UltraVNC-Repeater

[hermann72pb]

@soso: Ich hab es mit der Verschlüsselung schon beim ersten Mal verstanden, mir gefällt nur diese uneingeschränkte Proxy/Weiterleitung nicht. Ich habe da echte Bedenken und würde so einen Repeater nicht einfach so nach draußen frei geben.

Was meinst du mit "Anmeldung von Server"? Wie meldet sich denn der Server beim Repeater an? Hab ich da was verpasst? Der Repeater ist doch nichts anderes als ein Proxy?

Zu deinen Portfreigaben. Versuch doch bitte alles erstmal intern in deinem Heimnetz zum laufen zu bringen. Wenn es läuft, kümmerst du dich um die Freigabe von den Ports. Und ja, du musst wenigstens einen Port nach draußen freigeben, bzw. besser ausgedrückt eine Routingregel dafür in ar7.cfg definieren. Geht auch mit avmfirewall-cgi.

MfG

 

[RalfFriedl]

Der Zweck des Repeaters ist ja nur, mehrere PCs über einen einzigen Port ansprechen zu können. Die Alternative dazu wäre, mehrere verschiedene Ports auf die verschiedenen PCs weiterzuleiten.
Von der Sicherheit sind beide Ansätze gleich: Man kann von Außen Verbindungen aufbauen, die Überprüfung des Paßworts ist Sache der PCs.
Verschlüsselung würde nicht für sich allein das interne Netz sicherer machen, sondern nur verhindern, daß jemand Paßwörter oder Inhalte mitlesen kann.

 

[hermann72pb]

Der Repeater ist aber an sich ein Proxy. Und wenn ich es richtig verstehe, kannst du ihm theoretisch sagen: 192.168.178.XXX:YYYY, wobei du XXX und YYYY beliebig variieren darfst. Und da landest du schon auf dem Port YYYY vom Rechner XXX. Ich vermute, dass der Repeater gar nicht überprüft, ob dahinter tatsächlich ein VNC-Klient "klopft" oder was anderes. Von daher kannst du über diese Proxy auf Port 5500 jeden beliebigen Rechner von draußen ansprechen und somit die Firewall überwinden.

Edit: Meine Vermutungen waren schon richtig. Man kann aber (und muss!) durch die Regel im Repeater nur das erlauben, was sinnvoll ist. Informationen habe ich von OpenWRT.

@soso: Vielleicht schaust du es dir dort an? Mann kann es meiner Meinung nach leichter zu uns portieren, als vom "großen" Linux.

MfG

 

[soso]

@RalfFriedl
Du beschreibst den Repeater-Mode I. Der ist dafür gedacht wenn viele Rechner hinter einem Router gewartet werden sollen. Man muss dann Serverseitig nur einen Port aufmachen. Ich will aber den Mode II nutzen. Dabei muss weder der Server noch der Client einen Port aufmachen. Beide verbinden sich zum Repeater und der Vermakelt die beiden miteinander.

@hermann72pb
Kannst du das mal genau beschreiben was ich in der ar7.cfg machen muss. Wenn der Repeater in der FBF läuft muss ich die Ports nicht mehr zu einem Rechner forwarden. Aber man muss den Repeater in der FBF von außen erreichen können.
Das Ganze läuft bereits bei mir wenn ich den Repeater auf einem Rechner starte. Die Tests mit dem Repeater in der FBF mache ich mit einer alten FBF da ich meine Hauptbox nicht schrotten will. Diese hängt an einem Rechner auf dem sowol der Server als auch der Repeater gesteatet wird. Die FBF ist am DSL angeschlossen und ist bei DynDNS registriert. Der Viewer verbindet sich zu DynDNS::5901 und der Server zu DynDNS::5500.

 

[RalfFriedl]

Dann ist ja auf jeden Fall sichergestellt, daß man nicht von Außen beliebige Ports ansprechen kann.

Um an den Repeater zu kommen, kann man entweder mit dem Paket "AVM-Firewall" oder dorekt in der ar7.cfg eintragen, daß der Port zugelassen wird.

