RDP Server im Internet nur via Fritzbox mit dynamischer IP erreichbar machen?

[Arion]

Hallo,
ich habe einen Root-Server gemietet auf dem Windows Server 2019 läuft. Ich selbst greife via RDP auf den Server zu.
Bis gestern hatte ich einen Internetanschluss mit statischer IP.

Diese IP hatte ich als eigehende Regel in den Windows Firewall Settings, für den RDP Port, eingetragen. Das hatte super funktioniert, da auf dem Server keine weiteren Dienste laufen.

Seit gestern besitze ich jedoch wieder einen gewöhnlichen Internetanschluss mit einer dynamischen IP Adresse.
Ich habe mir dazu eine Fritzbox 7530 AX gekauft, diese auf die aktuelle Labor FW gebracht und ein Fritzbox Konto erstellt, damit ich eine persönliche Fritz dyndns Adresse erhalte.

Eigentlich wollte ich diese Fritz dyndns in die Windows Server Firewall anstelle meiner alten statischen IP eintragen. Leider funktioniert das nicht, da Windows nur echte IP-Adresse und keine .myfritz Adressen zu lässt.

Habt ihr eine Idee, wie ich das Problem lösen kann bzw. wie ich die Fritz dyndns nutzen kann für mein Vorhaben?

 

[madmax2010]

ich habe einen Root-Server gemietet auf dem Windows Server 2019 läuft. Ich selbst greife via RDP auf den Server zu.

VPN hast du eingerichtet?

RDP bitte niemals nackt im Internet hängen lassen, auch nicht nur 10 Minuten. Den IPv4 space nach opfern abzusuchen dauert wenige Minuten und die Anzahl an Menschen die das tun ist >1. Das Internet ist groß und doch so klein.

Richte dir einen Wireguard Tunnel zwischen fritzbox und Server ein und teste,, dass RDP nur da durch erreichbar ist

 

[Arion]

Darum geht es nicht. Wireguard dient für die VPN Verbindungen außerhalb meines Heimnetzes. Dennoch möchte ich erst einmal den RDP Port nur via Myfritz Adresse erreichbar machen.

 

[_anonymous0815_]

Doch, genau darum geht es, das ist extrem dämlich.

 

[madmax2010]

Moment. Du sagst dass du einen windows server gemietet hast. Du willst darauf zugreifen. Warum denn eine Adresse mit dymaischem DNS? Da kann ich nicht folgen.
Gib ihr doch einen statischen A Records oder greif direkt via IP darauf zu.

 

[Helge01]

den RDP Port nur via Myfritz Adresse erreichbar machen.

Das geht nicht.

DynDNS am eigenen Internetanschluss hat überhaupt nichts mit eingehenden Firewall Regeln auf dem Server zu tun.

Wieso betreibt man einen Windows 2019 Root-Server wenn man überhaupt keine Ahnung hat?

@madmax2010 Er hat bisher um den RDP Zugang abzusichern nur seine statische IP-Adresse vom eigenen Internetanschluss in der Firewall vom gemieteten Root-Server zugelassen.

 

[Donnidonis]

Du müsstest dir halt ein Skript schreiben, was deine MyFritz Adresse anfragt und prüft ob sich die IP geändert hat. Wenn es so ist -> Firewall anpassen. Ist machbar, aber unschön.

Empfehlung daher auch, per VPN auf die Kiste und ‚lokal‘ RDP nutzen.

 

[Mr.Blacksmith]

Port 3389 für alle ins iNet hängen?! Wer Dir das empfohlen hat, kämmt sich definitiv mit nem Hammer!

Eröffne bei O&O Syspectre ein Konto (ist kostenlos!), nimm das für Dich generierte Installerpaket und führe es auf dem Server aus, danach kannst Du per Browser eine verschlüsselte RDP-Session auf dem Server initiieren bei Bedarf und wirst noch dazu, je nach Einstellung bei Syspectre, mit eMails informiert, was gerade auf dem Server schief läuft!

 

[Arion]

Ich möchte hier keine Grundsatzdiskussion anfangen. Auf dem Server läuft nichts weiter und alle Ports sind dicht, auch der Standard 3389 RDP Port. Ich habe einen gesonderten RDP Port festgelegt der nur über meine statische IP erreichbar war. Nun ist der Server offline, bis ich eine Lösung habe.

Die myfritz Adresse ist ja an meinen Router und dessen IP-Adresse gekoppelt, ähnlich wie der Dienst DnyDns. Am liebsten hätte ich die Myfritz Adresse in die Firewall eingetragen aber das funktioniert anscheinend nur über Umwege. @Donnidonis Skript-Vorschlag wäre eine Möglichkeit, die ich mir genauer ansehen werde.

