AW: über Remote auf Server zugreifen

hi

die meldung bedeutet das der TCP port zu ist... was eigetnlich logisch ist, da ein Netzwerk aus IPv4 Mangel normalerweise genattet ist und das neue Portforwarding auf der entsprechende Firewall erstmal eingerichtet werden muss.

11 ist eine IP im Subnetz von ip x.x.x.8 (netID) - x.x.x.14 (BCast) /29 .. somit zulässig. Also müsste noch das Portforwarding auf der FW gemacht werden.

sollte es widererwarten nicht genanttet sein... sprich der Windows Server ist mit der öIP im Netz..müsste die entsprechende FW auf dem Server selbst konfiguriert werden. (eignetlich sowieso ein NoGo)

ps.
ist nicht wirklich schlau solche IP's öffentlich bekannt zu geben.. vorallem wenn man daran denkt das die Absicherung eher schlecht ist wenn du damit direkt via RDP zugreifst....
schlauer wäre da ein VPN..


Gruss

Darki

AW: über Remote auf Server zugreifen

Wie Darki ( ) schon ausgeführt hat:

Normalerweise sind Server innerhalb eines privaten Netzwerkes einer Firma untergebracht ip-technisch (LAN, private IP-Range).

Damit der Server nun vom Internet aus erreicht werden kann, wird auf der Firewall dazwischen ein Natting eingerichtet in der Art: öffentliche Provider-IP (A) wird an der Firewall umgesetzt zu private-IP (B). und natürlich auch in der Gegenrichtung. Zudem kann man auf der Firewall angeben, auf welche Ports dieser Provider-IP die Firewall reagieren soll mit der Umsetzung. Wenn du also nun zB deine IP einträgst, dann setzt die Firewall das um auf (zB) die IP-Adresse 192.168.1.14/24 und weiss dass sie RDP zulassen soll TCP Port 3389 glaube ich).

Da der Provider gewechselt hat nehme ich auch an dass auf der Firewall falsche Regeln stehen und darum funktioniert das nicht (mehr).

Wie Darki auch schon ausgeführt hat wäre der direkte Zugriff auf den Server via öffentliche IP eine eigentliche Todsünde weil er damit direkt "mit nackten Arsch" im Internet hängt. Das sollte man wenns irgendwie geht niemals tun.

Du solltest also den Firewall Admin mal fragen dass er die entsprechenden Regeln entweder prüft oder anpasst. Danach sollte dann der Zugriff wieder möglich sein.

AW: über Remote auf Server zugreifen

okay okay. jetzt brauch ich etwas Zeit um zu verstehen was ihr mir da erklärt. Ich meld mich wieder
danke

AW: über Remote auf Server zugreifen

Also ich habe mir mal über NAT, TCP-Port und Portforwarding informiert. Aber trotzdem bitte für mich nochmal gaaaanz langsam. Ich krieg das alles nicht so schnell in meinen Kopf und muss das in eigene Worten fassen. Korrigiert mich bitte wenn ich falsch liege.

Ich verstehe nicht ganz die Bedeutung dieser IP die ich angegeben hatte. Also die x.x.x.11 mit der 11 am Schluss.
Darkmind: 11 ist eine IP im Subnetz von ip x.x.x.8 (netID) - x.x.x.14 (BCast) /29 .. somit zulässig. Also müsste noch das Portforwarding auf der FW gemacht werden.
Wenn ich Darkmind richtig verstehe, dann handelt es sich hier um folgendes Szenario. (Allerdings sprechen (in meinem Verständnis zumindest) einzelne Punkte für andere Konstellationen. Aber bleiben wir mal bei einer Aufstellung.)

Szenario 1)
Die IP mit der 11 am Schluss die ich angegeben hatte, ist eine private Adresse eines Hosts innerhalb des Firmennetzwerkes. Und der der Router hat dann die selbe Adresse nur mit einer 1 am Schluss (=Gateway). Gegen aussen zeigt der Router aber eine andere, (fixe?) Adresse (=NAT).
Will ich mich von meinem Rechner aus mit dem Host im Firmennetzwerk verbinden, muss ich zuerst über den Router, der mich dann an den Host weiterleitet. Also brauche ich zuerst einmal die Adresse des Routers.
Zwischen Router und Host steht nun aber zusätzlich eine Firewall die die Kommunikation des Servers über den Router nach aussen (und von aussen nach innen) blockiert.

Nun zum TCP-Port.
Das ist ein Durchgang in der Firewall der geöffnet werden muss.
Darkmind: die meldung bedeutet das der TCP port zu ist... was eigetnlich logisch ist, da ein Netzwerk aus IPv4 Mangel normalerweise genattet ist und das neue Portforwarding auf der entsprechende Firewall erstmal eingerichtet werden muss.
Da der Provider gewechselt hat nehme ich auch an dass auf der Firewall falsche Regeln stehen und darum funktioniert das nicht (mehr).
Also die Firewall steht zwichen Router und Host, richtig? Und da muss jetzt jemand den TCP Port 3389 (danke Technocontrol!) öffnen damit ich über den Router zum Host komme? Und das Forwarding heisst, dass dem Router gesagt wird, welche Hosts alles an ihm angehängt sind, damit mich der Router auch an die richtige Stelle weiterleiten kann? Und genau das hat ihm niemand gesagt? Die Clients können aber trotzdem im Internet surfen und emails empfangen weil hierzu ein anderer Port offen sein muss und das Portforwarding zum surfen und emailen nicht nötig ist?

ist nicht wirklich schlau solche IP's öffentlich bekannt zu geben..
Wieso denn nicht? Kann doch jeder selber im Internet kucken was für IPs vergeben sind?! zB hier: utrace - IP-Adressen und Domainnamen lokalisieren
Und das spricht doch eigentlich dafür, dass meine x.x.x.11-Adresse gar kein Host im Firmennetzwerk ist, sondern die öffentliche Router-Adresse (das wäre dann Szenario 2). Zudem zeigt Utrace ja auch einen ganz anderen Standort an. Verstehe ich nicht!

Technocontrol: Wie Darki auch schon ausgeführt hat wäre der direkte Zugriff auf den Server via öffentliche IP eine eigentliche Todsünde weil er damit direkt "mit nackten Arsch" im Internet hängt. Das sollte man wenns irgendwie geht niemals tun.
Also du meinst wenn ich früher über RD mit Passwort darauf zugreifen konnte, dann lief diese Verbindung garnicht über den Router sondern direkt ohne Firewall und garnix? Uiuiui! Da verstehe ich die Warnung! Danke

AW: über Remote auf Server zugreifen

Hui

Also hier mischen sich einige Infos wild durcheinander. Ich versuchs mal anders aufzuschlüsseln.

Stell Dir vor, Du bist eine Firma. Die Firma besteht aus mehreren Computern, Servern, etc. sagen wir 10 Stück. 8 Windows PCs und 2 Server (für Dateien, Drucker etc.)

Nun ist die erste Aufgabe, einige Dienste die auf den Servern laufen über das Internet zur Verfügung zu stellen. Wie DU ja bereits weisst, werden für die Erkennung eines Rechners auch im Internet IP-Adressen verwendet. Du könntest jetzt also sagen: "ich habe 10 Geräte, also brauche ich 10 IP-Adressen, die ich im Internet aufrufen kann".

Problem 1: Du willst gar nicht, dass alle PCs aufrufbar sind (zB Dein Admin Notebook)

Problem 2: Die Dienste (zB der Server), die erreichbar sein sollen willst du trotzdem noch schützen, nicht jeder im Internet soll da einfach drauf können und zB über Deinen Drucker etwas ausdrucken (aus naheliegenden Gründen )

Problem 3: Wenn Du Deinen Internetprovider fragst, dann wird er dir sagen, das jede öffentliche IP-Adresse (also eine die direkt im Internet aufrufbar ist) zusätzlich Geld kostet. Je mehr Adressen du also brauchst desto teurer wird es.

Hier kommt nun als erste Lösung das NAT ins Spiel. Davor ein kurzer Exkurs zu der IP-Adressen-Problematik:

Du als Administrator der Firma musst für optimale Sicherheit sorgen. Darum willst du zuerst mal Problem 1 eliminieren. Es gibt neben den "öffentlichen" IP-Adressen (IP-Adressen die du direkt im Internet aufrufen kannst) auch noch "private" IP-Adressen. Diese privaten Adressen werden im Internet NICHT gefunden. zB eine beliebte IP-Range für solche Privaten Adressen ist 192.168.1.x mit Subnetzmaske 255.255.255.0.
Du konfigurierst jetzt deinen Internetrouter wie folgt: Du gibst jedem Gerät innerhalb deines Firmennetzwerkes (auch LAN genannt oder eben dein "privater" Bereich aus Firmensicht) eine solche private Adresse. Jeder PC ist in Deinem Netzwerk eindeutig erkennbar, weil jeder eine andere Adresse hat. Damit Du ins Internet kannst, muss Dein Router aber ja auch einen öffentlichen Teil haben, der mit dem Internet kommunizieren kann. Dafür ist am Router dann der WAN-Port (oder zB der ADSL-Port) zuständig. Auf der Verbindung ins Internet hat dein Router (und NUR Dein Router) eine öffentliche IP-Adresse (zB deine mit der 11 am Schluss ). Diese liefert dir ja der Provider.

NAT (Network address translation) ist nun nichts anderes, als dass dein Router weiss, welche öffentliche IP er hat und welche privaten IPs auf der "innenseite" er kennt. Wenn nun also aus dem Internet jemand auf Deinen Server im Firmennetzwerk zugreifen will, kontaktiert er deinen Router und dieser macht via NAT eine Verbindung zu dem Server auf (indem er die öffentliche Adresse umsetzt in eine Private und wieder zurück, da der Gast ja auch eine Antwort haben will).

Du hast also nun nur eine öffentliche IP-Adresse "verbraucht" obwohl du mit NAT theoretisch 10 Geräte von Dir ansprechen könntest. Auf dem Router oder der Firewall werden dann regeln definiert, wer aus dem Internet zB wohin eine NAT-Verbindung aufbauen darf, und wer nicht oder für wen eine Ressource zur Verfügung steht.

Weitere Details zu NAT lasse ich hier mal bewusst weg, es gäbe noch viel mehr zu sagen dazu

Den TCP-Port stellst Du dir am einfachsten als einen Briefkasten in einem Mehrfamilienhaus vor. Die IP-Adresse ist die Postadresse vom Mehrfamilienhaus. Statt "Poststrasse 25" im Internet halt zB 213.126.45.7. Die TCP-Ports sind nun die verschiedenen Parteien oder Ressourcen in diesem Haus. Statt Müller und Meier stehen auf den Briefkasten einfach Nummern die von 1-65536 reichen können. Über diese Nummern resp Ports werden Dienste angesprochen. Der HTTP-Dienst (Normaler Internet-Traffic) ist zB mit Port 80 als Standard definiert. Wenn ein Standard definiert ist, heisst das, ich muss im Internetbrowser den Port nicht hinschreiben, der Browser weiss das selber dass HTTP Port 80 ist.

Nehmen wir an in Deiner Firma Hat der Server1 eine IP-Adresse 192.168.1.10 (private Adresse). Wenn Du nun auf den Webservice zugreifen willst muss also auf dem Router konfiguriert sein dass der HTTP-Port zum richtigen Server geleitet wird (in diesem Fall die 192.168.1.10). Und es muss eingestellt sein, dass der Port 80 überhaupt verwendet werden darf. Eine Anfrage wird dann an deinen Router geschickt, der leitet sie weiter an deinen Server, der verarbeitet die Anfrage und schickt das Resultat an deinen Router zurück, der dass dann wiederum weiterschickt an den ursprünglichen Anfragesteller. Dazwischen macht der Router also zweimal eine NAT-Aktion, einmal rein und einmal raus

Und jetzt setzen wir den Rest der Fragen und Aussagen noch zusammen.

