rolf14
Goto Top

Mikrotik VNC Portforwarding

Hallo Leute,

ich habe ein kleines Problem bei einem Mikrotik Router.
Ich möchte von außen auf einen PC via (Ultra VNC) VNC zugreifen.

Netzwerk 192.168.70.0
Router 192.168.70.254
VNC Server 192.168.70.151

Ich habe in der Firewall die Forward Regel dafür erstellt zusammen mit anderen Funktionen wie OWA etc.

871f00941dea4bd479a0067c2f0cd0bf

Dann habe ich eine NAT Regel erstellt, genauso wie ich auch für die anderen Dienste diese erstellt habe.

3384fe152574b5034638073cf82e6ab9

OWA etc. von außen Funktioniert ohne Probleme VNC nicht. Intern Funktioniert VNC auch ohne Probleme.

Kann mir vielleicht jemand einen Tipp geben woran es liegen könnte? Habe schon ausprobiert zusätzlich UDP weiterzuleiten aber ohne Erfolg. Ich habe zum Anfang nur Port 5900 weitergeleitet nun auch Port 5500 und 9800, aber ebenso ohne Erfolg.

Würde mich freuen wenn mir jemand helfen kann.

Content-ID: 285636

Url: https://administrator.de/forum/mikrotik-vnc-portforwarding-285636.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

michi1983
michi1983 15.10.2015 um 12:56:09 Uhr
Goto Top
Hallo,

und auf welchem Port lauscht der VNC Server?

Gruß
Rolf14
Rolf14 15.10.2015 um 13:02:08 Uhr
Goto Top
Auf Port 5900, intern funktioniert auch alles ohne Probleme.
122990
122990 15.10.2015 aktualisiert um 13:03:04 Uhr
Goto Top
Wireshark anschmeißen und schauen ob überhaupt Pakete von extern am Server ankommen ...

Gruß grexit
Rolf14
Rolf14 15.10.2015 um 13:19:44 Uhr
Goto Top
Ich habe auf diesen PC ( ist ein Steuerungs-PC für eine Biogasanlage ) keinen Admin zugriff demnach kann ich Wireshark leider nicht darauf installieren. Stimmen denn meine Regeln überhaupt oder ist da bei VNC etwas anders im Gegensatz zu zum Beispiel OWA?
michi1983
michi1983 15.10.2015 um 13:23:19 Uhr
Goto Top
Ich kenne mich mit den Mikrotiks noch nicht aus, aber sollte da nicht eine destination address sein?
122990
122990 15.10.2015 aktualisiert um 13:24:58 Uhr
Goto Top
Zitat von @Rolf14:

Ich habe auf diesen PC ( ist ein Steuerungs-PC für eine Biogasanlage ) keinen Admin zugriff
Den Packetstream kannst du alternativ einfach auf dem Mikrotik in ein DUMP aufzeichnen ...
Stimmen denn meine Regeln überhaupt
Grundsätzich ist deine Forwarding-Regel ein Scheunen-Toor für Angreifer ! Hier solltest du dringend auf die geforwardete Ziel-IP einschränken!
Kann ich so aus den Grafiken schlecht sehen was da noch für Regeln laufen...

Was für ein VNC-Server läuft dort ? Manche Server verwenden hier für mehrere Clients unterschiedliche virtuelle Ports
114757
114757 15.10.2015 aktualisiert um 13:35:34 Uhr
Goto Top
Moin,
Zitat von @Rolf14:

Ich habe auf diesen PC ( ist ein Steuerungs-PC für eine Biogasanlage ) keinen Admin zugriff
Viele solcher Systeme blocken den Zugriff wenn der Zugriff aus einem anderen Subnetz als dem eigenen kommt. Sicherheit!
Also den Verantwortlichen kontaktieren, vermutlich haben die die Firewall an dem System so angepasst, das er keinen Zugriff aus anderen Subnetzen erlaubt. Würde ich auch so machen ...

Also nutze besser ein VPN für den Zugriff auf das Subnetz des Mikrotik. Bevor euch noch ein Hacker den Strom abstellt face-big-smile

Gruß jodel32
Rolf14
Rolf14 15.10.2015 um 13:36:42 Uhr
Goto Top
Mit dem "alten" Router der kein VPN konnte und defekt war ging dieser Zugriff allerdings.

Aber danke für den Tipp ich werde das mal prüfen lassen.

