Von unterwegs mit real VNC auf Desktop eines PC hinter FBF 7170 - geht das?

Frank online

Neuer User
Mitglied seit
7 Jan 2007
Beiträge
77
Punkte für Reaktionen
0
Punkte
0
Hallo an die Profis!

Diesmal habe ich folgendes Problem:

Ich habe eine kleines Heimnetzwerk, in dem jedes Gerät eine fixe IP hat. Alles läuft über die FBF 7170.

Unter anderem läuft dort auch ein alter PC als Server, Datengrab, etc. Leider hängt der ab und zu mal und ist dann nur durch Beenden und Neustart der entsprechenden Software dazu zu bewegen, weiterhin Daten auf meinen Webspace hochzuladen.

Beruflich bin ich nun des öfteren mal länger unterwegs und möchte daher von unterwegs die Möglichkeit haben, auf diesen PC zuzugreifen. Ein reiner Datenzugriff reicht mir da nicht, das habe ich schonmal gemacht. Ich möchte den Desktop aus der Ferne remoten. Im Heimnetz mache ich das ständig mit real VNC. Ich habe die kostenlose Version 4.1.1 installiert.

DynDns ist angelegt, Daten eingegeben und läuft.

Wenn ich meine (t-online) IP oder den DynDns-Namen eingebe, dann kommt nur ein Fehlerhinweis: "unable to connect to host: Ein Socketvorgang bezog sich auf ein nicht verfügbares Netzwerk. (10051)"

Unter Portfreigaben habe ich TCP Port 5900 an die IP des gewünschten PC freigegeben.

Nun hoffe ich, dass Ihr mir helfen könnt mein Problem zu lösen. Denn ich habe nach stundenlangem Probieren nun erstmal aufgegeben.

Frank
 
Also prinzipiell funktioniert das. Ich mache das mit TightVNC (dürfte kompatibel sein zu Real VNC) und greife sogar über verschiedene Ports (5900, 5901, 5902) auf verschiedene PCs im lokalen Netzwerk zu. Und ich verwende ebenfalls DynDns.

Wenn das bei Dir nicht funktioniert, hast du irgendwo was falsch konfiguriert oder es liegt an Real VNC.

Oder es hängt an der Windows Firewall aus. Es macht für die Firewall evtl. einen Unterschied, ob Du über das lokale Netzwerk oder von draußen auf einen Port zugreifst.
 
Hallo,

ich habe eben auf Server und Notebook den real VNC entfernt und statt dessen TightVNC installiert. Den Server auf meinem Server und den Viewer auf meinem Notebook. Nachdem ich ZoneAlarm die Freigabe für das Programm und seine Zugriffe gegeben habe, lief es bei direkter IP-Eingabe, also intern, auf anhieb :)

Beim Versuch das ganze über Dyndns zu machen, kommt aber die Fehlermeldung: "Failed to connect to server". :( Selbst wenn ich ZA auf beiden Rechnen ausschalte und WinXP dann wegen fehlender Firewall meckert, bleibts beim selben Fehler.

Dann habe ich in der FBF nachgeschaut, was für eine IP ich habe und habe diese dann direkt eingegeben. Mein Gedanke war, dass selbst wenn DynDNS nicht laufen sollte, das doch zumindest funktionieren müsste. Aber geht leider auch nicht. Die Fehlermeldung ist die selbe, auch hier bei deaktiviertem ZA.

Demnach müsste es doch folgendermassen sein:

Ich komme mit dem Viewer bei direkter Eingabe meiner IP zwar ins Internet und von dort auf meine FBF, aber die lässt mich nicht zu meinem Server durch. Somit muss es doch an einer Einstellung in der FBF liegen, oder denke ich da zu einfach?

Frank

EDIT:
Muss ich beim TightVNC Server vielleicht noch irgendwas einstellen, was den Port oder sonstwas betrifft? Ich habe nämlich bis auf das Passwort nichts verändert.
 
wieso benutzt du nicht teamviewer... lässt ihn als service starten und setzt ein festes passwort, das einzige was du dir dann noch merken musst, ist die ID pro rechner... die ändert sich bei mir z.B: nicht..

und die firewalls stören da mal garnicht...

grüße
Andreas
 
Poste mal deine Weiterleitungseinstellungen der FB. Ich habe auf mehreren Rechnern VNCs laufen, ohne Probleme. Ich benutze allerdings UltraVNC, meiner Ansicht nach der beste der VNC-Familie, aber mit Real- oder Tight- sollte es genauso funktionieren.
 