 

[hermann72pb]

@soso: Ich sag dir schon zum dritten Mal: Versuch es doch zunächst intern zum Laufen zu bekommen. Wenn das geht, dann machst du dich an die Firewall ran.
Und wie wäre es damit, zunächst Mode 1 zum Laufen zu bekommen? Wenn das an sich geht, dann vielleicht Schritt-für-Schritt sich an Mode 2 trauen?

Durch lange Suche habe ich endlich eine Beschreibung zu diesen modis gefunden. Die UVNC-Hauptinternetseite war da wenig hilfreich, da unübersichtlich, was die Dokumentation angeht. Durch reinen Zufall und Google gelangt man zu dieser Beschreibung.

Bei dem Mode 2 sehe ich da relativ viele Fehlerquellen, was da alles schief laufen könnte. Deswegen die Empfehlung mit Mode 1 anzufangen.

MfG

 

[RalfFriedl]

Was sind denn zusätzliche Fehlerquellen bei Mode II? Außerdem besteht in diesem Modus nicht die Gefahr, daß sich jemand von Außen auf einen beliebigen Port innen verbinden kann.

 

[soso]

@hermann72pb
Unabhängig davon ob der Repeater in der FBF von einem Rechner innerhalb des LAN oder von außen angesprochen wird, habe ich das Problem mit den Ports. Ich habe zum Thema Ports in der ar7.cfg nur die Stelle mit den Portforwardings gefunden. Ein Eintrag für das Portforwarding von Port 5500 zum Rechner PC-04 sieht so aus:
---------------------------------------------------------------------------------
forwardrules =
"tcp 0.0.0.0:5500 192.168.178.26:5500 0 # VNC-Listener PC-04 (Instanz 1)",
---------------------------------------------------------------------------------

Was muss ich eintragen damit entweder der Port 5500 von außen an den Repeater in der FBF weitergeleitet wird oder aber z.B. vom LAN-Anschluss 1 der FBF?
0.0.0.0:5500 meint offensichtlich den DSL-Anschluss. Soll ich den weiterleiten zu 127.0.0.1 oder zu 192.168.178.1 oder wohin damit er am Repeater in der FBF ankommt?

 

[RalfFriedl]

Du mußt ihn an 0.0.0.0 weiterleiten. Aber für eine Verbindung von Innen ist das nicht notwendig.

 

[soso]

Ich konnte inzwischen einen Viewer aus dem LAN mit dem Repeater verbinden. Den Server probier ich morgen. Die 0.0.0.0 als Ziel-IP für das Portforwarding konnte ich mit dem WEB-Interface der FBF nicht vergeben. Ich probiers morgen mal über die ar7.cfg.

Gute Nacht

 

[hermann72pb]

@RalfFriedl: Mit den Fehlerquellen meinte ich, dass im Falle von mode 2 sich etwas mehr tut, als eine simple proxy-Geschichte aus mode 1. Wir sind schon beim Posting #31 und wissen immer noch nicht, ob denn der Repeater an sich funktioniert. Bei solchen Sachen bin ich immer für eine Schritt-für-Schritt-Annäherung der Endlösung. Du siehst, wie sturr soso bleibt, obwohl wir schon mindestens seit 10 Postings wissen, dass er zwar wunderbar crosskompilieren kann, aber Null Ahnung von AVM-Firewall und ar7.cfg hat. Nachdem du ihm auch schon klar und deutlich gesagt hast, dass er es zunächst intern testen sollte, bleibt er immer noch bei seiner Meinung und will alles und sofort testen.
Konkrett zu den zusätzlichen Fehlerquellen:
1. Wenn er z.B. wirklich über eine externe Adresse auf die Box sowohl vom Server als auch vom Klient zugreifen will, was er uns als Beispiel vorgeführt hat und was er nicht zwingend braucht, dann hat er zwei Ports freizugeben.
2. Bei Mode 2 muss deutlich mehr in der Config-Datei vom Repeater passieren als bei mode 1. Ich habe keine Erfahrung mit repeater-Configs um jetzt zu beurteilen, dass seine config 100% stimmt und funktioniert. Und keiner hier hat betätigt "ja, das tut sie". Dass man eine config vom Windows-Rechner übernimmt heißt noch längst nicht, dass sie für die Box gilt. Elementare Windows-Zeilenumbrüche können z.B. einen Strich durch die Rechnung ziehen. Abgesehen von sonstigen Fehlern.
3. Im mode 2 musst du die IDs definieren, der Server muss sich unter diesen IDs mit dem Repeater verbinden, die gleiche ID muss du dem Klient geben usw. Wenn man sich da irgendwo vertippt oder einfach ein Teil des Repeaters funktioniert nicht (warum auch immer), dann bist du zu lange an Fehlern suchen. Denn du kannst dann nicht den Fehler eingrenzen.
Würdest du dagegen zunächst mit mode 1 im internen Netz anfangen, grenzt du deine Fehlerquellen deutlich ein und kannst wenigstens eine Aussage treffen, ob der Repeater bei den Randbedingungen läuft. Danach kann man weiter sehen.
@Ralf: Warte mal ab, wer von uns Recht hat. In Paar Stunden meldet sich soso hier wieder, dass es immer noch nicht geht, weil er immer noch über eine externe Adresse auf die Box in beiden Fällen zugreift und daher eigentlich zwei Ports freizugeben hat.

