Portforwarding am 1711 VPN - ich bin echt verzweifelt

[marrkus]

Hallo,

ich hab schon alle möglichen Beiträge zu dem Thema gefunden und gelesen, leider hat mir bisher nix weitergeholfen. Vielleicht hat ja jemand einen Hinweis für mich den ich bisher übersehen hab.

Folgende Situation:
wir haben einen Telekom Internetzugang mit mehreren festen IP Adressen. Ich nenn sie hier einfach x.x.x.x
Auf x.x.x.94 (intern 192.168.100.1) hab ich einen Lancom 1711+ über den unser Internet Traffic rein und rausgeht. u.a. ein port forward auf einen RDP Server. funktioniert einwandfrei.

Jetzt hab ich auf x.x.x.96 (Intern 192.168.100.2) einen zweiten Lancom 1711 (ohne +) angesteckt und kann über den auch ins Internet. Kann ihn von aussen anpingen, wenn ich's erlaube auch von aussen über http (port 80) auf die Konfig Seite zugreifen.
Von Innen kann ich ihn anpingen, kann ebenfalls auf die Konfig Seite und im Lanconfig wird er auch einwandfrei angezeigt.

Nur das Portforwarding klappt nicht. Ich versuche Port 3389 von aussen auf einen Arbeitsplatz (IP 192.168.100.100) zu kriegen, aber er will das nicht. Ich kann mich intern mit dem Arbeitsplatz über RDP verbinden. Es klappt auch intern nicht wenn ich die IP des Lancom 1711 Routers als RDP Server angebe und auf's Port Forward hoffen würde.

Der PF Eintrag im Router ist eingerichtet:
First+Last Port: 3389
Remote site: aktuell leer (hab aber vorher auch schon T-COMPCO ausgewählt. Das wär unsere Internetverbindung)
Intranet site: 192.168.100.100
Map Port: 3389
Protokoll: TCP
WAN address: 0.0.0.0

Die Firewall ist im Moment aus weil ich dachte so kann sie mir keinen Strich durch dir Rechnung machen. Ich hab zuvor auch schon verschiedene Firewallregeln probiert:
Action: ACCEPT
Source: all stations
destination: all stations
Protocol/target: RDP bzw. 3389
oder
Action: ACCEPT
source: T-COMPCO
destination: 192.168.100.100
target protocol: 3389

hat alles nix geholfen. Wobei ich mir mit den Firewall regeln etwas unsicher bin ob die wirklich das machen was ich gewollte hätte. Es ist als ob man das Portforwarding ausser Einrichten auch noch aktivieren müsste?

Vorhin bin ich die beiden Konfigurationen des 1711+ und 1711 Schritt für Schritt durchgegangen und hab versucht alles gleich einzustellen da es bei dem 1711+ ja funktioniert. Aber offensichtlich hab ich das entscheidende nicht gefunden.

Wenn ich einen DD-WRT Router an den selben Netzwerkport mit den selben Internen und Externen IP Adressen anschliesse dann geht's sofort. Es liegt also definitiv an dem Lancom Router und nicht an irgendeinem anderen Netzwerkgerät.

Ich hab auch schon einen anderen Lancom 1711 probiert nur um sicherzugehen dass es kein Hardwarefehler ist. Und inzwischen 2 mal einen Komplett Reset gemacht nur für den Fall dass ich was vermurkst hab ohne es zu merken.

Ich find das verda**te Problem nicht und im Moment weiss ich nichtmal an welcher Stelle ich noch ansetzen sollte. Vermutlich seh ich den Wald vor lauter Bäumen nicht mehr... Hat irgendwer eine Idee für mich? Ich bin über jeden Vorschlag dankbar.

Viele Grüsse, Markus


PS: firmware version 1711+: 8.84.0177RU2; 1711: 8.82.0100RU1; Lanconfig: 9.00.0024RC1

[Bernie137]

Hallo Markus,

Nur das Portforwarding klappt nicht. Ich versuche Port 3389 von aussen auf einen Arbeitsplatz zu kriegen aber er will nicht. Ich kann mich intern mit dem Arbeitsplatz via 192.168.100.100 verbinden.

Lass mich raten, der Arbeitsplatz hat als Gateway den 1711+ mit 192.168.100.2. D.h. er verwendet diesen als Rückroute. Der Traffic muss aber über 192.168.100.100 zurück ins Internet, gib dem Arbeitsplatz dieses Gateway.

vg Bernie

[marrkus]

Hallo Bernie,

danke für die schnelle Antwort! Ich fürchte ich hab Dich in meiner Anfrage mit den IP Adressen verwirrt, ich versucht das nochmal besser zu formulieren. Aber ich denk ich seh worauf Du rauswillst und leider ist es das nicht. Der Arbeitsplatz (IP: 192.168.100.100) verwendet den 1711 (IP: 192.168.100.2) als Standardgateway und über den kämen die Daten auch rein - wenn's den klappen würde.

Der primäre Internetzugang über den 1711+ hat die IP 192.168.100.1 und ist für alles andere im lokalen Netz das Standardgateway.

Aber dein Hinweis ist trotzdem Gold wert weil ich nämlich genau in die Falle gelaufen wäre. Da der Arbeitsplatz nur zu Testzwecken das Portforward Ziel ist hätt ich später auf einen Server umschalten wollen und dann hätte ich genau die Konstellation die Du beschreibst.

