3
Zugriff auf Rechner von extern via VPN oder VNC nicht moeglich. Need help...pls.
Ueber externe IP (DynDNS) nicht möglich ueber einen US Robotics Router & Firewall auf einem gezielten Rechner via VPN oder VNC zuzugreifen.
Hallo zusammen,
im Prinzip habe ich ein einfaches Problem evtl. kann mir jemand helfen es zu lösen?
Ich habe einen US Robotics Router (All in One: Router, Firewall, Modem, Wireless)
Eine ADSL Breitbandverbindung. (Dynamische IP)
3 Rechner mit XP Pro. über den Router angeschlossen. (DHCP)
Inter kann ich via Remote Desktop oder VNC aller Rechner erreichen, funktioniert alles reibungslos.
Einen Rechner möchte ich von Extern erreichen. (Egal wo ich mich befinde)
Ich habe dem Rechner eine interne Fixe IP zugewiesen. (192.168.1.200)
Dieser kommt aufs Netz, funkt. soweit alles wunderbar.
Danach habe ich DynDNS installiert (leuchtet grün) alles wunderbar.
Jetzt komme ich nicht weiter... Ich denke dass ich etwas falsch mache beim forwarden der Ports auf der Firewall.
Ich habe schon folgendes versucht:
- Auf Firewall: Virtual Server eingerichtet auf Rechner (192.168.1.200) Port 5900 (VNC) - TCP/UDP geöffnet. Hat nicht funktioniert.
- Auf Firewall: IP Inbound Filter eingerichtet. Hat nicht funktioniert.
Was mache ich falsch?
siehe Bilder meiner Firewall Settings: http://www.odissea.ch/pix_firewall/
im Prinzip habe ich ein einfaches Problem evtl. kann mir jemand helfen es zu lösen?
Ich habe einen US Robotics Router (All in One: Router, Firewall, Modem, Wireless)
Eine ADSL Breitbandverbindung. (Dynamische IP)
3 Rechner mit XP Pro. über den Router angeschlossen. (DHCP)
Inter kann ich via Remote Desktop oder VNC aller Rechner erreichen, funktioniert alles reibungslos.
Einen Rechner möchte ich von Extern erreichen. (Egal wo ich mich befinde)
Ich habe dem Rechner eine interne Fixe IP zugewiesen. (192.168.1.200)
Dieser kommt aufs Netz, funkt. soweit alles wunderbar.
Danach habe ich DynDNS installiert (leuchtet grün) alles wunderbar.
Jetzt komme ich nicht weiter... Ich denke dass ich etwas falsch mache beim forwarden der Ports auf der Firewall.
Ich habe schon folgendes versucht:
- Auf Firewall: Virtual Server eingerichtet auf Rechner (192.168.1.200) Port 5900 (VNC) - TCP/UDP geöffnet. Hat nicht funktioniert.
- Auf Firewall: IP Inbound Filter eingerichtet. Hat nicht funktioniert.
Was mache ich falsch?
siehe Bilder meiner Firewall Settings: http://www.odissea.ch/pix_firewall/
- Danke für jeden Hinweis...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 40432
Url: https://administrator.de/contentid/40432
Printed on: April 25, 2024 at 01:04 o'clock
3 Comments
Latest comment
2 Sachen sind falsch:
1.) Die Source Adresse in deine Forwarding Liste kann niemals die 192.168.1.1 sein, denn das ist eine RFC 1918 IP Adresse die im Internet gar nicht geroutet wird.
Du hast wenn du übers Internet kommst immer verschiedene Adressen und musst deshalb das Port Forwarding im Router so einstellen das er alle einkommenden Connect Versuche auf dem Port 5900 von welcher Adresse auch immer auf deine Maschine mit der 192.168.1.200 forwarded. Meist gibt man da als Dummy 0.0.0.0 an, das ist aber herstellerspezifisch und du solltest da nochmal einen Blick ins Handbuch werfen.
2.) VNC sagt das der Connect Port TCP 5900 ist aber Daten dann immer über 5900 + Display Number fliessen. Also folglich sollte der Port 5901 auch freigeschaltet werden !
