mistersax
Goto Top

UltraVNC macht Kummer

Ich habe ein Netz eines Kunden, welches ich mich UltraVNC fernwarten möchte. Dieses Netz hängt hinter einem Speedport W701V. Drei der Clients haben XP Pro. Die anderen vier haben Windows 2000 Pro. UltraVNC ist installiert in der Version 1.02. Ich habe jedem Rechner eine eigene Display-Nr. (bzw. einen eigenen Port) gegeben und diesen entsprechend auf dem W701V von extern nach intern umgeleitet. DynDNS setz ich auch ein, der Account ist Up-To-Date. Und habe nun das Phänomen, dass zwei XP Pro-Rechner von meinem Büro aus erreichbar sind, der Rest nicht. Da muß ich mir mit VNC-Hopping (Session in Session) helfen. Hat hier jemand schon mal was Vergleichbares gehabt? Und wenn ja, wie kann man Abhilfe schaffen? An der Verschlüsselung kann es nicht liegen, denn das Plugin hab ich noch nicht auf allen Clients installiert. Die beiden funktionierenden Clients haben das Plugin zudem scharf.

Content-ID: 81619

Url: https://administrator.de/forum/ultravnc-macht-kummer-81619.html

Ausgedruckt am: 23.12.2024 um 09:12 Uhr

thekingofqueens
thekingofqueens 25.02.2008 um 18:00:22 Uhr
Goto Top
Wie wäre es mit dem One-Click-VNC aus der letzten c't? Oder soll die Wartung auch stattfinden wenn niemand dort ist?
MisterSax
MisterSax 25.02.2008 um 18:02:53 Uhr
Goto Top
Wie wäre es mit dem One-Click-VNC aus
der letzten c't? Oder soll die Wartung
auch stattfinden wenn niemand dort ist?

Ja, denn Updates können nur nach Feierabend eingespielt werden. Zudem hat der Chef den Wunsch, per VNC auf seinen Bürorechner zugreifen zu können.
Arch-Stanton
Arch-Stanton 26.02.2008 um 09:24:56 Uhr
Goto Top
Du hast noch nie von VPN gehört? Wer sein Netz für VNC-Zugriffe von außen per port forwarding öffnet, handelt grob fahrlässig.

Gruß,
Arch Stanton
MisterSax
MisterSax 26.02.2008 um 10:19:56 Uhr
Goto Top
Du hast noch nie von VPN gehört? Wer
sein Netz für VNC-Zugriffe von
außen per port forwarding öffnet,
handelt grob fahrlässig.

Gruß,
Arch Stanton

Mein zweiter Vorname ist VPN. face-wink Nein ernsthaft, VNC kann man per Plugin verschlüsseln. Ich bevorzuge IPSEC, doch nicht jeder Kunde kauft sich einen Router der das unterstützt. Meistens steht da ein Stück Shitware. Und darunter fällt in meinen Augen auch ein Speedport.
tomaeb
tomaeb 26.02.2008 um 15:08:42 Uhr
Goto Top
ihm gehts glaub ich nicht um die verschlüsselung des vnc sondern um die offenen ports, die unter umständen auch für andere dinge als vnc genutzt werden können...
aber das es nicht geht liegt wohl eindeutig an einem firewall-router-port problem. entweder, der router forwarded nicht richtig, oder der client hört aufn falschen port oder lokale firewall ist aufn falschen port offen... und was heißt hier die funktionierenden pc haben das plugin scharf?! vielleicht ist das ja der fehler, dass die anderen das nicht haben ?! oder wie oder was?
MisterSax
MisterSax 26.02.2008 um 18:45:32 Uhr
Goto Top
ihm gehts glaub ich nicht um die
verschlüsselung des vnc sondern um die
offenen ports, die unter umständen auch
für andere dinge als vnc genutzt werden
können...
aber das es nicht geht liegt wohl eindeutig
an einem firewall-router-port problem.
entweder, der router forwarded nicht richtig,
oder der client hört aufn falschen port
oder lokale firewall ist aufn falschen port
offen... und was heißt hier die
funktionierenden pc haben das plugin scharf?!
vielleicht ist das ja der fehler, dass die
anderen das nicht haben ?! oder wie oder was?

