Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mikrotik VNC Portforwarding

Mitglied: Rolf14

Rolf14 (Level 2) - Jetzt verbinden

15.10.2015 um 12:43 Uhr, 2079 Aufrufe, 25 Kommentare, 1 Danke

Hallo Leute,

ich habe ein kleines Problem bei einem Mikrotik Router.
Ich möchte von außen auf einen PC via (Ultra VNC) VNC zugreifen.

Netzwerk 192.168.70.0
Router 192.168.70.254
VNC Server 192.168.70.151

Ich habe in der Firewall die Forward Regel dafür erstellt zusammen mit anderen Funktionen wie OWA etc.

871f00941dea4bd479a0067c2f0cd0bf - Klicke auf das Bild, um es zu vergrößern

Dann habe ich eine NAT Regel erstellt, genauso wie ich auch für die anderen Dienste diese erstellt habe.

3384fe152574b5034638073cf82e6ab9 - Klicke auf das Bild, um es zu vergrößern

OWA etc. von außen Funktioniert ohne Probleme VNC nicht. Intern Funktioniert VNC auch ohne Probleme.

Kann mir vielleicht jemand einen Tipp geben woran es liegen könnte? Habe schon ausprobiert zusätzlich UDP weiterzuleiten aber ohne Erfolg. Ich habe zum Anfang nur Port 5900 weitergeleitet nun auch Port 5500 und 9800, aber ebenso ohne Erfolg.

Würde mich freuen wenn mir jemand helfen kann.
Mitglied: michi1983
15.10.2015 um 12:56 Uhr
Hallo,

und auf welchem Port lauscht der VNC Server?

Gruß
Bitte warten ..
Mitglied: Rolf14
15.10.2015 um 13:02 Uhr
Auf Port 5900, intern funktioniert auch alles ohne Probleme.
Bitte warten ..
Mitglied: 122990
15.10.2015, aktualisiert um 13:03 Uhr
Wireshark anschmeißen und schauen ob überhaupt Pakete von extern am Server ankommen ...

Gruß grexit
Bitte warten ..
Mitglied: Rolf14
15.10.2015 um 13:19 Uhr
Ich habe auf diesen PC ( ist ein Steuerungs-PC für eine Biogasanlage ) keinen Admin zugriff demnach kann ich Wireshark leider nicht darauf installieren. Stimmen denn meine Regeln überhaupt oder ist da bei VNC etwas anders im Gegensatz zu zum Beispiel OWA?
Bitte warten ..
Mitglied: michi1983
15.10.2015 um 13:23 Uhr
Ich kenne mich mit den Mikrotiks noch nicht aus, aber sollte da nicht eine destination address sein?
Bitte warten ..
Mitglied: 122990
15.10.2015, aktualisiert um 13:24 Uhr
Zitat von Rolf14:

Ich habe auf diesen PC ( ist ein Steuerungs-PC für eine Biogasanlage ) keinen Admin zugriff
Den Packetstream kannst du alternativ einfach auf dem Mikrotik in ein DUMP aufzeichnen ...
Stimmen denn meine Regeln überhaupt
Grundsätzich ist deine Forwarding-Regel ein Scheunen-Toor für Angreifer ! Hier solltest du dringend auf die geforwardete Ziel-IP einschränken!
Kann ich so aus den Grafiken schlecht sehen was da noch für Regeln laufen...

Was für ein VNC-Server läuft dort ? Manche Server verwenden hier für mehrere Clients unterschiedliche virtuelle Ports
Bitte warten ..
Mitglied: 114757
15.10.2015, aktualisiert um 13:35 Uhr
Moin,
Zitat von Rolf14:

Ich habe auf diesen PC ( ist ein Steuerungs-PC für eine Biogasanlage ) keinen Admin zugriff
Viele solcher Systeme blocken den Zugriff wenn der Zugriff aus einem anderen Subnetz als dem eigenen kommt. Sicherheit!
Also den Verantwortlichen kontaktieren, vermutlich haben die die Firewall an dem System so angepasst, das er keinen Zugriff aus anderen Subnetzen erlaubt. Würde ich auch so machen ...

Also nutze besser ein VPN für den Zugriff auf das Subnetz des Mikrotik. Bevor euch noch ein Hacker den Strom abstellt

Gruß jodel32
Bitte warten ..
Mitglied: Rolf14
15.10.2015 um 13:36 Uhr
Mit dem "alten" Router der kein VPN konnte und defekt war ging dieser Zugriff allerdings.

