Springdale

Remote Desktop kívülről...

Kérdés

Sziasztok,

Hosszú ideje használtam remote desktop-ot DDNS (no-ip) szolgáltatással, hogy az itthoni gépemet bárhonnan elérjem, ez azonban pár hónapja hirtelen megszűnt működni. Most jutottam oda, hogy volt időm nekiülni és foglalkozni a problémával. Mivel szerintem minden stimmel, és itthoni hálózatról megy is az RDP, gyanakszom a szolgáltatóra... Optinet, Budapest, 11. kerület.

Amit ellenőriztem:

- A DDNS szolgáltató frissíti az IP címemet (de IP címmel is próbáltam csatlakozni, úgy se megy).

- Windows Firewall-ban a 3389-es port nyitva (kompletten kikapcsoltam, nem volt változás)

- A 3389-es port a routeren (W724V) forwardolva a kliens gép IP címére (TCP és UPD, azonos beállításokkal korábban hónapokig működött). Ezt online eszközökkel ellenőriztem:

mxtoolbox.com - 3389 remote desktop Open

www.t1shopper.com/ - 134.255.69.xxx is responding on port 3389 (ms-wbt-server).

- Próbáltam másik gépre forwardolni a portot, ott bekapcsolni az RDP-t, próbából kikapcsolni az NLA-t, a routeren bekapcsolni az uPnP-t, Windows-ban kikapcsolni az IPv6-ot, semmi. 

Mivel szerintem minden jól van beállítva, és mégse működik, ezért azon a ponton vagyok, hogy nincs több ötletem. Ha bárkinek van bármi, azt szívesen fogadom és nagyon szépen köszönöm :)

Üdv,

Csaba

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

36 válasz erre a kérdésre

3 minutes ago, Springdale said:

 

 

Speedport W724V. Státuszban oldalt írja hogy firewall active, de semmi más beállítás nincs a tűzfalhoz :D Viszont próbáltam a szóbanforgó gépet DMZ-re tenni, és az sem hozott változást. Emellett azért sem értem a dolgot továbbra sem, mert ez így működött, jó darabig. 

Kipróbálom, hogy a TeamViewer megy-e külső hálóról, ha router gond akkor elvileg annak se kellene - bár az uTorrent sem panaszkodik ;)

A TW menni fog. Kell az ID és a Password

Amíg telepítesz addig privátban küldd el pls az IP det, megnézem linux alól mia stájszli....

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

LAN oldalról, tehát helyi hálón, nem kívülről egy másik gépről eléred a távoli asztalt?

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
7 hours ago, Springdale said:

Sziasztok,

Hosszú ideje használtam remote desktop-ot DDNS (no-ip) szolgáltatással, hogy az itthoni gépemet bárhonnan elérjem, ez azonban pár hónapja hirtelen megszűnt működni. Most jutottam oda, hogy volt időm nekiülni és foglalkozni a problémával. Mivel szerintem minden stimmel, és itthoni hálózatról megy is az RDP, gyanakszom a szolgáltatóra... Optinet, Budapest, 11. kerület.

 

Rághatjuk egy kicsit a témát, sztem meg is tunám oldani, de lenne egy kérdésem: Mi lenne, ha a winfos rdp je helyett kipróbálnád a temviewert? Nézegesd meg és sztem jobban jársz. Ha nagyon ragaszkodsz hozzá, akkor nekiállhatunk megoldani.....

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
2 minutes ago, Springdale said:

Esküszöm megfogadom, viszont használok olyan vállalati gépet is, ahol nem vagyok admin, azon csak RDP kliens van... :) Úgyhogy ha van ötleted kérlek ne tartsd magadban, köszönöm szépen! :)

Nos, esetleg a routeren valamilyen tűzfal? Nem ismerem ezt a cuccot.... Ha felteszel rá egy temaviewert és adsz accot, akkor belépek és megnézem mi lehet

 

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
2 minutes ago, btz said:

LAN oldalról, tehát helyi hálón, nem kívülről egy másik gépről eléred a távoli asztalt?

