Windows Server 2008 R2 RDP aus anderem Subnet blockiert?

kreilinger · 30. Juli 2013

hallo leute ...

folgendes setup:

10.60.0.0/16 (lan), mehrere server, alle w2k8 r2
10.61.0.0/16 (dmz), 1 server mit ip 10.61.0.2, ebenfalls w2k8 r2
beide netzte hängen an unterschiedlichen switches, die jeweils 1x mit dem passend konfigurierten interface auf einer juniper-firewall verbunden sind

auf dem server in der dmz läuft ein webportal zur zeiterfassung, dass sowohl von externen mitarbeitern als auch von mitarbeitern in der zentrale genutzt werden können soll. daher gibt es ein portforwarding für port 80 von der öffentlichen ip auf die ip des dmz servers. weiters ist in die firewall so konfiguriert, dass alle ips aus dem lan netz auf port 80 der ip des servers in der dmz zugriff haben. das funktioniert auch einwandfrei.

zur besseren wartbarkeit habe ich nun RDP auf dem server in der dmz aktiviert und die eingehende firewallregel aktiv gesetzt, um verbindungen zuzulassen. danach wurde auf der juniper firewall konfiguriert, dass alle lan ips RDP zugriff auf die ip vom dmz server haben. dies funktioniert jedoch leider nicht.

routing sollte alles stimmen, da ja port 80 und ping einwandfrei zwischen den netzen funktionieren.

ist es möglich, dass die windows firewall auf dem dmz server verbindungen aus anderen subnets blockiert? wenn ich einen zusätzlichen pc in dieses netz gebe, kann ich den server von diesem einwandfrei erreichen.

bitte um hilfe!

mfg
markus

moellers_oma · 30. Juli 2013

solch ein Verhalten, würde ich von der Windows Firewall nicht kennen, möglich ist es aber.
Der freigegebene Port auf der Juniper ist 3389? Die IP in der FW passt auch? Nur zur Sicherheit, Typo etc?.

VG,
Sven

kreilinger · 31. Juli 2013

hallo,

jap, port ist 3389/udp+tcp.

ip der firewall auf dem dmz interface ist 10.61.0.1 und auf dem lan interface 10.60.0.254.

10.61.0.1 ist auf dem dmz server als standard gateway eingetragen

nubi80 · 31. Juli 2013

ich denke du meinst 10.60.0.254 als GW auf der LAn Seite...

läuft denn die Windows Firewall auf dem Server in der DMZ?
Wenn ja, schalte sie mal testweise aus ob es dann funktioniert. Dann muss nur noch dort Hand angelegt werden.
Ein bloses aktivieren von RDP auf dem Server genügt meiner Erfahrung nach nicht.

kreilinger · 1. August 2013

sorry, war ein tippfehler, habs ausgebessert.

die firewall komplett zu deaktivieren habe ich auch schon versucht, ändert leider nichts an meinem problem. aus dem gleichen subnet weiterhin kein problem, aus einem anderen subnet funktioniert es trotzdem nicht.

habe mittlerweile zu testzwecken die juniper hardware firewall jetzt durch eine etwas ältere sonicwall ersetzt, die ich noch hatte. alles wieder konfiguriert wie vorher, selbes problem. http funzt wieder problemlos, rdp nicht.

nubi80 · 1. August 2013

versucht du den server über IP oder über Hostname an zu sprechen?
Funktioniert ein NSLokup auf den Hostname, und wird die korrekte IP zurückgeliefert?

ms007 · 19. August 2013

Suche

kreilinger

Ensign

moellers_oma

Cadet 4th Year

kreilinger

Ensign

nubi80

Lieutenant

kreilinger

Ensign

nubi80

Lieutenant

ms007

Lt. Junior Grade Pro

Ähnliche Themen