Aber danke für den Tipp ich werde das mal prüfen lassen.

Ist denn von den Regeln die ich gesetzt habe alles ok?
Bitte warten ..
Mitglied: 114757
15.10.2015, aktualisiert um 13:42 Uhr
Zitat von Rolf14:

Mit dem "alten" Router der kein VPN konnte und defekt war ging dieser Zugriff allerdings.
Können wir hier leider nicht verifizieren was dort gesetzt war.
Ist denn von den Regeln die ich gesetzt habe alles ok?
Siehe Kommentar von @grexit. Bei der Forwarding-Regel stellen sich mir die Haare => unbedingt die Dst-Adresse setzen.
Bitte warten ..
Mitglied: Rolf14
15.10.2015 um 13:50 Uhr
Ich habe nun mal auf einem Server (Windows Server)
Einen VNC Server installiert und das Nat auf die IP des Servers ( 192.168.70.1) umgestellt. Auch bei diesem geht die VNC Verbindung nicht.

Meint ihr die dst Adressen bei Nat setzen oder bei der Forwardchain in der Firewall? Und wie sollte eine solche Regel dann aussehen?
Bitte warten ..
Mitglied: 114757
15.10.2015, aktualisiert um 13:58 Uhr
Zitat von Rolf14:

Ich habe nun mal auf einem Server (Windows Server)
Einen VNC Server installiert und das Nat auf die IP des Servers ( 192.168.70.1) umgestellt. Auch bei diesem geht die VNC Verbindung nicht.
Firewall sichten, dort muss bei der VNC-Regel alle Subnetze erlaubt werden.

Meint ihr die dst Adressen bei Nat setzen oder bei der Forwardchain in der Firewall? Und wie sollte eine solche Regel dann aussehen?
Die Forwarding-Regel natürlich. sonst machst du dein Netz ziemlich weit auf ...

Ich hoffe du hast eine Related-Regel für die Forwarding-Chain, denn auch nach draußen muss die Kommunikation ja auch wieder zurück laufen...
Bitte warten ..
Mitglied: Rolf14
15.10.2015 um 13:58 Uhr
8511a93c7f8d2166114e04de07b0e8f1 - Klicke auf das Bild, um es zu vergrößern

So sieht meine Firewall jetzt gerade aus.
Bitte warten ..
Mitglied: 114757
15.10.2015, aktualisiert um 14:01 Uhr
Damit kann man hier wenig anfangen, da fehlen zu viele Spalten.
Poste die Ausgabe aus einer Konsole als Text
/ip firewall filter export
/ip firewall nat export
Bitte warten ..
Mitglied: Rolf14
15.10.2015 um 14:02 Uhr
Ah ok danke

