VNC-Verbindung übers Internet

Johnboy

Johnboy

Aktives Mitglied
Thread Starter
Dabei seit
28.11.2003
Beiträge
101
Reaktionspunkte
0
Hi Macuser,

würde gerne mit VNC übers Internet einen anderen Rechner ansteuern. Die Konfiguration sieht folgerndermassen aus.

MAC -> Netzwerk -> DSL Router (Firewall) -> Internet

und jetzt ich

Mac -> Airport -> Modem DSL -> Internet

Würde das gehen und wenn ja, wie und was muss ich einstellen bzw.
beachten??

Als VNC Programme habe ich "OSXVNC Server" und "VNC Viewer" benutzt

Euer Johnboy
 
Zuletzt bearbeitet:
Keiner einen Rat, oder ist es so einfach das ich es nicht verstehe??
 
Der Rechner, den du fernsteuern willst, hat vom Provider ja eine IP-Adresse zugewiesen bekommen. Die brauchst du. Oder du richtest auf dieser Seite ein DynDNS-Account ein. Dann sprichst du diesen Rechner per Namen an, z.B. johnboy.dyndns.org
Desweiteren musst du in der Firewall, soforn vorhanden, die Ports von VNC freischalten. Also 590x.

ad
 
Als erstes muss die (öffentliche) IP-Adresse des anderen (fernzusteuernden) Rechners bekannt sein (damit Du ihn überhaupt adressieren kannst). Wenn vom Provider die Adresse dynamisch zugeordnet wird (Normalfall) lässt sich dies einfach über (z.B.) DynDNS realisieren. Die meisten Access-Router haben eine entsprechende Funktion bereits integriert.

Als nächstes muss der von VNC verwendete TCP-Port (weiss jetzt nicht grad welcher es genau ist) im Router, an dem der andere Rechners angeschossen ist, durch eine fixe (statische) Route dem zu steuernden Rechner zugeordnet werden. Dazu muss diesem innerhalb des privaten LAN eine fixe IP gegeben werden. Der VNC-Port ist in der Firewall auch freizuschalten, damit eingehende Verbindungen akzeptiert werden.

So müsste es eigentlich klappen. Es bleibt anzumerken, dass durch das 'Durchschalten' des VNC Ports eine Sicherheitslücke entsteht, da jeder Rechner von Internet her über diesen Port eine direkte Verbindung zu diesem Rechner aufbauen kann. Bei evtl. vorhandenen Sicherheitslücken im VNC-Server kann das zum Problem werden.

Sicherer wäre eine Lösung über ein VPN (IPsec). Dabei würde auch die Port-Freischaltung und die statische Route unnötig werden.

Gruss
Markus
 
ACHTUNG SICHERHEIT!!!!

VNC ist in der kostenlosen Homevariante nicht verschlüsselt. Jeder der den IP-Traffic mitlesen kann (das sind alle Netzadministratoren im Weg zwischen Client und Server) sieht deine Zugangsdaten im Klartext. Er hat dann vollen Zugriff auf deinen Rechner.

VNC muss dringend über SSH/VPN getunnelt werden!

Mautflucht schrieb:
Es bleibt anzumerken, dass durch das 'Durchschalten' des VNC Ports eine Sicherheitslücke entsteht, da jeder Rechner von Internet her über diesen Port eine direkte Verbindung zu diesem Rechner aufbauen kann. Bei evtl. vorhandenen Sicherheitslücken im VNC-Server kann das zum Problem werden.
Zum Vergrößern anklicken....

Stimmt natürlich vom Prinzip. Das ist aber keine "Sicherheitslücke", sondern ein Sicherheitsrisiko. So lange keine Lücke im VNC-Server gefunden wird, ist es sicher (so sicher wie Technik halt sein kann).
Das verbessert man auch nicht über SSH/VPN, denn in diesen Servern kann genauso ein Fehler sein, der eine Lücke öffnet. Immer wenn man einen Port zum Inet öffnet, erhöht man das Risiko, nur halte ich das - solange man sich um aktuellen Versionen kümmert, wir ein tragbares Risiko.
 
Stimmt ntürlich, dass es lediglich ein Sicherheitsrisiko ist.

oglimmer schrieb:
Das verbessert man auch nicht über SSH/VPN, denn in diesen Servern kann genauso ein Fehler sein, der eine Lücke öffnet. Immer wenn man einen Port zum Inet öffnet, erhöht man das Risiko, nur halte ich das - solange man sich um aktuellen Versionen kümmert, wir ein tragbares Risiko.
Zum Vergrößern anklicken....

Das hingegen ist nur dann so, wenn der VPN-Server ebenfalls auf dem Mac läuft und die Verbindung vom Router direkt dorthin weitergereicht wird. Anzustreben ist aber ein VPN-Server direkt in der Firewall. Dies kann z.B. mit dem FVS318 von Netgear recht kostengünstig realisiert werden.

Gruss
Markus
 
Ein Hardware VPN-Router minimiert ein solches Risiko, schließt es aber weiterhin nicht. Auch der FVS318 kann Fehler enthalten und auf den Dingern läuft im Normalfall ein Linux, das dann ebenfalls kompromitierbar ist.

Ich bin der Meinung, dass Aufwand und zu schützende Umgebung in einem gesunden Verhältnis stehen sollten.

Für den privaten Bereich reicht es
a) keine Zugangsdaten im Klartext übers Inet zu schicken
b) Sichere Kennwörter zu verwenden
c) Updates von OS und Serverprodukten zu pflegen

Denn man sollte auch bedenken, dass der ganze Aufwand von Hardware VPN, nur dann lohnt, wenn man sonst nicht andere "Serverprogramme" auf dem Rechner laufen hat (und entsprechende Ports forwarded) z.B.: Skype***FORENREGELN BITTE BEACHTEN***
 
Zuletzt bearbeitet von einem Moderator:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten