Von aussen mit VNC in ein Netz hinter einem Router connecten?

[Samoth]

Die Rechnerfernwartung über VNC funktioniert, wie ich in meinem Tut beschrieben habe, einwandfrei.

Jetzt möchte ich einen Schritt weitergehen. Folgende Situation:

Ein Kunde hat DSL inkl. Flatrate. Wir wollten uns in sein Netz bzw. auf seinen Server (192.168.100.1) und später vielleicht auf die einzelnen Rechner (nach dem Schema 192.168.100.10) connecten.

Es ist bereits ein Hardware Router vorhanden und auch sonst soll eigentlich keine weitere Hardware gekauft werden.

Ich denke, der gesamte Sachverhalt sollte über VNC, No-IP und den Router regelbar sein, oder nicht?

 

[gage_]

Geht nur, wenn Du auf dem Router NAT-Redirection fuer einzelne Ports machen kannst.

Wenn Du mehrere Rechner mit VNC erreichen willst, ist es etwas tricky, weil VNC aus der Portnummer auch die Display-ID nimmt, und Du bei einer externen Adresse verschiedene Ports brauchst. Abgesehen davon wuerd ich einen VNC nicht einfach so verfuegbar machen.

IPsec oder mindestens SSL Tunnelling waere schon angebracht.

 

[Samoth]

Original geschrieben von gage_
Geht nur, wenn Du auf dem Router NAT-Redirection fuer einzelne Ports machen kannst.

Wenn Du mehrere Rechner mit VNC erreichen willst, ist es etwas tricky, weil VNC aus der Portnummer auch die Display-ID nimmt, und Du bei einer externen Adresse verschiedene Ports brauchst. Abgesehen davon wuerd ich einen VNC nicht einfach so verfuegbar machen.

IPsec oder mindestens SSL Tunnelling waere schon angebracht.

Hätte ich mir ja denken können, dass du antwortest *g*. Danke!

Davon hab ich auch schon gelesen, aber ich denke ich werde das Risiko eingehen und das Passwort einfach unverschlüsselt senden. Sollte ich sonst noch Probleme bekommen? Ich greife auf den Server (Windows 2000 Server) nur zu Kontrollzwecken zu, was alle Wochen mal passiert.

Erreichen will ich momentan nur den Server (192.168.100.1). Wie müsste ich den Router (geht es wirklich nicht ohne NAT?) denn einstellen? NAT ist doch die Tatsache, dass ich eine gültige Adresse (z. B. für Onlinespiele) bekomme, oder?

 

[gage_]

Original geschrieben von Samoth
Sollte ich sonst noch Probleme bekommen?

Unverschluesselten Administrations-Traffic finde ich Problem genug

Aber wenn man's verantworten kann ...

Original geschrieben von Samoth
Erreichen will ich momentan nur den Server (192.168.100.1). Wie müsste ich den Router (geht es wirklich nicht ohne NAT?) denn einstellen?

Ohne NAT geht es nicht. Du musst den Router so einstellen, dass er den VNC-Port (9000 glaub ich fuer Display 0, kann sein dass ich mich irre) auf der externen Adresse an die 192.168.100.1 schickt.

Original geschrieben von Samoth
NAT ist doch die Tatsache, dass ich eine gültige Adresse (z. B. für Onlinespiele) bekomme, oder?

NAT ist der Mechanismus, mit dem Rechner aus einem privaten Netz mit dem oeffentlichen kommunizieren koennen.

 

[Samoth]

Gut, ich mach jetzt erstmal Urlaub, dann setz ich mir eine Testverbindung auf und melde mich nochmal, sollte es zu Problemen kommen.

Eins hab ich noch ;-)
Wie ist das dann eigentlich, wenn ich den Rechner von aussen ansprechen will, sollte ich seine IP eingeben/kennen. Ich würde das z. B. über No-IP lösen und hätte dann einen ensprechenden Namen. WO muss dieses Tool installiert sein? Wenn ich es auf dem Server installiere und starte, versucht er sich mit dem No-IP Rechner zu verbinden um so meine IP zu aktualisieren. Macht der Router da auch Stress oder gibt es noch eine andere geschickte Möglickeit?

 

[Deleted 9600]

Windows 2000 Server hat doch einen Terminalserver für 3 Verbindungen dabei, wieso mit VNC rumfummeln ?

Ansonsten kann man das Display angeben, mit :X hinter IP/Host

Ports sollten 5900 und 5800 für den JavaWebClient sein.

 

[gage_]

Original geschrieben von Hotzi
Windows 2000 Server hat doch einen Terminalserver für 3 Verbindungen dabei, wieso mit VNC rumfummeln ?

Stimmt, der ist in dem Fall sogar das zweitkleinere Uebel.

