Mac RDP Connectie via Gateway over Ziggo -> Chinese server?

dinsdag 26 mei 2020 17:04

Acties:

0 Henk 'm!

Topicstarter

Sinds vanochtend werkt het Remote Desktop inloggen (Microsoft Remote Desktop voor de Mac) via een specifieke RD Gateway niet meer. Het standaard verbindingsicoon wordt gebruikt, maar er wordt verbinding gemaakt naar een onbekende RD Server (waarschijnlijk in China, vanwege het lettertype).

Dit geldt voor alle Apple apparaten op dit adres. Alle bewaarde RD connecties op de Apple apparaten (iPad, iMac, iPhone en Macbook Pro) komen uit op deze onbekende server (China). Dit probleem doet zich alleen voor over de Ziggo verbinding. Verbreek ik de LAN verbinding en de Wifi en maak ik een hotspot connectie met mijn iPhone over 4G (Telfort), dan krijg ik wél de normale verbinding met de juiste RD server via de RD Gateway.

Ik heb inmiddels telefonisch contact gehad met Ziggo over dit probleem. Men heeft tweemaal mijn modem gereset, maar geeft aan niks te kunnen vinden. Via een TraceRT komt er niets vreemds naar boven, zegt men.

Via Ziggo kom ik dus op een server met Chinese tekens uit. Het is niet dat er een taalinstelling verkeerd staat, want het betreft een Microsoft Server 2008 R2 Datacenter omgeving, terwijl er bij mij op het bedrijf alleen RD servers staan met Microsoft Server 2012 R2 Standard.

Ik heb de dns host name van de RD gateway omgezet naar IP adres, maar dat maakt niets uit. Enkel het switchen van Ziggo Internet naar 4G Internet (Telfort) zorgt er voor dat ik weer verbinding kan maken met de juiste server.

Ik zie mijzelf niet als een IT-achterlijke, maar ik zit nu wel even met mijn handen in het haar. Wie kan helpen met een oplossingsrichting? Alvast super bedankt!

Afbeeldingslocatie: https://tweakers.net/i/2rsp21pi_m5AXEGoc-H-_mfnMsw=/800x/filters:strip_icc():strip_exif()/f/image/UA2947sH6gyc16QGAV0Z5ZOx.jpg?f=fotoalbum_large

vrijdag 29 mei 2020 15:31

hanhoo

Dit is een leuke.

Zijn de Airports in bridge (access point) modus? Dus niet als router/firewall? Heb je IPv6 op link-local only gezet op de Airports? Doen! Ipv6 op Airports is crap. Eventueel kun je zelfs Ziggo vragen om IPv6 op je modem uit te schakelen.

Je zou met de Chinese RDP even Netstat in de Terminal op de Mac kunnen doen. Dan kun je zien waar je nu daadwerkelijk en verbinding mee hebt.

dinsdag 26 mei 2020 19:00

Acties:

0 Henk 'm!

Daedalus

Moderator Apple Talk

Keep tryin'

Als je in de Terminal dig <RD gateway> intikt via Ziggo en je hotspot, krijg je dan hetzelfde IP-adres? Welke server beantwoord de query (onder 'Query time')? Als je traceroute <RD gateway> intikt in Terminal, zijn de laatste paar hops hetzelfde? Wellicht is het ook handig om de systembeheerder van je RD gateway te vragen wat er aan de hand is?

[ Voor 7% gewijzigd door Daedalus op 26-05-2020 20:08 ]

“You know what I've noticed Hobbes? Things don't bug you if you don't think about them. So from now on, I simply won't think about anything I don't like, and I'll be happy all the time!” | 宇多田ヒカル \o/

dinsdag 26 mei 2020 23:37

Acties:

0 Henk 'm!

Twiekman

Topicstarter

Afbeeldingslocatie: https://tweakers.net/i/1fGqUfYsyhqEyTLh8qclae5jTOc=/800x/filters:strip_exif()/f/image/L6iPM7WM0dDdfEbat4I9tgMD.png?f=fotoalbum_large

Bovenstaand is via ZIGGO

Afbeeldingslocatie: https://tweakers.net/i/NRdK8Ru_BcZnjGlWOe8o20uYZ2o=/800x/filters:strip_exif()/f/image/ozjE44ML9bKhG8FVZY6Nljaw.png?f=fotoalbum_large

Bovenstaand is via 4G / Telfort.

Wat nog meer opvalt in deze situatie: Als ik via een Windows laptop gewoon via MSTSC verbinding maak met de RD Gateway van ons bedrijf, via het netwerk van Ziggo, dan kom ik telkens weer op de goede RD server uit.

Dus het probleem doet zich alleen voor in de combinatie: Microsoft Remote Desktop voor Mac over de Ziggo lijn (Wifi en LAN).

Wie heeft een idee? Alvast bedankt voor het meedenken.

dinsdag 26 mei 2020 23:57

Acties:

+1 Henk 'm!

Daedalus

Moderator Apple Talk

Keep tryin'

Het idee van dig <RD gateway> was om uit te vinden of je DNS je via een ander IP zoekt. Dan heeft weinig zin om dig <IP adres> te draaien

Probeer het dus nog 'ns met de DNS naam van de RD gateway, en kijk dan of je dezelde IP's terug krijgt.

“You know what I've noticed Hobbes? Things don't bug you if you don't think about them. So from now on, I simply won't think about anything I don't like, and I'll be happy all the time!” | 宇多田ヒカル \o/

woensdag 27 mei 2020 00:27

Acties:

0 Henk 'm!

Twiekman

Topicstarter

Oké, sorry voor het verstrekken van informatie die je niet verwachtte. De Gateway in Microsoft Remote Desktop voor de Mac, staat overigens als IP adres, niet als DNS hostname. Maakt dat nog wat uit voor je vraag? Want met het ingevulde IP adres maakt de app dus de ene keer de juiste verbinding (via 4G) en de andere keer naar China / een Chinese server (via Ziggo).

Wil je dat ik de DIG informatie nog eens post, maar dan met de DNS naam als target?

woensdag 27 mei 2020 01:48

Acties:

0 Henk 'm!

Verwijderd

ik vind dat toch bizar, krijg je geen melding over ander certificaat oid? (ik moet voor mn RD naar mijn gewone windows 10 pro, zonder gateway, voor de 1e connect het cert accepteren).

ik neem aan dat dat ook zo is als je via een gateway verbind.

erg raar probleem, weet je zeker dat je device niet compromised is? of een ander apparaat in je netwerk?

[ Voor 5% gewijzigd door Verwijderd op 27-05-2020 01:50 ]

woensdag 27 mei 2020 01:54

Acties:

0 Henk 'm!

Wim-Bart

Zie signature voor een baan.

Op de Ziggo ga je een "VPN" tunnel in. Of iets wat je in een tunnel drukt.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

woensdag 27 mei 2020 02:28

Acties:

0 Henk 'm!

johnkeates

Via Ziggo heb je inderdaad een extra private IP er tussen, maar je komt wel op een routit netwerk terecht dus dat gaat (voor ICMP) goed.

Dat betekent echter niet dat dat voor de RDP TCP connectie ook werkt; als er iets tussenin zit kan het prima zijn dat er een of andere vieze NAT regel tussen zit.

Als je een wget of netcat naar dat adres doet en je krijgt een ander antwoord dan zou je op TCP niveau wel verschil kunnen zien. Het lijkt tot zo ver in elk geval niet een simpel gevalletje 100% redirect te zijn, anders had dig en traceroute niet gewerkt.

woensdag 27 mei 2020 21:04

Acties:

0 Henk 'm!

Twiekman

Topicstarter

Probleem doet zich nog steeds voor vandaag, helaas. Heb diverse Apple Airport Extreme's achter het Ziggo modem staan die voor de Wifi zorgen in huis. Als ik een Macbook Pro direct via een LAN kabel op het Ziggo modem (Cisco EPC3925) aansluit, blijft het probleem zich voordoen.

Maar let op: connect ik niet via het Wifi netwerk van mijn Apple Airport Extreme, maar direct op het Wifi netwerk wat het Ziggo modem uitzendt, dan doet het probleem zich niet voor. Met andere woorden op deze Wifi verbinding maak ik wél verbinding met de juiste RDP server.

Functioneel gezien kan ik dus zo (voorlopig) werken met RDP op dit Wifi netwerk. Wat ik belangrijker vind om te weten: hoe groot denken jullie dat de kans is, dat ik ben gehackt? Moet ik mij zorgen maken als ik probeer te RDP'en en dan uitkom op een Chinese server, of is dit niet zo spannend?

woensdag 27 mei 2020 21:21

Acties:

0 Henk 'm!

bert pit

asdasd

Dan lijkt het er toch op dat er in je airport iets aan de hand is. Misschien moet je die eens resetten, terug naar de fabrieksinstellingen, updaten en opnieuw beginnen, of als deze zeer oud is: vervangen.

[ Voor 70% gewijzigd door bert pit op 27-05-2020 21:28 ]

Tijdens het lezen van deze zin, wordt wereldwijd circa 1.000.000 liter olie verstookt. Dus niet 2X lezen hè.

woensdag 27 mei 2020 21:36

Acties:

0 Henk 'm!

Twiekman

Topicstarter

Hi Bert,

Dank voor het meedenken. Ook als ik in mijn vorige post schrijf:

Als ik een Macbook Pro direct via een LAN kabel op het Ziggo modem (Cisco EPC3925) aansluit, blijft het probleem zich voordoen.