@Mr.Blacksmith Vorschlag, O&O Syspectre zu nutzen hört sich auch nicht verkehrt an. Muss ich mal ausprobieren.

 

[_anonymous0815_]

"Wer nicht will, der hat schon."

 

[Donnidonis]

@Arion
Das Problem bei direkter Angabe von der Adresse ist halt das die Firewall eine DNS Auflösung machen muss, das macht sie eben nicht. Da gehen nur reine IPv4 Adressen, wenn ich mich nicht irre.

 

[riversource]

Hinter einem DNS Namen können sich ja auch mehrere Adressen verbergen, von daher kann man das schon theoretisch nicht in Firewall Regeln verwursten, und Reverse DNS ist dann noch mal ein anderes Thema. Also das kann man vergessen.

Da also eine einschränkende Firewall-Regel nicht mehr möglich ist und man RDP niemals offen ins Internet hängen sollte (es gibt über 300 dokumentierte Schwachstellen), bleibt nur ein VPN. Da es ein Windows Server ist, würde ich ein VPN mit einer klaren Server-Client Architektur bevorzugen, und der Windows Server sollte der Client sein. Damit scheidet ein bi-direktionales VPN wie Wireguard oder IPSec aus. Wireguard hat auch ein Problem mit dynamischen IP-Adressen, wenn in einer aktiven Verbindung ein Client die IP wechselt.

Ich würde OpenVPN vorschlagen. Bau vom Windows Server eine Verbindung zu dir nach Hause auf und mache darüber RDP. Das klappt problemlos mit dyndns und ist hinreichend sicher (wenn du zu Hause einen Linux Server dafür verwendest).

Alternativ kannst du natürlich auch einen kleinen Linux VPS anmieten und den als Firewall und VPN Gateway vor den Windows Server hängen. Das wäre vielleicht sogar die beste Lösung.

 

[Donnidonis]

@riversource
Gibt es dokumentierte Schwachstellen in der Windows Server Firewall, oder warum ist die Empfehlung einen Linuxserver davor zu setzen? Zusätzlich hängt das RDP ja nicht offen im Netz, da ja eben die Firewall es absichert. Verstehe daher deine Punkte nicht so ganz. Die Firewall Regel ist möglich, man muss nur die DNS Auflösung machen und die Regel updaten.

Zudem gehen die Empfehlungen an dem was der TE will ja klar vorbei.

 

[Bob.Dig]

Jetzt bei 1u1 habe ich immer eine Adresse aus nur einem IP-Block, also damit könnte man schon mal einschränken.
Ich würde aber eine Wireguard Verbindung aufsetzen, die von beiden Seiten aufgebaut werden kann bzw. genau so mache ich es bereits. Leider verpennt der WG-Client für Windows nach einem Reboot teilweise eine Verbindung aufzubauen, vermutlich nur ein Bug, der hoffentlich irgendwann korrigiert wird.

Ergänzung (25. Februar 2023)

Hinter einem DNS Namen können sich ja auch mehrere Adressen verbergen, von daher kann man das schon theoretisch nicht in Firewall Regeln verwursten

Kommt ganz auf die Firewall an, für die Windows eigene geht halt definitiv kein DNS.

 

[Arion]

Ich mach mir weniger Sorgen um das RD Protokoll, gerade wenn nicht der Standard-Port + der RDP Port nur über eine einzige IP nutzbar ist, als um Windows Server an sich.

Zuvor hatte ich OpenVPN genutzt, da meine alte Fritzbox dank Vodafone Branding noch nicht mit dem Wireguard FW Update bedacht wurde. Da Wireguard performanter ist, wollte ich darauf in Zukunft setzen. Mal sehen wie zuverlässig das funktioniert.

Dass die Windows Firewall definitiv kein DNS kann, ist eine Ansage.

@Bob.Dig Hinweis, dass 1&1 bspw. feste IP Blöcke benutzt, ist auch ein guter Hinweis. Ich werde meine IPs die kommenden Tage beobachten oder sollte ich ungeduldig werden, selbst herbeirufen.

 

[riversource]

Gibt es dokumentierte Schwachstellen in der Windows Server Firewall, oder warum ist die Empfehlung einen Linuxserver davor zu setzen?

Nein, es ist die Komplexität. Ein Windows Server ist so wahnsinnig schwierig abzusichern, dass man das nur mit einer sehr intensiven Ausbildung und jahrelanger Erfahrung einigermaßen hinbekommt. Alle erfahrenen Admins, die ich kenne, hängen eine andere Firewall vor einen Windows Server.

Zusätzlich hängt das RDP ja nicht offen im Netz, da ja eben die Firewall es absichert.

