VNC durchs Inernet über VPN - VNC also durch firewall fürs WEB blockieren???

Shadow2336 · 10.08.2005

Hi! - Hab Angst vor RemoteDesktop (weil Microsoft) und diesem Speicherüberlauf-Bugg

Ich möchte VNC free Version ausprobieren und wenn es mir gefällt übers Internet nutzen.
Nun soll es ja eigendlich nur "sicher genug" über das LAN sein.

Deshalb möchte ich eine VPN Verbindung einrichten, dass diese "Version" so sicherer machen soll. Das prinzip von VPN habe ich verstanden (Tunnel übers Web, das quasi ein Langes Netzwerkkabel zum Zielnetzwerk auslegt um eine eigene private IP zu kriegen und somit teil dieses Netzes wird.)

Aber was nützt mir dass? VNC ist ja trotzdem noch direkt über die Internet IP ansprechbar.
Oder soll man eben dies durch die Firewall verhindern, dem Programm VNC eben die Internet-Berechtigung entziehen und nur noch LAN erlauben.

Ist VPN dann wirklich "sicherer", wenn ich VNC die Internetberechtigung nur über eine Software-Firewall versperre?

CU

Nightwalker_Z · 10.08.2005

Die Frage ist, wie du erstmal den VPN Tunnel aufbauen willst. Hast du da schon Vorstellungen, was du da einsetzen willst?

Shadow2336 · 11.08.2005

Der VPN-Server soll WinXP sein (über Verbindungsassistent im Netzwerk einrichten) - dort scheint man aber keinen Schlüssel für IPsec vergeben zu können? - Muss ich wohl auf IPsec verzichten?!
Oder lieber eine andere VPN-Server-Software? - Im Netz scheint es da nicht viel zu geben.

Clientseitig kommt win98 zu tragen bis ich den Rechner später mit XP neu aufziehe. (SPÄTER, da ich gerade w98 schön am laufen habe auf dem Zweitrechner).

Sollte VNC nun, wie oben gefragt durch die Firewall fürs Internet unzugänglich gemacht werden, damit es nur noch über VPN erreichbar ist?

Nightwalker_Z · 11.08.2005

Shadow2336 schrieb:
Der VPN-Server soll WinXP sein (über Verbindungsassistent im Netzwerk einrichten) - dort scheint man aber keinen Schlüssel für IPsec vergeben zu können? - Muss ich wohl auf IPsec verzichten?!

Nene, leider funktioniert das nicht so einfach. Ich glaube nicht, dass dir Windows XP einen VPN Server zur Verfügung stellt. MS hat eigene Serverprodukte für solche Anwendungen. Mit XP kannst du zu nem VPN Server ne verschlüsselte Verbindung herstellen.

Wenn du ne kostenlose VPN Lösung willst, dann such mal in Google nach OpenVPN. Habs selbst mal getestet, aber war von der Performance nicht so ganz überzeugt.

Zombie79 · 11.08.2005

Ich würde für diesen Zweck auch OpenVPN einsetzen. Von der Performance her hat sich in der Entwicklung einiges getan. Die Version 2.0 ist recht performant, wenn man nicht gerade eine 256Bit AES-Verschlüsselung ohne Hardware-Offloading einsetzt.

Leider lässt sich der VNC-Server unter Windows nicht ausschließlich an ein definiertes Interface binden - er hängt sich immer an 0.0.0.0. Das ist IMHO großer Mist. Du solltest also an deinem PCs nur den Port für OpenVPN öffnen und alle anderen (bzw. zumindest die VNC-Ports) für eingehende Verbindungen schließen. Das Ganze ist dann genau so sicher, wie die Firewall die du einsetzt.

Nightwalker_Z · 12.08.2005

Hmmm - aber man kann doch den "Office Mode" einstellen (so heißt es zumindest bei VPN-1 bei Checkpoint).
Das bedeutet, dass der Server (OpenVPN-Server) einen Adresspool hat. Alle Clients, die sich erfolgreich per pre-shared secret verbunden haben bekommen ne IP-Adresse aus dem Pool zugewiesen.

