# VPN auf Windows RDP Server installieren - Schritt-für-Schritt Anleitung Übersicht Diese Anleitung zeigt, wie Sie einen VPN-Client auf einem Windows RDP-Server installieren, ohne den RDP-Zugang zu verlieren. WICHTIGER HINWEIS Führen Sie diese Schritte nur über eine lokale Konsole oder IPMI/iLO aus, NIEMALS über RDP! Ein Fehler kann den RDP-Zugang unterbrechen. --- Vorbereitung Was Sie benötigen: • Administratorrechte auf dem Windows Server • VPN-Client Software (z.B. OpenVPN, WireGuard, oder Provider-Software) • VPN-Konfigurationsdateien vom Provider • Lokalen Zugang zum Server (Konsole/IPMI) --- Schritt 1: Netzwerk-Routing vorbereiten 1.1 Aktuelle Route notieren Code: # PowerShell als Administrator öffnen
route print > C:\backup_routes.txt
ipconfig /all > C:\backup_network.txt 1.2 Standard-Gateway sichern Code: # Aktuelles Gateway anzeigen
route print 0.0.0.0
# Notieren Sie sich die Gateway-IP --- Schritt 2: VPN-Client installieren 2.1 OpenVPN Installation (Beispiel) • OpenVPN Windows Installer herunterladen • Als Administrator installieren • GUI-Version wählen für einfache Verwaltung 2.2 Alternative: WireGuard • WireGuard für Windows herunterladen • Installation als Administrator 2.3 Provider-spezifische Software • NordVPN, ExpressVPN, etc. vom jeweiligen Anbieter --- Schritt 3: Routing konfigurieren 3.1 Permanente Route für RDP erstellen Code: # Ersetzen Sie [RDP-CLIENT-IP] mit der IP Ihres Clients
# Ersetzen Sie [GATEWAY-IP] mit Ihrem aktuellen Gateway
route add [RDP-CLIENT-IP] mask 255.255.255.255 [GATEWAY-IP] metric 1 -p
# Beispiel:
route add 192.168.1.100 mask 255.255.255.255 192.168.1.1 metric 1 -p 3.2 Netzwerk-Range für lokales Netzwerk sichern Code: # Für lokales Netzwerk (anpassen nach Bedarf)
route add 192.168.1.0 mask 255.255.255.0 192.168.1.1 metric 1 -p
route add 192.168.0.0 mask 255.255.255.0 192.168.1.1 metric 1 -p --- Schritt 4: VPN konfigurieren 4.1 OpenVPN Konfiguration Konfigurationsdatei (.ovpn) in OpenVPN/config Ordner kopieren OpenVPN GUI starten Rechtsklick auf System Tray Icon → "Connect" Anmeldedaten eingeben 4.2 Split-Tunneling aktivieren (falls verfügbar) Code: # In der .ovpn Datei hinzufügen:
route-nopull
route 0.0.0.0 128.0.0.0 vpn_gateway
route 128.0.0.0 128.0.0.0 vpn_gateway --- Schritt 5: Windows Firewall anpassen 5.1 RDP-Regel priorisieren Windows Defender Firewall öffnen "Eingehende Regeln" → "Neue Regel" Port → TCP → 3389 (oder Ihr RDP-Port) "Verbindung zulassen" für alle Profile Hohe Priorität setzen 5.2 VPN-Adapter ausschließen Code: # PowerShell - VPN-Interface von RDP-Regel ausschließen
New-NetFirewallRule -DisplayName "RDP Bypass VPN" -Direction Inbound -Protocol TCP -LocalPort 3389 -Action Allow -Profile Any --- Schritt 6: Testen und Verifizieren 6.1 Verbindung testen VPN verbinden Neue RDP-Sitzung von externem Client testen Gleichzeitig IP-Adresse prüfen: https://whatismyipaddress.com 6.2 Troubleshooting-Commands Code: # Aktuelle Routen anzeigen
route print
# VPN-Status prüfen
ipconfig /all
# Erreichbarkeit testen
ping [IHR-GATEWAY]
ping 8.8.8.8
# RDP-Port testen (von anderem PC)
telnet [SERVER-IP] 3389 --- Notfall-Wiederherstellung Falls RDP-Zugang verloren geht: Code: # Über lokale Konsole alle VPN-Routen entfernen:
route delete 0.0.0.0
# Original-Gateway wiederherstellen:
route add 0.0.0.0 mask 0.0.0.0 [ORIGINAL-GATEWAY-IP]
# VPN-Adapter deaktivieren:
netsh interface set interface "VPN-Adapter-Name" disabled --- Best Practices Empfohlene Einstellungen: • Immer Split-Tunneling verwenden • Automatische VPN-Verbindung vermeiden • Backup der Netzwerkkonfiguration erstellen • Monitoring-Script für RDP-Verfügbarkeit einrichten • Separate VPN-Profile für verschiedene Zwecke Automatisches Monitoring-Script: Code: # monitor_rdp.bat
@echo off
:loop
netstat -an | findstr ":3389" > nul
if errorlevel 1 (
echo RDP not listening, restarting service...
net stop "Remote Desktop Services"
net start "Remote Desktop Services"
)
timeout /t 60
goto loop --- Fertig! Ihr Windows RDP-Server sollte jetzt über VPN verbunden sein, während der RDP-Zugang weiterhin funktioniert. Bei Fragen oder Problemen, bitte in diesem Thread melden!
Kein schlechtes Tutorial aber doch sehr komplex gehalten für den einfachen Andwendungszweck :-D den RDP Port sollte man am besten sowieso nicht exposen... Für die Normalo's: Installiert das normale OPENVPN Gui, via VNC reicht in 80% der Fälle.
