OPNsense Forum
International Forums => German - Deutsch => Topic started by: heimwerker on November 26, 2019, 09:49:10 am
-
Hallo liebe Gemeinde,
ich bin ganz neu im Forum und habe folgende Anfrage, weil ich einfach nicht weiterkomme, obwohl ich gegoogelt, Youtube-Videos gesehen und viel geflucht habe.
Die Voraussetzungen:
Ein Windows Server mit öffentlicher IP z.B. 44.55.66.77
Ein OPNsense mit öffentlicher IP, z.B. 11.22.33.44
Im OPNsense ist ein OpenVPN Server eingerichtet. Der Windows-Server ist als Client verbunden. Das VPN-Netz: 10.10.10.0/24. Der Windows-Server hat die VPN-IP: 10.10.10.2
Der Plan:
Ich möchte per Domain z.B. firewall.example.com:6000 eine RDP Verbindung mit dem Windows-Server aufbauen. Dazu soll es ein Port-forwarding von firewall.example.com:6000 auf 10.10.10.2:3389 geben.
Die Verbindung soll über den VPN laufen.
Das Ziel:
Es sollen hinterher mehrere Windows-Server über RDP über die selbe domain mit unterschiedlichen Ports erreichbar sein.
Im Prinzip so:
firewall.example.com:6000 → 10.10.10.2:3389
firewall.example.com:6001 → 10.10.10.3:3389
firewall.example.com:6002 → 10.10.10.4:3389
firewall.example.com:7001 → 10.10.10.2:1433
usw.
Das Problem:
Ich habe die Domain als Alias angelegt. Und in Firewall->NAT->Port-Forward eine Port-Weiterleitung gemacht.
Im Liveview der FW sehe ich dann:
Soruce: Meine-IP:Port; Destination: 10.10.10.2:3389; Proto: tcp; label: let out anything from firewall host itself
Aber es kommt keine Verbindung zurück.
Meine Lösungsansätze (ohne Erfolg):
OpenVPN als Interface anlegen und ein Gateway anlegen
In Firewall->Settings-Advanced Haken setzen bei: Reflection for port forwards + Automatic outbound NAT for Reflection + Disable force gateway
Diverse Haken in der NAT Regel.
Meine neuster Ansatz:
Nach Hilfe im Forum fragen.
-
Was bezweckst Du mit dem NAT und Port-Forwarding? Die Server sind doch aus dem OPNsense-LAN unter ihrer VPN-IP-Adresse erreichbar? Wieso nicht einfach ein DNS-Eintrag pro Server? Also:
server1.example.com. A 10.10.10.2
server2.example.com. A 10.10.10.3
...
Grüße
Maurice
-
Hey Maurice,
danke für deine Antwort.
Ich kann den A-Record bei meinem Provider nicht auf eine lokale IP ändern.
Der Rechner mit dem ich zugreifen möchte, sollte nicht im VPN sein.
-
Hi,
sorry aber jetzt ergibt es für mich keinen Sinn mehr.
Du machst auf der externen IP die Portweiterleitung und NAT Reflection für VPN an aber der Client soll nicht im VPN sein?
Wenn du nur von extern zugreifen möchtest brauchst du nur Portweiterleitung. Geht auch mit mehreren Ports und internen IPs. Würde ich aber für RDP NICHT machen.
Andere Lösung wäre Zugriff über VPN und dann Slit-DNS konfigurieren, dann musst du auch keine interne IP beim Provider eingeben sondern kannst im Internen DNS der Firewall verwalten. Sobald die Clients sich mit dem VPN verbinden, kannst du dann den internen DNS nutzen und der Traffic läuft durch den sicheren Tunnel.
BTW. solltest du deinen Provider wechseln, deine Zone solltest du so konfigurieren können wie Du es brauchst.
VG,
Dominik
-
Hallo Dominik,
danke für deine Antwort.
Mein Ziel ist es, dass der Windows-Server nicht über seine eigene öffentliche IP 44.55.66.77 erreicht werden kann,
sondern nur über die Domain der Opnsense mit entsprechendem Port.
