Ruskdesk Server Rechner hinter der OPNSENSE

[nautilus]

Hallo,

ein Ruskserver mit einer öffentlichen IP wurde eingerichtet.
Jetzt möchte ich auf PCs in einem 192.168.50.0/24 Netz zugreifen.

Im internen Netzwerk steht eine OPNSENSE und hat NAT regeln für das Interne Netzwerk.
einmal LAN und WAN.

Ich konnte zwar NAT Regeln finden, die aber waren dafür, dass wenn der Ruskdesk Server im internen Netzwerk steht.

Das sind die Ports

Code Select Expand

ufw allow 21115:21119/tcp
ufw allow 8000/tcp
ufw allow 21116/udp

Ich hatte LAN Rules eingerichtet, Aliase für die Ports und freigegeben. Wie bei den Ports 80,443,usw.
Leider bekam ich da keine Verbindung.

Bin noch relativ neu bei OPNSENSE. Eventuell könnte mir jemand einen Tipp geben.
Ich hätte eventuell noch NAT Regeln einrichten können, aber da kann ich nur auf eine IP weiterleiten, nicht auf das ganze interne LAN oder ich habe etwas übersehen.


danke

liebe grüsse

[meyergru]

Du wirfst hier zwei Dinge durcheinander:

1. Rustdesk-Clients (und -Server) müssen nur ausgehenden Internet-Zugriff haben. Solange die PCs also hinauskommen, ist alles O.K.
Nun kommt es darauf an, welchen Rustdesk-Relais-Server sie kontaktieren. Per Default ist das der zentrale Rustdesk-Server. Das funktioniert eigentlich out-of-the-box.
Es werden keine sonstigen Firewall-Regeln benötigt, um die Kommunikation zwischen den Clients und Servern zu regeln - beispielsweise zwischen verschiedenen VLANs. Rustdesk bekommt selbst heraus, ob eine direkte Kommunikation möglich ist, und falls nicht, wird die Verbindung über den Relais-Server aufgebaut. Diese Verbindungen sind allesamt outbound, siehe Punkt 1.

Hier könnte das Thema enden, das ist der Sinn von Rustdesk.

2. Nur, wenn Du aus Sicherheitsgründen einen eigenen Relais-Server nutzen willst, musst Du die entsprechende Software installieren. Tatsächlich müssen die o.a. Ports an den Relais-Server durchgeleitet werden. Dazu brauchst Du Inbound-NAT-Regeln (Port-Weiterleitung) mit der Ziel-IP des Relais-Servers für die benötigten Ports. Voraussetzung ist natürlich, dass kein CG-NAT o.ä. im Einsatz ist oder weitere Probleme wie z.B. "Router-hinter-Router" - dann wird es komplizierter.

Weiterhin muss Deine OpnSense auf der WAN-IP per DNS erreichbar sein, damit Du in den Rustdesk-Clients den DNS-Namen Deines eigenen Relais-Servers eintragen kannst. Der Witz an Rustdesk ist ja, dass sich die Clients und Server "automatisch" finden, solange sie den selben Relais-Server verwenden, egal, wo der Client gerade ist (also im LAN oder woanders). Und den Rustdesk-Relais-Server wird man normalerweise per DNS-Namen finden können.

Dabei ist noch zu bedenken, dass die Port-Weiterleitung mit NAT-Reflection funktionieren muss, wenn Dein Relais-Server auch aus Deinem LAN heraus erreichbar sein soll. Du willst ja vermutlich zuerst mit Deinem eigenen PCs testen.

[nautilus]

Guten morgen,

dann ist das doch nicht so einfach, wie ich das gedacht habe. Ich hatte gestern eine win10 Kiste "offentliche IP" einen Zugriff auf meinen Rechner privat zu Hause! Das ging!

Aber von meinem Arbeitsplatz "hinter der Sense" hatte ich keinen Zugriff auf meinen privaten Rechner.Also muss an der Sense noch etwas freigeschaltet werden.

"Dazu brauchst Du Inbound-NAT-Regeln (Port-Weiterleitung) mit der Ziel-IP des Relais-Servers für die benötigten Ports." Das verstehe ich nicht so ganz, da müsste ich ja im internen Netzwerk einen RelayServer haben?

Ok, ich schaue mir das in Ruhe nochmal an. Ich konnte zu meiner Frage keine Lösungen im Internet finden! Wo hast du diese Infos her? Hättest Du einen Tipp? Wo ich da etwas dazu finden könnte?

Vielen Dank für Hilfe

liebe grüsse

[meyergru]

Nochmal ganz einfach: Für normalen Rustdesk-Betrieb müssen die Rechner lediglich Internet-Zugriff haben, sonst nichts. Wenn das trotzdem nicht geht, kommt Dir irgendein IPS-Quatsch wie Zenarmor, Crowdsec o.ä. in die Quere.

Nur, wenn Du selbst einen Relais-Server betreiben willst, musst Du spezielle Maßnahmen treffen. Alles hier beschrieben.