expertenaustausch > microsoft.* > microsoft.german.windows.server.general

Jan Novak (05.07.2016, 16:30)
Hallo,

ich habe hier ein Class C Netz (192.168.0.n) unter welchem ich per RDP
auf die verschiedenen Server zugreifen darf.

Nun haben wir ein VPN Netz bekommen, welches die Clients aus einem
anderen Netz (192.168.254.n) zugreifen lässt.

Leider wollen die Windows Server (2012 R2) den Zugriff nicht gestatten.

Wo muss ich das anpassen?

Jan
Thomas Niering (06.07.2016, 06:26)
Hallo Jan,

Jan Novak <repcom> wrote:
> Wo muss ich das anpassen?


Firewall-Regel anpassen...

Ciao Thomas
Jan Novak (06.07.2016, 08:08)
Am 06.07.2016 um 06:26 schrieb Thomas Niering:
> Hallo Jan,
> Jan Novak <repcom> wrote:
>> Wo muss ich das anpassen?

> Firewall-Regel anpassen...


Beide Rechner sind im Intranet, keine Firewall ist dazwischen.

Jan
Thomas Niering (06.07.2016, 17:43)
Hallo Jan,

Jan Novak <repcom> wrote:
> Beide Rechner sind im Intranet, keine Firewall ist dazwischen.


Auf dem Windows Server 2012 läuft auch eine Firewall...

Ciao Thomas
Jan Novak (07.07.2016, 08:51)
Am 06.07.2016 um 17:43 schrieb Thomas Niering:
> Hallo Jan,
> Jan Novak <repcom> wrote:
>> Beide Rechner sind im Intranet, keine Firewall ist dazwischen.

> Auf dem Windows Server 2012 läuft auch eine Firewall...


hmm... natürlich ... richtig.
Ich bin leider Novice. Kannst du mir noch einen Tip geben?
Wo genau kann ich das geamte (private) VPN Netz frei schalten?

Vor allem: Vermutlich muss ich das dann auf "jedem" Rechner machen, auf
welchen ich von aussen zugreifen will... das wäre richtig aufwendig (8
Server (2008-2012), 40 Arbeitsplätze (gemischt Windows 7,8 und 10)

Jan
Thomas Niering (07.07.2016, 19:15)
Hallo Jan,

Jan Novak <repcom> wrote:
> Ich bin leider Novice. Kannst du mir noch einen Tip geben?
> Wo genau kann ich das geamte (private) VPN Netz frei schalten?


Nun ja, ich hab mir eine kleine Batchdatei geschrieben, die die
RDP-Verbindungen konfiguieren.

echo Aktueller Firewall-RDP-Status:
netsh advfirewall firewall show rule name="Remotedesktop (TCP eingehend)"
netsh advfirewall firewall show rule name="Remotedesktop - RemoteFX (TCP-In)"
netsh advfirewall firewall show rule name="Remote Desktop - RemoteFX (UDP-In)"

echo Firewall deaktivieren
netsh advfirewall firewall set rule name="Remotedesktop (TCP eingehend)" new enable=No profile=any
netsh advfirewall firewall set rule name="Remotedesktop - RemoteFX (TCP-In)" new enable=No profile=any
netsh advfirewall firewall set rule name="Remote Desktop - RemoteFX (UDP-In)" new enable=No profile=any

echo Firewall für alle Profile setzen
netsh advfirewall firewall set rule name="Remotedesktop (TCP eingehend)" new profile=any
netsh advfirewall firewall set rule name="Remotedesktop - RemoteFX (TCP-In)" new profile=any
netsh advfirewall firewall set rule name="Remote Desktop - RemoteFX (UDP-In)" new profile=any

echo Firewall - Remote-IP-Ranges loeschen
netsh advfirewall firewall set rule name="Remotedesktop (TCP eingehend)" new remoteip=
netsh advfirewall firewall set rule name="Remotedesktop - RemoteFX (TCP-In)" new remoteip=
netsh advfirewall firewall set rule name="Remote Desktop - RemoteFX (UDP-In)" new remoteip=

echo Firewall fuer Ports konfigurieren
netsh advfirewall firewall set rule name="Remotedesktop (TCP eingehend)" new remoteip=%remoteip%
netsh advfirewall firewall set rule name="Remotedesktop - RemoteFX (TCP-In)" new remoteip=%remoteip%
netsh advfirewall firewall set rule name="Remote Desktop - RemoteFX (UDP-In)" new remoteip=%remoteip%

echo Firewall aktivieren (nur fuer Domäne)
netsh advfirewall firewall set rule name="Remotedesktop (TCP eingehend)" new enable=Yes profile=domain
netsh advfirewall firewall set rule name="Remotedesktop - RemoteFX (TCP-In)" new enable=Yes profile=domain
netsh advfirewall firewall set rule name="Remote Desktop - RemoteFX (UDP-In)" new enable=Yes profile=domain

> Vor allem: Vermutlich muss ich das dann auf "jedem" Rechner machen,
> auf welchen ich von aussen zugreifen will... das wäre richtig
> aufwendig (8 Server (2008-2012), 40 Arbeitsplätze (gemischt Windows
> 7,8 und 10)


Genau genommen, brauchst du das nur auf deinen eigenen Rechner in der
Firma zu machen. Von da aus kommst du dann auf jeden anderen Rechner.

