[gelöst] Sicherheitsprogramme Remote Desktop über Mac - Firewall konfigurieren

[apfelcash]

Hallo,

nach stundenlangem experimentieren benötige ich nun doch eure Hilfe.

Ich muss ab und an von meinem Macbook auf meinen Windows 10 PC zugreifen bzw. möchte diesen hierüber fernsteuern. Das geschieht über das lokale Netzwerk sowie auch über eine VPN Verbindung von extern über die App "Microsoft Remote Desktop". Alles funktioniert bestens, jedoch möchte ich das dauerhafte Aktivieren der Windows Desktop Remote Verbindung auf meinem Windows PC weiter einschränken. Hierzu habe ich über die Defender Firewall diverse Einstellungen vorgenommen, die jedoch allesamt die Verbindung von meinem Macbook auf den Windows PC blockierten.

Frage: Wie muss ich die Firewall konfigurieren, dass nur eine lokale Netzwerk Verbindung bzw. über eine VPN Verbindung der Zugriff möglich ist. Mein Standardgateway hat die Adresse 192.168.178.1. In der Firewall sind folgende Regeln zu finden:

Remotedesktop TCP eingehend
Remotedesktop UDP eingehend
Remotedesktop - Schatten TCP eingehend
Remotedesktop TCP-WS eingehend
Remotedesktop TCP-WSS-in

Leider bin ich diesbezüglich wenig vertraut.

In welchen Reiter muss ich was eintragen, dass die Verbindung auf den Macbook beschränkt möglich ist?

Über eure Unterstützung besten Dank!!

 

[PeteM92]

Bist Du auf Microsoft Remote Desktop fixiert oder suchst Du eine Lösung dafür, Deinen Pc aus der Ferne zu bedienen?

 

[apfelcash]

Die Verbindung über Microsoft Remote Desktop ist für meine Anforderungen im Grunde perfekt. Letztendlich möchte ich halte nur nicht den Port der Windows Desktop Verbindung für alle offen halten.

 

[PeteM92]

Gut, dann versuch´s weiter. Du wirst schon noch Tipps bekommen.

 

[Miine]

In welchen Reiter muss ich was eintragen, dass die Verbindung auf den Macbook beschränkt möglich ist?

Ganz einfach:
- wenn das MacBook keine feste IP Adresse hat, im Router bei der DHCP Vergabe diesen eine ausserhalb des DHCP-Adressbereiches zuordnen bzw. wenn möglich einfach sagen das die automatisch zugewiesene immer verwendet werden soll. Achtung: da Ethernet und WLAN zwei unterschiedliche MAC-Adressen haben am besten dann zwei IP-Adressen festlegen...
- gleiches gilt für die VPN Verbindung, da auch eine feste IP zuweisen
- am Windows-PC dann für die Firewall diese Adresse/n benutzen, erstmal alles freigeben um zu testen obs überhaupt funktioniert, dann die auf die benötigen Ports beschränken...

Falls ein RDP von einer nicht aufgelisten Adresse funktioniert
- DANACH (Reihenfolge wichtig: erst spezifisch zulassen, Rest abweisen) dann eine Regel die ALLE Verbindungen zu den RDP Ports verbietet

Ansonsten müsstest Du die eingehenden Verbindungen auf einen Adressbereich beschränken, bei Dir dann 192.168.178.0/24 . Der hört sich nach einer Fritzbox an, damit sollte das oben vorgeschlagene gehen...

 

[apfelcash]

Ich danke Dir! Das schaue ich mir heute Abend einmal in Ruhe an.

 

[apfelcash]

@Miine Vielleicht darf ich noch kurz schildern wie ich das nun umgesetzt habe. Zugleich kam es dabei jedoch zu weiteren Fragen:

In den erweiterten Firewalleinstellungen habe ich unter den Regeln "Remotedesktop - Benutzermodus (TCP eingehend)" sowie unter "Remotedesktop - Benutzermodus (UDP eingehend)" im Reiter "Bereich" unter "Lokale IP-Adresse" die fest zugewiesene IP meines Windows PCs hinterlegt (192.168.178.xx). "Unter Remote-IP-Adresse" habe ich die beiden fest zugewiesenen Adressen für die interne WLAN und Ethernet Verbindung hinterlegt. Das alles funktioniert perfekt. Ändere ich die IP-Adressen temporär ab, wird mir der Zugriff verweigert. So soll es sein! Wähle ich mich jedoch von draussen über eine VPN Verbindung ein, ohne die zugewiesene VPN IP-Adresse dort hinterlegt zu haben, bekomme ich dennoch Zugriff auf den Windows PC. Das verunsichert mich gerade etwas. Muss ich hier noch etwas beachten? Zu guter Letzt weiß ich nicht, ob ich auch unter der Regel "Remotedesktop - Schatten (TCP eingehend) etwas einstellen oder beachten muss.