[admin@MikroTik] > /ip firewall filter export
  1. oct/15/2015 14:01:36 by RouterOS 6.28
  2. software id = ADFC-YAW4
/ip firewall filter
add chain=input connection-state=established
add chain=input connection-state=related
add chain=input in-interface=br-lan
add chain=input comment="Regel f\FCr die VPN Einwahl" dst-port=500,1701,4500 \
protocol=udp
add chain=input comment="Regel f\FCr die VPN Einwahl" protocol=ipsec-esp
add action=log chain=input disabled=yes
add action=drop chain=input
add chain=forward comment="Regel f\FCr DHCP Anfragen vom LAN/WLAN" \
dst-address-type=broadcast in-interface=br-lan
add chain=forward connection-state=established
add chain=forward connection-state=related
add chain=forward comment=\
"Regel f\FCr den Internet Zugriff \FCber LAN auf WAN" dst-address=\
!192.168.70.0/24 dst-port=53,80,443 in-interface=br-lan protocol=tcp
add chain=forward dst-address=!192.168.70.0/24 dst-port=53 in-interface=\
br-lan protocol=udp
add chain=forward comment="Regel f\FCr Teamviewer Zugriff \FCber LAN auf WAN" \
dst-address=!192.168.70.0/24 dst-port=5938 in-interface=br-lan protocol=\
tcp
add chain=forward comment=\
"Regel f\FCr Zeitserver (NTP) Zugriff \FCber LAN auf WAN" dst-address=\
!192.168.70.0/24 dst-port=123 in-interface=br-lan protocol=udp
add chain=forward comment="Regel f\FCr Mail Zugriff \FCber LAN auf WAN" \
dst-address=!192.168.70.0/24 dst-port=25,110,465,993,995 in-interface=\
br-lan protocol=tcp
add chain=forward comment="Regel f\FCr FTP Zugriff \FCber LAN auf WAN" \
dst-address=!192.168.70.0/24 dst-port=21 in-interface=br-lan protocol=tcp
add chain=forward comment=\
"Regel f\FCr den Monitoring Client Zugriff \FCber LAN auf WAN" \
dst-address=!192.168.70.0/24 dst-port=10124 in-interface=br-lan protocol=\
tcp
add chain=forward comment=\
"Regel f\FCr Starmoney Update Zugriff von LAN auf WAN" dst-address=\
!192.168.70.0/24 dst-port=3000,58826 in-interface=br-lan protocol=tcp
add chain=forward comment="Regel f\FCr ICMP Echo Requests von LAN auf WAN" \
dst-address=!192.168.70.0/24 in-interface=br-lan protocol=icmp
add chain=forward comment="Regel f\FCr RDP Zugriff von LAN auf WAN" \
dst-address=!192.168.70.0/24 dst-port=3389 protocol=tcp
add chain=forward comment="Regel f\FCr die VPN Verbindungen von LAN auf WAN" \
dst-address=!192.168.70.0/24 dst-port=500,1701,4500 protocol=udp
add chain=forward comment="Regel f\FCr die VPN Verbindungen von LAN auf WAN" \
dst-address=!192.168.70.0/24 protocol=ipsec-esp
add chain=forward comment="Regel f\FCr Portweiterleitungen von WAN auf LAN" \
dst-address=!192.168.77.0/24 dst-port=20,21,443,3389 in-interface=\
pppoe-out-wdsl protocol=tcp
add chain=forward comment="Regel f\FCr Portweiterleitungen von WAN auf LAN" \
dst-address=!192.168.77.0/24 dst-port=5500,5800,5900 in-interface=\
pppoe-out-wdsl protocol=tcp
add chain=forward comment=VPN dst-address=192.168.70.0/24 src-address=\
192.168.78.0/24
add chain=forward comment="Hairpin NAT" dst-address=192.168.70.0/24 \
src-address=192.168.70.0/24
add action=log chain=forward disabled=yes
add action=drop chain=forward
Bitte warten ..
Mitglied: Rolf14
15.10.2015 um 14:13 Uhr
[admin@MikroTik] > /ip firewall nat export
  1. oct/15/2015 14:12:48 by RouterOS 6.28
  2. software id = ADFC-YAW4
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out-wdsl
add action=dst-nat chain=dstnat comment="dst-nat von Intern" \
dst-address-type=local dst-port=443 protocol=tcp to-addresses=\
192.168.70.1 to-ports=443
add action=dst-nat chain=dstnat comment="dst-nat von Extern" dst-port=443 \
in-interface=pppoe-out-wdsl protocol=tcp to-addresses=192.168.70.1 \
to-ports=443
add action=dst-nat chain=dstnat dst-port=21 in-interface=pppoe-out-wdsl \
protocol=tcp to-addresses=192.168.70.1 to-ports=20-21
add action=dst-nat chain=dstnat dst-port=3389 in-interface=pppoe-out-wdsl \
protocol=tcp to-addresses=192.168.70.1 to-ports=3389
add action=dst-nat chain=dstnat dst-port=5500 in-interface=pppoe-out-wdsl \
protocol=tcp to-addresses=192.168.70.1 to-ports=5500
add action=dst-nat chain=dstnat dst-port=5800 in-interface=pppoe-out-wdsl \
protocol=tcp to-addresses=192.168.70.1 to-ports=5800
add action=dst-nat chain=dstnat dst-port=5900 in-interface=pppoe-out-wdsl \
protocol=tcp to-addresses=192.168.70.1 to-ports=5900
Bitte warten ..
Mitglied: 122990
15.10.2015, aktualisiert um 17:50 Uhr
Ich glaub du hast jodel missverstanden er meinte die Windows Firewall und das dort für den VNC Port alle Subnetze als Quelle zugelassen werden.

Die Regeln sollten so laufen, bis eben die jetzt schon mehrfach genannte Einschränken auf die DST-Address deiner Regel auf der Forward-Chain, das der Sicherheit dient.

