Domein bereikbaar van buitenaf

dinsdag 12 juli 2016 00:45

Acties:

Dumo-Technics

Topicstarter

Ik ben zelf aan de slag gegaan met server die ik heb kunnen overnemen voor een prijsje, hierop was windows server 2012 R2 geïnstalleerd. Ik ben hier nu even mee aan het spelen en heb hem ingericht als domein controller. Dit is puur omdat ik het leuk vind om er mee te spelen, meer kennis op de doen, en zal niet in the field gebruikt worden.

Hij draait ondertussen als DC met DNS server en RDWeb om applicaties op de clients te kunnen uitvoeren.
Ook is het me gelukt om de mappen mijn documenten, desktop enzovoort redirects te geven naar mappen op de server (per account) adhv group policy (GPO) en een VPN server

Ik heb 2 VM's en 1 windows installatie op een oude laptop die in de domein verbonden zijn.
inloggen lukt op al deze machines en mappen/bestanden worden keurig meegenomen etc..

tot dusver werkt alles goed.

Nu wou ik vandaag proberen om met de laptop van buitenaf te kunnen inloggen op de domein, en dit blijkt niet te lukken.

Ik verbind de laptop dus met het lokale wifi daar, en maak een VPN verbinding met de domein. Dit blijkt niet te lukken. Als ik het externe ip adres probeer te bezoeken van buitenaf (andere locatie of via 4G op smartphone) krijg ik een hele lange laad tijd en uiteindelijk verder niets. als ik het ip adres ingeef van het interne netwerk dan krijg ik keurig de welkompagina van IIS te zien

In mijn router heb ik enkele zaken geforward

#	Enable	Service	Protocol	External start	External end	Lan port	Internal host
1	On	HTTP Server	TCP	80	80	80	192.168.1.58
2	On	HTTPS Server	TCP	443	443	443	192.168.1.58
3	On	Microsoft Remote Services	TCP en UDP	3389	3389	3389	192.168.1.58
4	On	VPN	TCP	1723	1723	1723	192.168.1.58

Iemand die me een duwtje in de rug kan geven en de juiste richting op kan wijzen?

Als dit lukt, kunnen jullie me ook uitwijzen welke stappen ik dan eventueel nog zou kunnen doen ter beveiliging? Dit onderwerp interesseert me namelijk wel zeer fel en leer hierover graag bij.

Dank bij voorbaat

http://www.dumo-technics.com

dinsdag 12 juli 2016 01:12

Acties:

anboni

Kan die windows server zelf naar internet? Als je timeouts krijgt bij het benaderen van de forwarded ports, zou dat het eerste zijn waar ik naar zou kijken. Op die windows server moet je een default gateway instellen naar de router. Een andere optie kan zijn dat die server op DHCP staat (volgens mij is in veel routers standaard de DHCP range 50-100 o.i.d.). Als dan het IP adres van die server wijzigt, werkt je port forward natuurlijk ook niet meer.

Wat beveiliging betreft, zou ik je eigenlijk 1 tip geven: zet de server uit als je er niet actief mee bezig bent. Zolang je nog aan het leren bent, is dat de best mogelijke beveiling

verder zeker zorgen dat je altijd bij bent met updates.

dinsdag 12 juli 2016 01:30

Acties:

floorcleaner

werkt je remote desktop ?

Kan je vanaf de router de 192.168.1.58 pingen ?

[ Voor 50% gewijzigd door floorcleaner op 12-07-2016 01:33 ]

dinsdag 12 juli 2016 09:01

Acties:

CMD-Snake

Je gebruikt zo te zien aan het poortnummer PPTP voor je VPN. Dat is niet echt aan te bevelen. Het PPTP protocol is al oud en inmiddels onveilig. Daarnaast wordt poort 1723 vaak geblokkeerd op firewalls. Let ook dat om PPTP te laten werken je modem of router het GRE 47 protocol moet kunnen ondersteunen. Veel huis-tuin-en-keuken modems/routers hebben die optie niet. Zeker als het zo'n dichtgespijkerd geval is van een internetprovider.

Je kan beter SSTP configureren of L2TP met IPSec. SSTP is dan ietsje makkelijker dan L2TP met IPsec. Die laatste vereist dat je modem/router ook bepaalde zaken aankan om alles goed te routeren. SSTP werkt met certificaten. Met wat moeite kan je hiervoor een self signed gebruiken of je koopt voor een paar euro een echte.
Het voordeel van beiden is dat ze poort 443 gebruiken, die is bijna nergens geblokkeerd. Verder zijn ze een stuk veiliger.

Verder zou ik niet voor de buitenwereld de remote desktop poort forwarden naar iets in mijn netwerk. Dit maakt een hoop misbruik mogelijk.

dinsdag 12 juli 2016 09:28

Acties:

Nibble

Eerst je VPN verbinding werkend krijgen, dan pas de rest. Dat lijkt me een mooi uitgangspunt.
Eens dat je op VPN verbonden bent dan zou je als het goed is die poortmappings ook niet meer nodig hebben voor de rest (muv de vpn related poorten) aangezien je dan "binnen" je netwerk zit en dus alles met lokale adressen kunt doen. Dat is ook nog eens een stuk veilig dan alles onversleuteld over het internet slingeren.

T is for TANK, and T is for TERROR ... and K is the K for KILLING in error.

dinsdag 12 juli 2016 09:37

Acties:

T1psY

Dumo-Technics

Topicstarter

De server heeft een vast ip adres 192.168.1.58
De dhcp range van mijn router gaat van .2 tot .50
Alles daarbuiten is vast bijvoorbeeld printer is .51 en .52
De server heeft internet toegang (ik kan er websites mee bezoeken)
Echter van buitenaf blijkt de server niet bereikbaar, zelfs niet met deze poorten geforward.
Ik ga nu kijken om vpn te doen met ipsec ipv pptp daar ga ik mij wat over inlezen, maar het lijkt me dat bijvoorbeeld de :80 poort voor website toch sowieso van buitenaf bereikbaar moet zijn op deze moment? Of vergeet ik nog ergens een instelling

Edit: Mijn internet is van proximus dus ik zit vast aan die bbox3, mogelijk dat deze roet in het eten gooit. ik probeer uit te zoeken of het mogelijk is om deze te vervangen door een andere modem (evt met router in) maar lees op internet vanalles hierover, veel tegenstrijdige verhalen. Fritzbox zou mogelijk zijn maar niet alle types, maar zou liever kijken naar cisco apparatuur. Ik heb ook gezien dat je dan vpn met ipsec in de router kan doen, en dus niet meer op de server hoeft te doen. Ik probeer hierover meer info in te winnen.

Edit2: na wat zoekwerk ben ik er achter gekomen dat remote desktop wel werkt van buitenaf. Blijkbaar blokkeert belgacom poorten als 80 en 443 standaard, en moet je die ergens in myproximus gaan open zetten. Ik zag echter dat er nog een heel aantal poorten geblokkeerd zitten van hun uit en vraag me af of dit nog problemen zal opleveren.

[ Voor 45% gewijzigd door T1psY op 12-07-2016 13:45 ]

http://www.dumo-technics.com

dinsdag 12 juli 2016 22:28

Acties:

Verwijderd

Qua veiligheid is dit inderdaad niet de mooiste oplossing, maar als je het echt werkend wilt krijgen is het de moeite waard om eens te controleren of de server wel DHCP adressen uitdeelt, ik lees dat de router dat wel doet, maar je maakt een VPN verbinding met de server en niet met de router (als ik het goed begrijp).

Verder lees ik ook niet of je RRAS (Routin and Remote Acces) service wel hebt geïnstalleerd op de server.

Teamviewer Host is misschien een goed (en snel) alternatief voor het af en toe overnemen van je server

vrijdag 15 juli 2016 00:20

Acties:

T1psY

Dumo-Technics

Topicstarter

VPN verbinding word inderdaad gemaakt met de server. Ik heb hiervoor aan het rondkijken naar een andere oplossing, ik zou misschien een router willen plaatsen die dit mee afhandelt. Zit enkel nog te twijfelen om een cisco 877 te kopen tweedehands ofwel een pfSense installatie op een µATX bordje.

die remote connectie word gebruikt om apps uit te voeren op een client die op de server staan geïnstalleerd (werkt momenteel zelfs op de mac en op een ipad)

http://www.dumo-technics.com

zondag 17 juli 2016 13:50

Acties:

T1psY

Dumo-Technics

Topicstarter

ik heb de VPN verbinding goed gekregen, het lukt me op van buitenaf verbinding te maken. De enige port die nu nog geforward staat in de router is die 443 poort.
Iemand die mij in de richting kan wijzen wat ik nu kan verbeteren voor de veiligheid?
Ik ben ook nog op zoek naar een manier om de VPN verbinding automatisch te laten opstarten bij inloggen (of zelfs al voor inloggen? op de client) maar dit blijkt tot nu toe nog niet te lukken.

