10
Fernwartung mit DynDNS
Hallo Leute!
Habe Zuhause folgende Konstellation:
Möchte nun eine Fernwartung mittels Remote Desktop übers Internet (mit DynDNS-Name) auf den „Server“ (WinXP-Prof. SP3) 192.168.1.10 realisieren!
Um das hin zu kriegen, müsste es doch reichen, das Port 3389 in der Firewall freizuschalten und das Port-Forwarding folgendermaßen einzutragen:
Auf Speedtouch: Port 3389 auf 10.0.0.140 (WLAN-Router) weiterleiten und vom WLAN-Router auf 192.168.1.10!
Hab ich da einen Denkfehler, oder warum funktioniert das so nicht?
Habe Zuhause folgende Konstellation:
Möchte nun eine Fernwartung mittels Remote Desktop übers Internet (mit DynDNS-Name) auf den „Server“ (WinXP-Prof. SP3) 192.168.1.10 realisieren!
Um das hin zu kriegen, müsste es doch reichen, das Port 3389 in der Firewall freizuschalten und das Port-Forwarding folgendermaßen einzutragen:
Auf Speedtouch: Port 3389 auf 10.0.0.140 (WLAN-Router) weiterleiten und vom WLAN-Router auf 192.168.1.10!
Hab ich da einen Denkfehler, oder warum funktioniert das so nicht?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 92600
Url: https://administrator.de/contentid/92600
Printed on: April 25, 2024 at 09:04 o'clock
10 Comments
Latest comment
Moin,
ich würde an der Einfachheit arbeiten und den Speedport zum Modem mit PPOE-passthrough degradieren, so daß der Netgear-Router für den Internetaufbau zuständig ist.
Gruß, Arch Stanton
ich würde an der Einfachheit arbeiten und den Speedport zum Modem mit PPOE-passthrough degradieren, so daß der Netgear-Router für den Internetaufbau zuständig ist.
Gruß, Arch Stanton
salü edvmädchenfürales
entweder du machst es so wie arch-stanton dir rät oder ansonsten könntest du auf dem speedtouch direkt die portweiterleitung auf die End-IP 192.168.1.10 leiten - dafür musst du beim speedtouch router jedoch noch eine statische route eintragen, damit dieser weiss, hinter welchem router sich das netz 192.168.1.0 befindet! diese würde dann wie folgt aussehen:
Netz: 192.168.1.0 Subnetmaske: 255.255.255.0 Gateway: 192.168.0.140
gruss tacker
entweder du machst es so wie arch-stanton dir rät oder ansonsten könntest du auf dem speedtouch direkt die portweiterleitung auf die End-IP 192.168.1.10 leiten - dafür musst du beim speedtouch router jedoch noch eine statische route eintragen, damit dieser weiss, hinter welchem router sich das netz 192.168.1.0 befindet! diese würde dann wie folgt aussehen:
Netz: 192.168.1.0 Subnetmaske: 255.255.255.0 Gateway: 192.168.0.140
gruss tacker
Danke für die schnellen Antworten! Werde jedenfalls beides probieren!
Kann mir jemand erklären, warum das so nicht funktioniert, wie ich es mir gedacht habe?
Gibts da Probleme mit dem Port-Forwading zu einem anderen Router?
Danke!
Kann mir jemand erklären, warum das so nicht funktioniert, wie ich es mir gedacht habe?
Gibts da Probleme mit dem Port-Forwading zu einem anderen Router?
Danke!
@tacker
Diese Route ist kompletter Unsinn, denn ein Netzwerk 192.168.0.0 /24 gibt es gar nicht in seinem Netz !! Das Bild zeigt das eindeutig und es empfiehlt sich vor dem Tippen nachzudenken !
Am Speedtouch ist lokal ein 10er Netz dran ! Wenn, dann muss die Route richtig lauten:
Netz: 192.168.1.0 Subnetmaske: 255.255.255.0 Gateway: 10.0.0.140
So oder so ist sie aber auch vollkommen überflüssig, denn edvmädch.. macht auf dem NetGear NAT. Er maskiert also sein gesamtes WLAN auf die LAN IP Adresse 10.0.0.140.
Das WLAN Netzwerk 192.168.1.0 taucht also gar nicht mehr im 10er Netz auf sondern alle Packete aus diesem Netz werden geNATtet auf die 10.0.0.140 und tauchen deshalb NUR mit dieser IP auf.
Das ist gewissermaßen eine "DMZ des kleinen Mannes" wie sie auch hier beschrieben ist:
http://www.heise.de/netze/DMZ-selbst-gebaut--/artikel/78397
In der Beziehung ist die Route ziemlich sinnlos, denn der Speedtouch weiss deshalb gar nicht das sich hinter der 10.0.0.140 ein anderes Netz verbirgt.
Eigentlich müsste die dopplete Port Weiterleitung funktionieren ! Der Speedtouch sollte TCP 3389 (RDP) lokal auf die 10.0.0.140 weiterleiten und der NetGear dann lokal auf die 192.168.1.10.
Es ist aber möglich das das an einer MTU Problematik scheitert oder an der fehlerhaften Implementation der Port Weiterleitung.