Ist denn von den Regeln die ich gesetzt habe alles ok?
114757
114757 15.10.2015 aktualisiert um 13:42:43 Uhr
Goto Top
Zitat von @Rolf14:

Mit dem "alten" Router der kein VPN konnte und defekt war ging dieser Zugriff allerdings.
Können wir hier leider nicht verifizieren was dort gesetzt war.
Ist denn von den Regeln die ich gesetzt habe alles ok?
Siehe Kommentar von @122990. Bei der Forwarding-Regel stellen sich mir die Haare face-smile => unbedingt die Dst-Adresse setzen.
Rolf14
Rolf14 15.10.2015 um 13:50:48 Uhr
Goto Top
Ich habe nun mal auf einem Server (Windows Server)
Einen VNC Server installiert und das Nat auf die IP des Servers ( 192.168.70.1) umgestellt. Auch bei diesem geht die VNC Verbindung nicht.

Meint ihr die dst Adressen bei Nat setzen oder bei der Forwardchain in der Firewall? Und wie sollte eine solche Regel dann aussehen?
114757
114757 15.10.2015 aktualisiert um 13:58:55 Uhr
Goto Top
Zitat von @Rolf14:

Ich habe nun mal auf einem Server (Windows Server)
Einen VNC Server installiert und das Nat auf die IP des Servers ( 192.168.70.1) umgestellt. Auch bei diesem geht die VNC Verbindung nicht.
Firewall sichten, dort muss bei der VNC-Regel alle Subnetze erlaubt werden.

Meint ihr die dst Adressen bei Nat setzen oder bei der Forwardchain in der Firewall? Und wie sollte eine solche Regel dann aussehen?
Die Forwarding-Regel natürlich. sonst machst du dein Netz ziemlich weit auf ...

Ich hoffe du hast eine Related-Regel für die Forwarding-Chain, denn auch nach draußen muss die Kommunikation ja auch wieder zurück laufen...
Rolf14
Rolf14 15.10.2015 um 13:58:49 Uhr
Goto Top
8511a93c7f8d2166114e04de07b0e8f1

So sieht meine Firewall jetzt gerade aus.
114757
114757 15.10.2015 aktualisiert um 14:01:19 Uhr
Goto Top
Damit kann man hier wenig anfangen, da fehlen zu viele Spalten.
Poste die Ausgabe aus einer Konsole als Text
/ip firewall filter export
/ip firewall nat export
Rolf14
Rolf14 15.10.2015 um 14:02:17 Uhr
Goto Top
Ah ok danke face-smile

