Mehrere RDP-Verbindungen auf verschiedene Rechner über AVM Fritzbox 7490

[PHuV]

Ich möchte gerne per RDP (Remotedesktop) auf mehrere Rechner zu Hause zugreifen. Als Router dient eine AVM Fritzbox 7490 mit aktueller Firmware. Die Rechner sind alles aktuelle Windows 8.1.1 Pro 64 Bit. Ein Server ist ohne weiteres auf dem Standardport 3389 per RDP erreichbar. Natürlich könnte man von dort aus ins interne Netz per RDP zugreifen. Jedoch das möchte ich jetzt in einem speziellen Fall nicht, da jemand anderes auf einem bestimmten Rechner etwas machen soll. Teamviewer ist auch eine Möglichkeit, aber hier möchte ich explizit mal RDP haben.

Nun habe ich - wie bei allen Routern so üblich - einfach ein Port-Weiterleitung eingerichtet.


Sprich, ich komme von außen Server:3388, und erwarte, daß dann dieser Port weitergeleitet wird auf intern Anwendung:3389.

Ich hatte vorher Draytek-Router und eine Easybox 803, da hat das immer so geklappt (per NAT-Translation), hier beiße ich mir die Zähne aus, es funktioniert nicht. Ich komme so nicht an diesen Rechner per RDP dran. Testweise habe ich auf einem Rechner den RDP-Port per Registy geändert, aber mit dem gleichen Ergebnis, ich bekomme keine Verbindung von außen auf andere Port außer 3389. Wo ist mein Denkfehler?

 

[startaq]

Das sollte so funktonieren. Sicher dass du an den richtigen Rechner weiterleitest und keinen Tippfehler beim Verbinden drin hast?

 

[chrigu]

auf deinem bild steht port 3389 auf port 3389... wenn ich es recht verstanden habe sollte aber port 3388 auf 3389 gestellt sein, oder?

 

[PHuV]

Das sollte so funktonieren. Sicher dass du an den richtigen Rechner weiterleitest und keinen Tippfehler beim Verbinden drin hast?

Ja

auf deinem bild steht port 3389 auf port 3389... wenn ich es recht verstanden habe sollte aber port 3388 auf 3389 gestellt sein, oder?

Es gibt eine RDP-Verbindung über den Standardport 3389, und unten siehst Du die Verbindungen RDP2 und RDP3, welche von außen mit 3388 und 3387 angesprochen werden sollen.

In dem Remotdesktop gebe ich dann dievon außen per DynDNS erreichbare Adresse + Port ein

AußenIP:3388

Ich vermute mal, daß hier der RDP-Client ein Problem hat.

 

[Raijin]

Nur damit wir hier nicht aneinander vorbeireden:


Von außen RDP-Sitzung öffnen mit DeineWAN-IP : 3387 ==> 192.168.0.100 : 3389
Von außen RDP-Sitzung öffnen mit DeineWAN-IP : 3388 ==> 192.168.0.101 : 3389
Von außen RDP-Sitzung öffnen mit DeineWAN-IP : 3389 ==> 192.168.0.102 : 3389

(IPs willkürlich gewählt)

Ist das so richtig?

Wenn mit dem Zielrechner x keine Verbindung aufgebaut werden kann, kann das mehrere Ursachen haben. Beispielsweise kann die Portweiterleitung fehlerhaft sein oder die Firewall des Ziels blockt ab. Ersteres könnte man beispielsweise mit WireShark testen und damit auf Port 3389 auf dem Zielrechner prüfen ob überhaupt irgendwelche Daten auf dem Port ankommen. Bei der Firewall gilt es auch den Quellbereich zu bedenken. Eine RDP-Anfrage aus dem LAN kommt in der Regel aus demselben Subnetz. Eine Anfrage von außen kommt von einer externen IP, der WAN-IP der Quelle. Die Firewall muss Port 3389 "von überall" zulassen.

Ich persönlich würde aber immer ein VPN vorschalten. Nur eine Portweiterleitung (VPN-Port) und dann quasi wie im LAN ganz normal auf die Server zugreifen.