Sag doch endlich mal was für VNC Server du nutzt...
Bitte warten ..
Mitglied: 114757
15.10.2015, aktualisiert um 18:06 Uhr
add chain=forward comment="Regel f\FCr Portweiterleitungen von WAN auf LAN" \
dst-address=!192.168.77.0/24 dst-port=5500,5800,5900 in-interface=\
pppoe-out-wdsl protocol=tcp

Deine Forwarding-Regel ist nicht OK ! Die DST-Address ist fehlerhaft! Damit würdest du ja alles was nicht zum 192.168.70.x/24 Netz gehört erlauben aber du willst ja gerade die 70.1 erlauben !

Also gehört die Regel so:
01.
/ip firewall filter add chain=forward comment="VNC Server Forwarding" dst-address=192.168.70.1 dst-port=5900 in-interface=pppoe-out-wdsl protocol=tcp
Natürlich an die richtige Position vor der Drop-Rule verschieben.

Die Windows Firewall ist ebenfalls meistens die Ursache allen Übels, erstelle dort eine Explizite Port-Regel für Port 5900.

Wenn du das alles beachtest läuft das wie immer einwandfrei.

Gruß
Bitte warten ..
Mitglied: 122990
15.10.2015 um 20:18 Uhr
Zitat von 114757:
Deine Forwarding-Regel ist nicht OK ! Die DST-Address ist fehlerhaft! Damit würdest du ja alles was nicht zum 192.168.70.x/24 Netz gehört erlauben aber du willst ja gerade die 70.1 erlauben !
Stimmt, vollkommen übersehen ...
Bitte warten ..
Mitglied: Juschwin
15.10.2015 um 22:03 Uhr
Hallo,

mir stellen sich gerade die Nackenhaare auf. Ich bin schon über 20 Jahre in der Steuerungstechnik tätig ( SPS, Soft-SPS ) und immer wieder sieht man so was.
Das ist eine Steuerung einer Produktivanlage, da hat Sicherheit oberste Priorität.
Ist dir klar was passiert wenn da irgendeiner ( Böser Mensch ) aus "Spaß" etwas ändert ? Das kann die Anlage zerstören, sogar Personenschäden sind möglich.
Wenn es unbedingt eine VNC-Lösung sein muß, dann mit an und abstecken, d.h. durufst an und der der Vorort ist steckt das Kabel in den Router und wenn du fertig bist seckt er das wieder ab.
Ansonsten nur VPN-Lösung.

Gruß Jürgen
Bitte warten ..
Mitglied: 108012
16.10.2015 um 00:33 Uhr
Hallo,

ich habe ein kleines Problem bei einem Mikrotik Router.
Was "steht" denn vor dem MikroTik Router, ein weiterer Router oder ein Modem?

Ich möchte von außen auf einen PC via (Ultra VNC) VNC zugreifen.
Ist eventuell die Verschlüsselung dort bei UltraVNC eingeschaltet worden?

Und ein IPSec VPN mit dem MikroTik Router ist keine Option?
Warum nicht? Warum mit VNC und dann noch nicht einmal die Verschlüsselung eingeschaltet?
Alles im Klartext? Gewinn? Kohle, Geld? Warum nicht eine AVM FB und dann mittels IPSec die
Verbindung herstellen.

Gruß
Dobby
Bitte warten ..
Mitglied: 114757
16.10.2015, aktualisiert um 10:50 Uhr
Sag ich ja schon... Er macht's halt den ganzen Blindgängern nach deren Industrie-Steuerungen direkt im Netz hängen ...
Die lernen meist erst dann daraus wenn die Steuerung durch einen Hacker übernommen wurde, und die Anlage plötzlich ein Eigenleben entwickelt.

Wer nicht hören will muss halt fühlen.
Bitte warten ..
Mitglied: Rolf14
20.10.2015 um 11:51 Uhr


Ich versteh euch ja, aber die Sachen sind hier nun einmal gegeben und ich bin das auszuführende Organ. Diese Budde die das betreut will das unbedingt so und der Betreiber hat dem so zugestimmt.
Ich bin da ja nicht der Boss.
Aber danke für eure Hinweise.

Danke Jodel ich habe mit der Regel geändert, noch funktioniert es leider nicht. Ich werde nun die Windows Firewall von denen so einstellen lassen und dann mal sehen.
Bitte warten ..
Mitglied: Rolf14
20.10.2015 um 12:02 Uhr
Geht nicht, ok ich breche das ganze jetzt ab und werde den mitteln entweder via IPSec VPN oder halt nicht.

