מדריך לחיבור RDP דרך האינטרנט עם IPv6

פורום רשתות, IT ומחשוב כללי - רשתות, ראוטרים, מחשבים ניידים, אביזרים וכו'.
yanivg11 (פותח השרשור)
חבר שרק התחיל
חבר שרק התחיל
הודעות: 20
הצטרף: אוקטובר 2020
נתן תודות: 1 פעם
קיבל תודות: 3 פעמים

מדריך לחיבור RDP דרך האינטרנט עם IPv6

נושא שלא נקרא #1 

הי לכולם,
חשבתי להעלות פוסט בנושא גישה למחשב מרוחק דרך IPV6 עקב אילוץ שנוצר לי, חסר חומר כתוב בעברית ברשת ואולי דרך הפתרון שלי, גם אחרים יוכלו להפיק תועלת,
כמו שהתחברתי ל- RDP , באותו אופן ניתן להתחבר לכל שירות אחר, או לכל התקן אחר כמובן דרך הפורטים שלו.

במשך שנים הייתי מחובר בקו ADSL דרך בזק והספק בזק בין-לאומי והתחברתי מהמשרד למחשב שלי בבית דרך Remote Desktop.
כיוון שלא הייתה לי כתובת ציבורית קבועה, השתמשתי בשירותי Dynamic DNS שסיפקו לי רשומה קבועה שתמיד קיבלה את ערך כתובת ה- IP שלי בבית, פשוט וקל.

עם פריסת הסיבים בשכונת מגורי, בחרתי להצטרף לסיבים של בזק ואכן קיבלתי את המהירות המובטחת, בזק הפכו להיות התשתית וגם הספק לפי הרפורמה החדשה במשרד התקשורת.
לאחר המעבר גיליתי כי החיבור מרחוק הפסיק לעבוד.
כשבדקתי את העניין, גיליתי כי הפורט הפתוח (TCP 3389) בנתב בזק הפסיק לעבוד.

בדקתי את ההגדרות מספר פעמים ואף הגדרתי שוב את הפורט, אך ללא הצלחה - בסופו של דבר התקשרתי לבזק, ודרך השיחה עם הנציג שם הבנתי את פשר העניין.
מתברר כי בזק עובדים בשיטת NAT כפול או בשמה הידוע CGNAT/CGN (Carrier Gateway NAT)
בקצרה אספר, כי ספקים חדשים רבים וגם קיימים החלו לעבוד בשיטה זו , עקב מצוקת הכתובות הציבוריות מסוג IPV4.
בשיטה זו הלקוחות אינם מקבלים כתובות ציבוריות כבעבר, אלא כתובות מתוך טווח פרטי של הספק, ואילו כלפי האינטרנט הם מיוצגים ע"י כתובת ציבורית ששייכת לספק.
כך כתובת אחת משרתת מספר רב של לקוחות, וכולם יוצאים דרך הכתובת הזאת לאינטרנט.
לשיטה זו יש השלכות רבות על תחום הקישוריות לאינטרנט ועל עיקרון end-to-end.

כיצד לבדוק באופן פשוט כי אנו מוגדרים עם CGNAT?
דרך ממשק הנתב ( 10.0.0.138 בנתבי בזק) ניתן לראות כתובת חיצונית מהטווח הפרטי, אך בבדיקה דרך אתר כמו whatismyip.com נראה כתובת שונה (מצ"ב צילום מסך)


לענייננו, לא ניתן לפתוח פורטים מבחוץ כבעבר, לא עבור גישה למחשב מבחוץ, לא עבור מצלמות אבטחה, ולא עבור כל דבר שדורש פתיחת פורטים בעצם.
כיוון שהכתובת הציבורית דרכה הלקוח מיוצג באינטרנט איננה משויכת אליו ביחס אחד-לאחד, לא ניתן להפנות פורטים דרך הנתב כבעבר.

הפתרון היחיד שבזק הציעו לי - תשלום קבוע של כ- 15 ₪ בחודש על כתובת ציבורית קבועה כפי שהייתה לי בעבר.
כיוון שכך היה המצב, החלטתי לפעול באופן אחר, שמתי לב כי כעת אני מקבל דבר נוסף שלא היה לי קודם לכן, כתובת מסוג IPV6.
ניתן לבדוק האם אנו מקבלים כתובת IPV6 באתר כמו https://test-ipv6.com/
החלטתי לנסות לעבוד דרך הכתובת IPV6 כשהמטרה בעצם היא להתחבר מרחוק למחשב שלי בבית כבעבר, וכמובן בחינם.