Original geschrieben von Hotzi
Ansonsten kann man das Display angeben, mit :X hinter IP/Host

Und genau da faengt's an lustig zu werden, vor allem wenn man Hosts hinter NAT zwangslaeufig auf unterschiedliche Ports legen muss, siehe auch hier ... und unter Umstaenden kann es je nach Client/Server auch Probleme geben.

Deshalb lieber gleich IPsec aufsetzen.

Samoth .. der Router macht bei dynamischem DNS wahrscheinlich kein Problem, aber der Client wird nicht die externe Adresse kennen. Gibt aber bestimmt Dienste, die ueber NAT laufen.

 

[Deleted 9600]

Original geschrieben von gage_


Und genau da faengt's an lustig zu werden, vor allem wenn man Hosts hinter NAT zwangslaeufig auf unterschiedliche Ports legen muss, siehe auch hier ... und unter Umstaenden kann es je nach Client/Server auch Probleme geben.

Deshalb lieber gleich IPsec aufsetzen.

Das Zusammengewürfele von NAT und Port Forwarding hier suckt, finde ich, zwar das Gleiche, technisch aber anderes zu relaisieren. Gut ich kenne den Router nicht, mit iptables wäre das kein Problem.

Was mich befremdet:

Ein Admin, fragt in einem MTB.Forum, wie er eine (für einen Admin) leicht einzurichtende Remotedesktopverbindung einrichtet und das noch dazu mit VNC....

 

[gage_]

Original geschrieben von Hotzi
Das Zusammengewürfele von NAT und Port Forwarding hier suckt, finde ich, zwar das Gleiche, technisch aber anderes zu relaisieren. Gut ich kenne den Router nicht, mit iptables wäre das kein Problem.

Den ersten Satz habe ich nicht verstanden

Das Problem ist allerdings vor allem der vncviewer, der nicht konsistent bei der Interpretation der host/port/display Geschichte arbeitet. Um das zu beheben, muesste man in der Lage sein Port 5900 fuer eine IP-Adresse an mehrere verschiedene Hosts zu redirecten, und das kann keine mir bekannte NAT-Implementation.

 

[Deleted 9600]

Original geschrieben von gage_


Den ersten Satz habe ich nicht verstanden

Das Problem ist allerdings vor allem der vncviewer, der nicht konsistent bei der Interpretation der host/port/display Geschichte arbeitet. Um das zu beheben, muesste man in der Lage sein Port 5900 fuer eine IP-Adresse an mehrere verschiedene Hosts zu redirecten, und das kann keine mir bekannte NAT-Implementation.

zum ersten Satz:

Ich gehe immer von iptables aus, wo man generell NAT und dann noch einzelnes Port Forwarding von aussen nach innen ja doch anders implementiert, sicherlich: NAT ist NAT, auch port forwarding ist NAT.

Doch wird in der Regel der Begriff "NAT" dafür verwendet, ausgehden Verkehr über einen Router zu kennzeichnen, eingehend halte ich das für Begriffswürfelei.

 

[gage_]

Original geschrieben von Hotzi
Ich gehe immer von iptables aus, wo man generell NAT und dann noch einzelnes Port Forwarding von aussen nach innen

Ich wuerde iptables auch nicht gerade als Referenz-Implementation fuer NAT bezeichnen

Bei der Network Address Translation werden IP, UDP und TCP Header neu geschrieben, und es ist wesentlich effizienter, dort auch gleich die Port-Forwardings zu machen.

 

[Deleted 9600]

Original geschrieben von gage_


Ich wuerde iptables auch nicht gerade als Referenz-Implementation fuer NAT bezeichnen

Bei der Network Address Translation werden IP, UDP und TCP Header neu geschrieben, und es ist wesentlich effizienter, dort auch gleich die Port-Forwardings zu machen.

SO meinte ich das nicht, ich meinte nur, dass man nicht alle Begriffe wahllos durcheinander würfeln sollte, am Ende denkt noch jemand, NAT anhaken reicht.

 

[gage_]

Original geschrieben von Hotzi
SO meinte ich das nicht, ich meinte nur, dass man nicht alle Begriffe wahllos durcheinander würfeln sollte

Dann beschwer Dich bei der IETF. Aus der RFC 2663 (IP Network Address Translation):

3.1. Transparent Address Assignment

NAT binds addresses in private network with addresses in global network and vice versa to provide transparent routing for the datagrams traversing between address realms. The binding in some cases may extend to transport level identifiers (such as TCP/UDP ports). Address binding is done at the start of a session. The following sub-sections describe two types of address assignments.

 

[Samoth]

Original geschrieben von Hotzi
Ein Admin, fragt in einem MTB.Forum, wie er eine (für einen Admin) leicht einzurichtende Remotedesktopverbindung einrichtet und das noch dazu mit VNC....

