RDP zwischen zwei Netzen

[Gauss23]

RDP port habe ich auf 8206 umgestellt (RDP über den Port funktioniert auch solange ich mich in LAN2 befinde)

Diese Windows Firewall hat schon öfter für verblüffende Probleme gesorgt. Wenn die Pakete durch die OPNsense gehen, liegt das Problem am RDP Host. Oder Du hast noch andere Probleme im LAN2.

Mittlerweile sehe ich auch (musste ein wenig mit den Filtern rumprobieren) in den Logs, dass die Pakete zugelassen sind (siehe Screenshot), jedoch verstehe ich folgendes nicht:

Die Richtung ist ja out. Aber die Regel ist in LAN1 als In, da ich ja von LAN1 in die Firewall komme. Und dann möchte ich auf eine bestimmte IP in LAN2.

Du solltest aber zusätzlich auch Pakete mit der Description deiner RDP Regel sehen. Du siehst nur zusätzlich das Out Paket.

[Zoki]

Ich bin nicht ganz sicher, aber probier mal unter den advanced Settings den haken bei

[ ] disable reply-to

zu setzen. Es knnte sein, dass das Paket von LAN 1 nach LAN 2 kommt, vom Server beantwortet wird und dann an den eigentlichen Gateway geht und nicht an den OPNsense.
Über das bin ich auch erst gestolpert.

[chemlud]

Ich bin nicht ganz sicher, aber probier mal unter den advanced Settings den haken bei

[ ] disable reply-to

zu setzen. Es knnte sein, dass das Paket von LAN 1 nach LAN 2 kommt, vom Server beantwortet wird und dann an den eigentlichen Gateway geht und nicht an den OPNsense.
Über das bin ich auch erst gestolpert.

...aber bei dir lag das Zielnetz hinter dem WAN-Interface der OPNsense, korrekt?

[Gauss23]

Wie ich eben gesehen habe, gehen beide Netzwerke (LAN1&LAN2) über einen Switch. Ist der mit VLANs konfiguriert? Mit wie vielen Ports gehst Du dann in die OPNsense? Sind die Ports dann getagged oder untagged?

[Zoki]

Ja, das ist korrekt. Ich hatte die Option auch bei den Netzen nur hinter der OPNsense drin. Nachdem ich das auf den Standard zurückgesetzt habe geht es trotzdem noch.

Mein Tipp war also nicht richtig.

[opnjester]

Wie ich eben gesehen habe, gehen beide Netzwerke (LAN1&LAN2) über einen Switch. Ist der mit VLANs konfiguriert? Mit wie vielen Ports gehst Du dann in die OPNsense? Sind die Ports dann getagged oder untagged?

Hallo,
ja also die VLANs sind untagged.

Bezüglich lokaler Firewall werde ich am Wochende mal vor Ort gehen um das auszuschliessen.

Anbei noch die Log.
Ich habe versucht von LAN1 sowie VPN auf den webserver (2009) sowie rdp zuzugreifen.

[opnjester]

Such mal nach „push Route“ oder so ähnlich. Damit kannst du dein lan2 angeben


Gesendet von iPad mit Tapatalk Pro

Wenn ich das mache, wird die OPENVpn Verbindung nach einigen sekunden getrennt.

[opnjester]

Wie ich eben gesehen habe, gehen beide Netzwerke (LAN1&LAN2) über einen Switch. Ist der mit VLANs konfiguriert? Mit wie vielen Ports gehst Du dann in die OPNsense? Sind die Ports dann getagged oder untagged?

Hallo,
ich habe mal den RDP Port auf dem Server in LAN2 wieder auf standard zurückgesetzt. Die Windows Firewall ist auch komplett offen für alles was RDP betrifft. (screenshot anbei)

Beide Netzwerke benutzen denselben Switch. Anbei ein Screenshot der Konfiguration. Interface LAN1 vom OPNSense hängt an Port1 und OPNSense Interface LAN2 hängt an Port19.

Innerhalb beider Netze funktioniert auch alles einwandfrei. Nur eben würde ich gerne von einer bestimmten IP in LAN1 per RDP auf eine bestimmte IP in LAN2 zurückgreifen.

Vielen Dank
MfG

[lfirewall1243]

Was sagt ein tracert von PC aus Netz 1 an PC Netz 2 und umgekehrt?

[Gauss23]

Ich tippe immer noch auf Windows Firewall. Erlauben bedeutet da meist nur "für das eigene Netz erlauben". Da das andere LAN für Windows dann ein entferntes Netz ist, nimmt es diese Pakete nicht an.
Wenn die Pakete durch die OPNsense laufen und erlaubt werden, wird das Problem die Windows Firewall sein. Am besten mal komplett deaktivieren.

[JeGr]

Ich bin da bei @Gauss23.

@opnjester bitte versuch mal an dem Client/Server im LAN2, auf den du RDP machen möchtest die Windows Firewall KOMPLETT abzuschalten. Alles alles. Ganz aus. Und dann mal bitte vom Client aus LAN1 nochmal versuchen. Wenns im Firewall Log nämlich in den Regeln auftaucht, dass RDP erlaubt wird und das Paket geht rein/raus aus der Sense, dann kommt das im Normalfall auch im LAN2 an. Da aber Windows seinen Standardregelsatz hat und dort immer NUR das Netz erlaubt, in dem sich der PC befindet (also 10.10.20.0/24) und alles andere als extern/WAN/sonstwas klassifiziert, wird das im Normalfall alles abgelehnt. Hatten wir schon häufig, dass bei Windows ewig an der Firewall (Sense) gesucht wurde, es aber die eigene Windows Firewall (oder falsches Routing) war.