Du machst doch eine Ausnahme in die Firewall, sonst wäre der Port ja nicht erreichbar. Die Firewall schützt also nicht mehr.

Ich mach mir weniger Sorgen um das RD Protokoll, gerade wenn nicht der Standard-Port + der RDP Port nur über eine einzige IP nutzbar ist, als um Windows Server an sich.

Das mit der einen IP kriegst du ja nicht mehr hin, und über 20 Lücken in RDP erlauben sofort einen uneingeschränkten Rootzugriff ohne Zugangsdaten oder sonstwas. Und das sind nur die bekannten Lücken. Auch von Telekom oder 1&1 Adressen gibt es Attacken. Das Vorhaben ist glatter Selbstmord.

Bedenke, dass du haftbar gemacht werden kannst für Unfug, den man mit deinem Server anstellt. Leute wie du sind der Grund wenn die IP-Netze der Hoster auf den Blacklisten landen und alle Kunden darunter leiden. Es ist grob fahrlässig und rücksichtslos.

Ergänzung (25. Februar 2023)

Zudem gehen die Empfehlungen an dem was der TE will ja klar vorbei.

Ich denke, der TE will einen stabilen und sicheren Zugriff auf seinen Windows Server. Genau das erreicht man mit den Empfehlungen.

 

[Donnidonis]

Du machst doch eine Ausnahme in die Firewall, sonst wäre der Port ja nicht erreichbar. Die Firewall schützt also nicht mehr.

Aber mit der Ausnahme der IP Adresse, also schützt sie sehr wohl. Und wer behauptet ein Windows Server abzusichern geht nur sehr intensiver Ausbildung und jahrelanger Erfahrung hat meines Erachtens sich nie wirklich damit beschäftigt. Aber sei es drum, ich bin hier raus. Der TE weiß was er wissen muss, der Rest wird zu sehr OT.

 

[riversource]

Und wer behauptet ein Windows Server abzusichern geht nur sehr intensiver Ausbildung und jahrelanger Erfahrung hat meines Erachtens sich nie wirklich damit beschäftigt

Schau dir im Netcup Forum die entsprechenden Beiträge der genervten Hoster Kunden an, deren IP auf einer Blacklist gelandet ist, weil mal wieder ein Windows Server im gleichen Subnetz gehackt wurde...

 

[Raijin]

Also in der Firewall eine Regel zu definieren, die den Zugriff auf eine bestimmte Quell-IP einschränkt und somit nur von dieser IP genutzt werden kann, ist schon ok. Natürlich gilt das auch als "Absicherung", weil der Port für alle anderen nicht zugänglich ist. Das ist doch das Grundprinzip der Firewall: Erwünschtes erlauben und den Rest blocken.

Im übrigen ist es nicht nur die Windows-Firewall, die nicht mit Domains funktioniert. Dasselbe gilt auch für iptables unter Linux. Ja, man kann bei iptables Domains eingeben, aber diese wird einmalig aufgelöst und eben jene IP tatsächlich in die Regel eingefügt. Die Domain wird also auch unter Linux nicht auf eine veränderte IP geprüft.

Aber: Wie @Donnidonis schon schrieb kann man sowas aber über ein Skript lösen. Ein Task im Taskmanager, der regelmäßig die fragliche Domain auflöst und bei Änderung der dazugehörigen IP-Adresse die Firewall-Regel anpasst.


Nichtsdestotrotz würde ich RDP wie viele andere hier im Thread auch hinter einem VPN verwenden. Windows (Server) hat in meinen Augen große Defizite bei der sicheren Verwaltung aus der Ferne. RDP ist bestenfalls ein gepimptes VNC, kann aber einem zertifikatsbasierten SSH-Zugang mit fail2ban, o.ä. nicht mal im entferntesten das Wasser reichen. Deswegen würde ich auch angesichts einer Quell-IP-basierten Firewall-Regel dennoch in der Firewall alles dichtmachen, ausschließlich VPN zulassen und darüber RDP nutzen.

 

[Helge01]

Und wer behauptet ein Windows Server abzusichern geht nur sehr intensiver Ausbildung und jahrelanger Erfahrung hat meines Erachtens sich nie wirklich damit beschäftigt

Bei mir landen täglich IP Adresse in Blocklisten die von solche Hostern wie z.B. OVH, Hetzner, Contabo, Netcup stammen, die für Angriffe missbraucht werden. Die Server werden von ahnungslosen Kunden betrieben, die schnell übernommen werden ohne das die jemals was davon mitbekommen. Das ist mittlerweile eine Seuche und die Betreiber tun nur wenig dagelegen, da sie auch mit gehackten Servern Geld verdienen.