigenen Routing und Remotezugriff Service (RAS) am Board mit vielen gängigen VPN Protokollen. Leider befindet sich darunter auch ein sehr altes und sehr unsicheres VPN Protokoll. Von daher bitte nicht das PPTP Protokoll verwenden!


    Ich würde dir zu L2TP/IPSec raten. Dazu gibt es hier ein Tutorial:

    How to Setup L2TP/IPsec VPN on Windows Server 2019 (msftwebcast.com)


    Alternativ würde ich dir einfach zu OpenVPN raten. Das ist ebenfalls sehr geeignet für Anfänger. Es gibt zahlreiche Tutorials und was die Zertifikate angeht, dafür gibt es die Easy-RSA Skripte, die für dich die Erstellung der passenden Zertifikate für Server und Clients übernimmt.

  • Das geht durchaus. Windows hat einen eigenen Routing und Remotezugriff Service (RAS) am Board mit vielen gängigen VPN Protokollen. Leider befindet sich darunter auch ein sehr altes und sehr unsicheres VPN Protokoll. Von daher bitte nicht das PPTP Protokoll verwenden!


    Ich würde dir zu L2TP/IPSec raten. Dazu gibt es hier ein Tutorial:

    How to Setup L2TP/IPsec VPN on Windows Server 2019 (msftwebcast.com)

    Vielen Dank!


    Ich habe das auf einem Test-VM-Server und Test-VM-Client hinbekommen, dabei zunächst den Domänencontroller eingerichtet und dann nach dem Leitfaden alles entsprechend eingestellt. Es geht also auch ohne Dritt-Software, Linux und verschachtelte Server-VLAN-Komplexitäten.


    Kurz vor'm Erfolg hing ich an dem Fehler "Der L2TP-Verbindungsversuch ist fehlgeschlagen, da ein Verarbeitungsfehler während der ersten Sicherheitsaushandlung mit dem Remotecomputer aufgetreten ist". Aufgrund dieses Hinweises habe ich auf dem Test-Client alle offenen Updates installieren lassen, wobei die 2 genannten (Fehler KB5009543 und Fix KB5010793) nicht dabei sind. Der Fix ließ sich auch nicht separat installieren (Fehler: "Nicht geeignet für die Windows-Version"), wrsl. weil ich Win 10 LTSC nutze. Damit blieb aber das Problem bestehen. Erst das Installieren aller offenen Updates auf dem Server führte dann dazu, dass ich mich per VPN verbinden und mich darüber dann auch per Remote Desktop verbinden konnte.


    Da ich den gewählten Schlüssel mit 64 Zeichen entsprechend lang gewählt habe, sollte das hoffentlich ausreichend sicher sein und zusätzliche (Nutzer-)Zertifikate unnötig machen.

    Alternativ würde ich dir einfach zu OpenVPN raten. Das ist ebenfalls sehr geeignet für Anfänger. Es gibt zahlreiche Tutorials und was die Zertifikate angeht, dafür gibt es die Easy-RSA Skripte, die für dich die Erstellung der passenden Zertifikate für Server und Clients übernimmt.

    Total easy: https://supporthost.in/how-to-…n-on-windows-server-2019/

    ... für jeden, der noch Zeit für einen OpenVPN-Dr.-Titel hat ;)

  • tar

    Hat einen Beitrag als hilfreichste Antwort ausgewählt.
  • Gerade auf dem Server eingerichtet - es geht auch ohne Active Domain.


    Kurzanleitung:


    1. SERVER


    1.1. RAS installieren: Server-Manager -> Verwalten -> Rollen & Features hinzufügen


    - Serverrollen: Remotezugriff aktivieren

    - Rollendienste: Direktzugriff und VPN (RAS) aktivieren

    - Weiter und Installieren



    1.2. RAS einstellen: Server-Manager -> Tools -> Routing und RAS


    1.2.1. Rechtsklick auf Server (Eintrag mit rotem Symbol) -> Routing und RAS konfigurieren und aktivieren


    - Benutzerdefinierte Konfiguration auswählen -> VPN-Zugriff auswählen -> Warnung ignorieren (Firewall-Einträge werden automatisch aktiviert)


    1.2.2. Rechtsklick auf Server (Eintrag nun mit grünem Symbol) -> Eigenschaften


    - Sicherheit: Benutzerdefinierte IPsec-Richtlinie... anhaken und Vorinstallierten Schlüssel eingeben und ggf. eigenes SSL-Zertifikat auswählen

    - IPv4: Statischen Adresspool auswählen und Adress-Bereich eintragen (bspw. 10.10.10.11 - 10.10.10.20)

    - IPv6: kann deaktiviert werden


    1.2.3. Rechtsklick auf Ports -> Eigenschaften


    - Bei Bedarf hier die Anzahl der maximalen zulässigen Verbindungen (Ports) anpassen (Default: 2)



