IT-opsætning · IT & Netværk

RustDesk supportagent
Porte til firewall

Baggrund

DenTec benytter RustDesk som fjernstyringsværktøj til support. Når en tekniker fra DenTec hjælper jer, sker det via en krypteret forbindelse fra klinikkens PC til vores selvhostede RustDesk-server på help.csds.dk (Carestream Dental Support). For at denne forbindelse kan etableres, skal klinikkens firewall tillade trafik på en række porte til og fra denne server.

RustDesk-serveren består af to komponenter:

  • hbbs – ID- og signalserver. Holder styr på, hvilke klienter der er online, og formidler kontakten mellem dem.
  • hbbr – Relayserver. Bruges, hvis en direkte peer-to-peer-forbindelse ikke kan etableres (fx ved strenge firewalls eller dobbelt NAT). I det tilfælde løber al trafik igennem relayserveren.

Porte der skal åbnes

Port Protokol Retning Komponent Formål
21115 TCP Udgående hbbs NAT-traversal (hole punching)
21116 TCP Udgående hbbs Signalering og klientregistrering
21116 UDP Ud/ind hbbs Signalering og direkte P2P-forbindelse
21117 TCP Udgående hbbr Krypteret relaytrafik

UDP 21116 i begge retninger: Hole punching kræver, at begge parter kan sende og modtage UDP-pakker på denne port. På stateful firewalls (de fleste moderne firewalls og UTM-løsninger) vil udgående UDP automatisk tillade svarretur-trafik, og en eksplicit indgående regel er ikke nødvendig. På stateless firewalls eller ved meget restriktive politikker skal der tilføjes en eksplicit indgående UDP-regel på port 21116.

Relay som fallback: Hvis hole punching mislykkes, skifter RustDesk automatisk til relayforbindelsen via hbbr (TCP 21117). I det tilfælde behøves kun udgående TCP-regler. IT-afdelinger der ikke ønsker at åbne indgående UDP, kan acceptere at al supporttrafik går via relay – forbindelsen fungerer, men kan have en smule højere latens.

Firewall-regel: eksempel (Windows Firewall via PowerShell)

Kør følgende kommandoer i en administrator-kommandoprompt:

# Udgående TCP (signalering og relay)
New-NetFirewallRule -DisplayName "RustDesk TCP udgående" `
  -Direction Outbound -Protocol TCP `
  -RemotePort 21115-21117 -Action Allow

# Udgående UDP (hole punching)
New-NetFirewallRule -DisplayName "RustDesk UDP udgående" `
  -Direction Outbound -Protocol UDP `
  -RemotePort 21116 -Action Allow

# Indgående UDP (kræves kun på stateless firewall eller ved strict policy)
New-NetFirewallRule -DisplayName "RustDesk UDP indgående" `
  -Direction Inbound -Protocol UDP `
  -LocalPort 21116 -Action Allow

Begræns til DenTecs server: Tilføj -RemoteAddress <ip> til udgående regler for at begrænse trafik til help.csds.dk. IP-adressen kan slås op med nslookup help.csds.dk i en kommandoprompt.

Opsummering

Spørgsmål Svar
Hvilken server skal have adgang? help.csds.dk
Kræves der indgående regler? Kun UDP 21116 – og kun på stateless firewalls
Er forbindelsen krypteret? Ja – al trafik er ende-til-ende krypteret
Kræver det en VPN? Nej – RustDesk kører direkte over internet
Hvad hvis indgående UDP er blokeret? RustDesk falder tilbage på relay – forbindelsen fungerer stadig

Kontakt DenTec support, hvis I er usikre på konfigurationen, eller hvis jeres netværksmiljø kræver yderligere hvidlistning.

Andre vejledninger i IT-opsætning

📖 Skriftlig guide Antivirus og firewall Opsætning og undtagelser Læs guide → 📖 Skriftlig guide Active Directory Opsætning af AD til optage-PC Læs guide →