Megy neki. Szóval port lesz az...... Azért mondtam, hogy linuxról elindítom az RDP-t és megnézem a logokban, hogy mire nem kapott replyt... Persze ha megy a DMZ akkor ilyen probléma nem lehetne, de ez már annyira eszkaálódott, hogy ezt már csak akkor lehet megoldani, ha belép valamelyikünk és átnézi az egészet

 

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Még valami eszembe jutott..... az RDP settingsben az edge traversal be van kapcsolva?

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Sziasztok!

Köszönöm szépen a segítő szándékot :) Igen, belső hálóban minden megy, azzal nincs gond. 

Ma későn érek haza, de holnap felteszem a teamviewer-t, root, ha megvagyok, írok privit! Köszönöm mégegyszer előre is!

Ja, az edge traversal ki volt kapcsolva még a Windows által létrehozott RDP firewall rule-ban is. Bekapcsoltam (in, out, tcp, udp), de sajnos nem történt változás. Pedig a definíció alapján tényleg logikusnak tűnt ez is...

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

@fgabor87

Annyiban kiegészíteném, hogy ha valaki port scannel, akkor a 4567-es portot is leszkenneli, tehát látja a szkennelő, hogy nyitott egy port, de nem tudja, hogy távoli asztal szolgáltaás fut azon a porton, így nem biztos, hogy elsőre kideríti, hogy mivel kell bepróbálkozni, míg szolgáltatásnak dedikált port esetén ez valamivel esélyesebb. Célszerű 10000 felett randommportot választani.

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Az én véleményem pedig az, hogy nem használunk RDP-t soha, semmilyen körülmények között. Teamviewer már inkább, de ha valaki igazán jót akar, akkor vesz egy PI-t párezerért és feltol rá egy l2tp-t.

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Köszi, én is olvastam erről az IPv6 topicban, és reméltem is hogy végre megvan a megoldás, de nem. Btz segítségével kiderítettük, hogy engem nem raktak NAT mögé.

Egyébként a whatsmyip.com és társai ugyanazt az IP-t írják mint amit a router is ( 134.255.69.xxx )

Mondjuk a router említ egy Gateway Adress-t is ami a jóöreg 145.256. tartományban van, ez micsoda?

Ma registry editor-ban átírtam az RDP portot, forwardoltam az újat, és annak megfelelően kapcsolódnék, így se megy.

Szerkesztve ekkor: Szerkesztő: Springdale

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Igen a natolás letudva, az nincs.

A port válaszol, tehát a szolgáltatás fut, a port nyitva, nem a port nyitással van a gond ezek alapján.

145... Gateway, benne van a nevében, hogy egy átjáró, host névnek nekem vakami mérő asr szeged telekom hu.... címet ad.

 

Nem lehetne újratelepíteni ezt a szolgáltatást, esetleg egy LogMeIn vagy TeamViewer nem lenne jobb táveléréshez?

Szerkesztve ekkor: Szerkesztő: btz

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
4 minutes ago, Springdale said:

Esküszöm megfogadom, viszont használok olyan vállalati gépet is, ahol nem vagyok admin, azon csak RDP kliens van... :) Úgyhogy ha van ötleted kérlek ne tartsd magadban, köszönöm szépen! :)

Egyébként meg ha vállalati winfos, akkor kell egy szivárvány és máris a birtokában leszel az admin usernek:)

 

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Távoli elérést mindig ugyan arról a helyről / gépről próbálod? Nem lehet, hogy ott van megfogva valami, és a kérés nem jut el a routeredig sem?

Egyébként a portforvardot ne így csináld. Egy tetszőlegesen kitalált külső portot irányíts át a 3389-re, pl 4567-est. És amikor távolról próbálsz rácsatlakozni, akkor: ddnsname.no-ip.org:4567
Valaki csinál egy portscannelést az ip-dre, és meglátja, hogy ez a port nyitva van, egyből rápróbál RDP-vel. Gondolom van jelszó a windows acc-on, de azért akkor se már na. :)

Ha a router tud olyat, hogy naplózza a csomagokat, akkor azt engedélyezheted, majd a távoli csatlakozási kísérlet után kimented a logot, és rákeresve a távoli IP-re megnézheted, hogy mi történt a csomagokkal, megérkeztek-e oda, stb...