http://www.dumo-technics.com

zondag 17 juli 2016 22:14

Acties:

Craven

T1psY schreef op zondag 17 juli 2016 @ 13:50:
ik heb de VPN verbinding goed gekregen, het lukt me op van buitenaf verbinding te maken. De enige port die nu nog geforward staat in de router is die 443 poort.
Iemand die mij in de richting kan wijzen wat ik nu kan verbeteren voor de veiligheid?
Ik ben ook nog op zoek naar een manier om de VPN verbinding automatisch te laten opstarten bij inloggen (of zelfs al voor inloggen? op de client) maar dit blijkt tot nu toe nog niet te lukken.

Als je iets wilt dat opstart voor inloggen moet je volgens mij met directaccess aan de gang. Maar dat is niet bepaald een pretje als ik anderen moet geloven.

zondag 17 juli 2016 22:21

Acties:

plizz

Heb je nog steeds RDP TCP/UPD 3389 geforward? Zo ja, eruit halen. Kans best dat er bruteforce attack wordt uitgevoerd op je server.

maandag 18 juli 2016 00:23

Acties:

TheVMaster

Moderator WOS

T1psY schreef op zondag 17 juli 2016 @ 13:50:
ik heb de VPN verbinding goed gekregen, het lukt me op van buitenaf verbinding te maken. De enige port die nu nog geforward staat in de router is die 443 poort.
Iemand die mij in de richting kan wijzen wat ik nu kan verbeteren voor de veiligheid?
Ik ben ook nog op zoek naar een manier om de VPN verbinding automatisch te laten opstarten bij inloggen (of zelfs al voor inloggen? op de client) maar dit blijkt tot nu toe nog niet te lukken.

Waarom zou je dat willen? Dan zou ik kijken naar zoiets als Direct Access, onder Windows Server 2012 R2 (i.c.m. Windows 8 of hoger) is het een eitje om dat aan de praat te krijgen.

dinsdag 19 juli 2016 08:44

Acties:

T1psY

Dumo-Technics

Topicstarter

ik heb de VPN acces gewoon op de laptop lokaal geconfigureerd, is dus ook geen issue meer.
Er staan geen poorten meer geforward in de router, enkel nog de 443 die nodig is voor de VPN verbinding op te zetten. De RDP poorten zijn niet meer nodig aangezien ik via de VPN-verbinding een 'lokaal ip-adres' krijg.
Ik loop nog tegen 1 probleem aan: als ik een update maak van de GPO word dit wel op mijn vm's (win7 en win 8.1) toegepast, maar op de laptop die ik in het domein hangen heb (windows 8.1) niet.
al enkele keren "gpupdate /force" toegepast zowel op server als op client maar mag geen oplossing bieden.

http://www.dumo-technics.com

woensdag 20 juli 2016 22:20

Acties:

flashback1989

T1psY schreef op dinsdag 19 juli 2016 @ 08:44:
ik heb de VPN acces gewoon op de laptop lokaal geconfigureerd, is dus ook geen issue meer.
Er staan geen poorten meer geforward in de router, enkel nog de 443 die nodig is voor de VPN verbinding op te zetten. De RDP poorten zijn niet meer nodig aangezien ik via de VPN-verbinding een 'lokaal ip-adres' krijg.
Ik loop nog tegen 1 probleem aan: als ik een update maak van de GPO word dit wel op mijn vm's (win7 en win 8.1) toegepast, maar op de laptop die ik in het domein hangen heb (windows 8.1) niet.
al enkele keren "gpupdate /force" toegepast zowel op server als op client maar mag geen oplossing bieden.

wat krijg je te zien als je gpupdate /R draait op de laptop?

zaterdag 23 juli 2016 21:20

Acties:

T1psY

Dumo-Technics

Topicstarter

Description: Updates multiple Group Policy Settings

Syntax Gpupdate met dan alle parameters die je kan meegeven

Parameters
uitleg vd parameters /Taget, /Force, /wait, /logoff, /boot, /sync

Voor zover ik kan zien doet dit voor de rest niets?

http://www.dumo-technics.com

maandag 25 juli 2016 08:16

Acties:

Craven

Hij bedoelt:
gpresult /r

Of als je wat leesbaardere (uitgebreide) info wilt:
gpresult /h gporesult.html

Die gooit een html rapport met alle gpo instellingen in de huidige map neer.

Vraag

Alle reacties