Ciao Thomas
Jan Novak (08.07.2016, 15:38)
Am 07.07.2016 um 19:15 schrieb Thomas Niering:

....

>> Vor allem: Vermutlich muss ich das dann auf "jedem" Rechner machen,
>> auf welchen ich von aussen zugreifen will... das wäre richtig
>> aufwendig (8 Server (2008-2012), 40 Arbeitsplätze (gemischt Windows
>> 7,8 und 10)

> Genau genommen, brauchst du das nur auf deinen eigenen Rechner in der
> Firma zu machen. Von da aus kommst du dann auf jeden anderen Rechner.


Hallo Thomas,

vielen Dank für dein Batch. Werde ich am Wochenende mal probieren.
Ich bin über VPN im Firmen Netz. Mein "lokaler" Rechner läuft
(normalerweise) nicht. Ich möchte lieber direkt auf die Server zugreifen
können, als über den Umweg des clintes in der Firma.
Aber das test ich mal aus.

VIELEN DANK vorab !

Jan
Jan Novak (08.07.2016, 15:46)
Am 07.07.2016 um 19:15 schrieb Thomas Niering:
> echo Aktueller Firewall-RDP-Status:
> netsh advfirewall firewall show rule name="Remotedesktop (TCP eingehend)"
> netsh advfirewall firewall show rule name="Remotedesktop - RemoteFX (TCP-In)"
> netsh advfirewall firewall show rule name="Remote Desktop - RemoteFX (UDP-In)"


Darauf bekomme ich diese Ausgabe:

Regelname: Remotedesktop (TCP eingehend)
----------------------------------------------------------------------
Aktiviert: Ja
Richtung: Eingehend
Profile: Domäne,Privat,Öffentlich
Gruppierung: Remotedesktop
Lokales IP: Beliebig
Remote-IP: Beliebig
Protokoll: TCP
Lokaler Port: 3389
Remoteport: Beliebig
Edgeausnahme: Nein
Aktion: Zulassen
OK.

Regelname: Remotedesktop - RemoteFX (TCP-In)
----------------------------------------------------------------------
Aktiviert: Nein
Richtung: Eingehend
Profile: Domäne,Privat,Öffentlich
Gruppierung: Remotedesktop - RemoteFX
Lokales IP: Beliebig
Remote-IP: Beliebig
Protokoll: TCP
Lokaler Port: 3389
Remoteport: Beliebig
Edgeausnahme: Nein
Aktion: Zulassen
OK.

Keine Regeln stimmen mit den angegebenen Kriterien überein.

Das scheint doch alles erlaubt zu sein?

Jan
Thomas Niering (09.07.2016, 07:19)
Hallo Jan,

Jan Novak <repcom> wrote:
> Das scheint doch alles erlaubt zu sein?


Wenn das die Ausgabe vom Server ist, ja.

Meine Vermutung war, dass hier bei "Remote-IP" ein "localsubnet" oder
ein IP-Bereich steht, was sinnvoll wäre, und auch so konfiguriert sein
sollte.

Du sprachst von "VPN bekommen". Hat das ein anderer Admin gemacht?
Dann sprich ihn doch einmal an, und frag ihn, ob es irgendwelche
Ausschlüsse gibt (z.B. RDP nur auf Client-PCs...).

Ciao Thomas
Jan Novak (11.07.2016, 07:55)
Am 09.07.2016 um 07:19 schrieb Thomas Niering:
> Hallo Jan,
> Jan Novak <repcom> wrote:
> Wenn das die Ausgabe vom Server ist, ja.
> Meine Vermutung war, dass hier bei "Remote-IP" ein "localsubnet" oder
> ein IP-Bereich steht, was sinnvoll wäre, und auch so konfiguriert sein
> sollte.
> Du sprachst von "VPN bekommen". Hat das ein anderer Admin gemacht?


Korrekt...

> Dann sprich ihn doch einmal an, und frag ihn, ob es irgendwelche
> Ausschlüsse gibt (z.B. RDP nur auf Client-PCs...).


Den gibts nicht mehr ... und dolumentiert ist (wie üblich) nichts :-(

JAn
Ähnliche Themen