חלק 1 - אפשור גישה מבחוץ פנימה דרך הנתב.
--------------------------------------------------------
כשעובדים עם IPV6 אין צורך בהפניית פורטים כבעבר, כיוון שכאן אין הפניה מכתובת חיצונית לכתובת פנימית.
הכתובת הפנימית והחיצונית הן זהות – אותה כתובת חיצונית שתראו באתר https://test-ipv6.com/ תופיע גם ככתובת בכרטיס הרשת ותוכלו לראותה עם פקודת ipconfig.
למרות שאין צורך בהפניה, כן יש צורך בפתיחת הפורט בחומת האש של הנתב על מנת להגיע לתחנה.

אך למחשב אין כתובת פנימית קבועה, זוהי אותה כתובת חיצונית שהינה דינאמית ומתקבלת מהספק, אורך חייה מוגבל והיא משתנה בכל חיבור מחדש לאינטרנט.
הפתרון שמצאתי – פתיחת הגישה לטווחים הציבוריים של IPV6, כך הפורט יוכל לעבור דרך חומת האש בכל כתובת ציבורית שאקבל, וכיוון שהיא מוגדרת גם בתחנה, הגישה תהיה פתוחה (מצ"ב צילום מסך)
נושא נוסף שמצאתי בדרך – בזק חוסמים את הגישה בפורט ברירת המחדל של RDP 3389 מטעמי אבטחה, לכן שיניתי את הפורט במחשב היעד לפורט אחר (דרך ה- Registry)
ניתן לבדוק אם הפורט פתוח בעזרת האתר הבא - https://websistent.com/tools/open-port-check-tool/ (לא לשכוח להזין את כתובת ה- IPV6).

חלק 2 – גישה בקישוריות IPV6 מהמשרד:
--------------------------------------------------
אצלי במשרד לא עובדים עם IPV6, אלא עדיין עובדים עם כתובות מסוג IPV4 שאינן מסוגלות לתקשר עם כתובות IPV6 ללא תיווך כלשהו.
הפתרון שמצאתי – שירות הברוקר החינמי https://app.route48.org
השירות הזה מספק קישוריות IPV6 למחשבים שאין להם ע"י Tunnels, הבשורה המפרידה אותו מהשאר – תמיכה בקליינטים של wireguard ו- zerotier היודעים לעבוד מאחורי NAT ארגוני.
הגדרתי tunnel מסוג zerotier עבור כל מחשב שממנו ארצה להתחבר, מכיוון שכל tunnel מאפשר גישה למזהה בודד (מצ"ב צילום מסך).
לא אידיאלי, אבל עובד באופן סטאטי מסוג זה ונתן לי פתרון למחשב בעבודה, את ה- tunnels בחרתי להעביר דרך איחוד האמירויות, השרת היחיד באיזור המזרח התיכון.

חלק 3 – Dynamic DNS:
-------------------------------
גילתי כי שירות ה- Dynamic DNS שאיתו כבר עבדתי Dynu.net תומך ב- IPV6.
אך אליה וקוץ בה, כשעובדים דרך ברוקר מהסוג שהוזכר לעיל ( wireguard ו- zerotier), התשובה המתקבלת היא ב- IPV4 כברירת מחדל ולא ב- IPV6.
פניתי אליהם עם הנושא והם הציעו לי פתרון ע"י יצירת רשומה נוספת כתת-דומיין לרשומה הקיימת שעונה ב- IPV6 בלבד.
גם ללא תשובתם מצאתי דרך להתחבר לכתובת ה- IPV6 שלי ע"י בניית סקריפט powershell קטן שפונה ישירות לכתובת IPV6 של הרשומה הדינאמית.
מצ"ב הסקריפט, תוכלו לשים בו את הערכים שלכם (רשומה דינמאית, שם משתמש וסיסמה ופורט לחיבור rdp), הסקריפט יוצר רשומה ב- credential manager ע"מ להתחבר ללא בקשה לסיסמה,
ומוחק אותה לאחר 30 שניות כדי לא להוסיף רשומה בכל חיבור למערכת.