 

[st0rax]

Du übergibst bei der Verbindung aber schon den korrekten Port?
also im RDP client ip-addresse:deinwunschport

ok grad gelesen das du es anscheinend tust.

 

[nicknackman1]

Das wird so nicht funktionieren, da diese Ports standardmäßig für andere Anwendungen vergeben sind! Warum startest Du wenn Du von aussen über RDP in Deinem Netz bist nicht von da aus eine RDP Session auf den gewünschten Rechner!?

 

[st0rax]

Ich würde ansonsten empfehlen entweder:
VPN Tunnel ins Netz und bei den RDP servern entsprechende User erlauben/aussperren

oder:

einen server per RDP von dem man dann weitere server per rdp erreichen kann und natürlich entsprechende konfiguration der rdp server

 

[PHuV]

Nur damit wir hier nicht aneinander vorbeireden:


Von außen RDP-Sitzung öffnen mit DeineWAN-IP : 3387 ==> 192.168.0.100 : 3389
Von außen RDP-Sitzung öffnen mit DeineWAN-IP : 3388 ==> 192.168.0.101 : 3389
Von außen RDP-Sitzung öffnen mit DeineWAN-IP : 3389 ==> 192.168.0.102 : 3389

Ist das so richtig?

Korrekt, genau so will ich das haben.

Wenn mit dem Zielrechner x keine Verbindung aufgebaut werden kann, kann das mehrere Ursachen haben. Beispielsweise kann die Portweiterleitung fehlerhaft sein oder die Firewall des Ziels blockt ab.

Aber das Ziel ist doch genau mein Netzwerk. Und ich habe hier nichts weiter eingestellt.

Ersteres könnte man beispielsweise mit WireShark testen und damit auf Port 3389 auf dem Zielrechner prüfen ob überhaupt irgendwelche Daten auf dem Port ankommen. Bei der Firewall gilt es auch den Quellbereich zu bedenken. Eine RDP-Anfrage aus dem LAN kommt in der Regel aus demselben Subnetz. Eine Anfrage von außen kommt von einer externen IP, der WAN-IP der Quelle. Die Firewall muss Port 3389 "von überall" zulassen.

Das funktioniert mit dem Standardport auf dem Server und auf Anwendung, wenn ich diesen bei der Port-Weiterleitung ersetze, einwandfrei. Sobald ich aber einen anderen Port von außen verwende, geht es nicht.

Ich persönlich würde aber immer ein VPN vorschalten. Nur eine Portweiterleitung (VPN-Port) und dann quasi wie im LAN ganz normal auf die Server zugreifen.

Will ich nicht, da die betreffende Person nur auf diesen Rechner soll, und nicht auf mein Netzwerk.

 

[BeiNacht]

Das wird so nicht funktionieren, da diese Ports standardmäßig für andere Anwendungen vergeben sind!

Das ist einfach nur falsch.

Dann noch das in der Signatur. "„Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, aber bei dem Universum bin ich mir noch nicht ganz sicher.“
Albert Einstein"

 

[nitech]

Ansonsten kannst du auch über die Registry auf den entsprechenden Rechnern das default Port von RDP ändern, dann brauchst du kein Porttranslation.
Evt. musst du evt. noch nachschauen ob du in den Firewalleinstellungen der Firtzbox die Ports freischalten musst. (z.b. ist das bei einem Zyxel Firewall so dass man bestimmte ports WAN to LAN freischalten muss.

 

[PHuV]

Das ist einfach nur falsch.

Richtig, die Ports 3388/7 sind so nicht vergeben. Aber das ist egal, ich kann selbst Port 4000, 10000, 9999 verwenden, es findet keine Weiterleitung von außen nach innen zu 3389 statt. Und das wundert mich. Per HTTP geht das doch auch ohne Probleme, oder andere Anwendungen. Nur der RDP zickt hier rum.