Tja, was soll ich da viel schreiben?

Das ist eine FRITZ!Box Fon WLAN 7170, Labor-Version 29.04.97-9170,
DynDNS ist eingerichtet und aktiviert.

Portfreigabe
Portfreigabe aktiv für andere Anwendung
Bezeichnung VNC
Protokoll TCP
von Port 5900 bis Port
an IP-Adresse 192.168.xx.xx
an Port 5900 bis Port


hier ist kein Häkchen gesetzt: Änderungen der Sicherheitseinstellungen über UPnP gestatten

In der Routing Tabelle habe ich nichts eingefügt, sie ist leer.

Mehr habe ich auf die Schnelle nicht gefunden, was relevant sein könnte. Oder habe ich was übersehen?

Frank
 
Die Einstellungen sehen korrekt aus. M.E. gäbe es dann noch zwei Möglichkeiten:
- Der Server akzeptiert die Verbindung nicht (weil nur das interne Netzt zugreifen darf oder sowas)
- Der Server "kann nicht antworten": Wenn der Server ansonsten "nur intern" genutzt wird, er hat aber auch eine "Defaultroute" zum Internet über die Fritzbox?!?

Jörg
 
So, nun habe ich den halben Vormittag rumprobiert und auch den TightVNC wieder runtergeschmissen und statt dessen den zuletzt empfohlenen UltraVNC installiert. Wie ist das eigentlich bei der Installation, muss ich da erlauben, dass die Anwendung als Dienst installiert wird? Bisher starte ich sie einfach mit über Autostart.

Wie gehabt läuft es intern auf anhieb problemlos. Nur über IP, die mir die Telekom für heute gegeben hat, läuft nix. Auch ein Reset der FBF brachte keinen Erfolg. Die IP hab ich natürlich geändert.

Nun habe ich im Moment keine Idee mehr und hoffe auf Eure Ideen. Denn an der Software kann es ja eigentlich nicht mehr liegen.

Frank
 
Hi,
nochmal die Frage wiederholt: Der "Server" kommt aber ins Internet?
Weitere Frage: Du versuchst das aber "von Außen", also aus dem Internet, von einem anderen Internetzugang aus, nicht wahr? Denn ob das "von innen", also aus dem LAN mit der offiziellen IP als Ziel funktioniert wage ich zu bezweifeln, weil die dann nötige NAT entfällt (vom Internet aus wird die Internet-IP auf die Server-IP umgesetzt, das geht nicht, wenn du "von innen" kommst).

Jörg
 
Denn ob das "von innen", also aus dem LAN mit der offiziellen IP als Ziel funktioniert wage ich zu bezweifeln, weil die dann nötige NAT entfällt (vom Internet aus wird die Internet-IP auf die Server-IP umgesetzt, das geht nicht, wenn du "von innen" kommst).

Doch doch, das funktioniert auch, wenn man lokal die DynDns-Adresse bzw. die externe IP-Adresse angibt.
Ob es dann aber tatsächlich über's Internet läuft (also zum Provider und gleich wieder zurück) oder ob die Fritzbox so schlau ist, das lokal zu routen, weiß ich nicht.
 
@MaxMuster
also der Server ist immer online und lädt ständig Wetterdaten auf meinen Webspace hoch. Das klappt also. Ich habe aber den anderen Tip mal probiert und bin mit meinem Flybook über GPRS online gegangen. Beim ersten Versuch klappte wieder nix. Dann habe ich ZA abgeschaltet und siehe da, es ging.

Jetzt fragt nicht nach der Logik, aber danach gings auch über das andere Notebook. Sogar, wie detg schreibt übers WLAN über die selbe IP raus und wieder rein.

Sobald ZA aber wieder aktiviert ist, ist wieder Schluss mit der Verbindung. Also musste ich den SecureLevel von high auf middle senken. Seitdem läuft es. Nach der Logik darf ab er jetzt keiner fragen...

