VM aus dem Internet erreichbar mit Fritzbox

[schneiderchs]

Hallo,

ich habe eine 218+ auf der Windows 10 auf der VM läuft. Ich nutze mit meinem iPad die App Remote Desktop von Microsoft und möchte nun über mobilfunk darauf zugreifen.
bei der fritzbox (6591) habe ich MyFRITZ! Dienste aktiviert. Wenn Ich nun aber diese Domain, die mir von der fritzbox vorgegeben wird In die App eintrage bekomme ich keine Verbindung. Wenn ich einen Port über die ip Adresse aus Windows umleite, dann heißt es: die ip Adresse wir schon benutzt.

was nun?

danke.

 

[Synchrotron]

Du solltest statt des myfritz-Zugangs den VPN-Zugang der Fritzbox aktivieren. Dazu gibt es gute Hilfetexte, oder auch Tutorials (z.B. idomix.de).

Wenn du dich so reinwählst, ist es wie wenn du im Heimnetzwerk wärst. Ab da kennst du dich ja aus.

 

[schneiderchs]

Danke für die Antwort.
Der VPN Zugang klappt nun.
Wenn ich aber nun weiterhin ohne VPN von aussen zugreifen will. Ich habe auch alternativ eine Dyndns-Adresse.

 

[mic777]

Hallo,
VPN muss nicht zwangsläufig sein. Der Remote-Desktop von Windows läuft standardmäßig auf dem TCP-Port 3389, lässt sich aber ändern gerade bei mehreren VMs. Dennoch würde ich den Port ändern, damit der Client nicht ohne weiteres online zu finden ist. Am Router muss dazu lediglich eine Portfreigabe erfolgen.

Gruß Mic777

 

[schneiderchs]

Ich wollte eine Portweiterleitung der IP von Windows machen. Der Router sagt aber, dass die IP schon benutzt wird,
oder muss ich die von der Diskstation nehmen?

 

[mic777]

Nein, der Port für den Remote-Desktop hat nichts mit der Diskstation zu tun, da die Windows-VM eine eigene IP-Adresse im Netzwerk hat. Die Freigabe im Router (mgl. 3389) muss also auf die IP-Adresse der Virtuellen Maschine routen, nicht auf den Host wo die VM drauf läuft. Ich würde mal im Router schauen, auf welche IP die vorh. Freigabe routet. Ggf. löschen, wenn nicht benötigt oder eine neue Freigabe mit anderem Port (ggf. 3388) am Router anlegen. Dann sollte ein Zugriff via Internet mit Remote-Desktop auf die VM möglich sein.

Bsp: Adresseingabe am Remote-Desktop mit Synology-DDNS: "meineds.synology.me:3389"

Auf diese Weise route ich ohne VPN auf 3 virtuelle Windows-VMs, natürlich aus Sicherheitsgründen auf 3 unterschiedliche TCP-Ports.

Gruß mic777

 

[blurrrr]

Wenn ich hier sowas nochmal lese, gibt das aber mächtig Stunk... ?

Warum? Weil es völlig besch***** ist, den RDP-Port direkt nach aussen freizugeben, da RDP von Haus aus über genau "0" Sicherheitsmechanismen verfügt, um z.B. ganz dumme Bruteforce-Attacken zu unterbinden (also kein fail2ban o.ä.). Hier solche "Tips" zu verbreiten ist wirklich unter aller S**.... RDP "nur" via VPN. Andere Dinge - als Beispiel sei mal schlichtweg SSH genommen - verfügen über div. Möglichkeiten oder lassen sich in andere Dinge implementieren wie z.B. zertifikatsbasierte Authentifizierung, fail2ban-Jail, ggf. Portknocking, etc., RDP ... NICHT. Deswegen hängt man das auch nicht "einfach so" ins Netz und schon garnicht über den Standard-Port (3389/TCP und mittlerweile auch UDP).

Solche Tips zu geben, ist genauso sinnvoll, wie irgendwelchen Leuten zu erklären, dass sie Ihre Haustür nicht abschliessen brauchen und die Tür am besten einfach offen stehen lassen, die möglichen Folgen bleiben einfach mal unerwähnt... Das aber nur mal so am Rande.

So, zum Abschluss noch ein "Sorry" für den rüden Ton, aber bei solchen Themen bzw. solchen "sinnvollen" Tips ist bei mir einfach Schluss mit lustig ?

EDIT: Auch wenn es schon etwas her ist (grade erst gesehen), "kann" und "sollte" man sowas nicht einfach so stehen lassen (für die Nachwelt).

 

[Fusion]

Definitiv. Nachdem RDP gerade mal wieder zur Nummer Eins für Ransomware Eintritte gekürt wurde. Da spart man denen noch das Eindringen ins LAN und legt sein Geldbeutel direkt auf die Straße.