Probleme mit Remotedesktop von außerhalb

[Drakonomikon]

Ich betreibe einen Windows Server 2019 Datacenter und möchte, dass dieser, auch außerhalb meines Netzwerkes, per RDP über Port 3389 erreichbar ist.

Dazu habe ich in meiner Fritzbox eine entsprechende Portweiterleitung eingestellt:

Die Firewall des Servers ist so eingerichtet, dass alle eigehende Zugriffe zugelassen werden:

Und dennoch habe ich das Problem, dass der Server von Außen unter Verwendung meiner Provider IP nicht erreichbar ist. Ich habe bereits das Troubleshooting von Microsoft abgearbeitet und bin am verzweifeln.

Derselbe Server hat auch andere Dienste am Laufen die über andere Ports von Außen problemlos erreichbar sind. Nur eben nicht Remotedesktop über 3389 von Außerhalb. Innerhalb meines Netzwerkes kann ich den Server über Remotedesktop aufrufen.

Hat jemand eine Idee woran das liegen könnte?

 

[omavoss]

Ohne VPN?

 

[madmax2010]

Bitte tu das nicht. Wenn du RDP Public offen hastm, ist es allerspaetestens beim naechsten 0Day nicht mehr dein Server, sondern gehoert der Allgemeinheit. Tunnel das bitte durch irgend etwas. Ein kleiner SSH Tunnel reicht schon.

 

[Drakonomikon]

Ja ohne VPN. Sicherheit ist nun mal nicht alles.

 

[BFF]

Wenn Dir Dein Provider einen netten Brief schreibt das aus Deinem Netz Irgendwas getan wird und/oder u.U. den Zugang schliesst erinnerst Du Dich mit "Sicherheit" an den offenen RDP.

Einen Server per RDP direkt aus dem Internet erreichbar zu machen ist mittlerweile als grob fahrlaessig zu betrachten.

 

[Drakonomikon]

Das soll hier aber bitte nicht das Thema sein.

 

[madmax2010]

Sicherheit ist nicht alles, aber die Grundvorraussetzung dafuer. diesnte ueber oeffentliche Netze zu betreiben. Es gibt schon genug leute die ihren Mist nicht patchen oder gammelinfrastruktur am Netz lassen. Inzwischen gibt das wenigstens Post von Provider / BSI und die freundlichen Leute aus dem Ausland kommen dann auch uebers Modem zu Besuch.
Bau dir einen Tunnel auf, dann tut das schon

Das ist auch nicht gerade die beste ide.. du solltest das eventuell auf die fuer dich vermutlich typischen Subnetze beschraenken un sukzessive erweitern, aber das ist wirklich ein erweitertes Thema

Die Firewall des Servers ist so eingerichtet, dass alle eigehende Zugriffe zugelassen werden:

Und falls du wirklich willst: was sagen die logs wenn du versuchst dich zu verbinden? Mal mit tcpdump o.ae geschaut was passiert?

 

[Rickmer]

Schau mal den Thread durch, insbesondere mal canyouseeme versuchen:
https://social.technet.microsoft.co...p-may-be-blocking-port-3389?forum=winserverTS

Das soll hier aber bitte nicht das Thema sein.

Doch, immer

Wenn jemand nach etwas fragt das fahrlässig ist darf man auch auf die Gefahr hinweisen

 

[firexs]

Könnte mal jmd bitte, sobald der Port offen ist, die Kiste übernehmen und platt machen? Danke.

 

[omavoss]

Ja ohne VPN. Sicherheit ist nun mal nicht alles.

Zeig mal bitte alle Deine Gehaltsabrechnungen des vergangenen Jahres . . .

 

[firexs]

Btw alle fremd Kundensysteme in diesem Jahr sind remote verschlüsselt worden, weil direkt rdp aktiviert war. Ein exploit und alles ist weg.

Das auch an Backups gespart wurde setzt dem ganzen die Krone auf.

 

[Tom_123]

Könnte mal jmd bitte, sobald der Port offen ist, die Kiste übernehmen und platt machen? Danke.

Die öffentliche IP-Adresse bekommen ja über die Forensoftware

 

[madmax2010]

Könnte mal jmd bitte, sobald der Port offen ist, die Kiste übernehmen und platt machen? Danke.

sag dazu, dass die person bitte in russland sein sollte, sonst ist das eine Aufforderung zu einer Straftat..

Ergänzung (24. November 2021)

Btw alle fremd Kundensysteme in diesem Jahr sind remote verschlüsselt worden, weil direkt rdp aktiviert war. Ein exploit und alles ist weg.