Das kannst du aber ganz einfach mal prüfen:
Hänge einen PC mit einem Packet Sniffer in das 10.0.0.0er Netz und prüfe einmal ob der Speetouch diese eingehenden Packete wirklich lokal in das Netz weiterreicht !!
Irgendeiner deine Router macht das vermutlich nicht.
Als Sniffer verwendest du den
www.wireshark.org
oder den MS Net Monitor:
http://www.microsoft.com/downloads/details.aspx?FamilyID=18b1d59d-f4d8- ...
Um dir aber das Leben nicht schwer zu machen und wenn du diese DMZ Lösung im WLAN nicht wirklich unbedingt benötigst aus Sicherheitsgründen, dann mache den NetGear Router einfach zum dummen WLAN Accesspoint und gut is....!
Wie das geht wird in diesem Tutorial in der Alternative 3 genau beschrieben:
Kopplung von 2 Routern am DSL Port
Dann hast du die NAT Problematik nicht mehr und arbeitest transparent im 10.0.0.0 /24 er Netzwerk und dann reicht ein einfaches Port Forwarding von TCP 3389 auf das WLAN Endgerät dann in diesem Netz um RDP problemlos zum Laufen zu bringen !!!
Diese Route ist kompletter Unsinn, denn ein Netzwerk 192.168.0.0 /24 gibt es gar nicht in seinem Netz !! Das Bild zeigt das eindeutig und es empfiehlt sich vor dem Tippen nachzudenken !
Am Speedtouch ist lokal ein 10er Netz dran ! Wenn, dann muss die Route richtig lauten:
Netz: 192.168.1.0 Subnetmaske: 255.255.255.0 Gateway: 10.0.0.140
So oder so ist sie aber auch vollkommen überflüssig, denn edvmädch.. macht auf dem NetGear NAT. Er maskiert also sein gesamtes WLAN auf die LAN IP Adresse 10.0.0.140.
Das WLAN Netzwerk 192.168.1.0 taucht also gar nicht mehr im 10er Netz auf sondern alle Packete aus diesem Netz werden geNATtet auf die 10.0.0.140 und tauchen deshalb NUR mit dieser IP auf.
Das ist gewissermaßen eine "DMZ des kleinen Mannes" wie sie auch hier beschrieben ist:
http://www.heise.de/netze/DMZ-selbst-gebaut--/artikel/78397
In der Beziehung ist die Route ziemlich sinnlos, denn der Speedtouch weiss deshalb gar nicht das sich hinter der 10.0.0.140 ein anderes Netz verbirgt.
Eigentlich müsste die dopplete Port Weiterleitung funktionieren ! Der Speedtouch sollte TCP 3389 (RDP) lokal auf die 10.0.0.140 weiterleiten und der NetGear dann lokal auf die 192.168.1.10.
Es ist aber möglich das das an einer MTU Problematik scheitert oder an der fehlerhaften Implementation der Port Weiterleitung.
Das kannst du aber ganz einfach mal prüfen:
Hänge einen PC mit einem Packet Sniffer in das 10.0.0.0er Netz und prüfe einmal ob der Speetouch diese eingehenden Packete wirklich lokal in das Netz weiterreicht !!
Irgendeiner deine Router macht das vermutlich nicht.
Als Sniffer verwendest du den
www.wireshark.org
oder den MS Net Monitor:
http://www.microsoft.com/downloads/details.aspx?FamilyID=18b1d59d-f4d8- ...
Um dir aber das Leben nicht schwer zu machen und wenn du diese DMZ Lösung im WLAN nicht wirklich unbedingt benötigst aus Sicherheitsgründen, dann mache den NetGear Router einfach zum dummen WLAN Accesspoint und gut is....!
Wie das geht wird in diesem Tutorial in der Alternative 3 genau beschrieben:
Kopplung von 2 Routern am DSL Port
Dann hast du die NAT Problematik nicht mehr und arbeitest transparent im 10.0.0.0 /24 er Netzwerk und dann reicht ein einfaches Port Forwarding von TCP 3389 auf das WLAN Endgerät dann in diesem Netz um RDP problemlos zum Laufen zu bringen !!!
danke, danke!
mir ist gerade selbst (beim betrachten meiner Skizze) eingefallen, dass es vieleicht ratsam wäre, da der XP-"Server" (192.168.1.10) später eventuell auch FTP-Server spielen soll, diesen gleich ins 10.0.0.0 - Netz zu hängen!
Dann ist er vom Heim-LAN (192.168.1.0 Netz) getrennt und durch eine weiter Firewall abgeschottet (Netgear WLAN Router) (= das ist dann die DMZ, oder?).
Und das Problem mit dem Remote Desktop hab ich auch nicht mehr (Anfragen ans Port 3389 an den "Server" im 10.0.0.0 Netz weiterleiten).
So könnte es doch auch gehen, oder?
mir ist gerade selbst (beim betrachten meiner Skizze) eingefallen, dass es vieleicht ratsam wäre, da der XP-"Server" (192.168.1.10) später eventuell auch FTP-Server spielen soll, diesen gleich ins 10.0.0.0 - Netz zu hängen!
