Remotedesktop und Port 3389

[StripLV]

Hallo, ich möchte das ein Freund mir per Remoteunterstützung oder per Remotedesktop sich bei mir einwählen/einloggen kann.

Ich habe gehört das dazu aber ich an meinem IL-11 die Firewall konfigurieren/ändern muß, und zwar muß ich anscheinend den Port 3389 freigeben oder durchschleifen.

Ich hoffe ihr versteht was ich meine und um was es geht. Wie mache ich das über Lanconfig?

Ich bitte um Beachtung das ich mich nicht sehr auskenne, komme aber in der lanconfig einigermaßen klar.

Ein Bekannter schildert das so:

"Deswegen muss man dann dem Router sagen
1. WENN auf Port 3389 (in diesem Fall Protokoll TCP) eine eingehende Verbindung kommt
2. DANN leite diese Verbindung an
- den Port 3389
- des Rechners mit der IP so-und-so (i.d.R. 192.168.1.x) weiter"

Stimmt das und wenn ja wie mache ich das?

ach ja, falls es wichtig ist:

FW. 3.58
Lantools 6.02

[SIN]

Hierzu gibts im LanConfig im Bereich IP-Router eine Service Tabelle.
Alle auf einem bestimmten Port eingehenden Anfragen an die öffentliche IP-Adresse des Routers können hier auf eine beliiebige IP im Intranet, sogar unter Umsetzung der Port Adress weitergereicht werden. Dann muss nicht der Standard Port für den Remotedesktop offen sein.

[StripLV]

Heißt das ich muß unter

Lanconfig -> IP Router -> Maskierung -> Service Tabelle -> hinzufügen

bei anfangsport und endport 3389 eintragen und bei intranet-adresse die IP meiner Wlan NW-Karte? Also z.B. 192.168.x.y

[SIN]

Genau das!
Sorry: Eine Port Translation ist beim IL-11 noch nicht möglich!

[StripLV]

Genau das!
Sorry: Eine Port Translation ist beim IL-11 noch nicht möglich!

??? Was ist denn eine Port Translation?

Wenn ich bei Anfangs und endport 3389 eingebe speichert er 3.389 ab. Ist das o.k.? Ich meine den Punkt

[SIN]

Vergiss die Translation! Kannst Du mit dem IL-11 eh nicht.
Der Punkt ist OK und stört nicht!

[StripLV]

Sag mal muß ich da auch was machen: ( Seite 60 im Hanbuch )???


Sie haben mehrere Möglichkeiten die Firewall-Filter einzurichten:
• WEBconfig
Expertenkonfiguration / Setup / IP-Router-Modul / Firewall
• LANconfig
IP-Router / Filter
• Telnet
/Setup/IP-Router-Modul/Firewall

Besonders komfortabel ist die Einrichtung der Filter mit Hilfe von LANconfig.
Unter ’Filter’ finden Sie die folgenden Karteikarten, mit deren Hilfe Filterregeln
definiert werden können.

[...]
•
- Allgemein
Hier wird der Name des Filterdienstes festgelegt und was mit den Datenpaketen
geschehen soll (Aktion).
-• Stationen
Hier werden die Stationen festgelegt, für die die Filterregel als Absender
oder Adressat gelten soll.
•- Dienste
Hier wird festgelegt, für welche IP-Protokolle, Quell- und Zielports die Filterregel
gelten soll.

Ich hab mir das mal angeschaut unter

Firewall/Qos -> Regeln-> hinzufügen und dann

1. Allgemein - Was muß ich da machen?
2. Aktionen -> Hinzufügen - was muß ich da machen?
3. Qos -> Hinzufügen - Was muß ich da machen?
4a. Stationen -> Verbindungs-Quelle - Was muß ich da machen?
4b. Stationen -> Verbindungs-Ziel- Was muß ich da machen?
5. Dienste - Was muß ich da machen?

[SIN]

Wow,

hoffentlich hast Du genug Spatzen für Deine ganzen Geschütze!

Versuch doch erstmal, ob Du überhaupt den Support-Call an Deinen RemoteDesktop durchkriegst.
Im nächsten Schritt kannst Du dann versuchen, die Firewall des IL-11 Deinen Vorlieben anzupassen.
Hier kannst Du die QoS total vergessen und nur die notwendigen Ports von allen Stationen (oder wenn Dein Gegenüber seine IP weiß, dann die spezielle IP) an den Zielrechner selbst oder Dein Subnetz weiterleiten.

[cosoft]

Lanconfig -> IP Router -> Maskierung -> Service Tabelle -> hinzufügen

bei anfangsport und endport 3389 eintragen

Zusatzfrage:

Gibt es eine Möglichkeit, die Benutzung dieser Maskierung irgendwie zu überwachen oder zu melden? Also eine Benachrichtigung z.B. per E-Mail sobald einer aus dem WAN eine Remotedesktop-Verbindung auf den LAN-PC aufbaut? Es ist ja schliesslich eine "Aktion" des Routers, sobald er den RDP-Port forwardet...


Jemand eine Idee dazu?

Danke und Gruß,
cosoft

[backslash]

Hi cosoft

du kannst in der Firewall eine entsprechende Regel erstellen:

Code: Alles auswählen

Quelle:   alle Stationen
Ziel:     Adresse des Rechners
Dienste:  UDP, Zielport 3389
Aktionen: 1) Trigger: 0 kbit/Sekunden - Übertragen 
          2) Trigger: 0 Pakte absolut - E-Mail senden

Gruß
Backslash

[cosoft]

Hi cosoft

du kannst in der Firewall eine entsprechende Regel erstellen:

Code: Alles auswählen

Quelle:   alle Stationen
Ziel:     Adresse des Rechners
Dienste:  UDP, Zielport 3389
Aktionen: 1) Trigger: 0 kbit/Sekunden - Übertragen 
          2) Trigger: 0 Pakte absolut - E-Mail senden

Gruß
Backslash

Danke. Sehr interessant

Spielt die Reihenfolge der Trigger eine Rolle? Die lässt sich nämlich nicht ändern...