Die Win-FW soll einfach allen eingehenden Traffic aus dem öffentlichen Netz blockieren - deswegen mein Ansatz über den RDP Zugriff über VPN.
Dass das keine optimale Lösung ist, weiß ich auch. Alles über VPN ist natürlich besser, aber aus diversen Gründen steht das nicht zur Debatte.
-
RDP wäre dann nicht mehr über die öffentliche IP-Adresse des Windows-Servers erreichbar, aber über die öffentliche IP-Adresse der OPNsense. Was wäre damit gewonnen? Dass der Port anders ist? Und dafür der ganze Aufwand?
Falls es nur um den RDP-Port geht, ändere den doch einfach direkt auf den Windows-Servern.
Grüße
Maurice
-
ich möchte damit erreichen, dass viele verschiedene Server über die selbe Domain erreichbar sind.
Der Port an der Domain soll nur für die Differenzierung des Ziel Servers sein.
Ich denke, dass ich andere Sicherheitsmechanismen in der OPNsense nutzen kann, als in der FW von Win.
-
Du lässt doch aber die Domain auf die IP 44.55.66.77 zeigen?
Damit kann man auch noch weiterhin über die IP zugreifen. Also du kannst nicht über eine Domain zugreifen, wenn du es nicht gleichzeitig auch über die IP geht. Jedes Programm übersetzt die Domain in die IP und greift dann auf die entsprechende Ziel-IP zu. Das bringt dir also keine Sicherheit oder andere Vorteile.
Firewalls arbeiten im übrigen immer mit den IPs niemals mit Domains. Ausnahme oder Hilfsmittel sind Funktionen wie die Aliases, aber die übersetzen auch nur für dich automatisch die Domain in IP.
Kurz gesagt: Firewallregeln brauchen immer IPs und Ports.
Ich glaube damit ist dein ganzes Konstrukt das du dir überlegt hast hinfällig.
Du musst so oder so die IPs freischalten und die Portweiterleitungen machen, wenn du von extern ohne VPN arbeiten möchtest.
Wenn du es nicht von extern haben möchtest, aber dennoch mit NAT Portweiterleitungen arbeiten möchtest wird es eine NAT Konfiguration. Die ist jedoch in deinem Fall dann etwas anders als die normale Portweiterleitung.
Bestimmt möglich, aber ich würde es nicht so bauen. Zumal wenn du im VPN bist, kannst du ja jeden Windows Server ganze einfach direkt über RDP ansprechen ohne die Ports ändern zu müssen, denn die IPs der Server sind ja unterschiedlich.
Kenne jetzt dein restliches Netzwerk nicht, aber normalerweise ist das einfacher und sicher.
VG,
Dominik
-
@heimwerker: Dir ist aber klar, dass das sehr gefährtlicher Unsinn ist, den du da versuchst? ;)
Und das gerade mit RDP? Sind deine/eure Server gegen alle und jede RDP Lücke der vergangenen Wochen/Monate abgesichert? Unser Security Team/Partner würde uns teeren, federn und vierteilen, wenn jemand auf die verrückte Idee käme, willentlich und wissentlich RDP einfach so über nen Port Forward nach außen aufzumachen. Nicht nachdem das ganze RDP Konstrukt so ein Patch-Feuerwerk und Flickenteppich ist.
Da gibts ganz einfach Dienstanweisung: VPN ist zu nutzen, anzumachen, Server zu erreichen und FERTIG. DNS Namen kann man via Forwarder/Resolver auch intern überschreiben, da muss der Provider DNS Server nicht mal mitspielen dazu. Aber RDP OHNE VPN zu nutzen ist an der Stelle schon ziemlich riskant und wartet nur darauf, den nächsten Heise Artikel nach der "Arztpraxis offen im Internet" zu sein.
Grüße
-
Aber RDP OHNE VPN zu nutzen ist an der Stelle schon ziemlich riskant und wartet nur darauf, den nächsten Heise Artikel nach der "Arztpraxis offen im Internet" zu sein.
+1