Dann ist er vom Heim-LAN (192.168.1.0 Netz) getrennt und durch eine weiter Firewall abgeschottet (Netgear WLAN Router) (= das ist dann die DMZ, oder?).
Und das Problem mit dem Remote Desktop hab ich auch nicht mehr (Anfragen ans Port 3389 an den "Server" im 10.0.0.0 Netz weiterleiten).
So könnte es doch auch gehen, oder?
So wird es sogar ganz sicher gehen wenn du den NetGear nach dem o.a. Turorial als AP installierst 
warum muss ich den netgear trotzdem als ap installieren? ich komme dann doch auch vom 192er netz ins 10er netz, oder?
und das port-forwarding für das rdp mach ich ja vom speedtouch direkt zum server (sind ja dann beide im 10er netz)
ich häng den server im prinzip auf den speedtouch mit z.b. der IP 10.0.0.110
versteh ich das jetzt falsch? verwirrung macht sich breit...
danke
und das port-forwarding für das rdp mach ich ja vom speedtouch direkt zum server (sind ja dann beide im 10er netz)
ich häng den server im prinzip auf den speedtouch mit z.b. der IP 10.0.0.110
versteh ich das jetzt falsch? verwirrung macht sich breit...
danke
Nein, das kommst du nicht ?? Wie soll das gehen, das sind 2 unterschiedliche IP Netze !! Ausserdem schreibst du nicht ob dein PC nur per WLAN erreichbar ist oder nicht.
Wenn du kein WLAN benötigst und ein Kabel nutzen kanns, dann brauchst du den NetGear gar nicht mehr...das ist klar.
Deine Zeichnung lässt nur vermuten, das der PC nur per WLAN angebunden ist und der Router selber kein WLAN hat....
Deine Alternativen sähen dann so aus:
Das 192.168er Netz kommt in so einem Szenario gar nicht mehr vor wenn der NetGear als reiner AP läuft !
Natürlich bist du nicht gezwungen den PC per WLAN anzubinden, eine Kabelverbindung klappt natürlich auch !
Im hellblauen Kreis siehst du die WLAN Alternative. Alles ohne Kreis ist die Kabellösung !!
Wenn du kein WLAN benötigst und ein Kabel nutzen kanns, dann brauchst du den NetGear gar nicht mehr...das ist klar.
Deine Zeichnung lässt nur vermuten, das der PC nur per WLAN angebunden ist und der Router selber kein WLAN hat....
Deine Alternativen sähen dann so aus:
Das 192.168er Netz kommt in so einem Szenario gar nicht mehr vor wenn der NetGear als reiner AP läuft !
Natürlich bist du nicht gezwungen den PC per WLAN anzubinden, eine Kabelverbindung klappt natürlich auch !
Im hellblauen Kreis siehst du die WLAN Alternative. Alles ohne Kreis ist die Kabellösung !!
Danke!
Ich glaub, jetzt hab ich's!
Ich werds jedenfalls probieren und dann hier berichten!
Wie sicher ist eigentlich die direkte Verbindung mit RDP?
Hab ja in meiner Konstellation nicht wirklich die Möglichkeit zuerst ein VPN aufzubauen, oder?
Welche Sicherheitsvorkehrungen sollte ich noch treffen?
Mfg
Ich glaub, jetzt hab ich's!
Ich werds jedenfalls probieren und dann hier berichten!
Wie sicher ist eigentlich die direkte Verbindung mit RDP?
Hab ja in meiner Konstellation nicht wirklich die Möglichkeit zuerst ein VPN aufzubauen, oder?
Welche Sicherheitsvorkehrungen sollte ich noch treffen?
Mfg
Ein Problem natürlich der dann offene RDP Zugang. Ggf. macht es Sinn diesen Zugang etwas zu verscheiern indem du dem RDP auf dem Server einen anderen TCP Port zuweist. Das hilft Scanner usw. in die Irre zu führen, da diese meist nur die default Ports scannen
Das Anpassen des RDP Zielports geht über die Registry mit
Start -> Ausführen regedit im Wert HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp wo du dann im Wert PortNumber einfach den TCP Port einträgst.
Z.B. TCP 53389 statt des Default Werts 3389.
Wenn du nun den Client aufmachst dann gibst du als Ziel an name.dyndns.org:53389 Also immer den Port mit :53389 übergeben. So kannst du einigermassen sicher sein das nicht jeder Script Kiddie dir die Maschine kompromitiert
Das Port Forwarding musst du dann natürlich entsprechend auf diesen neuen TCP Port anpassen !!
Das Anpassen des RDP Zielports geht über die Registry mit
Start -> Ausführen regedit im Wert HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp wo du dann im Wert PortNumber einfach den TCP Port einträgst.
Z.B. TCP 53389 statt des Default Werts 3389.
Wenn du nun den Client aufmachst dann gibst du als Ziel an name.dyndns.org:53389 Also immer den Port mit :53389 übergeben. So kannst du einigermassen sicher sein das nicht jeder Script Kiddie dir die Maschine kompromitiert
Das Port Forwarding musst du dann natürlich entsprechend auf diesen neuen TCP Port anpassen !!