MfG

 

[RalfFriedl]

Für die Konfiguration von Programmen haben wir uns hier doch noch nie zuständig gefühlt.

Und daß man beim Testen Schritt für Schritt vorgehen sollte, ist hoffentlich auch allen klar. Ich meinte, daß sich der Mode II sicherer anhört was Deine Befürchtung betraf, daß man damit eine Brücke auf jeden beliebigen Port im Netz hat, auch wenn ich hoffe, daß der Repeater nur zu vordefinierten Ports eine Verbindung aufbaut. Aber ich habe mir die Beschreibung nicht so genau durchgelesen.

 

[hermann72pb]

@Ralf: ok. Ich hatte mich in die Repeater-Problematik auch erst gestern eingelesen. Du hast schon Recht, Mode 2 scheint tatsächlich alleine aus den Sicherheitsaspekten für die Box ein "muss" zu sein.
Leider meldet sich soso mit seinen Ergebnissen nicht und ich habe leider auch keine Zeit mir den Repeater anzuschauen.
Allerdings würde ich persönlich den Repeater im mode 1 bevorzugen, den nicht nach draußen frei geben, sondern per dropbear-Tunnel darauf zugreifen. Der Vorteil gegenüber vom direkten dropbear-Tunnel zu den Rechnern hinter der Box wäre, dass man in Putty jede einzelne Route zu jedem einzelnen Rechner dann nicht separat einzutragen bräuchte. Die Verschlüsselung würde dann über dropbear laufen. Der Weg ist wenigstens halbwegs erprobt und bekannt, obwohl nicht unbedingt performance-technisch optimal, denn die arme Box berechnet in dem Fall komplett die Verschlüsselung der ganzen grafischen Übertragung.

MfG

 

[soso]

Ich hatte den Mode II inzwischen am laufen aber nur intern nicht von außen. Aber jetzt krieg ich es gerade nicht mehr hin. Ich mache aber ein Protokoll wenn's wieder läuft. Das Portforwarding auf 0.0.0.0:5500 geht nicht.

 

[soso]

So bin wieder da. War heute etwas im Stress.
Ich hab im Anhang mal das Protokoll einer erfolgreichen Verbindung über den Repeater Mode II angehängt. Leider bisher nur intern. Die externe Verbindung funktioniert noch nicht. Ich habe für die externen Tests folgende Portforwardings manuell in der ar7.cfg eingetragen:

forwardrules = 
         "tcp 0.0.0.0:5901 0.0.0.0:5901 0 # VNC-Server (FBF intern)", 
         "tcp 0.0.0.0:5500 0.0.0.0:5500 0 # VNC-Viewer (FBF intern)";

Es gab damit eine Fehlermeldung das die Adresse 0.0.0.0:5901 schon verwendet wird.
Ich werde morgen noch mal eine Testreihe machen und die Fehlermeldungen posten. Den Mode I kann ich mit meinem Testaufbau leider nicht testen da ich dazu mein gesammtes Netzwerk auseinander nehmen müsste. Die Tests sind ohnehin sehr einschränkend da ich für Tests von externen Verbindungen manchmal eine Stunde nicht von aussen erreichbar bin.