1)
Der Zugriff mit RDP nach dem IP-Wechsel bei dir funktioniert vermutlich darum nicht mehr, weil in der NAT-Regel noch die alte öffentliche IP-Adresse eingetragen ist. Das wäre der Fall wenn ihr im Firmennetzwerk schon private IP-Adressen verwendet. Wenn ihr auf dem Server eine öffentliche IP-Adresse vergeben habt, dann stimmt im Router die Zuordnung des TCP-Ports für den Dienst RDP nicht mehr. Da steht dann drin "Port 3389 wird weitergeleitet an " statt "Port 3389 wird weitergeleitet an ".

2)
Darkis Ausführung zu den Gültigkeiten kannst du hier mal ignorieren. Darki hat natürlich recht, aber er hat hergeleitet dass die neue öffentliche IP-Adresse gültig ist und "möglich". Fürs Verständnis der anderen Teile brauchst du diese Infos nicht zwingen (sorry Darki )

3)
Darkis Aussage "ist nicht wirklich schlau solche IP's öffentlich bekannt zu geben":
Damit meint er, dass Du auch Deine öffentlichen IPs nicht einfach herumposaunen solltest. Natürlich kann jemand diese herausfinden, aber potentielle Bösewichter können in Foren wie Automatismen zB solche IP-Adressen einsammeln und wissen nun also schon mal, dass unter dieser IP wohl irgendwo was mit RDP zu machen sein könnte. Da RDP direkt auf den Server geht, sitzt der Bösewicht dann schon auf deinem Server und INNERHALB von Deinem Netzwerk. Das ist der Super-GAU aus der Sicherheits-Perspektive. Darum gehören solche Infos nicht in Forenposts (oder nur verkürzt resp anonymisiert).

4)
Meine Aussage zur Todsünde zielt auf das gleiche ab wie Darkis Aussage:
Weil der Server so erreichbar ist direkt via IP-Adresse hast du keinerlei schutz dazwischen. Das ist kein gutes Szenario weil jeder von aussen schon mal an deinen RDP-Einlogprompt kommt.



Puh, so viele Infos, ich hoffe das hat noch einmal etwas Klarheit gebracht.

Gute Nacht allerseits :P

AW: über Remote auf Server zugreifen

WOW! Da hast du ja super ausführlich geantwortet Technocontrol! Vielen vielen Dank!!!

Mir ist jetzt kar, dass die 200.x.x.11 Adresse die öffentliche Router IP ist. So wird auch der Rest plötzlich logisch. Also eigentlich habe ich das meiste verstanden bis auf ein zwei Kleinigkeiten.

Wenn nun also aus dem Internet jemand auf Deinen Server im Firmennetzwerk zugreifen will, kontaktiert er deinen Router und dieser macht via NAT eine Verbindung zu dem Server auf (indem er die öffentliche Adresse umsetzt in eine Private und wieder zurück, da der Gast ja auch eine Antwort haben will).
... bzw ...
Eine Anfrage wird dann an deinen Router geschickt, der leitet sie weiter an deinen Server, der verarbeitet die Anfrage und schickt das Resultat an deinen Router zurück,
Yep. Comprendo zu 90%. Brauche ich denn dann nicht zwei Adressen um mich mit dem Server zu verbinden? Also 1x die öffentliche Router-IP (dann bin ich schon mal im Netzwerk drin) und dann muss der Router doch auch noch wissen mit welchem Gerät ich mich verbinden will (in meinem Fall der Server). Dann benötige ich doch noch die interne, private Server-IP die wahrscheinlich 192.168.1.x heissen wird?! Oder eben nicht?! ...

