Remote Desktop => Auslösung des WOL Signals

Hast du nach ändern der Registry das Notebook neugestartet?

Kann deine RDP App (entfernter Rechner) mit anderen Ports umgehen?

Den Port zu ändern ist kein nennenswerter Zugewinn an Sicherheit. Daher mein ausdrücklicher Hinweis weiter oben, die Portfreigabe nach dem Testen wieder zu entfernen.
Arbeite doch bitte erstmal die Liste ab, die ich oben geschrieben habe, bevor du jetzt schon wieder andere Sachen rumprobierst. Und ja, natürlich musst du die Firewalls anpassen, wenn du Portänderungen vornimmst.


Edit: Ich sehe du hast deinen Post weiter oben editiert. Dann vergiss was ich geschrieben habe.
Damit wollte ich nur sichergehen ob und wie die "Automatisch Aufwecken" Funktion der Fritzbox tickt.

Ich würde RDP niemals nach außen freigeben. Auch nicht unter einem anderen Port. Stichwort "Security through Obscurity".

Wenn auf deinem Notebook nichts auf Port 8080 läuft, trage in der Fritzbox mal eine Portweiterleitung für TCP:8080 an dein Notebook ein.

Anschließend rufst du ohne VPN im entfernten Gerät dynDNSAdresse:8080 im Browser auf. Dann wacht hoffentlich das Notebook auf.

Anschließend dann per VPN und RDP verbinden.

Die Portfreigabe für RDP löscht du und die Portfreigabe für Port 8080 ist keine Lücke, da am anderen Ende niemand was offen hat.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Raijin
Den lokalen Port eines Dienstes sollte man nur dann ändern, wenn man handfeste Gründe dafür hat. Der Aspekt "Security by obscurity" aka "Ich ändere den Port damit ein Skriptkiddie aus dem www den Port nicht findet" hat in erster Linie aber nur etwas mit dem Port am WAN zu tun und nicht mit dem Port am lokalen Server.
Statt blauäugig in der Registry rumzufummeln, um den Port zu ändern, hättest du die Portweiterleitung in der Fritzbox einfach von 1503 extern auf den internen default RDP Port zeigen lassen können.

Darüber hinaus kann durch diesen manuellen Eingriff natürlich auch die Firewall in die Grütze gehen. Wenn dort explizit Regeln für den default RDP Port definiert sind, greifen die bei deinem geänderten Port natürlich nicht mehr, weil auf dem ursprünglichen Port gar kein Dienst mehr läuft.

Mittels netstat -ano kannst du im übrigen u.a. die offenen Ports deines Systems sehen, darunter eben auch 3389 bzw. bei dir nun 1503.
 
  • Gefällt mir
Reaktionen: SaxnPaule und Matthias80
Hast du evtl. einen Raspberry zu Hause?
Dann könntest du etherwake dort installieren.

Ich habe auf meinem Rechner Putty installiert. Damit hat man den plink-Befehl mit dem man am Raspberry einen Befehl ausführen kann.

Das sieht dann in etwa so aus:

"C:\Program Files\PuTTY\plink.exe" pi@IP-Adresse des Raspberry -pw Passwort des Raspberry sudo etherwake -i wlan0 MAC-Adresse des zu weckenden PCs

Anders habe ich es nicht gelöst bekommen, da die Sophos mich in ein anderes Netz steckt und ich dann kein direktes WoL machen kann.
Dafür habe ich mir dann eine Verknüpfung angelegt, die ich einfach mit nem Doppelklick ausführen kann.
 
  • Gefällt mir
Reaktionen: h00bi
vocaris schrieb:
dann müsste nicht nur mit "magic paket" ausgewählt werden.
dann gibt's aber das Problem das der Laptop wegen jedem furz aufwacht.
Weil jeder Zugriff, wie und von wem auch immer... ein aufwachen verursacht.
gibt verschiedene Ansichten je nachdem welcher Hersteller, Treiber.
aber in etwas so sieht das aus.
1626264461307.png

wenn du den port änderst... musst du die Einstellungen in der Fritte anpassen bzw. auch deinen aufruf.
Eine Portanpassung ist auch kein schutz!!! das ist sinnlos!
Thema Portscan...
Nur über VPN ist sicher.

MfG
Ergänzung ()

fcn4ever schrieb:
Dann könntest du etherwake dort installieren.
Ihm ist der Click in der Fritte zu viel...
Sicher und bequem gibt es nicht! aber das wird er wenn er pech hat noch leidvoll lernen...

Mfg
 
Also die Änderung habe ich durchgeführt und natürlich auch neu gestartet. Mittes tcp Befehl in der PowerShell ist der neue Port auch auf TRUE. somit müsste der Host jetzt z.B. auf 1503 "hören".
Beim Zugriffs RD Programm würde ich hinter die Ip:1503 schreiben.. Das sollte doch dem Grunde reichen.
Klappt aber nicht. Ggf. muss der Port in einem bestimmten Nr. Kreis liegen.

Die Liste habe ich abgearbeitet. Lief ja alles. Wollte nur von dem Std. Port weg.
Das Vorhaben immer das FW zu deaktvieren ist auch unpraktikabel.
Wenn die Verbindung NUR im VPN zugelassen würde wäre das ja perfekt. ABER, dass scheint wieder nicht zu gehen.. Weil ich in der FB ja eine FW einstellen muss und das gilt wohl für beide Zugriffe.