[admin@MikroTik] > /ip firewall filter export
  1. oct/15/2015 14:01:36 by RouterOS 6.28
  2. software id = ADFC-YAW4
#
/ip firewall filter
add chain=input connection-state=established
add chain=input connection-state=related
add chain=input in-interface=br-lan
add chain=input comment="Regel f\FCr die VPN Einwahl" dst-port=500,1701,4500 \
protocol=udp
add chain=input comment="Regel f\FCr die VPN Einwahl" protocol=ipsec-esp
add action=log chain=input disabled=yes
add action=drop chain=input
add chain=forward comment="Regel f\FCr DHCP Anfragen vom LAN/WLAN" \
dst-address-type=broadcast in-interface=br-lan
add chain=forward connection-state=established
add chain=forward connection-state=related
add chain=forward comment=\
"Regel f\FCr den Internet Zugriff \FCber LAN auf WAN" dst-address=\
!192.168.70.0/24 dst-port=53,80,443 in-interface=br-lan protocol=tcp
add chain=forward dst-address=!192.168.70.0/24 dst-port=53 in-interface=\
br-lan protocol=udp
add chain=forward comment="Regel f\FCr Teamviewer Zugriff \FCber LAN auf WAN" \
dst-address=!192.168.70.0/24 dst-port=5938 in-interface=br-lan protocol=\
tcp
add chain=forward comment=\
"Regel f\FCr Zeitserver (NTP) Zugriff \FCber LAN auf WAN" dst-address=\
!192.168.70.0/24 dst-port=123 in-interface=br-lan protocol=udp
add chain=forward comment="Regel f\FCr Mail Zugriff \FCber LAN auf WAN" \
dst-address=!192.168.70.0/24 dst-port=25,110,465,993,995 in-interface=\
br-lan protocol=tcp
add chain=forward comment="Regel f\FCr FTP Zugriff \FCber LAN auf WAN" \
dst-address=!192.168.70.0/24 dst-port=21 in-interface=br-lan protocol=tcp
add chain=forward comment=\
"Regel f\FCr den Monitoring Client Zugriff \FCber LAN auf WAN" \
dst-address=!192.168.70.0/24 dst-port=10124 in-interface=br-lan protocol=\
tcp
add chain=forward comment=\
"Regel f\FCr Starmoney Update Zugriff von LAN auf WAN" dst-address=\
!192.168.70.0/24 dst-port=3000,58826 in-interface=br-lan protocol=tcp
add chain=forward comment="Regel f\FCr ICMP Echo Requests von LAN auf WAN" \
dst-address=!192.168.70.0/24 in-interface=br-lan protocol=icmp
add chain=forward comment="Regel f\FCr RDP Zugriff von LAN auf WAN" \
dst-address=!192.168.70.0/24 dst-port=3389 protocol=tcp
add chain=forward comment="Regel f\FCr die VPN Verbindungen von LAN auf WAN" \
dst-address=!192.168.70.0/24 dst-port=500,1701,4500 protocol=udp
add chain=forward comment="Regel f\FCr die VPN Verbindungen von LAN auf WAN" \
dst-address=!192.168.70.0/24 protocol=ipsec-esp
add chain=forward comment="Regel f\FCr Portweiterleitungen von WAN auf LAN" \
dst-address=!192.168.77.0/24 dst-port=20,21,443,3389 in-interface=\
pppoe-out-wdsl protocol=tcp
add chain=forward comment="Regel f\FCr Portweiterleitungen von WAN auf LAN" \
dst-address=!192.168.77.0/24 dst-port=5500,5800,5900 in-interface=\
pppoe-out-wdsl protocol=tcp
add chain=forward comment=VPN dst-address=192.168.70.0/24 src-address=\
192.168.78.0/24
add chain=forward comment="Hairpin NAT" dst-address=192.168.70.0/24 \
src-address=192.168.70.0/24
add action=log chain=forward disabled=yes
add action=drop chain=forward
Rolf14
Rolf14 15.10.2015 um 14:13:19 Uhr
Goto Top
[admin@MikroTik] > /ip firewall nat export
  1. oct/15/2015 14:12:48 by RouterOS 6.28
  2. software id = ADFC-YAW4
#
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out-wdsl
add action=dst-nat chain=dstnat comment="dst-nat von Intern" \
dst-address-type=local dst-port=443 protocol=tcp to-addresses=\
192.168.70.1 to-ports=443
add action=dst-nat chain=dstnat comment="dst-nat von Extern" dst-port=443 \
in-interface=pppoe-out-wdsl protocol=tcp to-addresses=192.168.70.1 \
to-ports=443
add action=dst-nat chain=dstnat dst-port=21 in-interface=pppoe-out-wdsl \
protocol=tcp to-addresses=192.168.70.1 to-ports=20-21
add action=dst-nat chain=dstnat dst-port=3389 in-interface=pppoe-out-wdsl \
protocol=tcp to-addresses=192.168.70.1 to-ports=3389
add action=dst-nat chain=dstnat dst-port=5500 in-interface=pppoe-out-wdsl \
protocol=tcp to-addresses=192.168.70.1 to-ports=5500
add action=dst-nat chain=dstnat dst-port=5800 in-interface=pppoe-out-wdsl \
protocol=tcp to-addresses=192.168.70.1 to-ports=5800
add action=dst-nat chain=dstnat dst-port=5900 in-interface=pppoe-out-wdsl \
protocol=tcp to-addresses=192.168.70.1 to-ports=5900
122990
122990 15.10.2015 aktualisiert um 17:50:13 Uhr
Goto Top
Ich glaub du hast jodel missverstanden er meinte die Windows Firewall und das dort für den VNC Port alle Subnetze als Quelle zugelassen werden.

Die Regeln sollten so laufen, bis eben die jetzt schon mehrfach genannte Einschränken auf die DST-Address deiner Regel auf der Forward-Chain, das der Sicherheit dient.

Sag doch endlich mal was für VNC Server du nutzt...
114757
114757 15.10.2015 aktualisiert um 18:06:13 Uhr
Goto Top
add chain=forward comment="Regel f\FCr Portweiterleitungen von WAN auf LAN" \
dst-address=!192.168.77.0/24 dst-port=5500,5800,5900 in-interface=\
pppoe-out-wdsl protocol=tcp

Deine Forwarding-Regel ist nicht OK ! Die DST-Address ist fehlerhaft! Damit würdest du ja alles was nicht zum 192.168.70.x/24 Netz gehört erlauben aber du willst ja gerade die 70.1 erlauben !