Wenn du den Clients ne IP Adresse aus dem selben Netz in dem auch dein PC steht gibtst, dürfte das kein Problem sein. An deiner HW Firwall (DSL) brauchst du dann nur ne Portweiterleitung für VPN haben. Diesen Port stellt man in der OpenVPN Serverkonfig ein:
Hier ein Auszug aus der Konfig:

Code:

# Which TCP/UDP port should OpenVPN listen on?
# If you want to run multiple OpenVPN instances
# on the same machine, use a different port
# number for each one.  You will need to
# open up this port on your firewall.
port 1194

# TCP or UDP server?
;proto tcp
proto udp

Beispiel:
OpenVPN Server (dein PC daheim): 192.168.0.1

Adress-Pool: 192.168.0.10 - 192.168.0.50

Wenn sich jetzt ein VPN Client auf deinen Server connected (udp/1149), dann bekommt er die IP-Adresse 192.168.0.10 zugewiesen. Wenn du dann auf dem Client einen VNC-Viewer startest und auf die Addy 192.168.0.1 connectest, dürfte alles klappen.

Achso... falls du dich für OpenVPN2 interessierst, dann schau einfach unter
http://openvpn.net

Shadow2336 · 12.08.2005

Nightwalker_Z schrieb:
Hmmm - aber man kann doch den "Office Mode" [...] ne IP-Adresse aus dem Pool zugewiesen.

Also im Office-Mode muss ich nicht den Tunnel über dieses Mini-Netz
(z.b. 10.0.0.1 nach 10.0.0.2) aufbauen? (komische IP-Paare, nicht aus dem Privatbereich

)

Leider werde ich auch nur eine SW Firewall benutzen. Ein Router für einen Rechner zu besogen für HW Firewall ist doch Zweckentfremdung des Routers oder ist es trotzdem ratsam?

Zombie79 schrieb:
Leider lässt sich der VNC-Server unter Windows nicht ausschließlich an ein definiertes Interface binden - er hängt sich immer an 0.0.0.0.

Bedeutet VNC nimmt Clienten mit beliebiger IP an, anstatt einzustellen dass nur connections von xyz.dyndns.org zugelassen werden sollen?

---

Ich werde OpenVPN schonmal in mein "Wichtige Progs-Verzeichnis" aufnehmen.

Leider habe ich festgestellt, dass der Client nicht unter win98 funktioniert.
Ich habe jedoch auch noch Linux 9.1 auf dem Client-Rechner.

Leider ist VNC nur für RedHat oder "Linux source RPM" vorhanden.
Uiuiui, da wird Linux kompliziert - weil noch nicht viel mit gearbeitet.
Naja, ich probier estmal, ob ich ne gewöhnliche Modem-Internetverbindung aufbauen kann, bevor ich was zu installieren versuche.

Zombie79 · 13.08.2005

Die Adressen 10.0.0.1 und 10.0.0.2 sind aus dem "Privatbereich". Dazu zählen folgende Adressen:
10.0.0.0/8 (10.0.0.0 - 10.255.255.255)
172.16.0.0/12 (172.16.0.0 - 172.31.255.255)
192.168.0.0/16 (192.168.0.0 - 192.168.255.255)

Eine Software-Firewall sollte für den Privatgebrauch ausreichen. Ich halte nicht viel von den Dingern, aber man muss ja nicht mit Kanonen auf Spatzen schießen.

Zum Thema VNC:
Das hast du falsch verstanden. Ich meine damit, dass sich der VNC-Service nicht an ein definiertes Interface binden lässt. Er lauscht immer an allen im System vorhandenen Interfaces. Man kann ihm also leider nicht sagen, dass er nur an dem virtuellen OpenVPN-Interface lauschen soll. Somit musst du per Firewall verhindern, dass über das reale Interface (also deine Netzwerkkarte bzw. DFÜ-Verbindung) der Zugriff auf den VNC-Service möglich ist.

Zu OpenVPN:
Das musst du in der Regel nur für Windows von der Homepage runterladen. Die aktuellen Linux Distributionen bringen OpenVPN schon mit. Schau mal in die Paketverwaltung deiner Distribution. Ansonsten kannst du auch das Quellcodearchiv (Source Tarball) nehmen und das Programm selbst kompilieren. So schwer ist das unter Linux gar nicht.

VNC durchs Inernet über VPN - VNC also durch firewall fürs WEB blockieren???

Shadow2336

Nightwalker_Z

Shadow2336

Nightwalker_Z

Zombie79

Nightwalker_Z

Shadow2336

Zombie79

VNC durchs Inernet über VPN - VNC also durch firewall fürs WEB blockieren???

ANGEBOTE & SPONSOREN

Neueste Beiträge

Statistik des Forums