 

[hermann72pb]

Ok. Nachdem es nach deinen Aussagen intern funktioniert, lass uns mal jetzt langsam AVM-Firewall angehen.
Die erste Frage, die ich mir stelle: Wofür müssen deine Server denn auch auf die Box von extern zugreifen? Denn alle Rechner, die du erreichen willst sitzen hoffentlich hinter der AVM-Firewall alle in deinem heimlischen Netz? Da die AVM-Firewall nur für Verbindungen aus der DSL-Welt zuständig ist und dein heimlicher Netzwerkverkehr komplett an ihr vorbei geht, würde das Freigeben vom Port 5901 sich eigentlich erübrigen. Du musst aber dem Server sagen, dass er auf die interne Adresse oder IP der Box zugreift (z.B. fritz.box oder 192.168.178.1) und nicht auf die dynDNS-Adresse, wie du es präsentiert hast.
Die einzige Ausnahme dafür wäre, dein VNC-Repeater sollte wirklich VNC-Verbindungen im weltweiten Netz routen, wobei auch die Server erstmal generell aus dem öffentlichen Netz kommen. In diesem Falle würde sich die Frage stellen, ob es sinnvoll ist dafür eine Fritz!Box zu benutzen.
Nun zu ar7.cfg und AVM-Firewall. Zunächst empfehle ich dir die AVM-Firewall-CGI zu benutzen und die Regeln mit ihrer Hilfe in ar7.cfg eintragen zu lassen. Das Gute an Firewall-CGI ist, dass du die Regeln sowohl über die maskierte Eingabe erstellen kannst, als auch in Rohform aus ar7.cfg darstellen lassen.
An einem sehr früheren Stadium, wo FREETZ noch ds-mod hieß und keine AVM-Firewall-CGI gab, hatte ich ebenfalls ar7.cfg handisch bearbeitet und kann dir sagen, dass es ganz viele Fehlerquellen gibt, was du dabei alles falsch machen kannst. Angefangen von "cp" anstatt "cat" beim kopieren der Datei zwischen dem RAM und dem Flash gekrönt durch die typischen Zeilenumbruchfehler und endend bei simplen Syntaxfehlern in der Schreibweise. Damals hatte ich z.B. für mich irgendwann mal beschlossen auf diverse 0 # und Kommentare hinter der Zeilen mit den Regeln zu verzichten, weil es bei mir nie funktioniert hat. Nacheinander folgende Regeln korrekt mit Komma und Regelblöcke mit Semikolon abzuschließen ist auch ein muss.
Wie ich oben beschrieben hatte, scheinst du noch ziemlich wenig Ahnung in der Thematik AVM-Firewall zu haben. Wie wäre es damit, dass du dir zu Testzwecken z.B. dropbear mit seinem Port 22 freigibst und versuchst dadrauf von draußen zuzugreifen? Wenn das klappt, dann wendest du die geübte Methode auf den Repeater an.

MfG

 

[soso]

Hallo hermann72pb,
dies ist mein erstes freetz-Packet überhaupt. Daher auch die vielen Postings. Ich hatte vorher nur eine fertige dtmfbox auf eine FBF gefreetzt.
Zu meiner Situation: Ich möchte das sich Server- und Client-Rechner über den VNC-Repeater verbinden wobei sowohl Server als auch Client im WWW stehen. Ich betreibe den Repeater (Mode II) zur Zeit auf einem meiner Rechner wobei ich die Ports 5500 und 5901 zu diesem Rechner forgewardet habe. Wenn der Repeater in der FBF läuft muss ich nicht die ganze Zeit diesen Rechner laufen lassen sondern nur die FBF die ohnehin immer an ist.
Der Repeater Mode II hat den Vorteil das weder der Server noch der Viewer einen Port aufmachen müssen. Damit ist es möglich eine VNC-Sitzung z.B. zwischen einem öffentlichen WLAN-Hotspot und einem anderen öffentlichen WLAN-Hotspot zu realisieren.
Der Repeater Mode I ist sicher auch sinnvoll in der FBF untergebracht. Den Mode I kann ich aber erst testen wenn der Repeater in meiner Fritz Hauptbox läuft und da will ich den erst reinstellen wenn alles andere funktioniert.