Hehe... ich bin Admin nur an meinen beiden Systemen. Im RL gehe ich noch der Ausbildung zum Fachinformatiker (jetzt im 2. Lehrjahr) nach.

Was ist daran so abwegig in einem MTB Board nach Hilfe zu fragen, dass:

1. Eine eigene Computersection hat?
2. Leute wie gage_ und dich beherbergt, die sich scheinbar mit der Materie auskennen?

Ich war vorher noch auf einem anderen Forum, aber hier wurde mir schon oft in der Richtung geholfen.

Ich muss zugeben, vieles von dem was ihr oben schreibt habe ich "schonmal gehört", was aber auch schon alles ist. Ich habe in den letzten Tagen auch herausgefunden, dass es wohl *sicherer* ist eine VNC Verbindung via SSH oder IPSec zu verschlüsseln.

Letztlich geht es mir nur darum eine anständige Lösung für das Problem zu finden - dies am besten unter Zuhilfenahme der vorhandenen Konstellation.

Nachtrag:
Jetzt fällt mir noch was ein! Wie würdet ihr dann praktisch eine bereits bestehende Verbindung (VNC ohne Router) mit SSH sichern? Das wäre dann das Beispiel von meinem Arbeitsplatz in Richtung meiner Wohnung via DSL.

 

[Deleted 9600]

Ja als Azubi ist das schon ok.

Ich hatte mal so einen Thread in einem EDV-Forum, ich glaube bei PC-Welt oder so war das, gelesen. Da hat ein angeblicher Admin einer Firma so ein paar lächerliche Fragen gestellt, rofl, schade dass ich da keinen Link von habe.

Wie dem auch sei, bei Verschlüsselung, Tunneling habe ich gar keine Ahnung, evt kann Dir ja gage_ nen Tipp geben.

Ohne SSH könnte ich Dir nur anbieten, bei Tests behilflich zu sein.
Nen völlig frei konfigurierbaren Router (selfmade, ein Pentium 2 mit Debian Woody) habe ich, einige Windows und Linuxmaschinen dahinter auch.

 

[gage_]

SSH auf Windows Boxen nur fuer Tunnels nutzen macht keinen Spass, weil die Tunnels eigentlich nur ein Neben-Feature sind.

Unter Windows wuerde ich lieber ein dediziertes Tunnelling-Programm nehmen. Zum Beispiel ssltunnel oder zebedee. Mit letzterem habe ich auch schon mal VNC-Traffic getunnelt.

Hier gibt's VNC und Zebedee als "Bundle" kannst ja mal schauen, ob das fuer Dich funktioniert.

 

[Samoth]

Danke an euch beide!

Ich verlasse bis zum 04.09. das Land und mach mich danach an eine Testumgebung. Ihr werdet von mir hören...

 

[Samoth]

So, ich bin wieder da und die Sache funktioniert mittlerweile. Hier mein momentaner Lösungsweg:

Ich hab mir zuerst mal die Routerkonfiguration angesehen. Bei uns im Laden ging das über den ELSA rel. einfach. Dort gab es auch extra einen Menüpunkt, der vorsieht Anfragen auf einen oder mehrere Ports (bei TightVNC sind im Normalfall das 5800 & 5900) auf eine bestimmte IP Adresse im Netz zu schicken (ist das dann eigentlich "port forwarding"?). Hier habe ich dann die Einstellungen gesetzt und mit dem VNC getestet - Läuft!

Leider ging es mit dem DLink Router vor Ort nicht so einfach. Anscheinend unterstützt dieser Router keine Loopback Verbindungen, weswegen ich auch einige Stunden zu kämpfen hatte bis ich letztlich über eine ISDN Leitung auf den lokalen Rechner gekommen bin.

Der Router unterstützt auch den Einsatz von dynamischen DNS. In diesem Fall sind das Dienste wie No-IP oder DynDNS. Ich werde jetzt noch einen Account beantragen und dann diesen noch direkt auf dem Router eintragen. Damit sollte auch das Problem mit der wechselnden IP behoben sein.

btw. Um die IP zu erhalten habe ich das kleine Tool "Mini Webserver" (http://www.aidex.de/software/webserver/)verwendet. Sicher etwas überzogen für diesen simplen Zweck, aber wirksam.

Beim Kunden habe ich es jetzt auch eingerichtet, getestet und mache mich nun ans Absichern der Verbindung. Wie gage schon schrieb ist unverschlüsselter Administrationsverkehr nicht das Wahre ;-)

Habt ihr, ausser den og. Vorschlägen, noch weitere um mein kommendes Vorhaben zu verwirklichen?

Vielen Dank nochmal!