קוד: בחירת הכל

ipconfig /flushdns
$data = Resolve-DnsName -Type AAAA my-hostname.dynu.net
$Server = $data.IpAddress
$User="rdp_user_name"
$Password="rdp_password"
cmdkey /generic:TERMSRV/$Server /user:$User /pass:$Password
mstsc /f /v:[$Server]:3390

timeout /t 30
cmdkey /del:TERMSRV/$Server
בדיקת cgn
בדיקת cgn
חומת האש בנתב Be
חומת האש בנתב Be
Route48 Broker
Route48 Broker

zovirax
סמל אישי של משתמש
חבר במועדון ה-15K
חבר במועדון ה-15K
הודעות: 15113
הצטרף: פברואר 2006
שם מלא: zovirax
נתן תודות: 220 פעמים
קיבל תודות: 264 פעמים

Re: מדריך לחיבור RDP דרך האינטרנט עם IPv6

נושא שלא נקרא #2 

לפי הבנתי, פתיחת פורט בראוטר ל RDP ממש לא מאובטח.

yanivg11 (פותח השרשור)
חבר שרק התחיל
חבר שרק התחיל
הודעות: 20
הצטרף: אוקטובר 2020
נתן תודות: 1 פעם
קיבל תודות: 3 פעמים

Re: מדריך לחיבור RDP דרך האינטרנט עם IPv6

נושא שלא נקרא #3 

23/06/2022 23:23  
zovirax כתב:
לפי הבנתי, פתיחת פורט בראוטר ל RDP ממש לא מאובטח.
...

בכל פתיחת פורט יש סיכון מסויים, אני למעלה מ- 15 שנה עם פורט rdp פתוח ללא שום בעיה.
בכל מקרה, העקרונות במדריך יכולים לשמש לפתיחת פורט עבור כל צורך.

zovirax
סמל אישי של משתמש
חבר במועדון ה-15K
חבר במועדון ה-15K
הודעות: 15113
הצטרף: פברואר 2006
שם מלא: zovirax
נתן תודות: 220 פעמים
קיבל תודות: 264 פעמים

Re: מדריך לחיבור RDP דרך האינטרנט עם IPv6

נושא שלא נקרא #4 

לפחות יש לך איזה 2FA?

yanivg11 (פותח השרשור)
חבר שרק התחיל
חבר שרק התחיל
הודעות: 20
הצטרף: אוקטובר 2020
נתן תודות: 1 פעם
קיבל תודות: 3 פעמים

Re: מדריך לחיבור RDP דרך האינטרנט עם IPv6

נושא שלא נקרא #5 

24/06/2022 0:02  
zovirax כתב:
לפחות יש לך איזה 2FA?
...
לא

NegativeIQ
חבר מביא חבר
חבר מביא חבר
הודעות: 4273
הצטרף: דצמבר 2005
נתן תודות: 9 פעמים
קיבל תודות: 542 פעמים

Re: מדריך לחיבור RDP דרך האינטרנט עם IPv6

נושא שלא נקרא #6 

מסיבות של אבטחת מידע אני ממליץ בחום לא להפעיל IPv6 ללא Firewall שחוסם חיבורים נכנסים כברירת-מחדל, ואם הראוטר שלכם לא תומך בזה רצוי מאוד להחליף באחד שכן. למרות שב-IPv6 לא סביר שיגיעו אליכם עם סריקת IP אקראית (הזמן שייקח לסרוק את כל מרחב כתובות ה-IPv6 גדול יותר מהגיל של היקום) אבל עדיין יחסית קל לגלות אותה - צריך רק לגרום לכם לפתוח מייל או ללחוץ על לינק. ברגע שיש למישהו את הכתובת שלכם, אם אין לכם Firewall, הוא יכול להתחבר לכל פורט שפתוח לכם במחשב וזה יכול לכלול פורטים מסוכנים כמו 445 (כעיקרון Windows Firewall אמור לחסום אותו כברירת-מחדל אבל אמור זה שם של דג וראיתי מספיק מחשבים שזה היה בהם פתוח) ובסבירות לא נמוכה גם כל מיני פורטים אקראיים שתוכנות שהתקנתם פתחו ואתם אפילו לא מודעים לזה שהם פתוחים.
ההמלצה שלי לגבי IPv6 זהה למה שהיא היתה (ועדיין) ב-IPv4 - תשאירו את כל הפורטים סגורים ואם אתם צריכים גישה מרחוק תתקינו שרת VPN ותפתחו רק את הפורט שלו.

yanivg11 (פותח השרשור)
חבר שרק התחיל
חבר שרק התחיל
הודעות: 20
הצטרף: אוקטובר 2020
נתן תודות: 1 פעם
קיבל תודות: 3 פעמים