    1.3. Netzwerkrichtlinien einstellen Server-Manager -> Tools -> Netzwerkrichtlinienserver


    - NPS (Lokal) -> Richtlinien -> Verbindungsanforderungsrichtlinein -> Microsoft Routing und RAS-Richtlinie

    - Einstellungen: Netzwerkrichtlinien-Authentifizierungseinstellungen außer Kraft setzen aktivieren

    - EAP-Typ Microsoft: Gesichertes Kennwort (EAP-MSCHAP v2) hinzufügen



    1.4. Netzwerke prüfen: Systemsteuerung\Alle Systemsteuerungselemente\Netzwerk- und Freigabecenter


    - sicherstellen, dass das Netzwerk RAS (Dial-In) Interface ein privates Netzwerk ist (anderenfalls kann man sich zwar verbinden, hat aber keinen Zugriff zum Server bzw. restlichen Netzwerk, d.h. Remote Desktop usw. gehen nicht)

    - zum Umstellen hier entlang



    1.5. Firewall-Ports freigeben


    - Ausgehend: RAS-Ports für Routing und Remotezugriff (...) werden automatisch freigegeben

    - (optional) Eingehend: Remotedesktop - Benutzermodus (TCP eingehend) (TCP 3389) aktivieren und für Private Profile (unter Eigenschaften -> Erweitert) erlauben, für noch restriktivere Einschränkungen die IP-Adressbereiche unter Bereiche angeben



    1.6. Benutzer-Berechtigungen einstellen


    1.6.1. Benutzer erstellen/anpassen


    - mit aktivem Domain-Controller: Server-Manager -> Tools -> Active-Domain Benutzer und Computer

    - ohne aktiven Domain-Controller: Server-Manager -> Tools -> Computerverwaltung -> System -> Lokale Benutzer und Gruppen (oder lusrmgr.msc aufrufen)


    1.6.2. Einwahl gestatten


    - Benutzer wählen -> Eigenschaften -> Einwählen: Zugriff gestatten oder Zugriff über NPS-Netzwerkrichtlinien steuern (dann die Netzwerkrichtlinien entsprechend einstellen) und bei Bedarf statische IP-Adresse zuweisen


    1.6.3. (optional) Remote Desktop gestatten


    - Windows-Einstellungen -> System -> Info -> Erweiterte Systemeinstellungen -> Remote: Remoteverbindung mit diesem Computer zulassen aktivieren und unter Benutzer auswählen... die entsprechenden Benutzer hinzufügen

    - alternativ Benutzer wählen -> Eigenschaften -> Mitglied von: hier Remotedesktopbenutzer hinzufügen





    2. CLIENT


    2.1. VPN-Verbindung auf Client einstellen


    2.1.1. Windows-Einstellungen -> Netzwerk und Internet -> VPN -> VPN-Verbindung hinzufügen


    - VPN-Anbieter: Windows (integriert)

    - Verbindungsname: beliebig (= Name des erzeugten Netzwerkadapters)

    - Servername oder IP-Adresse: IP vom Server

    - VPN-Typ: L2TP/IPSec mit vorinstalliertem Schlüssel

    - Vorinstallierter Schlüssel: Schlüssel von Punkt 1.2.2. eingeben

    - Anmeldeinformationstyp: Benutzername und Kennwort

    - Benutzername: Benutzer aus Punkt 1.6.1 eingeben

    - Kennwort: Kennwort für Nutzer eingeben (wer hätte es gedacht)


    2.1.2. Adapter prüfen: Systemsteuerung\Alle Systemsteuerungselemente\Netzwerkverbindungen


    - Rechtsklick auf neu erzeugten VPN-Adapter (Name = Verbindungsname aus 2.1.1.) -> Eigenschaften -> Sicherheit: prüfen, ob folgende Einstellungen sitzen:

    - VPN-Typ: Layer-2-Tunneling-Protokoll mit IPSec (L2TP/IPSec)

    - Erweiterte Einstellungen: Vorinstallierter Schlüssel inkl. gesetztem Schlüssel aus Punkt 1.2.2.

    - Authentifizierung: Extensible-Authentication-Protokoll (EAP) verwenden mit Microsoft: Gesichertes Kennwort (EAP-MSCHAP v2)


    2.1.3. (optional) Internet parallel zum VPN normal weiternutzen, aber ggf. auf lokale Netzwerkressourcen verzichten


    - in den Eigenschaften zum VPN-Adapter -> Netzwerk -> Internetprotokoll, Version 4 -> Erweitert -> IP-Einstellungen:

    - Standardgateway für das Remotenetzwerk verwenden deaktivieren



    2.2. Firewall-Ports freigeben


    - Ausgehend: VPN/IPSec (UDP Ports 50, 51, 108)

    - (optional) Ausgehend: RDP (TCP Port 3389)