FRITZ!Box, VPN, IPV6 – So geht RDP (Remotedesktop)

Hallo!

Der letzte Blog zu dem Thema ist schon ein paar Monate her und -zugegeben- haben wir geschludert einige Updates zu posten. Andererseits war uns auch nicht die volle Tragweite der Abschaltung von IP V4 bewusst. Zudem gibt es auch eine Unzahl an Szenarien (Use Cases) sodass man als guter Informatiker dem Kunden keine Allround-Lösung empfehlen kann. Sprich: Es kann eine einfache Lösung geben, das hängt vom jeweiligem Use Case ab. Weiterhin ist unser Hauptmetier auch primär die Software-Entwicklung und Online-Marketing, in der Systemadministration haben wir zwar jahrzehntelange Erfahrung aber betreiben dies nur nebenbei im Zuge unseres Hauptmetiers. Zum Use Case „RDP“:

Ein einfacher Fall ist: Man möchte auf seinen Office-PC im Büro zugreifen. Bei kleineren Unternehmen und/oder seltener Nutzung hat man hier den vollen Zugriff auf Daten als würde man im Büro vor dem Rechner sitzen und kann genau wie im Office seine E-Mails abrufen, Dokumente suchen und lesen und sogar Dateien hin-und her kopieren per Drag&Drop.
Hier also kurz die Vorgehensweise beschrieben. Falls Sie weitere Hilfe bei den einzelnen Punkten benötigen verweisen wir liebevoll auf Google. Wir hoffen die wichtigsten Punkte und Infos hier darzustellen, aber eine vollständige Erläuterung würde wahrscheinlich die Datenbank sprengen.

Voraussetzungen: Windows und eine FRITZ!Box
Anm.: Dies sind die Voraussetzungen für die einfachste Variante der Methode „RDP“. Als Rechner im Büro könnte auch ein Linux-PC oder Raspberry Pi mit XRDP dienen, und als Client zu Hause ein Mac. Eine alternative und ähnliche Software/Protokoll wäre z.B.: auch VNC.
Wir behandeln hier nur die wahrscheinlich gängigste und komfortabelste Konfiguration.

Checkliste::

1. Windows in einer höheren Variante (Pro, Server, …) mit aktiviertem Remote Desktop.
2. Rechner muss an sein oder mittels Wake-on-Lan hochfahren.(UEFI/Bios Einstellungen)
3. Eine Freigabe an der FRITZ!Box muss eingerichtet sein
4. Einen MyFRITZ! – Account einrichten und Benutzer an der FRITZ!BOox einrichten/freischalten
5. E-Mail-Benachrichtigung oder Subdomain

Zu 1):
Remote Desktop Server ist nur in den „besseren“ Windows-Versionen enthalten. Der Client ist bei allen Versionen dabei. Noch ein Tipp: Bitte zumindest auf dem Server die aktuellen Patches und Updates von Microsoft einspielen. Da man sich voll auf die Sicherheit von RDP verlässt und Sicherheitslöcher aufgetreten sind, ist dies mehr als nur zu empfehlen, da der VPN-Tunnel in dieser Variante fehlt. Auch sollte man bei dieser Gelegenheit sein Passwort neu setzen und endlich Vornamen/Geburtsdatum seiner Frau/Freundin/Tochter/Haustier aus dem Passwort entfernen.
Die EINZIGE Ausnahme von dieser Regel ist falls Ihre Frau „dRvn_dd!G“ oder ähnlich mit Vornamen heißt. Erfahrungsgemäß zeigt sich, dass die Wahrscheinlichkeit hierfür ungefähr genau hoch ist wie ein Kunde mit einem sicheren Passwort. Man kann diese Thema leider nicht oft genug erwähnen…
Aktivieren Sie Remote Desktop indem Sie „Remote“ im Windows-Suchfeld eingeben. Der Vorschlag „Remotezugriff auf den Computer zulassen“ ist die benötigte Option:

Tipp: Testen Sie den Remote-Desktop im Office von einem anderen PC aus.

Zu 2)
Offensichtlich. Nur ein laufender PC kann als Server dienen. Die FRITZ!Box kann einen abgeschalteten Rechner mittels Wake-on-Lan hochfahren, falls diese Option gesetzt und der PC entsprechend konfiguriert ist. Achten Sie auch auf Einstellungen betr. Energiespareinstellungen. Zu ärgerlich, wenn Sie auf den PC zugreifen wollen und dieser einfach nach beispielsweise 4h Nichtnutzung runterfährt und Sie 30 km entfernt vom Office wohnen…
Tipp: Richten Sie Wake-on-Lan als Fallback ein: am Rechner (UEFI) UND an der FRITZ!Box (Häkchen unter Heimnetz->Netzwerk->Rechner: Wake on LAN