Nun habe ich aber noch eine andere Frage zu dem Thema:
Wie sieht es denn nun mit der Sicherheit aus? Theoretisch könnte doch nun jeder, der in der Lage ist, meine IP zu sehen, was ja nicht sehr schwer ist, auf mein Netzwerk zugreifen. Oder sehe ich das falsch? Denn auch das komplizierteste Passwort hält auf Dauer nicht Stand. Wie löst ihr dieses Sicherheitsproblem?

Frank
 
schau dich hier mal nach dm DS-MOD um.
Damit kannst du einen SSH-Server installieren und dann über diesen einen Tunnel für VNC aufbauen.
Der gesamte Verkehr läuft dann verschlüsselt ab, funktioniert bei mir wunderbar :)
 
Sobald ZA aber wieder aktiviert ist, ist wieder Schluss mit der Verbindung. Also musste ich den SecureLevel von high auf middle senken. Seitdem läuft es. Nach der Logik darf ab er jetzt keiner fragen...

Ich nutze ZA schon lange nicht mehr, aber soweit ich mich erinnern kann, unterscheidet ZA eben zwischen Zugriffen aus dem lokalen Netz (gleiche Subnetz-Adresse) und Zugriffen von aussen - so wie ich das oben schon mal geschrieben hatte.
Du musst den Port 5900 in ZA explizit freischalten, dann klappt es sicher auch von außen.

Nun habe ich aber noch eine andere Frage zu dem Thema:
Wie sieht es denn nun mit der Sicherheit aus? Theoretisch könnte doch nun jeder, der in der Lage ist, meine IP zu sehen, was ja nicht sehr schwer ist, auf mein Netzwerk zugreifen. Oder sehe ich das falsch?

Die Fritzbox als Router schirmt die internen Rechner relativ gut ab, da ja nur die freigeschalteten Port durchgereicht werden. Auf allen anderen Ports sind die internen Rechner unsichtbar.

Das ist um ein vielfaches sicherer, als wenn jemand direkt mit dem PC ins Internet geht (DSL-Karte im PC), so wie das früher üblich war.

Und die Gefahr sich einen Trojaner einzufangen, der dann irgendwelche Backdoors aufmacht, ist in jedem Fall viel größer, als dass von außen jemand über freigeschaltete Ports einbricht.

Und wenn jemand die Fritzbox hackt, hat man sowieso verloren. Auch wenn man gar keine Port freigeschaltet hat.
 
Moin!
Sonntags 08.49. Sind es kleine Kinder oder der Beruf? Bei mir ist es nicht der Beruf ;-)

Als kann man zum Thema Sicherheit sagen, dass die FBF auch mit offenem Port eigentlich relativ sicher ist? Ich dachte immer, dass ein offener Port Hackern Tür und Tor öffnet, um auf mein Netzwerk zuzugreifen.

Gegen die Parasiten habe ich die üblichen Geschütze, Virenscanner und S&D.

Was kann denn passieren, wenn jemand die FBF hackt? Wäre das durch einen Reset nicht wieder zu beheben?

Frank
 
Also, "Sicher" ist immer relativ ;-)

Einige Dinge sind dabei grob zu unterscheiden, was den offenen Port angeht, sicher nicht vollständig:
- Gibt es die Möglichkeit, das Programm mit "normalen" Mitteln zu knacken (sprich in deinem Fall: Das Passwort herausfinden)? Danach könnte dieser jemand dein VNC nutzen.
- Wie ist dass Passwort "gesichert", also kann jemand das im Klartext abhören, und sich dann anmelden?
- Hat das Programm ein Problem (Buffer Overflow oder was auch immer), so dass mit einer "falschen Eingabe" etwas ungewolltes passiert (also z.B. mit irgendeinem Muster als "Passwort" kann ich das Programm so zum Absturz bringen, dass es danach eine Verbindung zu meinem Rechner herstellt oder für mich Spam verschickt oder...)

Ein SSH-Tunnel mit Zertifikaten wäre z.B. eine aus heutiger Sicht "realtiv sichere" Sache, über die du dann dein VNC tunneln könntest, was aber zusätzlichen Aufwand bedeutet.
Für den Hausgebrauch würde es schon einigen an "Sicherheitsgewinn" gewinnen, nicht den "original-Port" 5900 sondern einen belibigen anderen dafür zu nutzen, damit ein "Angreifer" bei einem Portscan auf oft genutzten Ports erst gar keine Reaktion dort findet (ein geänderter Port dann noch zusammen mit dem SSH wäre dann "die Krönung", wenn man nicht noch tiefer einsteigen will).

