[Gelöst] Remotedesktop über VPN

[PsychoMantis]

In einer Firma steht eine 7490er Fritzbox (mit neuster stable-Firmware) wo ein paar Dutzend Rechner angeschlossen sind.
Auch ein Server ist vorhanden. Er lässt sich von einem beliebigen Rechner per Remotedesktop steuern.

Nun würde ich gern genau diesen Server von zu Hause aus steuern. Dabei habe ich folgendes Problem (egal was ich tue): ich kann jeden Server und jeden Client und auch die Fritzbox über VPN anpingen und auch die Dateifreigabe funktioniert so als wäre ich lokal anwesend, aber es geht keine Remoteverbindung.
Es kommt die Fehlermeldung:

Der Remotedesktop kann aus einem der folgenden Gründe keine Verbindung mit dem Remotecomputer herstellen: 

1) Der Remotezugriff auf dem Server ist nicht aktiviert.
2) Der Remotecomputer ist ausgeschaltet. 
3) Der Remotecomputer ist im Netzwerk nicht verfügbar. 

Stellen Sie sicher, dass der Remotecomputer eingeschaltet ist und mit dem Netzwerk verbunden und das der Remotezugriff aktiviert ist.

Probiert habe ich zunächst normale Client-LAN-Verbindung (ganz normal über Fritz-Fernzugang einrichten), dann habe ich mit shrew-Soft probiert (jeweils mit und ohne der Option, dass der ganze Traffic ins Internet über den VPN-Tunnel geroutet wird), dann habe ich sogar LAN-LAN-Kopplung probiert. Immer das gleiche: Dateifreigabe und auch Ping geht, aber nicht der Remotedesktop. Spaßeshalber habe ich Teamviewer installiert und den so aktiviert, dass man den nur per IP nutzen kann. Das geht. Teamviewer kann ich aber ohne License auf Dauer nicht benutzen. Lokal vor Ort geht dann natürlich auch Remotedesktop, aber eben nicht über den VPN-Tunnel.
Frage: Warum geht der Remotedesktop nicht, obwohl alles andere geht? Für Ideen wäre ich wirklich dankbar.

 

[HabNeFritzbox]

Du bekommst auch via VPN eine IP aus dem Subnet der Firma?

Die Firma nutzt anderes Subnet als du zuhause?

 

[PeterPawn]

Schau in die erweiterten Einstellungen der Firewall auf dem Server ... vermutlich ist dort der Remote-Desktop nur für das lokale Netz freigegeben und - je nachdem, womit Du das VPN aufbaust - Du hast vermutlich dann keine dazu passende Adresse. Man kann da aber problemlos auch weitere Netze als "permitted" hinzufügen und muß nicht gleich alles freigeben oder gar eine Firewall abschalten.

 

[PsychoMantis]

Natürlich. Die Firma hat ein anderes Subnetz als ich zu Hause und im Falle einer Client-LAN-Kopplung bekommt mein Computer auch wirklich eine IP aus dem Subnetz der Firma.
Ich dachte auch schon, dass es die Firewall sein könnte, aber es erschließt sich mir nicht woher die Firewall weiß ob ich jetzt vor Ort bin oder über VPN am Subnetz hänge. Im Falle der Client-LAN-Kopplung habe ich ja wirklich eine IP aus dem Subnetz der Firma. Woher weiß die Firewall, dass ich ortsabwesend bin? Das weiß doch eigentlich nur die Fritzbox. Und wenn es doch die Firewall ist, warum lässt sie Pings durch und auch die Dateifreigabe im Explorer?
Danke für die Antworten.

 

[PeterPawn]

Wahrscheinlich wird die 7490 vom Windows-Server als "Edge-Router" erkannt und für "Remote Desktop" wird normalerweise eine Regel ("Domain" und "Private") eingerichtet, bei der "Block edge traversal" aktiviert ist. Wobei das auch nur eine Vermutung meinerseits ist - für "besseres Raten" müßte man schon genauer wissen, was da gerade mit welcher VPN-Lösung getestet wird und mit welchem (genauen) Ergebnis. Ein "geht nicht" kann zwar dasselbe Ergebnis sein, muß aber nicht zwangsläufig in jedem Falle auch dieselbe Ursache haben.

Gerade bei solchen Protokollen wie MS-RDP gibt es auch noch genug Möglichkeiten festzustellen, ob die Rechner tatsächlich in einem gemeinsamen Subnetz sind oder ob da irgendwo ein "Vermittler" dazwischen ist - beim VPN reicht es schon aus, wenn die MTU (bzw. die TCP-MSS) über eine solche Verbindung kleiner ist, als die im lokalen Netz (um mal ein Beispiel zu nennen, woran man das erkennen könnte).

Was der RDP-Service da jetzt tatsächlich macht, weiß ich auch nicht genau (nachlesen kannst Du das ja selbst und auch ein Mitschnitt zwischen FRITZ!Box und Server könnte ja schon Aufschluß geben, ob der Server überhaupt antwortet oder nicht oder ob am Ende doch erst beim Aufbau der X.224-Verbindung oder sogar noch später vom Server abgebrochen wird (wobei dann eigentlich der Client irgendeinen sinnvollen Fehler melden müßte - aber vielleicht macht er das ja sogar im Event-Log doch noch genauer als in der von Dir zitierten Fehlermeldung).

 

[andilao]

Die Firewall setzt bei vielen Diensten den Bereich auf "Lokales Subnetz" und die sog. Edgeausnahme auf "blockiert". Auf RDP trifft letzteres zu.

Ansonsten sollte man sich derzeit definitiv nicht mehr darauf verlassen, dass beim Profil "öffentlich" die alte goldene Regel praktiziert wird: alles darf raus aber nichts rein. Nein, die Liste der offenen Ports passt bei mir gar nicht mehr auf eine Seite, mit u.a. so überaus wichtigen Diensten wie Spotify, Viber, Xing und Microsoft Store.

 

[PsychoMantis]

Nach viel rumprobieren sind wir dann doch drauf gekommen woran es lag: am Filter\Zugangsprofile der Fritzbox. Genau dort musste man zusätzlich auch RDP öffnen.

 

[Shirocco88]

im Falle einer Client-LAN-Kopplung bekommt mein Computer auch wirklich eine IP aus dem Subnetz der Firma.

es lag: am Filter\Zugangsprofile der Fritzbox. Genau dort musste man zusätzlich auch RDP öffnen.

das Menü "Web-IF >> Internet >> Filter >> Zugangsprofile" steuert eigentlich den Zugriff auf Internet.
Hast Du spezielle Profile konfiguriert, bzw. das Standard-Profile geändert ?

oder bedeutet das, dass diese Filterung auch bei Client-LAN-Kopplung (vpn.cfg: conntype_out, Client-LAN-Kopplung,
https://avm.de/service/fritzbox/fri...331_FRITZ-Box-mit-einem-Firmen-VPN-verbinden/
https://avm.de/service/fritzbox/fri...s-VPN-Client-mit-anderer-FRITZ-Box-verbinden/)
wirkt ?

 

[PsychoMantis]

Ich hatte vorher spezielle Profile konfiguriert. Das ist jedoch ewig her und daher habe ich das vergessen. Auch habe ich nicht mehr daran gedacht eben weil alles (Dateifreigabe, alle anderen Dienste) funktionierte.