Toon posts:

Unifi - extern-RDP naar PC in NoT VLAN

Pagina: 1
Acties:

  • Fietstasss
  • Registratie: Maart 2010
  • Laatst online: 28-01 01:12
Hi Tweakers,

Mijn thuisnetwerk is opgesplitst in meerdere VLANs;
VLAN 2 voor de meeste eind-clients
VLAN 20 voor IoT apparaten
VLAN 30 voor NoT apparaten en PC's welke geen internettoegang toegestaan wordt.

Nu heb ik een port forward opgezet om vanaf de buitenwereld naar een PC (m'n thuisservertje in dit geval) op VLAN 2 te RDP'en.
Dit werkt prima, ik kan via externe pc's (mits vanaf het toegestane externe IP, zoals bijvoorbeeld 't IP van m'n werk) prima naar deze PC RDP'en.

Nu wilde ik deze regel onlangs ombouwen zodat 'k naar een andere PC (Laten we 'm LAB-PC noemen) op VLAN30 kan RDP'en dus heb in de port-forward-rule het IP van m'n servertje gewijzigd naar 't IP van m'n LAB-PC maar krijg 't daar niet bij werkend.
Overigens kan ik intern wel vanaf VLAN2 pc's naar de LAB-PC (op VLAN30) rdp'en.

Om maar wat te proberen heb 'k een firewall regel toegevoegd onder WAN-IN die er als volgt uit ziet:



Uiteraard zou hier later nog een restrictie op 't Source-IP moeten worden gezet i.v.m. veiligheid.

Waarbij de groep 'RDP Ports' nu alleen poort 3389 bevat.

Helaas wil dit niet werken.
Wanneer ik 't IP adres in de port-forward-rule weer terug verander naar die van m'n server werkt die RDP (vanaf extern) wel weer.

Gebruikte appratuur/setup:
USG-3 > US-8-60W > US-8-150W > LAB-PC

Zie ik iets over het hoofd wat dit gedrag kan verklaren?

Alvast zeer bedankt!

  • donny007
  • Registratie: Januari 2009
  • Laatst online: 09:45

donny007

Try the Nether!

Hoe ziet de firewall van VLAN 30 eruit? Als dat netwerk niet naar buiten mag praten wordt het retourverkeer mogelijk tegengehouden.

Check anders even met Wireshark op de "LAB-PC" of je pakketjes binnen ziet komen wanneer je verbinding probeert te maken.

Edit: In het screenshot is action "Drop" geselecteerd, dat gaat je ook niet helpen om verkeer door te laten...
Tevens zie ik een "Port Group" bij source geselecteerd staan, dat gaat zo niet werken: de source port wordt willekeurig gekozen door de client. Een rule op basis van destination port 3389/RDP is logischer.

Nu is mijn kennis van USG wat roestig, maar ik dacht dat hij automatisch regels in de WAN-IN firewall aanmaakt voor port forwarding rules.

[Voor 51% gewijzigd door donny007 op 07-02-2022 11:48]

/dev/null


  • laurens0619
  • Registratie: Mei 2002
  • Laatst online: 10:37
Het gaat denk ik mis omdat vlan30 niet bij internet mag.

Hebben je apparaten in vlan30 wel een gateway ingesteld naar je usg?
Als die er wel is, moet je denk ik iets creatiefs gaan doen in die block rule.

Of de RDP aanbieden via iets als een reverse proxy. Dan weet je computer helemaal niet dat de verbinding vanaf internet komt. Ik dacht dat je dit ook kon bereiken met src nat vs dst nat maar moet eerlijk bekennen dat mijn kennis daar wat beperkt is :P



Je wilt dus eigenlijk de bovenste situatie voor elkaar krijgen. Dan heb je het minst gedoe met een DROP rule op je internet verkeer

Nog makkelijker (en veiliger :P) is je rdp achter een vpn aanbieden :)

Of je pakt iets van een rdp jump gateway achter constructie
https://github.com/cedrozor/myrtille

[Voor 19% gewijzigd door laurens0619 op 07-02-2022 13:23]

CISSP! Drop your encryption keys!



Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee