SSH und RD

[GeKa2]

Hallo,

ich habe auf der Fritz Box SSH laufen und der ssh connect von aussen auf die Fritz Box über das virtuelle Interface 192.168.178.253 funktioniert prima.

Kann ich nun überhaupt über Tunnel eine Remote Dektop Verbindung zu einem Rechner aufbauen der hinter der Fritz Box steht?
Oder rmuss ich dafür eine extra AAH Verbindung direkt zum Rechner aufbauen?

Gruß GeKa

 

[buehmann]

Kann ich nun überhaupt über Tunnel eine Remote Dektop Verbindung zu einem Rechner aufbauen der hinter der Fritz Box steht?

Klar, leg beim Verbinden zur Fritzbox einfach einen Tunnel an, der zum gewünschten Rechner/Port hinter der Fritzbox führt. Wenn die Fritzbox von außen fritz.aussen heißt und dein Windowsrechner dahinter windows.privat, dann sähe das bei openssh z.B. so aus (bei Putty etc. analog, wichtig sind lokaler Port, Zielrechner und Zielport nach dem -L):

ssh -L 12345:windows.privat:3389 [email protected]

Dabei kannst du die lokale Portnummer (12345) relativ frei wählen. Du kannst dich dann, wenn die SSH-Verbindung steht, mit einem Remote-Desktop-Client zu localhost:12345 verbinden und erreichst dort den Windowsrechner.

Viel Erfolg,
Andreas

 

[GeKa2]

Mein Putty Eintrag sieht jetzt so aus:




Damit geht es über 127.0.0.1:6000 noch nicht. Auf der Fritz Box muss ich doch keine Ports für den Remotedesktop freigeben, oder?

 

[obicom]

Also für den Remote Desktop über ssh brauchst du in der FB keine weiteren Ports freigeben. Das Problem bei dir scheint mit der Source Port zusein.
Der Microsoft Remotedesktop arbeitet ja auf Port 3389.

Also musst du lokale Aufrufe des Ports auf die IP des zu steuernden Rechners umleiten. Also z.B. L3389 auf 192.168.1.10:3389

Danach ruftst du den Remotedesktop auf und gibst als Ziel-IP deine lokalen Loopback an. Also -> 127.0.0.1
Dieser wird dann vom Putty umgeleitet auf den Rechner hinter der FB auf Port 3389.

Dann gehts auch mit dem Remotedesktop .... ;-)

 

[GeKa2]

Ich habs:

Mein Aufruf in Putty war korrekt, allerdings wurde der Hostname nicht akzeptiert.
Ich habe direkt die lokale IP eingetragen und jetzt gehts!

 

[Mr-Fly]

Also für den Remote Desktop über ssh brauchst du in der FB keine weiteren Ports freigeben. Das Problem bei dir scheint mit der Source Port zusein.
Der Microsoft Remotedesktop arbeitet ja auf Port 3389.

Also musst du lokale Aufrufe des Ports auf die IP des zu steuernden Rechners umleiten. Also z.B. L3389 auf 192.168.1.10:3389

Danach ruftst du den Remotedesktop auf und gibst als Ziel-IP deine lokalen Loopback an. Also -> 127.0.0.1
Dieser wird dann vom Putty umgeleitet auf den Rechner hinter der FB auf Port 3389.

Dann gehts auch mit dem Remotedesktop .... ;-)

Hallo Obicom,

Dein Ansatz mag ja logisch klingen, wird aber viel mehr Leute in Probleme stürzen als zu helfen.
Da oftmals schon der Remote-Desktop-Dienst lokal installiert und aktiviert ist, ist der Port 3389 lokal belegt und putty kann diesen nicht anlegen.
Der Ansatz mit Port 6000 ist genau richtig, einen Port zu nehmen, der möglichst sicher nicht lokal (hierbei meine ich die ganze Zeit den Client ausserhalb des Fritz-Netzes im Internet) bereits geöffnet ist.

Gruß
Fly

 

[luder.]

Nur zum Verstaendnis, "computer:6000" kann gar nicht funktionieren, weil Du ja gar keine Namensaufloesung fuer das Remotenetzwerk hast.
Mit der IP war genau richtig ;-)

 

[obicom]

@Mr. fly: das seh ich aber ganz, ganz anders .... natürlich muß der Port auf dem Rechner "belegt" sein. Du benötigst ihn ja für den Remote-Desktop Client. Nun gibst du bei deinem MS Remote Desktop als Ziel IP die 127.0.0.1 an ... Putty ist auf 127.0.0.1 "listen" auf den Port und leitet alle Eingaben (IP Pakete) an das Remote Netzwerk auf die angegebene Ziel IP um, also Computer=192.168.1.20 auf den nötigen Port. Sag mir mal, wie du das sonst machen willst? Port 6000 kann nur gehen, wenn du in der (Remote-)Anwendung den Port frei bestimmen kannst. Das geht aber beim MS Remote Desktop nicht du Schlaum...... Ich mach das mit allen Ports wie z.B auch Port 80, 21, 2880 usw... das sind alles "belegte" Ports. Im Browser gib ich dann die 127.0.0.1 als Proxyserver an. Somit werden alle Http anfragen auf den Proxy (Polipo) meiner Fritzbox umgeleitet. Den Port lass ich auf Port 80. Mein "DigiTV Stream" kommt über 5880 im lokalen Netz. Der Client auf dem "Remoterechner hört auch nur auf die 5880. Putty muß also L:5880 auf die IP des TV Servers im lokalen Netz umgeleitet werden, also z.B. 192.168.1.20:5880. Im TV Netz Client gibt man das als Ziel IP wieder die 127.0.0.1 an. Alles von mir berichtete ist auch von mir selber getestet worden und funktioniert genau wie beschrieben !

P.S.: Das einige was wirklich Probleme verursachen kann, wenn man vergisst auf der Windows XP Firewall des Zielrechners (falls aktiv) den Remote Desktop (Port) für den Zugriff aus dem lokalen Netzwerk freizugeben. (Windows Firewall->Ausnahmen)

 

[Mr-Fly]

@obicom

alles ganz schoen und richtig, aber dann hast du bei dir lokal auf dem client-pc auf dem putty lief auch NIE remote desktop freigegeben, denn sonst hat der lokale terminal-services-dienst den port geoeffnet und wartet dort auf einkommende zugriffe.
Damit kann putty den lokalen port 3389 auf dem client-pc auch nicht oeffnen (zum socket-listen).
wenn du lokal das dingen nicht geoeffnet hast, dann kannst ihn von mir aus ja dahin legen.
Grundsetzlich ist es jedoch einfacher den remote port 3389 auf einen lokalen port zu spiegeln, der sicher nicht belegt ist (z.b. wie der 6000 er den er oben angegeben hat) und dann im terminal server client 172.0.0.1:6000 einzugeben als zieladresse.

Gruß
Fly

 

[obicom]

@Mr. Fly:
Doch auch auf dem "Putty Client" Rechner ist der Terminal Dienst gestartet. Rufe ich nun mit dem Remote Desktop die 127.0.0.1 auf (bei besthender SSH Verbindung) lande ich auf dem Zielrechner im entfernten Netzwerk. Putty leitet ja alle Anfragen an die IP 127.0.0.1:3389 ins Zielnetzwerk um und ich kann den entfernten Rechner Fernwarten. Rufe ich mit dem RD die eigene IP auf (z.b. 164.10.120.1) würde ich auf meinem eigenen Rechner landen. (macht ja echt keinen Sinn, oder? ;-)) In der Regel beende ich nach der Wartung zuerst den RD dann Putty. Nun könnte ich mich auchüber die 127.0.0.1 oder "localhost" selber Fernwarten (was immer noch keinen Sinn macht) Das ist doch der ganze "Trick" bei einem IP-Forwarding, also Umleitung. Ich hänge mich als Dienst in den IP Stack und fange Pakete im Layer 2-3 ab .... und leite (in dem Fall nach der Verschlüsselung) diese auf einer anderen IP wieder raus ..... (geht sogar auf der gleichen IP, siehe VoIP Verschlüsselung mit SRTP bzw. ZRTP)

Siehst du das anders?

 

[Mr-Fly]

@Obicom

Ein Port kann immer nur von einer Anwendung Gleichzeitig auf Listen gesetzt werden.
Wenn die Remote Desktop unter XP genau wie in diesem Bild gesetzt ist,

wird durch den svchost generic (teil remote desktop services) der port 3389 für 0.0.0.0 (das heisst alle LAN-Interfaces einschl. 172.0.0.1) auf LISTEN gesetzt und ist damit für andere Anwendungen nicht mehr zugreifbar.
Das er von ihm geöffnet wird siehe hier:

C:\>netstat -a -n | find "3389"
  TCP    0.0.0.0:3389           0.0.0.0:0              ABHÖREN

Weiterhin hier der logeintrag von putty, dass er den port 3389 nicht zum LISTEN öffnen kann:

2006-07-08 19:02:13	Local port 3389 forwarding to 172.26.76.12:3389 failed: Network error: Permission denied

Das ist natürlich alles bei der Home Edition anders, wo es den Schalter nicht gibt. Hier wird erst nach Einleitung einer Unterstützungsanfrage der Port geöffnet.
Genauso verhält es sich auch mit den anderen Ports. Läuft lokal ein Webserver auf port 80 auf dem "Putty-Client" so kannst du mit Putty dort auch nicht den Port 80 redirecten etc.

Gruß
Fly

 

[obicom]

Im Fall des Remote Desktop und Putty hast du recht, das es auf den unteren Layern abläuft. Aber spätestens auf den Layern 4-7 kannst du den Inhalt der IP Pakete soweit manipulieren (siehe Verschlüsselung), das mehr als eine Anwendung auf eine IP und Port zureift. Es läuft dann wie ein "Paketfilter" der nur den Inhalt, aber nicht den Header verändert.

 

[Henric-A]

Hallo,

bin neu hier, hab schon ne Menge gelesen und versuche zu lernen so schnell es geht.
Habe gestern angefangen hier mit lesen.
Habe gestern meine FB gepachted, also Pseudoimage drauf, mit SSH Server und WOL und WOC.
Funktioniert auch alles sehr schick, bin begeistert, was alles geht.
Auch den Fernzugriff aus dem Internet mittesl SSH Tunnel auf die FB funktioniert wunderbar.
Nun will ich den Remote Desktop von Windows auch tunneln, das bekomm ich abr gerad nicht hin.
Hab den Port in der FB deaktiviert, wird ja auch nicht benötigt, wenn ich es richtig verstanden habe.
Habe im Putty 2 Varianten probiert.
1x L3389 an lokale_ip:3389(rd server)
1x L6000 an lokale_ip:3389(rd server)

Hab das mit 127.0.0.1 probiert und bekomm die Meldung dass ich auf der Konsole schon angemeldet bin, heißt er geht nicht über den Tunnel zum anderen Rechner sondern will sich am lokalen Rechner anmelden.

Was mache ich falsch?

Ich danke euch für eure Hilfe

Henric

 

[Mr-Fly]

Gut funktioniert eigentlich nur der Weg lokal einen anderen Port als 3389 zu nehmen, denn damit ist man unabhängig davon ob die Terminal Dienste lokal laufen oder nicht.

Umleiten musst du also zum Beispiel so:

L6000 an 192.168.178.xxx:3389

Der Aufruf im RDP-Client sollte dann auf localhost:6000 gemacht werden.

Gruß
Thorsten

 

[buehmann]

Hab das mit 127.0.0.1 probiert und bekomm die Meldung dass ich auf der Konsole schon angemeldet bin, heißt er geht nicht über den Tunnel zum anderen Rechner sondern will sich am lokalen Rechner anmelden.

Wahrscheinlich heißt es das. Auf deinem lokalen Port 3389 läuft schon der Remote-Desktop-Server deines lokalen Rechners, deswegen kannst du dort auch keinen Tunnel anlegen, weil der Port schon belegt ist. Du musst also einen freien Port wie in diesem Fall nehmen

1x L6000 an lokale_ip:3389(rd server)

und dann beim Verbinden zu 127.0.0.1 aufpassen, dass du im Remote-Desktop-Client auch den Port 6000 angibst, sonst landest du wieder bei deinem lokalen System.

Viel Erfolg,
Andreas