Per RDP auf VMs in ESXi Server zugreifen



  • Esxi Server WAN xxxx.188
    |
    |
    |
    psfense VM WAN xxxx.202 , interne ip 192.168..x

    |
    |
    |
    VM 1 interne ip 192.168..x ( ich möchte per RDP darauf von aussen zugreifen)
    |
    VM 2 interne ip 192.168..x  ( ich möchte per RDP darauf von aussen zugreifen)
    ….

    Hi leute, ich möchte von aussen auf die Vms im ESXi Server zugreifen... Wie man am Diagramm erkennen kann benutze ich als Router VM die Psfense. Ich habe es mit NAT versucht, aber weiss nicht genau, wo ich den Fehler gemacht habe. Kann jemand ein paar Tipps geben wobei man achten sollte. Danke

    Schöne Feiertage noch ;)

    Lg
    coolio2



  • Hallo coolio2,

    ist auf den VMs RDP aktiviert?
    Normalerweise erstellst du ja den NAT Eintrag (TCP 3389) auf interne IP der VM.

    Protocol:TCP
    Destination:WAN
    Destination Port Range: MS RDP auswählen oder 3389
    Redirect Target IP: interne IP der einen VM

    Das selbe dann bspw. mit TCP Port 33891 und auf die andere VM zeigen lassen

    Die passende Firewallregel wird automatisch mit angelegt, wenn unter "Filter rule association" entsprechend "Add associated filter rule" oder "Add unassociated filter rule" etwas ausgewählt ist.
    du gibst dann in deinem RDP Client die WAN IP der pfSense an.
    Steht etwas im Firewalllog, wenn du dich verbinden möchtest? (Status->System logs->Firewall)

    Beste Grüße

    Bouven



  • Hallo!

    Also ich würde grundsätzlich RDP von außen nur notfalls öffnen. Sicherer ist es, auf der pfSense einen OpenVPN Server mit Zertifikats-Authentifizierung oder ordentlicher Passphrase einzurichten und dich dann per VPN ins interne Netz zu verbinden. Zwischen VPN und LAN kannst du dann per FW Regel alles erlauben.
    Mit aufgebauter VPN bist du dann praktisch in deinem internen LAN und kannst dich mit den einzelnen Geräten verbinden wie du möchtest.

    Andernfalls funktioniert RDP natürlich auch, wie bouven beschrieben hat, über NAT. Dazu benötigst du eben für jeden internen Host, den du erreichen möchtest, eine IP wenn du mit dem Standardport 3389 drauf gehen möchtest. Oder du kannst es auch mit nur einer WAN-IP mit unterschiedlichen WAN-Ports lösen und routest diese per Port Forwarding auf die entspechenden Host u. Port 3389.
    Wenn schon RDP von außen öffnen, würde ich ohnehin andere Ports als den Standardport 3389 dafür einrichten, damit nicht gleich jeder möchte-gern Hacker sein Glück versuchen kann.
    Im RDP-Client musst du dann auch den entsprechenden Port angeben.

    Grüße



  • Hi leute, erstmal vielen Dank für die Tipps… Ich habe erstmal die einfachere Version versucht ... Dei Anleitung von bouven hat auf Anhieb sofort geklappt.. ;)

    Ich werde später auch die Methode mit OpenVPN versuchen einzurichten. @ viragomann : Ich denke nicht mehr soviel über Sicherheit nach, da inzwischen auch OpenSSL etc... viele Sicherheitslücken aufweisen. Mir reicht es aus den Hackers das Leben etwas schwer zu machen. Ich habe in den VMs nur eine SAP Testumgebung aufgebaut und von daher ist dort nicht wichitges zu holen :)

    Wünsche noch einen schönen Abend an alle ;)

    Lg
    coolio2



  • @viragomann:

    Hallo!

    Also ich würde grundsätzlich RDP von außen nur notfalls öffnen. Sicherer ist es, auf der pfSense einen OpenVPN Server mit Zertifikats-Authentifizierung oder ordentlicher Passphrase einzurichten und dich dann per VPN ins interne Netz zu verbinden. Zwischen VPN und LAN kannst du dann per FW Regel alles erlauben.

    Stimme dem natürlich auch voll und ganz zu.

    Schön, dass wir dir helfen konnten.

    Grüße


  • Moderator

    @coolio2: Dein Statement bzgl. OpenSSL etc. ist leider Halbwissen gemischt mit quatsch. Das soll kein Angriff sein, aber solch eine Einstellung zu einfachsten Regeln des Datenschutzes bzw. der IT Security ist überhaupt der Grund, warum mitunter Attacken, Abhöraktionen etc. so leicht funktionieren. "Da denk ich nicht drüber nach" oder "das schau ich später mal an" ist genau der Grund, warum solche Systemumgebungen dann später live deployed werden und man hinterher auf einmal mit großen Augen da steht, wenn einem die Daten geklaut werden. Ich hab schon so oft angebliche "Spielumgebungen" oder Teststellungen plötzlich mit Livedaten gesehen, dass ichs nicht mehr zählen kann. Und genau weil sich vorher dann kein Mensch mal ordentlich um die Systemumgebung oder -architektur gekümmert hat, passieren dann Dinge wie Passwort- oder Datendiebstähle.

    Wie gesagt, klingt vielleicht nach grober Kelle, aber eine bitte an alle die das vielleicht ebenso lesen: denkt vorher ein wenig über eure Architektur nach und wenn ihr es nicht (besser) wisst, recherchiert oder holt euch Rat/Infos/Support von Profis dazu. Und wenn der dann komplizierter ist als eure Idee (wie bspw. viragomann's korrekte Vorgehensweise), dann überlegt warum es so ist, und dass es vllt. einen Grund hat.

    Klar, es gab jetzt einen Bug in OpenSSL. Der führte aber dazu, dass sich das ordentlich angeschaut wird, Aufräumarbeiten mal in die Wege geleitet wurden etc. Man macht es also besser. Nur weil jetzt mal wo der Blitz eingeschlagen hat zu sagen "hey ich brauch keinen (korrigierten) Blitzableiter, der hilft ja eh nicht so wirklich" ist die falsche Variante.

    Trotzdem sanfte Grüße ;)



  • @ JeGr : Ich gebe dir auch vollkommen Recht, dass man nicht alles sofort Pauschalasieren soll.
    Die Netzwerktechnologie ist ziemlich kompliziert geworden für einen Laien wie mich :).

    Ich folge gerade einer Anleitung für OpenVPN –> http://www.packetwatch.net/documents/guides/2012050801.php
    Ich weiss nicht ob hier links verboten sind, aber ich will die Anleitung nicht vorenthalten...:)

    Welche Ip-Adressen muss ich bei Ipv4 Tunnel Network eingeben ? und  IPv4 Local Networks ?

    Meine Wan ip vom Psfense ist 14x..xxxx.188. Und Lokale IPs von den VMs sind 192.168.1.2 etc...

    Danke

    Lg
    coolio2


  • Moderator

    @coolio: bei den IP Netzen muss (müsste im Text hintendranstehen) einmal das entfernte und einmal das lokale Netz angegeben werden, damit die entsprechende Route erzeugt werden kann. Du kannst auch schlicht nach der off. Doku gehen:

    https://doc.pfsense.org/index.php/OpenVPN_Site-to-Site_(Shared_Key,_2.0)