Jedes "Wurden von Kriminellen angegriffen" "Cyberangriff" was dieses Jahr in den medien war, war auf grob fahrlaessiges verhalten zurueck zu fuehren.
Entweder jemand hat die Mail mit dem Cryptotrojaner nicht erkannt, odfer leute hatten wieder alten Mist. <Insert Tirade von Klaus Kinski>

 

[AB´solut SiD]

Mein eigentlich liebster interner Schulungstrick war der verlorene USB Stick auf dem Parkplatz....

 

[Raijin]

Wenn man einen Server, der über das Internet erreichbar ist, nicht fachgerecht absichert, ist das nicht nur für den Server selbst eine große Gefahr, sondern für den Rest des Internets ebenso. Denn genau mit solchen Servern bauen sich Hackergruppen ihre Botnetze zusammen, mit denen sie dann beliebige Webseiten und Dienste mit DDoS-Attacken lahmlegen.

Wäre nur dein Server und deine Daten in Gefahr, @Drakonomikon , könnte es uns vollkommen egal sein, aber unter den DDoS-Attacken, an denen dein Server dann teilnimmt, leiden andere...

Richte bitte einfach eine VPN-Verbindung ein und lass auch die anderen, nicht näher spezifizierten Dienste darüber laufen, wenn möglich. Je weniger Portweiterleitungen bzw. Dienste offen erreichbar sind, umso kleiner die Angriffsfläche. Und bevor du die Gefahr jetzt runterspielst: Hast du dir tatsächlich mal angeschaut wie oft Portscanner bei dir vorbeikommen und Wörterbuchattacken starten? Das sind mehr als du glaubst...

 

[madmax2010]

Hast du dir tatsächlich mal angeschaut wie oft Portscanner bei dir vorbeikommen und Wörterbuchattacken starten? Das sind mehr als du glaubst...

wobei man hiier der Fairness halber sagen muss, dass der Provider da schon verdammt viel blockt. Wenn da jemand die eigenenNetze abklappert Faellt das schon auf.
Man will die Kunden schon vor sich selbst schuetzen.

ist das nicht nur für den Server selbst eine große Gefahr, sondern für den Rest des Internets ebenso.

Das andere nicht zu gefaehrden hierzulande sehr vielen recht egal ist steht seit gut einem jahr taeglich in der zeitung :/

 

[Drakonomikon]

was sagen die logs wenn du versuchst dich zu verbinden?

Das Log sagt, dass niemand da ist der antworten möchte:

Schau mal den Thread durch, insbesondere mal canyouseeme versuchen:
https://social.technet.microsoft.co...p-may-be-blocking-port-3389?forum=winserverTS

Das habe ich schon ausgeschlossen indem ich den Port gewechselt hatte.

Könnte mal jmd bitte, sobald der Port offen ist, die Kiste übernehmen und platt machen? Danke.

Eine sehr qualifizierte Aufforderungen. Das läuft nicht immer so wie in den Filmen die du schaust. Solche Angriffe sind kein Basiswissen. Dafür braucht man ein tiefes Verständnis und selbst dann ist das nicht mal so eben umgesetzt (von automatisierten Angriffen mal abgesehen).

Ich bin mir über die Sicherheitsprobleme einer offen zugänglichen RDP Schnittstelle bewusst. Ich will das hier aber nicht diskutieren, sondern ein Problem lösen.

 

[Drakonomikon]

Ich habe das Problem lösen können. Es lag an der Fehlkonfiguration des gesamten IPv6 Netzes. Standardmäßig wird von der FritzBox nur ein IPv6 DNS Server bereitgestellt, aber keine lokalen IPv6 Adressen vergeben. Das habe ich bis jetzt immer ignoriert, weil mir lokale IPv6 Adressen (fd00::/8) immer egal waren. Da ich aber noch ein anderes Problem hatte, welches zuerst von meinem hier geschilderten Problem unabhängig schien, habe ich den DHCPv6-Server der Fritzbox aktiviert und das ULA Präfix (fd00::/64) manuell angegeben. Dabei fiel mir auf, dass alle vergebenen IPv6 Interface Identifier völlig zufällig waren und eben nicht der MAC Adresse entsprachen. Ich habe dann die IPv6 Adressen aller Ethernet-Adapter anhand ihrer MAC Adresse manuell vergeben (dieser Rechner ist eine große Hilfe). Außerdem habe ich die Adapter in Windows alle manuell konfiguriert, inklusive Gateway Adresse und DNS Server der FritzBox (sowie weitere DNS Server). Damit hat sich nicht nur mein anderes Problem erledigt, sondern auch das hier geschilderte. Ich kann mir derzeit nicht sinnvoll erklären, warum das zusammenhängt, aber es ist mir auch egal. Nun funktioniert es wie es soll.