Viele Grüsse, Markus

[Bernie137]

Hallo Markus,

Der Arbeitsplatz (IP: 192.168.100.100) verwendet den 1711 (IP: 192.168.100.2) als Standardgateway und über den kämen die Daten auch rein

Das ist schon mal prima. Ansonsten hört sich die Konfig nicht verkehrt an.

Die Firewall ist im Moment aus weil ich dachte so kann sie mir keinen Strich durch dir Rechnung machen.

Das ist das Stichwort. Mach doch mal am Arbeitsplatz die Windows Firewall aus. Diese lässt im Standard nur das lokale Subnetz zu. Ansonsten würde ich auf dem 1711 mal einen trace + ip-router @192.168.100.100 oder aber nach TCP Port 3389 gefiltert mitlaufen lassen.

vg Bernie

[marrkus]

DANKE!!!

ich weiss noch nicht was es war, aber der Trace liess sich nicht starten. Ich musste erst einige der Zugriffsrechte (LANconfig-->Management-->Admin-->Access rights) ändern und siehe da - plötzlich geht auch das Portforwarding. Ich werd jetzt sukzessive wieder Rechte wegnehmen bis ich rausfinde was der Übeltäter war.

Problem gelöst! Danke nochmal!!

[Bernie137]

Kann ich mir gar nicht vorstellen das es an Management Einstellungen gelegen haben soll. Bin gespannt was Du berichtest.

Vg Bernie

[marrkus]

Hallo Bernie,

ich stimm dir zu - es macht überhaupt keinen Sinn. Ich habs inzwischen auch alles testweise rückgängig gemacht und es funktioniert weiterhin. Irgendwas ist jetzt anders als vorher und ich hab doch verpasst was es ist. Schade, ich hätt's gern verstanden, aber andererseits bin ich auch froh dass es jetzt funktioniert. Falls ich noch mehr rausfinde werd ich es hier posten.

Noch eine Frage zu der Default Route die Du weiter oben angesprochen hast: Falls ich beide Router (192.168.100.1 und 192.168.100.2) letztlich per Portforward auf den internen RDP Server 192.168.100.12 weiterleiten würde dann kann das nicht funktionieren weil die Defaultroute des Servers ja nur über einen der beiden wieder zurückführt? Oder hab ich da einen Denkfehler?
(Ich weiss, es macht eh nicht viel Sinn, aber mir geht's im Moment ums generelle Verständnis).

Viele Grüsse, Markus

[Bernie137]

Hallo Markus,

Ja richtig der Server kann nur über das Standardgateway RDP übertragen.

Du weist aber schon, dass man RDP Traffic aus Sicherheitsgründen nicht durchs Internet leiten sollte?

Vg Bernie

[marrkus]

Ja. Ich weiss es. Aber eigentlich weiss ich nur dass allgemein aus sicherheitsgruenden davon abgeraten wird, weiss aber nicht genau was der Hintergrund ist.
RDP wird ja verschlüsselt, die Verschlüsselung ist meines Wissens nicht geknackt. Gibts aktuell bekannte, ausnutzbare Sicherheitslücken?

Tatsächlich war ich am ueberlegen das offensichtlich nicht mehr sichere PPTP VPN durch direktes RDP zu ersetzen weil ich mir den Aufwand für L2TP (bzw. die kosten fuer proprietaere VPN loesungen) ersparen wollte.

Vielleicht doch alles keine gute Idee.

[Bernie137]

Hallo Markus,

eine Möglichkeit wäre, die Remote Desktop Gateway-Dienste einzusetzen. Das ist ab Windows Server 2008 möglich. Man hat einen (Nicht Terminal Server), der die Remote Desktop Gateway Dienste ausführt. Am Lancom Router richtet man auf diesen Server das Portforwarding, allerdings für Port 443 ein. Im Lan unterhält sich dann der RDGW mit den Terminal Servern. Der Client baut mit dem RDP Client und Zertifikat eine Verbindung an die öffentliche IP über 443 auf.

vg Bernie

[marrkus]

Hallo Bernie,

Cool dass Du das grad schreibst. Genau auf diese Möglichkeit bin ich gestern abend auch gestossen und hab mich schon gefragt ob das die Lösung meines Problems ist. Das werd ich mir beim nächsten Schlechtwetterwochenende auf jeden Fall mal genauer ansehen.
Vielen Dank für deine ganzen Infos, das ist alles echt interessant!

Gruss und schönes Wochenende, Markus

[Christoph_vW]

PPTP kann man mit PEAP noch verwenden, ohne ist es definitiv unsicher.

Aber wenn du einen Windows 2012 (R2) Server haben solltest, schau dir mal DirectAccess als VPN Lösung an (geht mit 2008 R2 auch schon, aber ist da wesentlich komplexer einzurichten).

[marrkus]

Hallo Christoph,

Was mir an PPTP halt bisher gut gefallen hat ist dass es ohne weiteres von diversen Telefonen, Tablets und Computern unterstützt wurde. Alles andere was ich gefunden hab ist aufwendig, kostenpflichtig oder nur für Windows verfügbar.

Leider reissen mir die Leute hier den Kopf ab wenn ich sagen würde dass sie ihre ganzen tollen Spielzeuge nicht mehr dazu verwenden können auf den Server zuzugreifen. Die RD Gateway Lösung zusammen mit den Microsoft RD Clients für Android, iOS und MacOS sieht im Moment nach der besten Lösung für mich aus.

Ausserdem kann ich damit die ganze private Hardware aus dem Netzwerk draussenhalten da nur noch RDP verwendet wird. Das gefällt mir (in der Theorie zumindest) bisher sehr gut.

Gruss, Markus