-> Auf dem Router oder der Firewall werden dann regeln definiert, wer aus dem Internet zB wohin eine NAT-Verbindung aufbauen darf, und wer nicht oder für wen eine Ressource zur Verfügung steht.

Die Regel die im Router oder in der FW definiert wird, lautet somit mehr oder weniger so? "Wenn sich jemand mit unserem Netzwerk (200.x.x.11) verbindet, dann check wer das ist. Wenn es die öfftl IP 213.126.55.8(als Bsp) ist die sich verbinden will, dann ist das taterataa und der wird durchgelassen. Wenn es taterataa ist, dann will er sich mit dem Server verbinden, weil ihn der Drucker nicht interessiert und deshalb wird er direkt an den Server weitergeleitet, ohne dass er die interne Server-IP des Servers kennen muss." Das würde dann heissen ich brauch doch nur die öffentliche Adresse des Routers (200.x.x.11) um mich mit dem Server zu verbinden, da dort geregelt ist wer ich bin und was ich will? Der Firmen-Admin müsste mir also keine weiteren Angaben geben, sondern nur in seinem Router bzw FW die entsprechende Regel aufsetzen?
--------------
Nehmen wir an in Deiner Firma Hat der Server1 eine IP-Adresse 192.168.1.10 (private Adresse). Wenn Du nun auf den Webservice zugreifen willst muss also auf dem Router konfiguriert sein dass der HTTP-Port zum richtigen Server geleitet wird (in diesem Fall die 192.168.1.10). Und es muss eingestellt sein, dass der Port 80 überhaupt verwendet werden darf.
Aiight! Und wenn ich über RDP zugreifen will, dann muss der TCP-Port 3389 offen sein?
--------------------
Der Zugriff mit RDP nach dem IP-Wechsel bei dir funktioniert vermutlich darum nicht mehr, weil in der NAT-Regel noch die alte öffentliche IP-Adresse eingetragen ist.
Aha! Yes! Der Wald lichtet sich! Ich verstehe schon immer mehr! Ich gehe schwer davon aus, dass der der Server nicht mit einer öfftl Adresse ins Netz geht, sondern zuerst über das NAT.
----------------------
Darki: 11 ist eine IP im Subnetz von ip x.x.x.8 (netID) - x.x.x.14 (BCast) /29 .. somit zulässig.

Techi: Darkis Ausführung zu den Gültigkeiten kannst du hier mal ignorieren. Darki hat natürlich recht, aber er hat hergeleitet dass die neue öffentliche IP-Adresse gültig ist und "möglich". Fürs Verständnis der anderen Teile brauchst du diese Infos nicht zwingen (sorry Darki )

Hehe! Doch! Ich glaub das verstehe ich! Das hängt mit der SubNetzMaske 255.255.255.248 zusammen, gell? Da hätte ich eben auch noch eine Frage dazu
Diese Maske bietet mir die Möglichkeit 32 verschiedene Subnetze mit je 6 Hosts aufzusetzen. Die Maske 255.255.255.240 würde mir 16 Subnetze mit 16 Hosts erlauben. Bei 3 Servern, 4Druckern und 40 PCs wäre es doch sinnvoller weniger, dafür grössere Subnetze zu erlauben, oder? Dann könnte ich sagen, jede Abteilung kriegt ihr eigenes Subnetz mit 10 PCs und einem Drucker. Und die Server kriegen ihr eigenes Subnetz. So wie es ist, mit 6 Host pro Subnetz, kann doch keine anständige Struktur drin sein?! Da müssten ja jede Menge SubNetze vorhanden sein, die alle nur wenige Hosts beinhalten?!

Phu! Ich hoffe ich nerv euch nicht mit so viel Fragerei!
-----------------------------
Hier nur so als ZusatzInfo:
Gestern habe ich die Firma auf die unsichere Verbindung hingewiesen und heute Antwort bekommen:
- über einen Linux-Server wird für beide Internet-Linien (ja, wir benötigen zwei) die FW aufgebaut
- Die neue Internet-Verbindung läuft nur über einen WLAN Router und geht nicht auf den Daten-Server (auf welchen ich zugreifen möchte). Dieses WLAN-Netz ist das einzige das nicht über die FW vom ProxyServer gesichert ist. An dieses WLAN Netz angeschlossen sind nur zwei Desktops, die wiederum mit ihrer eigenen FW gesichert sind.