Danke für eure Hilfe. Ganz kurz noch zwecks Sicherheit. Habe ich bei meinen anderen Regeln nen Fehler eingebaut und mir irgendwo Löcher aufgerissen? Wenn ja was habe ich falsch gemacht? Würde mich freuen wenn ihr mir dabei helfen würdet.
Bitte warten ..
Mitglied: 114757
20.10.2015, aktualisiert um 22:22 Uhr
Naja, geht hier ja einwandfrei, du musst also bei dir noch irgendwelche anderen Fehler in der Config machen.
Also clean ohne zusätzlichen Regeln starten und den Hund ausgraben, wie immer systematisch vorgehen ! Dann klappt das 200%
Bitte warten ..
Mitglied: Rolf14
21.10.2015 um 09:24 Uhr
Ja werde ich mal in einer Testumgebung machen.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Portforwarding auf EdgeRouter
gelöst Frage von 118080Router & Routing19 Kommentare

Moin :-) Heute ist mein EdgeRouter gekommen und ich habe natürlich gleich mal losgelegt. :-D Nun klappt alles erstmal ...

Router & Routing
Portforwarding funktioniert teilweise
Frage von mcallister001Router & Routing5 Kommentare

Hallo Zusammen Ich habe folgendes Problem: Ich will auf meinen Router eine Portweiterleitung von 3389 für meinen Heim-Laptop machen, ...

Router & Routing
Zyxel USG100 Portforwarding
gelöst Frage von ral9004Router & Routing25 Kommentare

Guten Tag Zyxel USG100 neueste Firmware installiert. Gemäss dieser Anleitung das Portforwarding für TCP Port (HTTP Service) eingerichtet. "USG-Serie ...

Router & Routing
PortForwarding von FritzBox zu pfSense
gelöst Frage von zahniRouter & Routing12 Kommentare

Für die volle Onlinefunktionalität der Playstation sollen lt. Sony diverse Ports freigeschaltet werden. pfSense hängt bei mir hinter der ...

Neue Wissensbeiträge
Off Topic
Was als Noob hier mal gesagt werden musste
Information von th30ther vor 1 TagOff Topic4 Kommentare

Moinsen wertes Forum, ich möchte mich an dieser Stelle mal beim Forum generell und bei aqui speziell bedanken! Ich ...

Windows 10
Windows 10 Mai 2019 Update (Version 1903) ist da
Information von kgborn vor 1 TagWindows 107 Kommentare

Nur ein kurzer Infosplitter: Microsoft hat die Nacht (21. Mai 2019) das Funktionsupdate auf Windows 10 Version 1903 freigegeben. ...

E-Mail

Newsletter: Unread News - IT News in Byte Länge

Tipp von franktaylor vor 2 TagenE-Mail11 Kommentare

Hallo, würde gerne auf einen Newsletter hinweisen, den ich heute per Zufall gefunden und mit euch gerne teilen möchte: ...

Outlook & Mail

Outlook 2016 stürzt ab, wenn man ein (at)- Zeichen im Text einer neuen E-Mail schreibt

Tipp von Enriqe vor 3 TagenOutlook & Mail4 Kommentare

Bei uns in der Firma häuften sich die Fälle, bei denen sich Outlook kommentarlos verabschiedet, wenn man ein - ...

Heiß diskutierte Inhalte
Hyper-V
Novell virtualisieren
Frage von spoboeHyper-V21 Kommentare

Hallo zusammen, ich habe absolut keine Ahnung von Novell, aber wir haben hier ein ganz altes Schätzchen (vermutlich Novell ...

Server-Hardware
Office 365 vs. eigene IT für kleine Unternehmen
Frage von Schlosser87Server-Hardware16 Kommentare

Hallo Community, Ich bin Geschäftsführer eines kleinen Unternehmens mit 20 Mitarbeitern. Ich muss in den kommenden Wochen eine Entscheidung ...

Netzwerkmanagement
Gateprotect Firewall - Internetseiten werden teilw. nicht geladen
Frage von KivasFNetzwerkmanagement16 Kommentare

Morgen Zusammen, ich habe ein Problem mit einer Gateprotect Firewall welches mir echt Kopfschmerzen bereitet. Die Firewall hängt an ...

Router & Routing
HP 2920 als Router konfigurieren. Bitte um Unterstützung
gelöst Frage von suedi123Router & Routing16 Kommentare

Liebe Forumsmitglieder, ich habe hier ein Problem, bei welchem ich nicht weiterkomme, weil ich mich zu wenig mit der ...