Zugriff aus dem Internet per Webbrowser auf internen Server / RDP
-
Hallo zusammen,
ich teste gerade mit virtuelle Appliances rum und habe über die letzen Monate eine Firewall getestet, wo ein User Portal implementiert ist. Hier hat der User die Möglichkeit sich aus dem Internet auf die FW einzuloggen und die von mir konfigurierten Dienste zu nutzen.
Sollte ich also mal bei einem Kollegen sein und ich benötige Zugriff auf einen Server Zuhause, so melde ich mich auf meiner Firewall per Webbrowser an (User Portal der Firewall), wähle "Server01 - rdp" und ich bekomme per Browser zugriff auf meinen Server, ohne das ich etwas auf dem PC meines Kollegen installieren muss.
Ist das mit der PDSense auch möglich? Ich habe schon versucht Infos dazu zu finden, aber leider ohne Erfolg. Ich stoße immer wieder auf "Captive Portal", aber das ist nicht das was ich benötige, oder?
Danke und Gruß
Nindac -
Hallo Nindac
Schwebt dir etwas in Richtung von Web Access für Remotedesktop um über einen Webbrowser auf Remotedesktopverbindungen zuzugreifen? Oder möchtest du lediglich eine Verbindung von ausserhalb deines Netzwerkes wie zum Beispiel mit einer DynDNS, welche auf den anzusprechenden Server zeigt?
Grüsse
Orxolot -
Moin,
Du könntest Das Webinterface erreichbar machen und die entsprechende Portweiterleitung aktivieren, in meinen Augen Hüttenschnitz ;)
Ich würde meine Firewall nur höchst ungern von außen erreichbar machen:-
VPN
-
SSH mit Portweiterleitungen und Key auth
Letzteres bezeichne ich als VPN für arme, aber es ist schnell eingerichtet und bedarf keinerlei Installation auf dem Rechner des Kollegen, ein USB-Stick mit Putty portable und dem zur Verbindung nötigen Key und dem Verbindungsprofil macht es schnell und sicher. Auf der Gegenstelle läuft ein SSH Server und leitet Deine Anfragen weiter. Dank Key Auth hat kein Unbefugter realistische Chancen auf einen erfolgreichen Hack. Der Zugang nur mit Password wird natürlich hierzu abgeschaltet.
Siehe hier: https://www.thomas-krenn.com/de/wiki/OpenSSH_Public_Key_Authentifizierung_unter_Ubuntu und hier: http://www.debian-handbuch.de/squeeze/section.ssh-port-forwarding.html
Über diesen Tunnel kannst Du dann auch die unsicheren Varianten VNC oder RDP tunneln ohne das Du Angst haben musst das jemand Dein System einfach übernehmen kann.-teddy
-
-
Hallo zusammen,
erstmal danke für Euer Feedback! :)
Schwebt dir etwas in Richtung von Web Access für Remotedesktop um über einen Webbrowser auf Remotedesktopverbindungen zuzugreifen?
Jep, das meine ich.
Danke für Deine ausführliche Beschreibung. Das kenne ich auch soweit und habe so auch gaaanz früher auf meine internen System zugegriffen. Aber seit ich hier mit UTM Firewallsystemen rumteste, nutze ich Portalmöglichkeiten. :)
Das schöne dabei ist, Adminaccount ist auf der Portalseite gesperrt, mein erstellter User kann z.B. nur auf einen Windowsserver zugreifen, ich muss nichts installieren und kann per https eine RDP-Session nutzen. Für den Zugriff sind nur bestimmte Providernetze und IP's freigeschaltet und ich bekomme direkt eine Mail bei einem Loginversuch + fail2ban Logik.
Danke und Gruß,
Nindac -
Hallo Nindac
In diesem Fall würde ich mittels IIS die Remotedesktopdienste ins Web setzen, dies kann mittels eines Zertifikats und Benutzerdaten, also Benutzername und Passwort realisiert werden. In der PfSense würde sich der Aufwand wohl um eine Portregel beschränken.
Serverseitig allerdings ist dies ein eher komplexer Aufbau, was eine menge know-how und Lizenzen nach sich ziehen wird. Ich hatte zumindest bei meinem ersten Aufbau meine Schwierigkeiten dies umzusetzen und würde dir raten (falls du dies Privat benötigst) eine einfach DynDNS einzurichten und eine RDP Session mittels der DynDNS zu starten.
Grüsse
Orxolot -
Hallo Nindac
In diesem Fall würde ich mittels IIS die Remotedesktopdienste ins Web setzen, dies kann mittels eines Zertifikats und Benutzerdaten, also Benutzername und Passwort realisiert werden. In der PfSense würde sich der Aufwand wohl um eine Portregel beschränken.
Serverseitig allerdings ist dies ein eher komplexer Aufbau, was eine menge know-how und Lizenzen nach sich ziehen wird. Ich hatte zumindest bei meinem ersten Aufbau meine Schwierigkeiten dies umzusetzen und würde dir raten (falls du dies Privat benötigst) eine einfach DynDNS einzurichten und eine RDP Session mittels der DynDNS zu starten.
Grüsse
OrxolotHi Orxolot,
danke für die Informationen und die Mühe. Ich schaue mir das mal an. :)
Gruß,
Nindac