Zu 3)
Sie können die Freigabe in der Benutzeroberfläche Ihrer FRITZ!Box unter Internet->Freigaben einrichten. (Für das genaue Vorgehen verweisen wir liebevoll auf Google oder einen unser anderen Posts, die GUI der FRITZ!Box ist aber überwiegend selbsterklärend).
Die wichtigste Information ist der Port: Geben Sie hier 3389 (TCP) an. Als Bezeichnung können Sie „MS Remotedesktop“ angeben und natürlich als Protokoll IP V6 wählen 😉

ZU 4)
Hierzu gibt es wenig zu erläutern. Melden Sie sich einfach bei AVM an und tragen Sie die Daten in Ihrer FRITZ!Box unter Internet->MyFRITZ!-Konto ein.
AVM teilt Ihnen eine „quasi“ Feste Adresse zu in der Form buchstabensalat.myfritz.net.
Für Push-Service und Remotezugriff auf die FRITZ!Box ist es notwendig einen Benutzer einzurichten und den Service zu aktivieren, z.B. über Assistenten->Push Service einrichten.

Zu 5)
Dieser Punkt dient auch der Convenience. Zu schön wäre jetzt einfach den Remotedesktop starten und dajfhcentyafohjs.myfritz.net:3389 als Computer einzutragen, aber MyFRITZ! ist (derzeit)nur für die Remote-Administration Ihrer FRITZ!Box gedacht. (Man könnte sicherlich den RDP-Port umbiegen, ist aber für diesen Zweck nicht die schönste Lösung) Für den RDP-Zugang benötigt man zwingend die IP V6-Adresse. Je nach dem wie leidensfähig Sie sind können Sie die Einrichtung jetzt abschließen und prüfen ob alles funktioniert:

1. Starten Sie zu Hause Ihren Browser, geben Sie buchstabensalat.myfritz.net:XXXXX als Adresse ein. XXXXX=Port, z.B. 44141
2. Melden Sie sich mit dem vorher eingerichtetem Benutzer an Ihrer FRITZ!Box im Office an.
3. Navigieren Sie zu Internet->Freigaben. klicken Sie auf den Bleistift in der Reihe des vorher eingerichteten Geräts
4. Kopieren Sie unter „IP-Adresse im Internet“ den entsprechenden Eintrag, z.B.: 2a01:560:42e7:4700:c9cd:73a5:b465:d8f6.
5. Starten Sie die Remotedesktopverbindung und geben Sie die IP V6-Adresse ein.

Wenn alles richtig eingerichtet ist, sollten Sie jetzt den Bildschirm Ihres Office-PCs am heimischen PC sehen.
Evlt. müssen Sie „Anderes Konto“ bei der Anmeldung auswählen. Wundern Sie sich nicht wenn Sie immer wieder diese Option wählen müssen und die Einstellungen nicht gespeichert werden. Die Einstellungen werden gespeichert aber einer IP zugewiesen. Da sich diese im Allgemeinen täglich ändert ist es für Windows täglich ein neuer Rechner mit dem Sie sich verbinden.

Optional:
Diese Methode ist brauchbar aber ehrlich zugegeben möchte sich kein Mensch buchstabensalat.myfritz.net + Portnummer merken. Sicherlich mit Lesezeichen im Browser lösbar, aber es gibt „hübschere Methoden:

A) Subdomain einrichten
Falls Sie oder Ihre Firma eine eigenen Webseite bei einem Hoster (IONOS, Domain Factory o.ä.) haben, besteht die hohe Wahrscheinlichkeit dass Sie Subdomains einrichten können. Leider haben wir bisher noch keine 2 Anbieter gesehen bei denen sich die Bezeichnung für diese Option gleicht. Suchen Sie im Kundenmenü nach DNS, Domains oder Nameserver und weiter nach Subdomain. Sobald Sie fündig geworden sind, können Sie dort einen Eintrag für Ihre FRITZ!Box hinterlegen. Beispielsweise fritz.meinedomain.de, office.meinedomain.de o.ä. Geben Sie als Ziel buchstabensalat.myfritz.net:12345 an. Ab sofort oder zumindest nach wenigen Minuten erreichen Sie Ihre FRITZ!Box unter der neuen „hübschen“ Adresse. Wichtig: Vergessen Sie nicht den Port, im Beispiel ist dieser „12345“!!! CNAME oder Alias-Einträge funktionieren nicht – wegen dem benötigten Port. Im ersten Artikel zu dem Thema „FRITZ!Box, VPN, IPV6“ ist das Anlegen der Subdomain auch -und vielleicht sogar besser- beschrieben.

B) IP-Adresse per E-Mail
Diesen Service bietet die FRITZ!Box direkt an. unter System->Push Service finden Sie eine Checkbox „Aktuelle IP-Adresse“. Der oder die hinterlegte(n) Benutzer erhält sobald sich die IP der FRITZ!Box ändert automatisch eine E-Mail mit dieser neuen IP.

