9
VNC durch Proxy auf bestimmten Port
Moin moin,
entweder ist das etwas sehr spezielles oder ich habe die falschen Begriffe bei Google gesucht.
Folgendes Problem:
Ein Rechner hinter einem Proxy / Firewall soll per VNC (Java-Web-Client) ferngesteuert werden.
Soweit kein großes Problem:
Port für VNC gesetzt: 5800
Http: 5900
Eingehenden Verkehr bei der Firewall Port 5900 und 5800 auf gemacht.
Im Proxy ist von dem Rechner nur per URL-Freigabe das Surfen auf bestimmte Seiten erlaubt. Ports sind grundsätzlich dicht.
Also noch den ausgehenden Verkehr von diesem Rechner auf Port 5800 und 5900 erlaubt.
Aber da habe ich zu kurz gedacht. Viewer und Server handeln ja einen eigenen Port aus für die Session...
Nun möchte ich nicht sämtliche Ports im Proxy für ausgehenden Verkehr von diesem Rechner öffnen und möchte, wenn möglich, den Port bestimmen.
Und genau dazu habe ich nichts weiter gefunden, außer andere Leidensgenossen.
SSH-Tunnel, VPN oder ähnliches kommt leider nicht in Frage.
Und es muss später mit dem Web-Client gehen.
VNC funktioniert auch, im LAN kann ich per Viewer und Browser auf den Rechner zugreifen.
Es wird hier UltraVNC genommen. Dort möchte ich am liebsten irgendwie den Port vorgeben, denn Server und Viewer aushandeln.
Irgendjemand eine Idee?
Danke schon mal,
Gruß
Björn
entweder ist das etwas sehr spezielles oder ich habe die falschen Begriffe bei Google gesucht.
Folgendes Problem:
Ein Rechner hinter einem Proxy / Firewall soll per VNC (Java-Web-Client) ferngesteuert werden.
Soweit kein großes Problem:
Port für VNC gesetzt: 5800
Http: 5900
Eingehenden Verkehr bei der Firewall Port 5900 und 5800 auf gemacht.
Im Proxy ist von dem Rechner nur per URL-Freigabe das Surfen auf bestimmte Seiten erlaubt. Ports sind grundsätzlich dicht.
Also noch den ausgehenden Verkehr von diesem Rechner auf Port 5800 und 5900 erlaubt.
Aber da habe ich zu kurz gedacht. Viewer und Server handeln ja einen eigenen Port aus für die Session...
Nun möchte ich nicht sämtliche Ports im Proxy für ausgehenden Verkehr von diesem Rechner öffnen und möchte, wenn möglich, den Port bestimmen.
Und genau dazu habe ich nichts weiter gefunden, außer andere Leidensgenossen.
SSH-Tunnel, VPN oder ähnliches kommt leider nicht in Frage.
Und es muss später mit dem Web-Client gehen.
VNC funktioniert auch, im LAN kann ich per Viewer und Browser auf den Rechner zugreifen.
Es wird hier UltraVNC genommen. Dort möchte ich am liebsten irgendwie den Port vorgeben, denn Server und Viewer aushandeln.
Irgendjemand eine Idee?
Danke schon mal,
Gruß
Björn
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 127457
Url: https://administrator.de/forum/vnc-durch-proxy-auf-bestimmten-port-127457.html
Ausgedruckt am: 15.04.2025 um 19:04 Uhr
9 Kommentare
Neuester Kommentar
Du musst simples Port Forwarding machen auf die Lokale IP Adresse, das ist alles:
http://www.realvnc.com/support/portforward.html
Wenn deine FW das nicht supported hilft nur noch ein VPN. Sitzt der Server aber auch hinter der NAT FW rennst du ins gleiche Problem. Da hilft dir nur wenn die FW selber VPNs supported wie hier z,B.:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
VPNs mit DD-WRT, pFsense oder OPNsense auf Basis von PPTP
http://www.realvnc.com/support/portforward.html
Wenn deine FW das nicht supported hilft nur noch ein VPN. Sitzt der Server aber auch hinter der NAT FW rennst du ins gleiche Problem. Da hilft dir nur wenn die FW selber VPNs supported wie hier z,B.:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
VPNs mit DD-WRT, pFsense oder OPNsense auf Basis von PPTP
Aber da habe ich zu kurz gedacht. Viewer und Server handeln ja einen eigenen Port aus für die Session...
Nope. VNC geht nach einer ganz simplen Regel:
5900 = Screen 1, 5901 = Screen 2 usw.
Einzig der Client sucht sich einen zufällig Port (wie bei jedem anderen Protokoll auch) - das ist aber bei DNAT unerheblich.
Es werden auch keine sekundären Ports wie bei FTP o.Ä. benutzt...
Moin,
sorry, in Erwartung des Feierabends habe ich gestern wohl das eine oder andere Detail verschluckt.
Der VNC-Server läuft auf einem Windows2000 Pro. Rechner.
Port Forwarding ist eingestellt. (Das meinte ich mit "Eingehenden Verkehr bei der Firewall Port 5900 und 5800 auf gemacht.")
Zudem habe ich hier und da was Ausprobiert:
Wenn ich sämtliche Ports für ausgehenden Verkehr von dem Rechner freischalte, klappt es.
Nur Ports 5900 und 5800 geöffnet, alle anderen dicht schlägt fehl.
Was dog meint, habe ich auch schön mit netstat ansehen können:
Verbunden, netstat; Lokale Adresse -> Rechner:5800 Remoteadresse -> meinRechner:3867 ; und wieder getrennt.
Verbunden, netstat; Lokale Adresse -> Rechner:5800 Remoteadresse -> meinRechner:3987; und wieder getrennt.
Verbunden, netstat; Lokale Adresse -> Rechner:5800 Remoteadresse -> meinRechner:3990; und wieder getrennt.
Müssen wir an dieser Stelle unser Sicherheitskonzept überdenken?
Ich würde lieber die Ports verbiegen um die Kontrolle zu behalten.
5800 auf 80 gesetzt habe ich auch schon mal getestet, aber da gab es wieder das Problem, das Port 80 eigentlich dicht sein soll und nur durch öffnen aller Ports ein Zugriff von außen möglich wurde.
Oder bin ich da gänzlich falsch abgebogen?
sorry, in Erwartung des Feierabends habe ich gestern wohl das eine oder andere Detail verschluckt.
Der VNC-Server läuft auf einem Windows2000 Pro. Rechner.
Port Forwarding ist eingestellt. (Das meinte ich mit "Eingehenden Verkehr bei der Firewall Port 5900 und 5800 auf gemacht.")
Zudem habe ich hier und da was Ausprobiert:
Wenn ich sämtliche Ports für ausgehenden Verkehr von dem Rechner freischalte, klappt es.
Nur Ports 5900 und 5800 geöffnet, alle anderen dicht schlägt fehl.
Was dog meint, habe ich auch schön mit netstat ansehen können:
Verbunden, netstat; Lokale Adresse -> Rechner:5800 Remoteadresse -> meinRechner:3867 ; und wieder getrennt.
Verbunden, netstat; Lokale Adresse -> Rechner:5800 Remoteadresse -> meinRechner:3987; und wieder getrennt.
Verbunden, netstat; Lokale Adresse -> Rechner:5800 Remoteadresse -> meinRechner:3990; und wieder getrennt.
Müssen wir an dieser Stelle unser Sicherheitskonzept überdenken?
Ich würde lieber die Ports verbiegen um die Kontrolle zu behalten.
5800 auf 80 gesetzt habe ich auch schon mal getestet, aber da gab es wieder das Problem, das Port 80 eigentlich dicht sein soll und nur durch öffnen aller Ports ein Zugriff von außen möglich wurde.
Oder bin ich da gänzlich falsch abgebogen?
.
"....Nur Ports 5900 und 5800 geöffnet, alle anderen dicht schlägt fehl..."
Äääähh, das ist wohl auch logisch, da die Source Ports ja willkürlich sind. Nur die Destination Ports lauten auf diese Werte. Sieh dir dein Firewall Log an oder sniffer einen VNC Verbindungsaufbau mal mit dem Wireshark mit...dann siehst du es schwarz auf weiß !
Kann deine Firewall Contend based ACLs ?? Wenn ja richte sowas ein..das klappt dann !
"....Nur Ports 5900 und 5800 geöffnet, alle anderen dicht schlägt fehl..."
Äääähh, das ist wohl auch logisch, da die Source Ports ja willkürlich sind. Nur die Destination Ports lauten auf diese Werte. Sieh dir dein Firewall Log an oder sniffer einen VNC Verbindungsaufbau mal mit dem Wireshark mit...dann siehst du es schwarz auf weiß !
Kann deine Firewall Contend based ACLs ?? Wenn ja richte sowas ein..das klappt dann !
Äääähh, das ist wohl auch logisch, da die Source
Ports ja willkürlich sind.
Ist mir klar, aber mir passiert es auch mal, dass ich etwas überlese, darum wollte ich das noch mal Verdeutlichen. Ports ja willkürlich sind.
Die Firewall hat einen Content-Filter. Den haben wir jedoch nicht im Einsatz.
Danke für die Idee.
Sobald ich das mal ausprobiert habe, werde ich darüber berichten.
Und wenn jemand noch einen anderen Ideen hat, lese ich mir gerne jeden Vorschlag durch.
Die andere Idee heisst "VPN auf die Firewall"...sonst gibts da ja nicht viel mehr !! Technisch gesehen ist das eh besser und universeller !
"VPN auf Firewall" wäre mir technisch zwar auch lieber, da es aber eine Fremdfirma zu Wartungs- und Helpdeskzwecken nutzen wird, kommt das nicht in Frage.
Mit einer intelligenten ACL bekommt man auch das gut in den Griff...
ACL hat ich mir mal angesehen und wenn ich die Zeit gehabt und die Erlaubnis von oben bekommen hätte, wäre das sicher die Ideale Lösung.
Ich habe es jetzt erst mal durch eine Freigabe der Ports 3000 bis 3999 gelöst...
Danke für hilfreichen Ideen.
Ich habe es jetzt erst mal durch eine Freigabe der Ports 3000 bis 3999 gelöst...
Danke für hilfreichen Ideen.