Alternativ einfach Mullvad installieren und Split Tunneling anmachen
Ja aber man muss Aufpassen was man einstellt. Als ich das zum ersten Mal gemacht habe, hat sich der RDP komplett zerschossen und ich durfte ihn neuinstallieren
Bei Mullvad unter Splittunelling C:/System32/svchost.exe auswählen
Einfach auf dem VPS/Dedicate VMware / VirtualBox installieren, und dann in der VM auf dem VPS/Dedicate VPN nutzen und Arbeiten. Vorteile: "Arbeit" und Server getrennt. Keine Probleme mit Verbindungen und VPN
Ist dann halt noch langsamer als ohnehin schon
Nutzt immer VPN auf eurem Server, die VPS Anbieter werden nicht dicht halten bei Anfragen von Behörden.
1. Wie sieht es aus mit Verschlüsselung auf dem windows rdp für den fall einer beschlagnahmung? 2. Habt ihr ssichere Clean Up Methoden um den server wieder zu reinigen wenn man ihn wechselt?
1. Möglich, aber die meisten haben Server um dauerhaft Pidgin, Telegram etc laufen zu lassen > daher einfach ausloggen und nur das wichtigste dort "lagern" 2. Auf den richtigen Hoster achte, gibt hier etliche die gut funktionieren, und im Anschluss nen anderes Betriebssystem drauf. 3. Keine direkte Connection vom Hauptrechner auf dein VPS. Hauptrechner verschlüsseln, Virtualbox verschlüsseln + VPN drauf, dann auf VPS connecten ebenfalls mit VPN. Als Browser Tor nutzen, fertig. Wenn eure Connection dann lahm ist oder laggt, liegt es an eurem Gammelcomputer. Aber selbst wenn, sollte eure Sicherheit das wert sein.
+1 von mir, ist viel schneller erledigt. Die meisten haben aber sowieso keinen Daddy sondern einen günstigen Linux-KVM Server, da ist sowieso fast immer VNC für den Komfort mit dabei falls man sich aussperrt. Halt nur blöd dass die guest-tools dann auf das Filesystem sowie auf die Kommandozentrale direkt Zugriff haben und damit Daten scannen können (und auch den Bildschirm selbst, über VNC), deswegen günstigen oder teueren Dedi wenn man ihn langfristig für etwas sensiblere Daten benötigt. Bei Hetzner gibts Maus/Tastatur-vKVM, haben glaube ich nur die. Raffiniert und komfortabel implementiert die Jungs. Die üblichen Maus/Tastatur-KVM bei Dedis sind ja halbe Backdoors by design. Aber darf und muss jeder selber entscheiden, hab das nicht mehr ganz genau im Kopf wie es die jeweiligen Server Motherboard(?)Hersteller machen. Für Automatisierungen oder sonstige Anwendungen auf die man selten zugreift kann man eine VM nutzen mit richtigem Killswitch VPN (und dann ggf eine Proxy). Ich hab aber aktuell nicht mal das, die meisten Programme haben Proxy Optionen, einfach eine 5€ Proxy für 30 Tage kaufen und bei FireFox reinmachen. DNS ist dann noch ein Thema aber da gibt es tausende Lösungen für z.B. bei FireFox einfach direkt DNS Proxy. 1. Du musst das schon konkretisieren, im Optimalfall fahren die den Server einfach herunter und gehen nicht davon aus dass die Dateien verschlüsselt sind. Angriffsvektoren sind der Windows Lockscreen (Bildschirmkabel und Tastatur+Maus ist ja anschließbar im Normalfall) und die RAM Riegel. Also wenn wir von den Inhalten des Datenträgers reden. Traffic überwachen geht ja so oder so. Wenn du 1337 Haxor bist sendest du mit soldered RAM und TPM Chip+Bitlocker den Laptop in die Colocation, sag dann Bescheid Am besten noch mit kaputten Ports 2. Einfach den freien Speicher überschreiben. Es gibt ja auch keine andere Möglichkeit. Im Optimalfall Server Re-Install und dann erst überschreiben. Sonst wird der belegte Speicher nicht überschrieben. Bei SSD / m2 NVME SSD reicht 1x. Ich kündige die einfach meistens ganz normal (oder lasse auslaufen), lösche die Daten davor ganz normal, und spätestens der nächste Kunde wird die dann irgendwann richtig überschreiben.
welche ip muss denn bei "[RDP-CLIENT-IP]" rein ? Die vom RDP ? Checke es nicht ganz, Gemini sagt auch dauernd das da die IP vom Host PC rein soll aber da läuft ja auch vpn dauernd
Deine Server IP Adresse ändert sich aber nicht wenn da Mullvad draufläuft, von Seiten des Hosters aus. RDP-CLIENT-IP -> MULLVAD IP Du könntest ja auch nicht auf deinen RDP zugreifen über eine öffentliche Mullvad IP
Das ist mir schon klar. Allerdings richte ich momentan irgendwas falsch ein. Ich kriege den VPN zum laufen und werde auch nicht vom RDP gekickt aber sobald ich die RDP Session beende und mich dann neu zum RDP verbinden will, kann ich keine Verbindung mehr herstellen. Gemini will mir weismachen, das es hieran liegt: Das bei [RDP-CLIENT-IP] meine IP vom Host PC rein soll und nicht die IP vom RDP weil mich der RDP sonst nicht verbinden lässt. Das ergibt ja aber keinen Sinn, weil sich in der Regel meine IP vom PC immer ändert alleine schon vom Provider. Abgesehen davon, dass man sich sowieso auf dem RDP über einen VPN verbindet, der die IP sowieso immer ändert... @1nsane kannst du aushelfen ?