Re: מדריך לחיבור RDP דרך האינטרנט עם IPv6

נושא שלא נקרא #7 

24/06/2022 10:52  
NegativeIQ כתב:
מסיבות של אבטחת מידע אני ממליץ בחום לא להפעיל IPv6 ללא Firewall שחוסם חיבורים נכנסים כברירת-מחדל, ואם הראוטר שלכם לא תומך בזה רצוי מאוד להחליף באחד שכן. למרות שב-IPv6 לא סביר שיגיעו אליכם עם סריקת IP אקראית (הזמן שייקח לסרוק את כל מרחב כתובות ה-IPv6 גדול יותר מהגיל של היקום) אבל עדיין יחסית קל לגלות אותה - צריך רק לגרום לכם לפתוח מייל או ללחוץ על לינק. ברגע שיש למישהו את הכתובת שלכם, אם אין לכם Firewall, הוא יכול להתחבר לכל פורט שפתוח לכם במחשב וזה יכול לכלול פורטים מסוכנים כמו 445 (כעיקרון Windows Firewall אמור לחסום אותו כברירת-מחדל אבל אמור זה שם של דג וראיתי מספיק מחשבים שזה היה בהם פתוח) ובסבירות לא נמוכה גם כל מיני פורטים אקראיים שתוכנות שהתקנתם פתחו ואתם אפילו לא מודעים לזה שהם פתוחים.
ההמלצה שלי לגבי IPv6 זהה למה שהיא היתה (ועדיין) ב-IPv4 - תשאירו את כל הפורטים סגורים ואם אתם צריכים גישה מרחוק תתקינו שרת VPN ותפתחו רק את הפורט שלו.
...
רק פורט אחד פתוח

NegativeIQ
חבר מביא חבר
חבר מביא חבר
הודעות: 4273
הצטרף: דצמבר 2005
נתן תודות: 9 פעמים
קיבל תודות: 542 פעמים

Re: מדריך לחיבור RDP דרך האינטרנט עם IPv6

נושא שלא נקרא #8 

24/06/2022 12:30  
yanivg11 כתב:
רק פורט אחד פתוח
...
כמו שאמרתי, אם הראוטר שלך לא חוסם חיבורים נכנסים כברירת-מחדל יכול להיות שיש עוד פורטים פתוחים שאתה בכלל לא מודע אליהם, וגם אם אין, כעיקרון כל תוכנה שאתה מפעיל יכולה לפתוח פורטים.

yossi_s1
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 256
הצטרף: נובמבר 2007
נתן תודות: 5 פעמים
קיבל תודות: 33 פעמים

Re: מדריך לחיבור RDP דרך האינטרנט עם IPv6

נושא שלא נקרא #9 

למה הסקת שהראוטר לא חוסם חיבורים נכנסים? הוא דווקא כן, חוץ מחיבורים לפורט הספציפי שהוא איפשר ניתוב עבורו.

לנושא הדיון, אחלה של מדריך, אני גם משתמש בIPV6 לצרכים דומים. ספצפית RDP לא כי מספיק לי anydesk או teamviewer

NegativeIQ
חבר מביא חבר
חבר מביא חבר
הודעות: 4273
הצטרף: דצמבר 2005
נתן תודות: 9 פעמים
קיבל תודות: 542 פעמים

Re: מדריך לחיבור RDP דרך האינטרנט עם IPv6

נושא שלא נקרא #10 

25/06/2022 10:09  
yossi_s1 כתב:
למה הסקת שהראוטר לא חוסם חיבורים נכנסים? הוא דווקא כן, חוץ מחיבורים לפורט הספציפי שהוא איפשר ניתוב עבורו.

לנושא הדיון, אחלה של מדריך, אני גם משתמש בIPV6 לצרכים דומים. ספצפית RDP לא כי מספיק לי anydesk או teamviewer
...
לא אמרתי אם חוסם או לא. אם חוסם אז אין עם זה שום בעיה, אבל אני יודע שיש ראוטרים מסויימים שלא חוסמים וזה פשוט מסוכן להשתמש בהם.

ofir1977
חבר שרק התחיל
חבר שרק התחיל
הודעות: 41
הצטרף: ינואר 2016
נתן תודות: 174 פעמים
קיבל תודות: 5 פעמים

Re: מדריך לחיבור RDP דרך האינטרנט עם IPv6

נושא שלא נקרא #11 

תודה רבה,
המדריך מעולה וכתוב בצורה מאוד ברורה ונעימה.

שלח תגובה

חזור אל “רשתות, אינטרנט ו- Fiber”