Das würde wohl einerseits heissen, dass die Firma davon überzeugt ist, über ein gesichertes Netzwerk zu verfügen. Andererseit, dass ich mich mit der alten IP, so wie früher, über RDP auf den Server einloggen können sollte? -> Geht aber leider nicht.
-> Ich werd heute mal mit denen telefonieren. Das blöde ist halt, dass kein richtiger Admin im Haus ist. Naja, mal sehen was ich für Feedback kriege. Auf jeden Fall muss ich auf diesen Server zugreifen können!

AW: über Remote auf Server zugreifen

"Yep. Comprendo zu 90%. Brauche ich denn dann nicht zwei Adressen um mich mit dem Server zu verbinden? Also 1x die öffentliche Router-IP (dann bin ich schon mal im Netzwerk drin) und dann muss der Router doch auch noch wissen mit welchem Gerät ich mich verbinden will (in meinem Fall der Server). Dann benötige ich doch noch die interne, private Server-IP die wahrscheinlich 192.168.1.x heissen wird?! Oder eben nicht?! ..."
-> Wenn ales richtig konfiguriert ist, brauchst du die private IP nicht zu wissen, das macht ja dann der Router mit dem NAT für Dich. Man will ja verhindern dass "irgendwer" aus dem Internet eben die privaten IPs verwenden muss, darum werden die via NAT "kaschiert".


"Die Regel die im Router oder in der FW definiert wird, lautet somit mehr oder weniger so? "Wenn sich jemand mit unserem Netzwerk (200.x.x.11) verbindet, dann check wer das ist. Wenn es die öfftl IP 213.126.55.8(als Bsp) ist die sich verbinden will, dann ist das taterataa und der wird durchgelassen. Wenn es taterataa ist, dann will er sich mit dem Server verbinden, weil ihn der Drucker nicht interessiert und deshalb wird er direkt an den Server weitergeleitet, ohne dass er die interne Server-IP des Servers kennen muss." Das würde dann heissen ich brauch doch nur die öffentliche Adresse des Routers (200.x.x.11) um mich mit dem Server zu verbinden, da dort geregelt ist wer ich bin und was ich will? Der Firmen-Admin müsste mir also keine weiteren Angaben geben, sondern nur in seinem Router bzw FW die entsprechende Regel aufsetzen?"

-> Genau. Du müsstest für die Verbindung einfach noch den Port mitgeben um auf den richtigen Service zuzugreifen. Eben zB. TCP 3389 für RDP auf den Server. Und der Admin da muss das natürlich konfiguriert haben.

"Aiight! Und wenn ich über RDP zugreifen will, dann muss der TCP-Port 3389 offen sein?"

-> Genau

"Aha! Yes! Der Wald lichtet sich! Ich verstehe schon immer mehr! Ich gehe schwer davon aus, dass der der Server nicht mit einer öfftl Adresse ins Netz geht, sondern zuerst über das NAT."

-> das hoffen Darki und ich eben auch

Mich persönlich nervt die Fragerei gar nicht, sonst würde ich nicht in einem Forum eine Antwort schreiben

AW: über Remote auf Server zugreifen

Alles klaro!
Habe gerade mit der Firma telefoniert. Das gesamte Netzwerk, also auch der Server, steht hinter einem Router mit NAT. Trotzdem habe ich mal vorgeschlagen ein VPN einzusetzen. Das schaut schon positiver aus. Dank Eurer Hilfe verstehe ich nun was da abgeht, bin dadurch gewappnet für zukünftige Netzwerkthemen und ich konnte einen Beitrag zur Verbesserung der Sicherheit der Firma leisten.

Hach! Ich steh auf gute Foren!