Nein, ich denk es ist ein Router-Problem. Jeder VNC-Client hat seinen eigenen Port auf den der Router forwarded. Und es hat bei Clients funktioniert, die das Verschlüsselungs-Plugin aktiv haben und bei solchen, die noch ohne sind. Habe heut morgen festgestellt, daß der Router nicht alle Regeln behalten hat. Nachdem ich da noch mal nachgetragen hab, ging VNC bis auf zwei Clients. Aber da beiss ich mich auch noch durch.
Arch-Stanton
Arch-Stanton 26.02.2008 um 18:56:50 Uhr
Goto Top
Ist aber doch eine eher unsinnige Lösung, für jeden VNC-Client einen eigenen port weiterzuleiten. Die Tatsache, daß die VNc-Verbindung verschlüsselt ist, macht das Netz ja nicht sicherer, da der Router ja sperrangelweit offen steht. Wenn da nicht mal die zwei oder dreihundert EURO für einen einigermaßen sicheren VPN-Zugang zur Verfügung stehen, dann kann man da auch nicht weiterhelfen. Hier geht es doch um Sicherheit, daß sollte der "Chef" doch verstehen.

Gruß,
Arch Stanton
MisterSax
MisterSax 27.02.2008 um 18:56:57 Uhr
Goto Top
Ist aber doch eine eher unsinnige
Lösung, für jeden VNC-Client einen
eigenen port weiterzuleiten. Die Tatsache,
daß die VNc-Verbindung
verschlüsselt ist, macht das Netz ja
nicht sicherer, da der Router ja
sperrangelweit offen steht. Wenn da nicht mal
die zwei oder dreihundert EURO für einen
einigermaßen sicheren VPN-Zugang zur
Verfügung stehen, dann kann man da auch
nicht weiterhelfen. Hier geht es doch um
Sicherheit, daß sollte der
"Chef" doch verstehen.


Da stimm ich Dir prinzipiell zu, keine Frage. Doch Du weißt ja wie das ist. Es wird oft grad an der Hardware fruchtbar geknausert. 29,95 Euro sind dann schon oft das Ende der Fahnenstange. Sobald Du sagst ich hab was Besseres was aber mehr kostet ist schon ausdiskutiert. Nenn mir ne Alternative zum Port-Opening/-Forwarding am Speeport W701V. Gibt es ein Stück Open Source, welches nen IPSEC-Tunnel aufbaut? Wie ist das mit OpenVPN? Was ist dazu nötig? NAT-Traversal oder nicht? Denn diese billigen Kisten unterstützen das eben nicht.
Gruß,
Arch Stanton
Arch-Stanton
Arch-Stanton 27.02.2008 um 19:32:39 Uhr
Goto Top
Hallo,

ich konnte ja nicht ahnen, daß es so schlimm ist...

Ich habe einen Kunden mit Lancom Routern ausgestattet, in der Zentrale steht ein 19"-Gerät für über Tausend EURO. Die VPN-Verbindungen überstehen wohl auch einen atomaren Angriff, so stabil läuft die Geschichte. Bei anderen wiederum habe ich auch die Knauserproblematik. Eine Variante mit Portforwarding ist mir aber zu heikel, deshalb habe ich immer noch die WRT54-Router von Linksys in der Hinterhand. Die Dinger gibt es für ca 60 EURO und die lassen sich mit einer anderen Firmware bestücken. So habe ich schon einige Geräte als VPN- (in diesem Fall das aus ipsec-Jünger´s Sicht nicht so prickelnde PPTP) Server bzw. Gateways installiert. Den vorhandenen Speedportrouter muß man dann aber zum Modem degradieren (ppoe passthrough). Der Vorteil ist der, daß einem dann alle Geräte im Netzwerk zur Verfügung stehen keine offenen ports da sind.
Vielleicht wäre das eine Alternative für Dich.

Gruß,
Arch Stanton
MisterSax
MisterSax 27.02.2008 um 20:01:25 Uhr
Goto Top
Hallo,

ich konnte ja nicht ahnen, daß es so
schlimm ist...

Ich habe einen Kunden mit Lancom Routern
ausgestattet, in der Zentrale steht ein
19"-Gerät für über
Tausend EURO. Die VPN-Verbindungen
überstehen wohl auch einen atomaren
Angriff, so stabil läuft die Geschichte.
Bei anderen wiederum habe ich auch die
Knauserproblematik. Eine Variante mit
Portforwarding ist mir aber zu heikel,
deshalb habe ich immer noch die WRT54-Router
von Linksys in der Hinterhand. Die Dinger
gibt es für ca 60 EURO und die lassen
sich mit einer anderen Firmware
bestücken. So habe ich schon einige
Geräte als VPN- (in diesem Fall das aus
ipsec-Jünger´s Sicht nicht so
prickelnde PPTP) Server bzw. Gateways
installiert. Den vorhandenen Speedportrouter
muß man dann aber zum Modem degradieren
(ppoe passthrough). Der Vorteil ist der,
daß einem dann alle Geräte im
Netzwerk zur Verfügung stehen keine
offenen ports da sind.
Vielleicht wäre das eine Alternative
für Dich.

Gruß,
Arch Stanton

Hmm, mit PPTP hätt ich prinzipiell kein Berührungsproblem, ich hab das mal irgendwann auch auf ner Bintec-Schulung gelernt. Nur fürcht ich ist da nicht mehr viel über. Irgendwann hab ich mich damals für IPSEC entschieden und dabei ist´s geblieben. OpenVPN würd mich reizen falls das ne Alternative wär. Und die Linksys-Kisten kenn ich noch. Das müßt ich hinkriegen. Ich hier bin ganz gut ausgestattet, ich hab hier nen R1200W von Bintec, wegen dem bräucht ich kein Port-Forwarding. Und das mit dem kastrierten Speedport muß ich mir mal durch den Kopf gehen lassen. Hat glaub ich den Nachteil, daß Du unter W2K ne Personal Firewall brauchst. Oder hab ich da was falsch in Erinnerung?
Arch-Stanton
Arch-Stanton 27.02.2008, aktualisiert am 18.10.2012 um 18:35:26 Uhr
Goto Top
Hallo,

es gibt von aqui ein gutes Tutorial, welches ich nicht hätte besser schreiben können.

VPN Einrichtung (PPTP) mit DSL Routern und DD-WRT Firmware

Wenn Du den Speedport entmannst und zum Modem degradierst, anschließend den Linksys als Router/Gateway für pptp einsetzt, dann hast Du doch eine Firewall, nämlich den Linksys.

Du mußt nicht viel mehr machen, als das Ding zu flashen und PPTP-Server zu aktivieren, dann gibst Du Benutzername und Kennwort ein und schon bist Du im Netz.

Gruß,
Arch Stanton
MisterSax
MisterSax 28.02.2008, aktualisiert am 18.10.2012 um 18:35:26 Uhr
Goto Top
Hallo,

es gibt von aqui ein gutes Tutorial, welches
ich nicht hätte besser schreiben
können.

VPN Einrichtung (PPTP) mit DSL Routern und DD-WRT Firmware

Wenn Du den Speedport entmannst und zum
Modem degradierst, anschließend den
Linksys als Router/Gateway für pptp
einsetzt, dann hast Du doch eine Firewall,
nämlich den Linksys.

Du mußt nicht viel mehr machen, als
das Ding zu flashen und PPTP-Server zu
aktivieren, dann gibst Du Benutzername und
Kennwort ein und schon bist Du im Netz.

Gruß,
Arch Stanton

Muß ich mir in der Tat mal anschauen. Sieht interessant aus. Und vor allem nach den Preisen überhaupt bei Linksys. Könnte auch ne Alternative sein an den Kabel BW-Anschlüssen.