Abschließende Betrachtung und Warnungen;
Wir sehen diese Methode als durchaus valide an. Es bestehen Einschränkungen, z.B.: kann nur auf einen Rechner zugegriffen werden. Möchte man mehreren Benutzern gleichzeitig den Zugang ermöglichen, könnte man:

1) Windows Server mit entsprechender Anzahl an RDS erwerben. Dies zieht einen Schlauch an Lizenz Management, Kosten und Administration hinter sich her und ist als Neuanschaffung unserer Ansicht nach nur für diesen Zweck nicht zu empfehlen. Falls Sie jedoch einen (neueren) Windows-Server in Ihrem Office haben, können Sie (Lizenzen vorausgesetzt) mit dieser Methode einfach Zugänge einrichten. Bitte denken Sie an die Mindestsicherheit wie Windows-Patches und Passwörter. Lassen Sie sich für größere Installation unbedingt von einem Fachmann beraten und ziehen Sie auch alternative Lösungen wie Linux in Betracht.

2) Mehrere PCs
Zur Not könnte man einen 2. Rechner im Office freigeben. Auf diesem muss der RDP-Port geändert werden:
https://docs.microsoft.com/de-de/windows-server/remote/remote-desktop-services/clients/change-listening-port
Für den geänderten Port erstellen Sie dann eine weitere Freigabe in der FRITZ!Box nach der gleichen Methode wie für die erste Freigabe, nur mit anderem Port als 3389.

Sicherheit:
Diskussionen über Sicherheit sind meist müßig, dazu fehlen mir persönlich einige Semester an Kryptologie. Falls Sie sich für dieses Thema interessieren kann ich nur auf Vorträge des CCC verweisen:
https://media.ccc.de/
Hier finden Sie Talks von hochkarätigen Wissenschaftlern die sich intensiv mit diesem Thema beschäftigen.
Die Erfahrung zeigt: Das höchste Sicherheitsrisiko befindet sich meist vor dem Rechner.
Als zertifizierter Datenschützer muss ich sagen „Nichts ist sicher“. Als Informatiker kann ich kurz das Angriffsszenario beschreiben, die Sicherheit können Sie dann selber bewerten:

Die erste Voraussetzung für einen Angriff ist die Kenntnis Ihrer IP-Adresse oder (falls vorhanden) des CNAME-Eintrags. Auch mit IPV6, dem damit verbundenen vergrößerten IP-Pool und dem eher mittelmäßigem Internetzugang in Deutschland ist es möglich, mit eher viel Geduld und Muße größere Bereiche auf Rechner mit aktiviertem RDP zu scannen. Die meisten Angriffe kann man schon verhindern, indem man den Lauschport des RDP-Servers schon ab dem 1. PC ändert (s.o.)
Danach muß der Angreifer Zugangskennung, sprich Anmeldenamen und Passwort in Erfahrung bringen. Zugangsnamen sind das kleinere Problem, da sie meist aus bekannten E-Mail-Adressen erraten werden können. Das Passwort ist eine eher eine Hürde, falls es NICHT den Namen/Geburtsdatum der Frau, Tochter beinhaltet.
Eine weitere Möglichkeit sind Sicherheitslöcher. Daher unser Rat Ihre Windows-Installation immer mit den aktuellen Updates zu versorgen und kein altes Windows 7 zu verwenden.

Weitere Überlegungen:
Schalten Sie Ihren RDP-Dienst/Rechner ab falls Sie ihn nicht benötigen.
Falls Sie nur in Ausnahmefällen einen Zugang benötigen, nutzen Sie bewusst ein älteres/ausrangiertes und somit langsameres Laptop mit Windows 10. Kein Benutzer möchte wirklich lange an einem langsamen Rechner arbeiten.
Überlegen Sie ob der PC Zugriff auf das komplette Netzwerk haben muss. Evtl. ist eine Freigabe ausreichend, auf dem benötigte Daten für den nächsten Termin kopiert werden können.
Vernachlässigen Sie nicht die Pflege. „Vergessene“ Laptops im Regal bieten Angreifern erhöhte Chancen in Ihr Netzwerk einzudringen. Pflege bedeutet z.B. : Regelmäßige Updates, Automatisches Löschen der Freigaben /Daten, Abmelden verwaister Sitzungen.

Falls man sich an diese grundliegenden Regeln hält, ist kann man diese Methode als durchaus sicher betrachten. „Sicherere“ Methoden für größere Installationen finden Sie in unseren anderen Posts.

Wir würden uns freuen falls Sie diesen Post hilfreich fanden. Sie können uns auch gerne Feedback per E-Mail senden!