Zum dropbear-Paket:
Ich hab das Paket installiert komme aber von außen auch nicht rein. Ein Portscan sagt mir das nur der Port 21 offen ist (ich kann mich aber nicht erinnern den überhaupt aufgemacht zu haben). Mit putty komme ich nur intern aus dem LAN rein. Neustart von dropbear hat auch nichts gebracht.

Gruß soso

 

[hermann72pb]

eben, soso. Versuch doch erstmal dropbear vom Außen zum Laufen zu bekommen. Hast du AVM-Firewall-CGI installiert? Wenn nicht, mach es bitte. Mit der Firewall-CGI kannst du erfahrungsgemäß weniger kaputt machen, als wenn du es direkt mit ar7.cfg tust. Entferne aber bitte deinen Kram aus ar7.cfg bevor du anfängst. Und zwar nicht rauskommentieren, sondern die Zeilen komplett löschen!
Dropbear mach keine Ports für dich frei. Das musst du schon selbst erledigen. Freigabe vom Port 21 kommt vermutlich von AVM-FTP. Wenn du den deaktivieren würdest, würde vermutlich auch die Freigabe verschwinden. Das kannst du übrigens ganz schön beobachten indem du die ar7.cfg vor und nach der Änderung mit AVM-FTP vergleichst. Such da einfach nach Port 21.
Mit AVM-Firewall-CGI kannst du dir (wie ich bereits sagte) auch Rohabschnitte von ar7.cfg anzeigen lassen. Die Eintragung mit dem Port 21 von AVM dürftest du da sofort erkennen.

Wir sind alle klein angefangen. Dein Problem ist nur, dass du leider Null Ahnung von ar7.cfg und von AVM-Firewall hast. Versuch dich bitte durch WIKI und durch IPPF in die Thematik einzulesen. Denn die Kenne brauchst du für dein Vorhaben.

MfG

 

[soso]

Der VNC-Repeater funktioniert jetzt auch aus dem WWW (zumindest im Mode II). Im Anhang hab ich die Einstellungen der AVM-Firewall gepostet.

Warum der FTP-Port offen ist weiss ich nicht. Es gibt keine Einträge in der AVM-Firewall-CGI noch irgendwelche Portforwardings bei den Standardeinstellungen der FBF. Ich habe auch keinen FTP-Server wissentlich gestartet weder in der FBF noch auf dem Rechner. Warum ist dann der Port offen??? Ist das immer so wenn man Freetz installiert hat oder habe ich mir möglicherweise die ar7.cfg zerschossen?

Was passiert eigentlich mit den normalen Port-Forwardings bei den Standardfreigaben der FBF? Müssen die jetzt alle zur AVM-Firewall-CGI übertragen werden oder kann man die parallel nutzen. Und was passiert wenn man für den gleichen Port sowohl in der AVM-Firewall als auch bei den normalen Port-Forwardings der FBF einen Eintrag hat? welcher wird dann genommen? Oder sollte man in der AVM-Firewall nicht lieber vollkommen ander Port als die Standardports nehmen? Man könnte in diesem Fall wahlweise z.B. den Repeater in der FBF oder auf dem Rechner hinter der FBF betreiben. Fragen über Fragen!

 

[soso]

Ich habe den Ultra-VNC-Repeater jetzt auch unter realen Bedingungen getestet. Der Mode-2 funktioniert bisher ohne Probleme. Die Geschwindigkeit ist auch OK. Man kann also damit arbeiten. Wie geht es denn jetzt weiter. Ich würde gerne als erstes der Repeater als Daemon laufen lassen (der Repeater soll bei jedem Start der FBF automatisch mitgestartet werden). Wie mache ich das?