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

@acel

Teljesen nem haszontalan, elvinni a portot. Pl nem biztos, hogy az összes portodat végig scannelik, csak a nevesítetteket, mint a 21,22,80,8080,443...stb. Ezek a portok dedikálva vannak egy szolgáltatásnak, a szerver szoftver default beállítása általában a szolgáltatásának dedikált port. Ezt célszerű a wan oldalon eltolni 10000-es port szám fölé, ahol már nincs oly sok dedikált port. Így is előfordulhat, hogy scannelnek, de így már jóval többet kell scannelniük (többi idő, kapacitás ráfordítása), és mivel nem dedikált a port, nem tudhatják milyen szolgáltatást scanneltek le. Ha igen minimálisan is, de biztonságosabbá teszi a hálózatot.

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Azért az szerintem is úgy van, hogy a próbálkozások nagy százaléka csak bizonyos portokat szkennel le. Én egyszer csináltam egy scannelést a routeremre 1-től 65.534-ig, több percet vett igénybe.

A feltört, vírussal fertőzött eszközök általában egy bizonyos portra koncentrálnak, és ott bizonyos módszerekkel próbálnak meg bejutni. Az ilyen custom portokra tett dolgokhoz már élő ember kell, vagy valami mesterséges intelligenciával felvértezett cucc.

Mindenesetre ha eltolod, akkor a scannelések jóval kisebb százaléka fogja megtalálni, így csökkenthető a támadások száma. Illetve a pingre adott válasz tiltásával is kiszűrhető a próbálkozások egy kis százaléka.
Ha meg egy hacker ezek ellenére talál egy nyitott portot valahol 10.000 felett, akkor már megérdekli, hogy próbálkozzon. :) Úgysem fog neki sikerülni. xD

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Nekem a topicot olvasva az jutott eszembe, hogy a port forwarding a Cisco eszközön kevés volt az RDP-hez. A firewall szintet LOW-ra billentve indult be.

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
4 minutes ago, acel said:

Lustábbaknak pénzért a teamviewer és a logmein is ad vpn-t is.

 

 

Nah ez az, amiben sosem bíznék meg:))) Saját kézzel feltelepített l2tp ipsec-kel, saját beállításokkal. Nincs kiskapu benne:)

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
4 hours ago, oldmumus said:

Uraim,

RDP is megoldható´csak valami magasabb porttal amit már nem találnak meg. Nekem jó módszer lett és 0 támadás.

Jujjj ez vicces volt. Nem találják meg. Ismered a nmap nevű picike kis softwert? Még azt is megmondja, hogy milyen service van a kitracet porton:DDDDD

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
1 órája, Springdale írta:

Sziasztok,

Hosszú ideje használtam remote desktop-ot DDNS (no-ip) szolgáltatással, hogy az itthoni gépemet bárhonnan elérjem, ez azonban pár hónapja hirtelen megszűnt működni. Most jutottam oda, hogy volt időm nekiülni és foglalkozni a problémával. Mivel szerintem minden stimmel, és itthoni hálózatról megy is az RDP, gyanakszom a szolgáltatóra... Optinet, Budapest, 11. kerület.

Amit ellenőriztem:

- A DDNS szolgáltató frissíti az IP címemet (de IP címmel is próbáltam csatlakozni, úgy se megy).

- Windows Firewall-ban a 3389-es port nyitva (kompletten kikapcsoltam, nem volt változás)

- A 3389-es port a routeren (W724V) forwardolva a kliens gép IP címére (TCP és UPD, azonos beállításokkal korábban hónapokig működött). Ezt online eszközökkel ellenőriztem:

mxtoolbox.com - 3389 remote desktop Open

www.t1shopper.com/ - 134.255.69.xxx is responding on port 3389 (ms-wbt-server).

- Próbáltam másik gépre forwardolni a portot, ott bekapcsolni az RDP-t, próbából kikapcsolni az NLA-t, a routeren bekapcsolni az uPnP-t, Windows-ban kikapcsolni az IPv6-ot, semmi. 

Mivel szerintem minden jól van beállítva, és mégse működik, ezért azon a ponton vagyok, hogy nincs több ötletem. Ha bárkinek van bármi, azt szívesen fogadom és nagyon szépen köszönöm :)

Üdv,

Csaba

Gyanítom, hogy ezzel https://hup.hu/node/127426 van dolgod.