Ergänzung (29. April 2015)

Ansonsten kannst du auch über die Registry auf den entsprechenden Rechnern das default Port von RDP ändern, dann brauchst du kein Porttranslation.
Evt. musst du evt. noch nachschauen ob du in den Firewalleinstellungen der Firtzbox die Ports freischalten musst. (z.b. ist das bei einem Zyxel Firewall so dass man bestimmte ports WAN to LAN freischalten muss.

Siehe in meinem Startpost, das habe ich bereits probiert, und es geht auch nicht.

 

[chrigu]

du kannst ja "von aussen" port 3380 bis 3399 auf "interne ip" port 3389 tcp/udp leiten. oder ist im netzwerk mehrere pc die über rdp einen anderen pc fernwarten müssen? dann muss jeder rdp der internen pc auf ein extra port gestellt werden. dazu gibt es anleitungen im internet..
oder verstehe ich es falsch?

 

[nitech]

Wie schon geschrieben: du kannst noch probieren auf dem Rechner den Standard RPD-Port ändern:
Start Registry Editor.
Locate and then click the following registry subkey:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber
On the Edit menu, click Modify, and then click Decimal.
Type the new port number, and then click OK.
Quit Registry Editor.
Restart the computer.
und bei der Portweiterleitung kein Translation verwenden: d.h. 3388 wird auch an 3388 weitergeleitet.

 

[PHuV]

@nitech

Siehe mein Startport, das habe ich schon probiert, das war auch meine erste Idee, aber es funktioniert eben auch nicht.

 

[Joe Dalton]

MoinMoin,

Will ich nicht, da die betreffende Person nur auf diesen Rechner soll, und nicht auf mein Netzwerk.

Wenn man nur einen Hammer hat, dann sieht jedes Problem wie ein Nagel aus.
Auch per VPN kannst Du Deine Zugriffe regeln: In der Firewall einfach festlegen, wohin der User darf. Alternativ mit brauchbaren Logins arbeiten. Dann könnte zwar jemand die anderen Rechner sehen und grundsätzlich auch ansprechen, aber er kann sich darauf nicht einloggen.

Wenn Du das Problem weiter mit RDP angehenw willst: Dann sind Wireshark und Telnet Deine Freunde.
Mit Telnet/Wireshark prüfen, bis wohin Du mit Deinen Anfragen von außen kommst.


Bei der Gelegenheit noch ein paar Fragen:
- Wenn es vorher mit Draytek und anderen lief, warum hast Du jetzt eine Fritz!Box?
- Über welchen Provider gehst Du?

-> Wenn es vorher funktionierte, was hat sich dann in letzter Zeit geändert.


Cu,
Chris

 

[PHuV]

du kannst ja "von aussen" port 3380 bis 3399 auf "interne ip" port 3389 tcp/udp leiten. oder ist im netzwerk mehrere pc die über rdp einen anderen pc fernwarten müssen? dann muss jeder rdp der internen pc auf ein extra port gestellt werden. dazu gibt es anleitungen im internet..
oder verstehe ich es falsch?

Erster Satz ja, ich komme von außen mit einem anderen Port rein, und der sollte doch per Fritzbox einfach intern anders geroutet werden. So verstehe ich Port-Weiterleitung. Wie oben gesagt, mit Draytek-Routern geht das ja ohne weiteres.

Und nein, ich brauche keinen extra Port, weil Weiterleitung heißt für mich, eine Anwendung meldet sich von außen mit einem anderen Port am Router an, und der sollte intern doch korrekt auf den Stardardport routen.

Ergänzung (29. April 2015)

Wenn Du das Problem weiter mit RDP angehenw willst: Dann sind Wireshark und Telnet Deine Freunde.
Mit Telnet/Wireshark prüfen, bis wohin Du mit Deinen Anfragen von außen kommst.

Nochmals, ich bitte darum, die Dinge vorher genauer zu lesen.

• Wenn ich den Standardport 3389 verwende, egal welcher Rechner ich dann per Portweiterleitung konfiguiere, dann klappt die Weiterleitung immer. Das habe ich bereits alles überprüft und getestet.
• Ändere ich einen Rechner per Registry, wie hier vorgeschlagen, z.B. auf 3388, klappt die Verbindung zwar intern, aber nicht von außen per Port-Weiterleitung von der Fritzbox 7490

Bei der Gelegenheit noch ein paar Fragen:
- Wenn es vorher mit Draytek und anderen lief, warum hast Du jetzt eine Fritz!Box?
- Über welchen Provider gehst Du?

-> Wenn es vorher funktionierte, was hat sich dann in letzter Zeit geändert.

Ich hatte vorher die Geräte Draytek 2900, 2930n, welche wirklich toll waren und sehr gut konfiguriert werden konnten.
Dann wechselte ich auf VDSL50 von Vodafone, und es begann das Drama. Da eine Fritzbox 7390 hier gar nicht funktionierte, mußte ich zwangsweise auf der Easybox 803 arbeiten. Dann brachte Draytek endlich ein Gerät mit VDSL-Unterstützung, den 2850V. Hier gab es aber sehr lange ein großes Problem mit VoIP, so daß ich den Router zurückgeben mußte. Und dann wechselte ich auf die neue 7490, welches mit Internet und VoIP auf Anhieb ohne Probleme lief. Leider sind hier die Einstellungen seitens Firewall und NAT/Port-Forwarding deutlich begrenzter und eingeschränkter als bei den oben genannten Geräten.

 

[chrigu]

nein. die fritzbox sperrt prinzipiell sämtliche ports, werkseitig.
doch, du musst nur den eingang-port eintrag richtig konfigurieren, udp/tcp..

ist ja klar, dass wenn du intern den port änderst, auch die port-regel angepasst werden muss.

die fritzbox ist eher consumer-macht-alles-von-selber.. draytec ist eher für zusätzliche feature bekannt.. der preis ist auch entsprechend.

eine möglichkeit wäre noch die upnp funktionalität zu aktivieren, damit baust du aber leider ein unsicherheitsfaktor mit ein..

 

[PHuV]

nein. die fritzbox sperrt prinzipiell sämtliche ports, werkseitig.
doch, du musst nur den eingang-port eintrag richtig konfigurieren, udp/tcp..

Habe ich doch durch die Portfreigabe so gemacht.

ist ja klar, dass wenn du intern den port änderst, auch die port-regel angepasst werden muss.

Richtig, das ist klar. Dann gibt es einfach nur eine 2.Regel mit Weiterleitung z.B. 3388 -> 3388. Aber das geht ja auch nicht.

die fritzbox ist eher consumer-macht-alles-von-selber.. draytec ist eher für zusätzliche feature bekannt.. der preis ist auch entsprechend.

Der Preis ist mir ja egal, wenn es funktioniert. Und nach dem Desaster mit dem 2850V, der mich mehrere Monate mit dem Support kostete (der zwar sehr gut war, aber das Firmwareupdate aus Taiwan über 9 Monate dauerte, was aber IMHO unzumutbar war) traue ich mich hier gar nicht an weitere aktuelle Geräte ran.

eine möglichkeit wäre noch die upnp funktionalität zu aktivieren, damit baust du aber leider ein unsicherheitsfaktor mit ein..

Daran dachte ich auch bereits, und das UPNP ist aktuell aktiviert.

 

[Raijin]

Sorry, aber was erwartest du nun von uns? Bei Problemen im Netzwerk muss man nun mal manchmal mit WireShark und Co arbeiten - auch wenn es nur darum geht Fehlerquellen auszuschließen! Du kannst hier noch lange hin und herposten, spekulieren, nach Lösungen fragen, aber wenn du nicht Stück für Stück die Liste der potentiellen Ursachen abarbeitest, wirst du nicht weit kommen..

Nimm WireShark, starte es auf einem der PCs. Dann aktivierst du das Logging auf der Netzwerkschnittstelle, stellst den Filter auf etwas wie "ip.dst==192.168.0.100" (IP des Servers verwenden!). Damit siehst du alle eingehenden Datenpakete, die direkt an diesen PC gesendet werden. Im Optimalfall wirst du dort auch die RDP-Pakete sehen. Den Filter kann man dann weiter einschränken, um nur die RDP-Daten zu sehen.