Hi Folks, folgendes Szenario: Es existiert ein Netzwerk mit WIN-Clients und einem Suse-Server (Samba, Squid ...). Dadurch sind die Clients ja von außen abgeschottet (nur lokale IPs). Die Win-Clients möchte ich "fernwarten". Bisher erfolgt dies folgendermaßen: Auf den Win-Clients läuft "tightvnc" als Service. Da der Suse-Server über ISDN am Internet hängt erfolgt nur ein "dial on demand". Allerdings habe ich mir ein kleines Perlscript geschrieben, welches mir bei jeder Einwahl die jeweilige IP an meinen Rechner zu Hause schickt, sodaß ich mich per SSH einloggen kann. Dies tue ich auch und schalte dann per "rinetd" die von "tightvnc" benötigten Ports des jeweils zu wartenden (lokalen) Rechners frei, indem ich die "rinetd.conf" "umschreibe " und "rinetd" (re-)starte. Damit kann ich dann per VNC z.B. über "217.224.227.192:5800" auf den jeweiligen lokalen Rechner zugreifen. Mir ist schon klar, daß der nun folgende "Datenverkehr" ungeschützt über das Netz läuft. Allerdings halte ich das "Abhören" (und eventuelle "Ausnutzen" des Datenstroms für relativ unwahrscheinlich - und trotzdem: siehe 2.Frage) . Nun aber zu meiner eigentlichen (ersten) Frage: Kann ich (und wenn ja, wie) irgendwie festlegen, dass die von mir oben beschriebene Fernwartung nur von einer bestimmten IP (die meines Rechners zu Hause) aus möglich ist? Dabei ist zu berücksichtigen, dass diese IP immer unterschiedlich, allerdings jeweils einer URL zugeordnet und also per DNS-Abfrage ermittelbar ist. Problem erkannt? ;-) Und noch die zweite Frage: Kann ich diesen Zugriff "abhörsicher" machen? -- "Es gibt zwei Dinge im Leben, die du nicht zurücknehmen kannst: Denn Pfeil den du verschossen und das Wort, das du gesprochen" - altes indianisches Sprichwort
Sorry, natürlich noch... Besten Dank für alle Tipps im voraus ... und einen geruhsamen 2.Advent Timothy ---- "Es gibt zwei Dinge im Leben, die du nicht zurücknehmen kannst: Denn Pfeil den du verschossen und das Wort, das du gesprochen" - altes indianisches Sprichwort
Moin, schau Dir mal die M�glichkeit von SSH, Tunnels zu definieren, an. Damit kannst du einen VNC-Verbindung durch Deine SSH-Verbindung, die ja per se abh�rsicher ist, tunneln. Dabei entf�llt zum einen das Umkonfigurieren des Routers, und zum anderen alles Kopfzerbrechen wegen der Abh�rsicherheit. Gru�, Hannes P.S: http://www.dyndns.org wird Dir sicher auch weiterhelfen ;) -- Heutzutage ist Resignation schon ein viel zu grosses pers�nliches Engagement. (unbekannter Autor)
Hallo, absolut zustimm' :-) Mach das mit SSH und stell ggf. die Authentifizierung auf RSA-Schlüssel statt auf einfache Kennwörter um, das ist wesentlich sicherer als eine Einschränkung auf bestimmte IP-Adressen. Wenn du's unbedingt haben willst, kann man auch RSA-Authentifizierung mit /etc/hosts.equiv kombinieren, in dieser Datei kann man Hosts mit Domainnamen eintragen, von denen aus man sich anmelden kann. Man muss allerdings dazu sagen, dass VNC über SSH, alles über eine ISDN-Verbindung, sehr langsam ist. Ist aber auch ohne SSH schon langsam genug... Bye, Andreas Johannes Studt schrieb:
Moin,
schau Dir mal die M�glichkeit von SSH, Tunnels zu definieren, an. Damit kannst du einen VNC-Verbindung durch Deine SSH-Verbindung, die ja per se abh�rsicher ist, tunneln. Dabei entf�llt zum einen das Umkonfigurieren des Routers, und zum anderen alles Kopfzerbrechen wegen der Abh�rsicherheit.