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Esküszöm megfogadom, viszont használok olyan vállalati gépet is, ahol nem vagyok admin, azon csak RDP kliens van... :) Úgyhogy ha van ötleted kérlek ne tartsd magadban, köszönöm szépen! :)

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

 

2 perce, root írta:

Nos, esetleg a routeren valamilyen tűzfal? Nem ismerem ezt a cuccot.... Ha felteszel rá egy temaviewert és adsz accot, akkor belépek és megnézem mi lehet

 

 

Speedport W724V. Státuszban oldalt írja hogy firewall active, de semmi más beállítás nincs a tűzfalhoz :D Viszont próbáltam a szóbanforgó gépet DMZ-re tenni, és az sem hozott változást. Emellett azért sem értem a dolgot továbbra sem, mert ez így működött, jó darabig. 

Kipróbálom, hogy a TeamViewer megy-e külső hálóról, ha router gond akkor elvileg annak se kellene - bár az uTorrent sem panaszkodik ;)

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

CU2MR...

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Köszönöm, eleve custom port-ra fogom tenni az RDP-t, ha működni fog, de természetesen erős jelszó védi a Windows account-ot...

Sajnos a Speedport-nak elég egyszerű log-ja van csak, abban semmi új nem jelenik meg egy-egy sikertelen kapcsolódási kísérlet után.

Ja és természetesen nem mindig ugyanonnan próbálkozom, leginkább a mobilomról használnám, ott biztos nem akadályozza semmi :) 

Szerkesztve ekkor: Szerkesztő: Springdale

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

A routeren nincs remote control lehetőség? Tehát hogy a webes felületét kívülről is elérd? Mert akkor ezt lehetne engedélyezni, és megnézni, hogy azt egyáltalán eléred-e. Bár ha tűzfaltesztet rá tudtad engedni, akkor biztos elérhető.

Aztán nekem már csak egészen elvadult ötleteim vannak.

Én feltenném az elérni kívánt gépre a WireShark nevű programot, azzal lehet monitorozni a hálózati forgalmat csomag szinten.
Mivel a Wireshark mindent monitoroz, ezért a "felvételt" csak arra az időre kell elindítani, amíg megy a kísérlet, és lehetőleg minden más netet használó programot be kell zárni. Így is valószínűleg több száz sor keletkezik majd benne.

Első körben routeren úgy állítanám be a portforwardot, hogy nemlétező IP-re forwardolnám. Ilyenkor a Wireshark-ban látni kell, hogy a router küldözgeti a whois 192.168.1.xxx jellegű kéréseket. Ezeket szemmel is ki lehet szúrni, de biztos lehet valahogy erre is szűrni.
Ha ez látszik, akkor a kérések eljutnak a routerig, és az próbálná továbbítani.

Ezután visszaállítanám a porforwardot jóra, majd mobilról rápróbálnék, természetesen előtte megnézném az IP címét. Majd ha megvolt a próba, Wireshark-ban szűrnék (biztos lehet ilyet) a mobil IP címére, így kiderülne, hogy eljutott-e a gépig a kérés. Bár lehet, hogy portforwardnál nem a mobil IP-jén jön befelé a csomag, hanem a router belső címén, de akkor meg a 3389-es portra kell szűrni.

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Hello,

Fel is tettem a Wireshark-ot, és próbáltam kapcsolódni. Ami pedig ezután történt, az a lehető legrosszabb, ugyanis legnagyobb megdöbbenésemre csatlakozott, és azóta is megy. Semmin nem változtattam, amikkel kísérletezgettem, mivel nem hoztak változást, azonnal vissza is állítottam.

Mit is mondjak, nekem több mint gyanús, hogy hetek óta nem működött, indítok itt egy topic-ot, majd 3 napon belül magától megjavul... :) Mindegy, köszönöm, akárki is volt, és természetesen mégegyszer köszi mindenkinek, aki hozzászólt! 

Természetesen véleményeket szívesen olvasnék a spontán gyógyulásról is ;)

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Hozz létre egy fiókot vagy jelentkezz be a kommenteléshez

Ahhoz, hogy kommentelhess, tagnak kell lenned.

Fiók létrehozása

Hozz létre a közösségünkben egy új fiókot. Igazán egyszerű!


Új fiók regisztrálása

Bejelentkezés

Már van fiókod? Jelentkezz be itt!


Bejelentkezés most