Lijkt er dan toch op dat de Apple Airport er niets mee te maken heeft?

woensdag 27 mei 2020 21:44

Acties:

0 Henk 'm!

DutchKel

Is die RDP Gateway van je werk of privé. Als die van je werk is dan kun je vragen of ze daar willen kijken of hun configuratie goed staat. Misschien staat jou ziggo ip adres in een range die voor China oid bedoeld is waarmee de Gateway je automatisch doorverbind naar het datacenter in China van je werk. Mogelijk hebben ze daar de servernamen hetzelfde als in Nederland genoemd.

Don't drive faster than your guardian angel can fly.

woensdag 27 mei 2020 22:40

Acties:

0 Henk 'm!

Twiekman

Topicstarter

Die "gateway" is van de zaak. Gateway in de zin van een RD Gateway dus...

Er zijn geen vestigingen van ons bedrijf (MKB) in het buitenland. We zijn een kleine organisatie met zo'n 40 kantoorwerkplekken. In de app Microsoft Remote Desktop voor Mac heb ik geen hostname als gateway ingegeven maar een numeriek IP adres.

Dank voor het meedenken, DutchKel, maar ik denk dat we moeten zoeken in een andere richting?

donderdag 28 mei 2020 12:35

Acties:

0 Henk 'm!

Pendora

Tweakers.Forum schreef op woensdag 27 mei 2020 @ 21:36:
Hi Bert,

Dank voor het meedenken. Ook als ik in mijn vorige post schrijf:
[...]

Lijkt er dan toch op dat de Apple Airport er niets mee te maken heeft?

Dit ligt aan de netwerk volgorde. Als primair de WiFi gepakt wordt en je deze niet uit hebt staan zal de verbinding nog steeds via WiFi lopen. Dus probeer dit ook te doen met de WiFi uitgeschakeld.

donderdag 28 mei 2020 14:33

Acties:

0 Henk 'm!

Twiekman

Topicstarter

Pendora, dank voor het meedenken. De Wifi verbinding stond (vanzelfsprekend) uit op de Macbook Pro tijdens de test met de LAN kabel direct op het Ziggo modem.

Iemand anders een suggestie? Nogmaals, wat ik belangrijk vind om te weten: hoe groot denken jullie dat de kans is, dat ik ben gehackt? Moet ik mij zorgen maken als ik probeer te RDP'en en dan uitkom op een Chinese server, of is dit niet zo spannend?

donderdag 28 mei 2020 14:42

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Bizar. Er van uitgaande dat je geen R&D doet die interessant is voor buitenlandse mogendheden, zou ik eerder uit gaan van een configuratiefout op netwerk(routeer)niveau. Laten we wel wezen: als het een gerichte aanval is dan zouden ze niet de fout maken de verkeerde taal te blijven tonen.

Omweg: wat als je eerst vanaf Macbook een VPN-verbinding opzet met any VPN-server buiten jullie netwerk? Bijv. even testen met een gratis VPN server. (Inloggen in de RDP hoeft niet dus ik zie niet echt een beveiligingsprobleem).

Als dan ook: configfout in de RD Gateway / het netwerk er achter? Als dan niet: configfout in het netwerk ervoor?

[ Voor 37% gewijzigd door F_J_K op 28-05-2020 14:44 ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

donderdag 28 mei 2020 16:43

Acties:

0 Henk 'm!

WTM

en? lek boven?

vrijdag 29 mei 2020 08:24

Acties:

0 Henk 'm!

Twiekman

Topicstarter

Nee, helaas het lek nog niet boven. Dit weekend en maandag wat extra gaan testen. Moet gewoon naar mijn werk van maandag t/m vrijdag... Ik ga in ieder geval aan de gang met de suggesties van F_J_K. Dank voor het meedenken!

Situatie tot nu toe:

Ziggo "regulier Wifi" + Remote Desktop voor Mac => Chinese Server
Ziggo Direct op LAN Ziggo Modem + Remote Desktop voor Mac => Chinese Server

Ziggo "ingebouwde Ziggo Wifi" + Remote Desktop voor Mac => Oké
Ziggo "regulier Wifi" + Remote Desktop op Windows => Oké
4G Telfort + Remote Desktop voor Mac => Oké

Schiet mij maar lek... over lekken gesproken...

vrijdag 29 mei 2020 11:16

Acties:

0 Henk 'm!

Kabouterplop01

chown -R me base:all

Ik zou het met je systeembeheerder bespreken.. Die kan je misschien helpen met het uitsluiten van bepaalde zaken.
Als je op die server inlogt ZONDER geldige credentials (dus niet je username + passwd) wat zie je dan gebeuren?

vrijdag 29 mei 2020 15:31

Acties:

Beste antwoord ✓
0 Henk 'm!

hanhoo

Dit is een leuke.