Also gehört die Regel so:
/ip firewall filter add chain=forward comment="VNC Server Forwarding" dst-address=192.168.70.1 dst-port=5900 in-interface=pppoe-out-wdsl protocol=tcp  
Natürlich an die richtige Position vor der Drop-Rule verschieben.

Die Windows Firewall ist ebenfalls meistens die Ursache allen Übels, erstelle dort eine Explizite Port-Regel für Port 5900.

Wenn du das alles beachtest läuft das wie immer einwandfrei.

Gruß
122990
122990 15.10.2015 um 20:18:00 Uhr
Goto Top
Zitat von @114757:
Deine Forwarding-Regel ist nicht OK ! Die DST-Address ist fehlerhaft! Damit würdest du ja alles was nicht zum 192.168.70.x/24 Netz gehört erlauben aber du willst ja gerade die 70.1 erlauben !
Stimmt, vollkommen übersehen ...
Juschwin
Juschwin 15.10.2015 um 22:03:55 Uhr
Goto Top
Hallo,

mir stellen sich gerade die Nackenhaare auf. Ich bin schon über 20 Jahre in der Steuerungstechnik tätig ( SPS, Soft-SPS ) und immer wieder sieht man so was.
Das ist eine Steuerung einer Produktivanlage, da hat Sicherheit oberste Priorität.
Ist dir klar was passiert wenn da irgendeiner ( Böser Mensch ) aus "Spaß" etwas ändert ? Das kann die Anlage zerstören, sogar Personenschäden sind möglich.
Wenn es unbedingt eine VNC-Lösung sein muß, dann mit an und abstecken, d.h. durufst an und der der Vorort ist steckt das Kabel in den Router und wenn du fertig bist seckt er das wieder ab.
Ansonsten nur VPN-Lösung.

Gruß Jürgen
108012
108012 16.10.2015 um 00:33:24 Uhr
Goto Top
Hallo,

ich habe ein kleines Problem bei einem Mikrotik Router.
Was "steht" denn vor dem MikroTik Router, ein weiterer Router oder ein Modem?

Ich möchte von außen auf einen PC via (Ultra VNC) VNC zugreifen.
Ist eventuell die Verschlüsselung dort bei UltraVNC eingeschaltet worden?

Und ein IPSec VPN mit dem MikroTik Router ist keine Option?
Warum nicht? Warum mit VNC und dann noch nicht einmal die Verschlüsselung eingeschaltet?
Alles im Klartext? Gewinn? Kohle, Geld? Warum nicht eine AVM FB und dann mittels IPSec die
Verbindung herstellen.

Gruß
Dobby
114757
114757 16.10.2015 aktualisiert um 10:50:24 Uhr
Goto Top
Sag ich ja schon... Er macht's halt den ganzen Blindgängern nach deren Industrie-Steuerungen direkt im Netz hängen ...
Die lernen meist erst dann daraus wenn die Steuerung durch einen Hacker übernommen wurde, und die Anlage plötzlich ein Eigenleben entwickelt.

Wer nicht hören will muss halt fühlen.
Rolf14
Rolf14 20.10.2015 um 11:51:32 Uhr
Goto Top
face-smile

Ich versteh euch ja, aber die Sachen sind hier nun einmal gegeben und ich bin das auszuführende Organ. Diese Budde die das betreut will das unbedingt so und der Betreiber hat dem so zugestimmt.
Ich bin da ja nicht der Boss.
Aber danke für eure Hinweise.

Danke Jodel ich habe mit der Regel geändert, noch funktioniert es leider nicht. Ich werde nun die Windows Firewall von denen so einstellen lassen und dann mal sehen.
Rolf14
Rolf14 20.10.2015 um 12:02:18 Uhr
Goto Top
Geht nicht, ok ich breche das ganze jetzt ab und werde den mitteln entweder via IPSec VPN oder halt nicht.

Danke für eure Hilfe. Ganz kurz noch zwecks Sicherheit. Habe ich bei meinen anderen Regeln nen Fehler eingebaut und mir irgendwo Löcher aufgerissen? Wenn ja was habe ich falsch gemacht? Würde mich freuen wenn ihr mir dabei helfen würdet.
114757
114757 20.10.2015 aktualisiert um 22:22:47 Uhr
Goto Top
Naja, geht hier ja einwandfrei, du musst also bei dir noch irgendwelche anderen Fehler in der Config machen.
Also clean ohne zusätzlichen Regeln starten und den Hund ausgraben, wie immer systematisch vorgehen ! Dann klappt das 200%
Rolf14
Rolf14 21.10.2015 um 09:24:46 Uhr
Goto Top
Ja werde ich mal in einer Testumgebung machen.