Gru�, Hannes
P.S: http://www.dyndns.org wird Dir sicher auch weiterhelfen ;)
Hi Hannes,
schau Dir mal die M�glichkeit von SSH, Tunnels zu definieren, an.
Stimmt, davon habe ich schon mal gehört ;-) Muss ich mich aber noch mit beschäftigen. Inwieweit mir
P.S: http://www.dyndns.org wird Dir sicher auch weiterhelfen ;)
weiterhelfen kann, ist mir aber nicht ganz klar. Ich bin bei selfhost.de -> daher Kopplung IP-Domain. Aber da ich ja vom Server eh die IP zugeschickt bekomme benötige ich dyndns wohl dafür nicht. Oder leisten die noch etwas, von dem ich nichts weiß???? Gruß Timothy P.S.
Heutzutage ist Resignation schon ein viel zu grosses pers�nliches Engagement. (unbekannter Autor)
auch nicht schlecht ;-) -- "Es gibt zwei Dinge im Leben, die du nicht zurücknehmen kannst: Denn Pfeil den du verschossen und das Wort, das du gesprochen" - altes indianisches Sprichwort
Hi, schau Dir mal "FreeNX" bzw. "NX" an. Damit müssten Deine Probleme alle auf einen Schlag gelöst sein. Selbst über Modemverbindung noch gutes Arbeiten damit. Gruß Fedo Am Samstag, 4. Dezember 2004 05:52 schrieb Timothy Kesten:
Hi Folks,
folgendes Szenario:
Es existiert ein Netzwerk mit WIN-Clients und einem Suse-Server (Samba, Squid ...). Dadurch sind die Clients ja von außen abgeschottet (nur lokale IPs). Die Win-Clients möchte ich "fernwarten". Bisher erfolgt dies folgendermaßen: Auf den Win-Clients läuft "tightvnc" als Service. Da der Suse-Server über ISDN am Internet hängt erfolgt nur ein "dial on demand". Allerdings habe ich mir ein kleines Perlscript geschrieben, welches mir bei jeder Einwahl die jeweilige IP an meinen Rechner zu Hause schickt, sodaß ich mich per SSH einloggen kann. Dies tue ich auch und schalte dann per "rinetd" die von "tightvnc" benötigten Ports des jeweils zu wartenden (lokalen) Rechners frei, indem ich die "rinetd.conf" "umschreibe " und "rinetd" (re-)starte. Damit kann ich dann per VNC z.B. über "217.224.227.192:5800" auf den jeweiligen lokalen Rechner zugreifen. Mir ist schon klar, daß der nun folgende "Datenverkehr" ungeschützt über das Netz läuft. Allerdings halte ich das "Abhören" (und eventuelle "Ausnutzen" des Datenstroms für relativ unwahrscheinlich - und trotzdem: siehe 2.Frage) . Nun aber zu meiner eigentlichen (ersten) Frage: Kann ich (und wenn ja, wie) irgendwie festlegen, dass die von mir oben beschriebene Fernwartung nur von einer bestimmten IP (die meines Rechners zu Hause) aus möglich ist? Dabei ist zu berücksichtigen, dass diese IP immer unterschiedlich, allerdings jeweils einer URL zugeordnet und also per DNS-Abfrage ermittelbar ist. Problem erkannt? ;-) Und noch die zweite Frage: Kann ich diesen Zugriff "abhörsicher" machen?
-- "Es gibt zwei Dinge im Leben, die du nicht zurücknehmen kannst: Denn Pfeil den du verschossen und das Wort, das du gesprochen" - altes indianisches Sprichwort
participants (4)
-
Andreas Heinlein -
J.Fedorowicz@t-online.de -
Johannes Studt -
Timothy Kesten