EDIT: funktionier aber nicht, obwohl der E-Mail-Versand an sich aber funktioniert. Gibt es noch eine übergeordnete Einstellung?

[backslash]

Hi cosoft

Spielt die Reihenfolge der Trigger eine Rolle

in diesem Fall nicht...

Die lässt sich nämlich nicht ändern...

wieso, du hast doch die Hoch- und Runter-Knöpfe (links neben dem "Hinzufügen" Button)

EDIT: funktionier aber nicht, obwohl der E-Mail-Versand an sich aber funktioniert

Was sagt denn der Firewall-Trace?

Ist die Regel korrekt erzeugt worden? Das kannst du im Telnet mit einem "show filter" nachschauen.

Du hast in der Regel hoffentlich den Quellport leer gelassen.

U.U solltest du statt UDP auch mal TCP ausprobieren...

Gibt es noch eine übergeordnete Einstellung

die Regel muß natürlich die erste sein, die auf das Paket matcht...

Gruß
Backslash

[cosoft]

Hallo Backslash,

Danke schonmal für Deine Geduld!

wieso, du hast doch die Hoch- und Runter-Knöpfe (links neben dem "Hinzufügen" Button)

die Einträge bewegen sich leider nicht

Was sagt denn der Firewall-Trace? Ist die Regel korrekt erzeugt worden? Das kannst du im Telnet mit einem "show filter" nachschauen.

Hier die Ausgabe:

Code: Alles auswählen

> show filter

Filter 0001 from Rule WINS:
  Protocol: 17
  Src: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 137-139
  Dst: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 0-0
  use routing tag 0000
  conditional: if on default route
  Limit per conn.:  after transmitting or receiving of 0 kilobits per second
  actions after exceeding the limit:
      reject

Filter 0002 from Rule ALERT_RDP_OVER_WAN:
  Protocol: 17
  Src: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 0-0
  Dst: 00:00:00:00:00:00 192.168.0.99 255.255.255.255 3389-3389
  use routing tag 0000
  Limit per conn.:  after transmitting or receiving of 0 kilobits per second
  actions after exceeding the limit:
      accept

  Limit per conn.:  after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept
      send SNMP trap
      send email to administrator

Filter 0003 from Rule WINS:
  Protocol: 6
  Src: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 137-139
  Dst: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 0-0
  use routing tag 0000
  conditional: if on default route
  Limit per conn.:  after transmitting or receiving of 0 kilobits per second
  actions after exceeding the limit:
      reject

Du hast in der Regel hoffentlich den Quellport leer gelassen.

Ja, "Quell-Ports" ist nicht angehakt.

Die Regeln mit "WINS" im show filter habe ich nicht angelegt. Die sind anscheinend schon "ab Werk" eingetragen!?

Gruß,
cosoft

[backslash]

Hi cosoft

OK die Regel wird angelegt und sieht auch korrekt aus (zumindest wenn der remote Desktop UDP verwendet...)

Versuch's doch mal mit TCP als Protokoll...

Die Regeln mit "WINS" im show filter habe ich nicht angelegt. Die sind anscheinend schon "ab Werk" eingetragen!?

ja, die ist per Default drin und fängt NetBIOS Auflösungen über DNS ab...


Gruß
Backslash

[cosoft]

OK die Regel wird angelegt und sieht auch korrekt aus (zumindest wenn der remote Desktop UDP verwendet...)

Versuch's doch mal mit TCP als Protokoll...

Ja, ein Kollege hat bestätigt, das RPD standardmäßig über TCP läuft. Habs umgestellt, aber trotzdem geht es nicht. Allerdings kann ich nicht sagen, was genau nicht geht. Wie gesagt, generell funktioniert der Mail-Versand (hab diverse Einträge in der Aktionsliste).

Hier nochmal show filter:

Code: Alles auswählen

> show filter

Filter 0001 from Rule ALERT_RDP_OVER_WAN:
  Protocol: 6
  Src: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 0-0
  Dst: 00:00:00:00:00:00 192.168.0.99 255.255.255.255 3389-3389
  use routing tag 0000
  Limit per conn.:  after transmitting or receiving of 0 kilobits per second
  actions after exceeding the limit:
      accept

  Limit per conn.:  after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept
      send SNMP trap
      send email to administrator

Filter 0002 from Rule WINS:
  Protocol: 17
  Src: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 137-139
  Dst: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 0-0
  use routing tag 0000
  conditional: if on default route
  Limit per conn.:  after transmitting or receiving of 0 kilobits per second
  actions after exceeding the limit:
      reject

Filter 0003 from Rule WINS:
  Protocol: 6
  Src: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 137-139
  Dst: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 0-0
  use routing tag 0000
  conditional: if on default route
  Limit per conn.:  after transmitting or receiving of 0 kilobits per second
  actions after exceeding the limit:
      reject

192.168.0.99 ist der Terminal-Server.

Ich hätte die Möglichkeit, parallel per ISDN-Fernwartung den Router zu überwachen, während ich online per RPD auf den daran angeschlossenen Server zugreife. Leider weiss ich mangels Erfahrung nicht, an welcher Stelle ich wie was beobachten soll...

(der Router ist übrigens ein 821, HW-Release F, LCOS 5.06)