Ein detailiertes Howto auf der VNC Seite beschreibt dies auch !
www.realvnc.com/support/portforward.html
1.) Die Source Adresse in deine Forwarding Liste kann niemals die 192.168.1.1 sein, denn das ist eine RFC 1918 IP Adresse die im Internet gar nicht geroutet wird.
Du hast wenn du übers Internet kommst immer verschiedene Adressen und musst deshalb das Port Forwarding im Router so einstellen das er alle einkommenden Connect Versuche auf dem Port 5900 von welcher Adresse auch immer auf deine Maschine mit der 192.168.1.200 forwarded. Meist gibt man da als Dummy 0.0.0.0 an, das ist aber herstellerspezifisch und du solltest da nochmal einen Blick ins Handbuch werfen.
2.) VNC sagt das der Connect Port TCP 5900 ist aber Daten dann immer über 5900 + Display Number fliessen. Also folglich sollte der Port 5901 auch freigeschaltet werden !
Ein detailiertes Howto auf der VNC Seite beschreibt dies auch !
www.realvnc.com/support/portforward.html
Hallo Aqui,
danke für dein schnelles Feedback! ; )
Zwei, drei Fragen hätte doch noch?
- Ich habe gestern Abend einen Test gemacht, bei incoming source IP ging die dummy adresse (0.0.0.0) nicht, dann habe ich es mit 1.2.3.4 versucht, hat der Router akzeptiert aber was soll ich als subnet angeben? * Ich habe mal 255.255.255.255 eingegeben, aber als ich heute morgen von Extern einen Testversucht gemacht habe, ist dieser fehlgeschlagen. : (
Hier das aktuelle Pic der Konfig.
http://www.odissea.ch/pix_firewall/ip_vnc.JPG
Thx
danke für dein schnelles Feedback! ; )
Zwei, drei Fragen hätte doch noch?
- Ich habe gestern Abend einen Test gemacht, bei incoming source IP ging die dummy adresse (0.0.0.0) nicht, dann habe ich es mit 1.2.3.4 versucht, hat der Router akzeptiert aber was soll ich als subnet angeben? * Ich habe mal 255.255.255.255 eingegeben, aber als ich heute morgen von Extern einen Testversucht gemacht habe, ist dieser fehlgeschlagen. : (
Hier das aktuelle Pic der Konfig.
http://www.odissea.ch/pix_firewall/ip_vnc.JPG
Thx
Es ist merkwürdig und unüblich das der Router die Source Adresse abfragt. Die kann ich ja im vornherein gar nicht wissen, da diese Adressen bei den meisten Usern dynamisch vergeben wird.
Das Problem ist ja das du nicht wissen kannst mit welcher externen Adresse eine Client Verbindung reinkommt, denn wie du weisst werden IP Adressen im Internet ja dynamisch zugewiesen abgesehen von den Accounts die eine feste IP haben aber generell ist die Dynamisch.
Also auch ein Client der am gleichen Anschluss vielleicht 1 Stunde später eine remote Verbindung zu dir aufbauen will hat vielleicht schon wieder eine andere Adresse.
Du erkennst das Dilemma....welche Adresse solltest du denn jetzt nehmen ??? Normalerweise
Wird bei anderen Sytemen hier gar nichts eingetragen. Der Router akzeptiert einfach alles was bei ihm reinkommt und wo die Portnummer übereinstimmt....so soll es ja auch sein.
Interessant sind deine Einträge Test und Test 2 ! hast du die gemacht oder hat der Router das gemacht. Die Adresse sieht nach einer Internet Adresse aus.
Eine 32 Bit Maske (255.255.255.255) maskiert einen einzelnen Host mit genau einer Adresse.
eine 24 Bit Maske z.B. (255.255.255.0) maskiert ein Netzwerk mit 253 Host Adressen. Wäre dies z.B. 172.16.1.0 dann würde der Router alle Adressen von 172.16.1.1 bis 172.16.1.254 akzeptieren. Bei den anderen Masken dann entsprechend analog.
