Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VNC durch Proxy auf bestimmten Port

Frage Netzwerke

Mitglied: weber-rdg

weber-rdg (Level 1) - Jetzt verbinden

19.10.2009, aktualisiert 18.10.2012, 5869 Aufrufe, 9 Kommentare

Moin moin,

entweder ist das etwas sehr spezielles oder ich habe die falschen Begriffe bei Google gesucht.
Folgendes Problem:

Ein Rechner hinter einem Proxy / Firewall soll per VNC (Java-Web-Client) ferngesteuert werden.
Soweit kein großes Problem:
Port für VNC gesetzt: 5800
Http: 5900
Eingehenden Verkehr bei der Firewall Port 5900 und 5800 auf gemacht.

Im Proxy ist von dem Rechner nur per URL-Freigabe das Surfen auf bestimmte Seiten erlaubt. Ports sind grundsätzlich dicht.
Also noch den ausgehenden Verkehr von diesem Rechner auf Port 5800 und 5900 erlaubt.

Aber da habe ich zu kurz gedacht. Viewer und Server handeln ja einen eigenen Port aus für die Session...
Nun möchte ich nicht sämtliche Ports im Proxy für ausgehenden Verkehr von diesem Rechner öffnen und möchte, wenn möglich, den Port bestimmen.
Und genau dazu habe ich nichts weiter gefunden, außer andere Leidensgenossen.

SSH-Tunnel, VPN oder ähnliches kommt leider nicht in Frage.
Und es muss später mit dem Web-Client gehen.

VNC funktioniert auch, im LAN kann ich per Viewer und Browser auf den Rechner zugreifen.

Es wird hier UltraVNC genommen. Dort möchte ich am liebsten irgendwie den Port vorgeben, denn Server und Viewer aushandeln.
Irgendjemand eine Idee?


Danke schon mal,
Gruß
Björn
Mitglied: aqui
19.10.2009, aktualisiert 18.10.2012
Du musst simples Port Forwarding machen auf die Lokale IP Adresse, das ist alles:
http://www.realvnc.com/support/portforward.html

Wenn deine FW das nicht supported hilft nur noch ein VPN. Sitzt der Server aber auch hinter der NAT FW rennst du ins gleiche Problem. Da hilft dir nur wenn die FW selber VPNs supported wie hier z,B.:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
http://www.administrator.de/wissen/vpns-mit-dd-wrt%2c-m0n0wall-oder-pfs ...
Bitte warten ..
Mitglied: dog
19.10.2009 um 18:23 Uhr
Aber da habe ich zu kurz gedacht. Viewer und Server handeln ja einen eigenen Port aus für die Session...

Nope. VNC geht nach einer ganz simplen Regel:
5900 = Screen 1, 5901 = Screen 2 usw.

Einzig der Client sucht sich einen zufällig Port (wie bei jedem anderen Protokoll auch) - das ist aber bei DNAT unerheblich.

Es werden auch keine sekundären Ports wie bei FTP o.Ä. benutzt...
Bitte warten ..
Mitglied: weber-rdg
20.10.2009 um 08:57 Uhr
Moin,

sorry, in Erwartung des Feierabends habe ich gestern wohl das eine oder andere Detail verschluckt.

Der VNC-Server läuft auf einem Windows2000 Pro. Rechner.

Port Forwarding ist eingestellt. (Das meinte ich mit "Eingehenden Verkehr bei der Firewall Port 5900 und 5800 auf gemacht.")

Zudem habe ich hier und da was Ausprobiert:
Wenn ich sämtliche Ports für ausgehenden Verkehr von dem Rechner freischalte, klappt es.
Nur Ports 5900 und 5800 geöffnet, alle anderen dicht schlägt fehl.

Was dog meint, habe ich auch schön mit netstat ansehen können:
Verbunden, netstat; Lokale Adresse -> Rechner:5800 Remoteadresse -> meinRechner:3867 ; und wieder getrennt.
Verbunden, netstat; Lokale Adresse -> Rechner:5800 Remoteadresse -> meinRechner:3987; und wieder getrennt.
Verbunden, netstat; Lokale Adresse -> Rechner:5800 Remoteadresse -> meinRechner:3990; und wieder getrennt.

Müssen wir an dieser Stelle unser Sicherheitskonzept überdenken?
Ich würde lieber die Ports verbiegen um die Kontrolle zu behalten.
5800 auf 80 gesetzt habe ich auch schon mal getestet, aber da gab es wieder das Problem, das Port 80 eigentlich dicht sein soll und nur durch öffnen aller Ports ein Zugriff von außen möglich wurde.

Oder bin ich da gänzlich falsch abgebogen?
Bitte warten ..
Mitglied: aqui
20.10.2009 um 14:54 Uhr
.
"....Nur Ports 5900 und 5800 geöffnet, alle anderen dicht schlägt fehl..."

Äääähh, das ist wohl auch logisch, da die Source Ports ja willkürlich sind. Nur die Destination Ports lauten auf diese Werte. Sieh dir dein Firewall Log an oder sniffer einen VNC Verbindungsaufbau mal mit dem Wireshark mit...dann siehst du es schwarz auf weiß !
Kann deine Firewall Contend based ACLs ?? Wenn ja richte sowas ein..das klappt dann !
Bitte warten ..
Mitglied: weber-rdg
20.10.2009 um 15:32 Uhr
Äääähh, das ist wohl auch logisch, da die Source
Ports ja willkürlich sind.
Ist mir klar, aber mir passiert es auch mal, dass ich etwas überlese, darum wollte ich das noch mal Verdeutlichen.

Die Firewall hat einen Content-Filter. Den haben wir jedoch nicht im Einsatz.
Danke für die Idee.

Sobald ich das mal ausprobiert habe, werde ich darüber berichten.
Und wenn jemand noch einen anderen Ideen hat, lese ich mir gerne jeden Vorschlag durch.
Bitte warten ..
Mitglied: aqui
20.10.2009 um 16:27 Uhr
Die andere Idee heisst "VPN auf die Firewall"...sonst gibts da ja nicht viel mehr !! Technisch gesehen ist das eh besser und universeller !
Bitte warten ..
Mitglied: weber-rdg
21.10.2009 um 08:36 Uhr
"VPN auf Firewall" wäre mir technisch zwar auch lieber, da es aber eine Fremdfirma zu Wartungs- und Helpdeskzwecken nutzen wird, kommt das nicht in Frage.
Bitte warten ..
Mitglied: aqui
21.10.2009 um 23:05 Uhr
Mit einer intelligenten ACL bekommt man auch das gut in den Griff...
Bitte warten ..
Mitglied: weber-rdg
26.10.2009 um 08:51 Uhr
ACL hat ich mir mal angesehen und wenn ich die Zeit gehabt und die Erlaubnis von oben bekommen hätte, wäre das sicher die Ideale Lösung.
Ich habe es jetzt erst mal durch eine Freigabe der Ports 3000 bis 3999 gelöst...

Danke für hilfreichen Ideen.
Bitte warten ..
Neuester Wissensbeitrag
Festplatten, SSD, Raid

12TB written pro SSD in 2 Jahren mit RAID5 auf Hyper-VServer

Erfahrungsbericht von Lochkartenstanzer zum Thema Festplatten, SSD, Raid ...

Ähnliche Inhalte
Router & Routing
gelöst ARP-Proxy an WAN Port "zerstört" Modem (8)

Frage von 118080 zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst 1 Port in mehreren VLANs? (7)

Frage von mario87 zum Thema LAN, WAN, Wireless ...

Router & Routing
Transparenter Proxy funktioniert nicht? (1)

Frage von mrserious73 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...