Zijn de Airports in bridge (access point) modus? Dus niet als router/firewall? Heb je IPv6 op link-local only gezet op de Airports? Doen! Ipv6 op Airports is crap. Eventueel kun je zelfs Ziggo vragen om IPv6 op je modem uit te schakelen.

Je zou met de Chinese RDP even Netstat in de Terminal op de Mac kunnen doen. Dan kun je zien waar je nu daadwerkelijk en verbinding mee hebt.

zaterdag 30 mei 2020 14:08

Acties:

0 Henk 'm!

Twiekman

Topicstarter

Hanhoo,

Dank je wel voor de tip! Via Netstat inderdaad het bewuste IP adres kunnen traceren: 182.61.186.59
Lijkt op een server in Beijing. Als ik een directe RDP connectie maak naar dit adres, kom ik op hetzelfde RDP inlogscherm uit.

Afbeeldingslocatie: https://tweakers.net/i/wJGG_kIxBQoh2IdA4XTkc0ZmVrs=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/jxwNP9CBjWN1Y9pESRRqll2b.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/wJGG_kIxBQoh2IdA4XTkc0ZmVrs=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/jxwNP9CBjWN1Y9pESRRqll2b.png?f=user_large

Verder volgens mij geen rare instellingen teruggevonden in mijn Airports:

Afbeeldingslocatie: https://tweakers.net/i/0yTauKhcdM8CuGp5A7398fdnsCo=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/G1j7ig1MCRtzoyqGfdt3MOu3.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/0yTauKhcdM8CuGp5A7398fdnsCo=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/G1j7ig1MCRtzoyqGfdt3MOu3.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/_CMdaik-GUkg_eakbYcY5nND8fY=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/16fp7hTKAb0e6CqE7rPWaeZO.png?f=user_large

Kan iemand iets met dit IP adres? Het adres heeft geen overeenkomsten met het IP adres van de RDP Gateway.

zaterdag 30 mei 2020 14:26

Acties:

0 Henk 'm!

jjbstolk

Als je google gebruikt met dat ip dan is de 2e hit al een melding over malware.

https://ip-46.com/182.61.186.59

[ Voor 18% gewijzigd door jjbstolk op 30-05-2020 14:27 ]

zaterdag 30 mei 2020 14:32

Acties:

0 Henk 'm!

Twiekman

Topicstarter

Ja, ik zag het inderdaad. Maar dat verklaart nog niet waarom Microsoft Remote Desktop voor de Mac (versie 10.3.11 (1788)) alleen over een Ziggo verbinding connect met dit IP, in plaats van het IP dat ik heb opgeslagen in deze App als gateway...?

zaterdag 30 mei 2020 20:50

Acties:

+1 Henk 'm!

jjbstolk

Nee maar als het malware is, weet je ook niet hoe de bedenker van de malware iets heeft bedacht.

zondag 7 juni 2020 10:10

Acties:

+1 Henk 'm!

Twiekman

Topicstarter

Na verschillende onderzoekjes eindelijk wat verder gekomen met dit bijzondere onderwerp. @hanhoo stipt de beste oplossingsrichting aan. In de Airports stond IPv6 al uit, maar in de netwerkvoorkeuren van de Macs niet.

Dit is de screenshot van de Ethernet instellingen, maar het werkt ook bij Macs die alleen van Wifi gebruikmaken:

Afbeeldingslocatie: https://tweakers.net/i/sVqhllhMtHiS7c8wHlE96zqd08k=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/kDowCt32jFDgyFWLUSIzb17Y.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/sVqhllhMtHiS7c8wHlE96zqd08k=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/kDowCt32jFDgyFWLUSIzb17Y.png?f=user_large

Conclusie: zet je TCP instellingen op IPv6: alleen link-local en dit probleem doet zich niet meer voor. Geen idee waar dit mee te maken heeft, maar het werkt. Iemand een idee?

In ieder geval bedankt allemaal voor het meedenken en @hanhoo in het bijzonder! Plus Kudos voor jou.

zondag 7 juni 2020 14:13

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

Twiekman schreef op zondag 7 juni 2020 @ 10:10:
...
Conclusie: zet je TCP instellingen op IPv6: alleen link-local en dit probleem doet zich niet meer voor. Geen idee waar dit mee te maken heeft, maar het werkt. Iemand een idee?
...

Welke DNS server krijg je toegewezen als je ipv6 gebruikt?

QnJhaGlld2FoaWV3YQ==

zondag 7 juni 2020 14:48

Acties:

0 Henk 'm!

Twiekman

Topicstarter

DNS server blijft in beide situaties hetzelfde IP adres: 212.54.39.71

Onderwerpen

Vraag

Beste antwoord (via Twiekman op 07-06-2020 10:10)

Alle reacties