Besten Dank!!

 

[PeteM92]

Ich mische mich jetzt doch nochmal ein.

Wenn es sich bei dem Ganzen um eine nicht kommerziellen Benutzung handelt, dann würde ich das Problem mit TeamViewer oder Anydesk lösen. Beide gibt es für Windows und macOS. Sie sind im privaten Bereich kostenlos und lassen sich so einrichten, daß jederzeit ein Zugriff von außen möglich ist.

Die Zugangsberechtigung wird über Benutzerkonten und Passwörter abgesichert, da muß man sich über IP-Adressen und Firewalls überhaupt keine Gedanken machen.

 

[apfelcash]

Ich kenne TeamViewer von der Fernwartung. Kann ich mir natürlich noch genauer anschauen. Eine integrierte Lösung halte ich zwar für eleganter als auf eine Drittanbieter App zu setzen, doch testen kostet ja nichts . Wobei ich denke, dass TeamViewer nicht grundsätzlich sicherer als RDS sein muss. Auch hier muss ein Port geöffnet werden um Zugriff von extern zu erhalten.

 

[PeteM92]

TeamViewer und Anydesk funktionieren ohne daß man die Standard-Einstellungen der Windows Firewall verbiegt oder irgendwelche Ports öffnet, die nicht eh schon für normalen Zugriff auf das Internet gebraucht werden. Auch Routereinstellungen werden nicht verändert. Und für den sicheren Zugriff auf einen Rechner zuhause ist auch keine VPN erforderlich, wenn man das nicht gerade von einem öffentlichen WLAN Accesspoint aus machen will.

 

[!Anwender]

der eine Unterschied ist nur dass Teamviewer nur privat kostenlos ist und man trotzdem öfter mal getrennt wird , Any Desk ist da wirklich etwas besser

 

[Miine]

@Miine Vielleicht darf ich noch kurz schildern wie ich das nun umgesetzt habe. Zugleich kam es dabei jedoch zu weiteren Fragen:

Wähle ich mich jedoch von draussen über eine VPN Verbindung ein, ohne die zugewiesene VPN IP-Adresse dort hinterlegt zu haben, bekomme ich dennoch Zugriff auf den Windows PC. Das verunsichert mich gerade etwas. Muss ich hier noch etwas beachten?

Das Verhalten wäre richtig wenn Du über VPN die gleiche IP Adresse zugewiesen bekommst wie im internen Netzwerk. Einfach mal beim Mac checken was da die Systemeinstellungen sagen... Beim VPN geschieht die Zuweisung entweder über die Fritzbox oder beim Mac ist eine Feste-IP eingestellt.

Ansonsten schützt ja die VPN Authentifizierung vor den RDP Zugriff für unbefugte falls man das Problem über die Firewall nicht gelöst bekommt.

BTW: RDP ist wesentlich effizienter was die Datenübertragung angeht als TeamViewer und Co. die letztendlich nur ein aufgebohrtes kommerzielles VNC sind... , Und RDP kann ein paar Sachen von denen die anderen nur träumen können.

 

[apfelcash]

@Miine Zwischenzeitlich funktioniert dank Deiner Unterstützung alles bestens. Das zuletzt geschilderte Problem verursachte ich selbst. Ich baute über die Mobilfunkverbindung meines Handys (via Hotspot) mit dem Mac bzw. dem VPN Client eine Verbindung in das Heimnetzwerk auf, um den Zugriff von aussen zu simulieren. Allerdings hing dummerweise noch das Netzwerkkabel vom Router am Mac, so dass die Verbindung aufgrund der freigegebenen IP-Adresse vom Ethernet möglich wurde. Die eigentlich nicht freigegebene IP aus der VPN Verbindung schien Windows in diesem Moment zu ignorieren. Mein Fehler!

Nun habe ich die feste IP der WLAN, Ethernet und VPN Verbindung freigegeben und alles funktioniert perfekt!