In deinem Beispiel würde der Router ausschliesslich remote Verbindungen von der Adresse 1.2.3.4 und 62.202.61.75 akzeptieren. Kommt aber jemand mit 1.2.3.5 oder 62.202.61.74 würde er sofort geblockt. 62.0.0.0 mit Maske 255.0.0.0 würde das gesamte 62er Netz akzeptieren....aber was machst du jetzt wenn jemand aus dem 72er Netz kommt oder den 82er oder oder.... du müsstest das gesamte Internet dort konfigurieren was natürlich utopisch ist.
Jetzt siehst du das ein Eintrag 0.0.0.0 als Adresse und 0.0.0.0 als Maske eigentlich richtig wäre. Das würde alle eingehenden Adressen akzeptieren.
Wenn das Konfig Interface das nicht annimmt würde ich ggf. mal die Hotline des Routerherstellers kontaktieren.
Das sieht irgendwie nach einen Setup Bug aus. Hast du ggf. mal das aktuellste Image vom hersteller Runtergeladen und auf den Router eingespielt ?? Ich denke ein Fall für die Hotline oder den Lieferanten. So ist diese Funktion gar nicht nutzbar für dich oder nur ausschliesslich für remote Adressen die im Internet eine fixe IP zugewiesen bekommen was ja nicht akzeptabel ist.
Das Problem ist ja das du nicht wissen kannst mit welcher externen Adresse eine Client Verbindung reinkommt, denn wie du weisst werden IP Adressen im Internet ja dynamisch zugewiesen abgesehen von den Accounts die eine feste IP haben aber generell ist die Dynamisch.
Also auch ein Client der am gleichen Anschluss vielleicht 1 Stunde später eine remote Verbindung zu dir aufbauen will hat vielleicht schon wieder eine andere Adresse.
Du erkennst das Dilemma....welche Adresse solltest du denn jetzt nehmen ??? Normalerweise
Wird bei anderen Sytemen hier gar nichts eingetragen. Der Router akzeptiert einfach alles was bei ihm reinkommt und wo die Portnummer übereinstimmt....so soll es ja auch sein.
Interessant sind deine Einträge Test und Test 2 ! hast du die gemacht oder hat der Router das gemacht. Die Adresse sieht nach einer Internet Adresse aus.
Eine 32 Bit Maske (255.255.255.255) maskiert einen einzelnen Host mit genau einer Adresse.
eine 24 Bit Maske z.B. (255.255.255.0) maskiert ein Netzwerk mit 253 Host Adressen. Wäre dies z.B. 172.16.1.0 dann würde der Router alle Adressen von 172.16.1.1 bis 172.16.1.254 akzeptieren. Bei den anderen Masken dann entsprechend analog.
In deinem Beispiel würde der Router ausschliesslich remote Verbindungen von der Adresse 1.2.3.4 und 62.202.61.75 akzeptieren. Kommt aber jemand mit 1.2.3.5 oder 62.202.61.74 würde er sofort geblockt. 62.0.0.0 mit Maske 255.0.0.0 würde das gesamte 62er Netz akzeptieren....aber was machst du jetzt wenn jemand aus dem 72er Netz kommt oder den 82er oder oder.... du müsstest das gesamte Internet dort konfigurieren was natürlich utopisch ist.
Jetzt siehst du das ein Eintrag 0.0.0.0 als Adresse und 0.0.0.0 als Maske eigentlich richtig wäre. Das würde alle eingehenden Adressen akzeptieren.
Wenn das Konfig Interface das nicht annimmt würde ich ggf. mal die Hotline des Routerherstellers kontaktieren.
Das sieht irgendwie nach einen Setup Bug aus. Hast du ggf. mal das aktuellste Image vom hersteller Runtergeladen und auf den Router eingespielt ?? Ich denke ein Fall für die Hotline oder den Lieferanten. So ist diese Funktion gar nicht nutzbar für dich oder nur ausschliesslich für remote Adressen die im Internet eine fixe IP zugewiesen bekommen was ja nicht akzeptabel ist.