Dennoch verstehe ich es nicht:
BSP: Meine Frau greift mit Ihrem Dienst NB via VPN und RDP auf den Server in der Steuerkanzlei ihres Arbeitgebers zu. Das auch dort der Std. Port verwendet wird, wäre ich ja ggf. in der Lage selber von meinem Privaten PC Zugriff darauf zu bekommen.
Ich müsste mir nur auf der RDP Ebene die aktuelle IP geben lassen. Dann per RDP auf die IP zugreifen und bekäme zumindest eine User /PW abfrage. Denn anscheinend muss im Router des "Arbeitgebers" wohl ein FW eingestellt sein....
Kann ich mir dem Grunde nicht vorstellen. Oder die dortige "IT-Verwaltung" würde schlampig arbeiten :-)
 
@vocaris Bitte drehe alles wieder zurück auf die default Ports und mache es so, wie ich in meinem Post #21 beschrieben habe.

Falls du trotz Warnungen RDP nach außen öffnen möchtest, befolge den Ratschlag von @Raijin und gebe es nach außen mit 1503 frei und mache die Weiterleitung dennoch auf den default Port 3389.

Freigabe in Fritte:
extern von TCP:1503 bis 1503 auf intern TCP:3389 an Notebook IP
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Raijin
Matthias80 schrieb:
dann müsste nicht nur mit "magic paket" ausgewählt werden.
dann gibt's aber das Problem das der Laptop wegen jedem furz aufwacht.
Weil jeder Zugriff, wie und von wem auch immer... ein aufwachen verursacht.
gibt verschiedene Ansichten je nachdem welcher Hersteller, Treiber.
aber in etwas so sieht das aus.
Anhang anzeigen 1101683
wenn du den port änderst... musst du die Einstellungen in der Fritte anpassen bzw. auch deinen aufruf.
Eine Portanpassung ist auch kein schutz!!! das ist sinnlos!
Thema Portscan...
Nur über VPN ist sicher.

MfG
Ergänzung ()


Ihm ist der Click in der Fritte zu viel...
Sicher und bequem gibt es nicht! aber das wird er wenn er pech hat noch leidvoll lernen...

Mfg
Ja VPN ist sicher. So will ich es ja auch haben...ABER ich muss trotzdem eine FW des Ports auf das NB einstellen. Und wenn ich das mache, dann kann man auch via IP/DYNDNS auf den Rechner geleitet werden.
Oder ich müsste in der FB generell den Zugriff per DYN unterbinden..
Was Anderes fällt mir nicht ein.

Bzgl: "Der Klick in der Fritte ist ihm zu viel...." ja ist es. Nutzer von Dienst NB müssen so einen Kram ja auch nicht machen..... OK. ein Arbeitgeber wird am Router sicherlich keine DYNDNS Zugriff zulassen :-)
 
vocaris schrieb:
Bzgl: "Der Klick in der Fritte ist ihm zu viel...." ja ist es. Nutzer von Dienst NB müssen so einen Kram ja auch nicht machen..... OK. ein Arbeitgeber wird am Router sicherlich keine DYNDNS Zugriff zulassen :-)
Das ist ein anderes Szenario, da dort der Zielrechner vermutlich dauerhaft läuft. Dieses Gefrickel machen wir hier nur, weil dein WoL Paket nicht durchkommt ;)
 
  • Gefällt mir
Reaktionen: Matthias80 und vocaris
vocaris schrieb:
Beim Zugriffs RD Programm würde ich hinter die Ip:1503 schreiben.. Das sollte doch dem Grunde reichen.
Klappt aber nicht. Ggf. muss der Port in einem bestimmten Nr. Kreis liegen.
Wie ich schon geschrieben habe, nein. Nur weil ein Dienst auf einem anderen Port gestartet wird, heißt das nicht, dass die Firewall das mitbekommt. Die Windows-Firewall ist ab Werk so eingestellt, dass sie alles von unbekannten Quell-IPs (=Internet) blockiert. Alles was auf einem nicht definierten Port wird per default geblockt.

Deine Windows-Firewall nun so eingestellt: "Erlaube RDP für Port 3389" und du hast nun dafür gesorgt, dass RDP gar nicht auf 3389 läuft, ergo sagt die Firewall sinngemäß: "Port 1503? Hab ich keine Regel zu, wird geblockt".

Wenn man nicht weiß was man tut, sollte man also nicht an den Ports rumfummeln. PAT (Port Address Translation) im Router ist etwas anderes. Dennoch darf man sich nicht zu sicher fühlen: Ein geänderter Port ist nichts anderes als das Verstecken des Ersatz-Haustürschlüssels unter der Fußmatte oder im Blumentopf. Wenn ein Angreifer es darauf anlegt, wird er den Schlüssel (=Port) auch finden und kann ihn angreifen.

Portänderungen sind bestenfalls Nebelmaschinen, aber zusätzliches Sicherheitsschloss. Es ist daher in der Fachwelt stark umstritten ob man überhaupt die Ports ändern sollte (auch bei den Portweiterleitungen), weil man damit maximal die Gelegenheits-Türklinkendrücker abwehrt (08/15 Portscanner von Skriptkiddies), aber keinerlei bewusste Angriffe. Die Sicherheit des Netzwerk basiert daher ausschließlich auf der Sicherheit des Dienstes, dessen Verschlüsselung, starkes Passwort, etc. Ich würde daher sowas wie RDP per Definition niemals direkt im Internet zugreifbar machen, sondern einzig und allein via VPN nutzen.
 
@SaxnPaule Habe dein EDIT im #21 nicht gesehen.
@Raijin Korrekt. Deshalb will ich den RDP Zugriff auch NUR per VPN ermöglichen.
Aber das scheint iVm dem Senden eine WOl Paketes wohl nicht zu gehen.
Also muss ich das WOL Paket via Internet senden (8080. So wie Saxenpaule es beschrieben hat und sofern das klappt.) Und wenn der PC oben ist per VPN das RDP.
Finden ich leider umständlich. Aber wenn das aktuell der status quo ist...
 
Zurück
Oben