Tight VNC mit monowall
Hallo!
Der Router baut Internetverbindung auf. ->IP 10.0.0.10 DHCP an
Die monowall erhält die IP: 10.0.0.101
Im Router stelle ich eine Port-Weiterleitung ein für:
vnc port 5800 bis 5800 TCP/UPD für IP 10.0.0.101
dasselbe mit port 5801
In der monowall die Regel unter WAN:
TCP/UDP Source:any Port:any WAN address 5800
und nochmal für 5801
Was soll ich sagen ... es geht nicht.
Was mache ich falsch?
Der Router baut Internetverbindung auf. ->IP 10.0.0.10 DHCP an
Die monowall erhält die IP: 10.0.0.101
Im Router stelle ich eine Port-Weiterleitung ein für:
vnc port 5800 bis 5800 TCP/UPD für IP 10.0.0.101
dasselbe mit port 5801
In der monowall die Regel unter WAN:
TCP/UDP Source:any Port:any WAN address 5800
und nochmal für 5801
Was soll ich sagen ... es geht nicht.
Was mache ich falsch?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 147074
Url: https://administrator.de/contentid/147074
Ausgedruckt am: 05.11.2024 um 06:11 Uhr
7 Kommentare
Neuester Kommentar
So um die Details nochmal zu rekapitulieren:
Wenn dem so ist hast du nur 50% beachtet. Vergiss nie das die Monowall eine Firewall ist die strikt alles verbietet was du nicht erlaubst. Du musst also einmal den VNC Zugriff auf die WAN IP zulassen und zusätzlich einen Firewall NAT Regel erstellen !
Der Reihe nach:
Siehe auch analog dazu:
und
Du musst den Port TCP/UDP 5801 noch manuell über die "+" Option bei beiden Regeln hinzufügen !
Oben sind Beispiele von Pfsense aber das ist komplett analog bei der M0n0wall !
Danach klappt dann dein Tight VNC Zugriff problemlos !! Man muss es nur richtig machen wie die FW es will
Ansonsten wie immer: ZUERST das Firewall Log checken !!! Dort steht immer drin warum es scheitert !
- Du hast einen DSL NAT Router vor der Monowall am WAN Port
- Hinter der M0nowall hast du einen Client mit der IP Adresse xyz im LAN Segment
- Auf diesen möchtest du aus dem Internet per Tight VNC zugreifen
Wenn dem so ist hast du nur 50% beachtet. Vergiss nie das die Monowall eine Firewall ist die strikt alles verbietet was du nicht erlaubst. Du musst also einmal den VNC Zugriff auf die WAN IP zulassen und zusätzlich einen Firewall NAT Regel erstellen !
Der Reihe nach:
- Auf dem Router Port Forwarding TCP/UDP 5800 bis 5801 auf die WAN IP M0n0wall einstellen 10.0.0.101
- Auf der M0n0wall Zugriff von RFC 1918 Netzen generell erlauben
- VNC Port Zugriff auf die M0n0wall WAN IP in den FW Regeln erstellen:
Siehe auch analog dazu:
und
- Danach die NAT Regel erstellen die an der 10.0.0.101 eingehende VNC Pakete an die lokale IP des LAN Clients erlaubt. (Portforwarding M0n0wall, denn du machst ja 2 mal NAT !)
Du musst den Port TCP/UDP 5801 noch manuell über die "+" Option bei beiden Regeln hinzufügen !
Oben sind Beispiele von Pfsense aber das ist komplett analog bei der M0n0wall !
Danach klappt dann dein Tight VNC Zugriff problemlos !! Man muss es nur richtig machen wie die FW es will
Ansonsten wie immer: ZUERST das Firewall Log checken !!! Dort steht immer drin warum es scheitert !
Siehste ! Es ist wie immer: Man muss nur wissen was man macht und sollte seine Ports bzw. die Mechanismen des VNC Protokolls kennen !!
http://www.tightvnc.com/faq.php#portfwd
http://www.tightvnc.com/faq.php#portfwd
Ja, das ist klar und logisch und eine der klassischen Begrenzungen beim Einsatz von Port Forwarding.
Es ist ja klar das du ein und denselben Port nicht auf 2 oder mehrere IPs forwarden kann. Wie soll der Router/FW denn einscheiden in welchem konkreten Fall dieser Traffic Flow nun auf die interne IP X und der andere auf die IP Y gehen soll. Das ist technisch vollkommen unmöglich und leuchtet dofort ein.
Einzige Lösung aus dem Dilemma du musst VNC auf der 2ten Maschine z.B. auf die Port Kombination 5910 und 5811 setzen. Meist geht das wenn man entsprechende Konfig Dateien ändert.
Damit hast du dann eine weitere Port Kombination die frei ist und die du Port Forwarden kannst.
Anderer Workaround: machen einfach eine VNC Verbindung von dem Rechner aus auf die .149 mit dem du eh per VNC verbunden bisst. Benutzt den .142 dann gewissermaßen als VNC Proxy
Es ist ja klar das du ein und denselben Port nicht auf 2 oder mehrere IPs forwarden kann. Wie soll der Router/FW denn einscheiden in welchem konkreten Fall dieser Traffic Flow nun auf die interne IP X und der andere auf die IP Y gehen soll. Das ist technisch vollkommen unmöglich und leuchtet dofort ein.
Einzige Lösung aus dem Dilemma du musst VNC auf der 2ten Maschine z.B. auf die Port Kombination 5910 und 5811 setzen. Meist geht das wenn man entsprechende Konfig Dateien ändert.
Damit hast du dann eine weitere Port Kombination die frei ist und die du Port Forwarden kannst.
Anderer Workaround: machen einfach eine VNC Verbindung von dem Rechner aus auf die .149 mit dem du eh per VNC verbunden bisst. Benutzt den .142 dann gewissermaßen als VNC Proxy