Jörg
 
mit Teamviewer ist es einfacher

mit Teamviewer ist es einfacher


http://www.teamviewer.com/de/

das teil rauscht auch durch jede FIREWALL

OHNE PORTFREIGABE

PROBIERE ES ERST MIT 2 PC im lan aus

Beste remote Tool was ich kenne

Arbeit wie Skype

da braucht du auch keine Ports freigeben

gruss

ichego1
 
Moin!
Sonntags 08.49. Sind es kleine Kinder oder der Beruf? Bei mir ist es nicht der Beruf ;-)

Kleine Kinder. ;-)

Als kann man zum Thema Sicherheit sagen, dass die FBF auch mit offenem Port eigentlich relativ sicher ist? Ich dachte immer, dass ein offener Port Hackern Tür und Tor öffnet, um auf mein Netzwerk zuzugreifen.

Das hängt von dem Port ab, bzw. welcher Dienst dahintersteckt.
Wenn jemand dein VNC-Passwort hackt, dann ist er natürlich drin im System.
Von daher ist ein von außen erreichbarer VNC natürlich ein Sicherheitsrisiko.

Um das wirksam abzusichern musst du, wie schon weiter oben vorgeschlagen, über VPN arbeiten. Aber das ist im Handling deutlich umständlicher - deswegen treibe ich den Aufwand auch nicht.

Was kann denn passieren, wenn jemand die FBF hackt? Wäre das durch einen Reset nicht wieder zu beheben?

Naja, er wäre dann im Prinzip im lokalen Netz und kann alles tun, was du selbst im Netzwerk tun kannst.
Die Fritzbox ist meines Wissens einigermaßen sicher. Aber jede neue Firmware-Version kann natürlich theoretisch ein Loch aufreißen. Man hört immer wieder von Sicherheitslücken bei Routern.
 
mit Teamviewer ist es einfacher
das teil rauscht auch durch jede FIREWALL.
OHNE PORTFREIGABE

Ich weiss nicht, wie das bei Skype funktioniert, aber "ohne Portfreigabe" heisst doch, dass man bei irgendeinem Server angemeldet sein muss, der dann die Verbindung vermittelt. Das ist dann eine Frage des Vertrauens gegenüber dem Anbieter des Dienstes - in diesem Fall die Fa. TeamViewer.

Und dass der Server eines solchen Anbieters und alle User-Accounts geziehlt gehackt werden halte ich für wahrscheinlicher, als dass jemand hier meinen VNC hackt, da dieser ja zunächst mal nicht öffentlich bekannt ist. Wobei hier DynDns ein potentielles Risiko ist.

Noch eine Frage zum Teamviewer:

Komme ich da auch mit dem Viewer selbst durch eine Firewall bzw. durch einen Proxy durch ?
Das ist nämlich mein Hauptproblem. Meinen Rechner zuhause erreiche ich problemlos (über Portfreigabe) aber ich suche eine Software, wo ich mit dem Viewer im Büro durch den Proxy hindurch überhaupt rauskomme.
 
Ja das kann der viewer

ich sagte doch

arbeitet wie das skype protokoll

da brauchst du auch keine ports öffnen
 
... aber ich suche eine Software, wo ich mit dem Viewer im Büro durch den Proxy hindurch überhaupt rauskomme.
Kommt natürlich auch etwas auf eure "Firmenpolicy" an, was da so "erlaubt" ist. Aber wenn du dich nicht von "fremden Servern abhängig machen" willst (so wie bei Teamviewer oder Skype): Ein SSH-Server auf Port 443 (den https Port) gelegt ist eigentlich immer zu erreichen (eine gute Anleitung gibt es auch dazu) über den du dann auch z.B. dein VNC oder andere TCP-Protokolle tunneln kannst.
Es bleibt immer die Frage und Abwägung zwischen eigenem Aufwand (SSH-Server und Tunnel) Vertrauen und Sicherheit anderer Software (da habe ich z.B. speziell bei Skype so meine Bedenken, über Teamviewer kann ich nichts sagen) und dem generellen eigenen Sicherheitsbedürfnis.

Jörg
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.