Verbindung zu einem Firmenserver hinter einer Firewall |
||
---|---|---|
#0
| ||
31.05.2004, 16:07
Member
Themenstarter Beiträge: 24 |
||
|
||
31.05.2004, 19:23
Member
Beiträge: 907 |
#47
das sieht doch nun schon besser aus (netstat screenshot) !!!!!
in der cygwin umgebung (p350) zeigt er ja nicht so viel bei diesem befehl an, oder? die kommen so oft vor, weil schon verbindungen (lokale) bestehen (hergestellt) bzw. der server läuft (abhören) komisch, dass der viewer nicht aufpopt kommt ein fehler, wenn du den viewer in der cygwin umgebung startest? X-Forwarding gibsts du ja explizit an (-X) du kannst auch mal im taskmanager schauen, welche prozesse das denn sind, die die ports nutzen (findest du mittels der PID raus) greez |
|
|
||
01.06.2004, 10:26
Member
Themenstarter Beiträge: 24 |
#48
Hi,
Zitat in der cygwin umgebung (p350) zeigt er ja nicht so viel bei diesem befehl an, oder?Na ja, ich habe jetzt "netstat -ano" in cygwin am amd2000 ausgeführt, also eigentlich am p350mhz - und da ist alles drinnen (P:5900, P:5902 etc.). Zitat komisch, dass der viewer nicht aufpoptNein - Fehler kommt keiner. Er scheint einwandfrei gestartet zu sein. Im Taskmanger am p350mhz unter Prozesse ist die "vncviewer.exe" drinnen Zitat X-Forwarding gibsts du ja explizit an (-X)"ssh Hubert@localhost -X -p 2022", damit verbinde ich immer Könnte es sein, dass ich in den cygwin-Einstellungen irgendwo noch was umstellen muss? Mir kommt vor, dass irgendetwas den viewer blockiert. Wenn ich alles in der "cygwin-bash" mache, springt er nicht auf. Auch nicht wenn ich alles in "x-win bash" mache. Aber kombiniere ich beide, dh. Doppeltunnel und Forwardings in der "cygwin-bash", "x-win bash" starten, cmd, vncviewer.exe starten, dann springt er auf!! - Was ist da los? Das lokale Forwarding in "cygwin" am amd2000 stimmt doch? Ich glaube, wenn wir den viewer zum "popen" bringen haben wir eine gute Chance! LG Hubert Ps: Ich hätte nie gedacht, dass das so schwierig ist... Dieser Beitrag wurde am 01.06.2004 um 10:48 Uhr von hupo300 editiert.
|
|
|
||
01.06.2004, 16:01
Member
Beiträge: 907 |
#49
was ist denn die x-win-bash ?
ich habe mit cygwin noch nie arbeiten müssen (wenn ich das hier sehe, bin ich auch froh) kann es sein, dass diese bash einen xserver startet? sprint der viewer auch dann noch auf, wenn du bei keinem der verschiedenen ssh commands das "-X" angibst? wie verändert sich die variable DISPLAY bei den ganzen shells? normalerweise findest du dies heraus, indem du echo $DISPLAY eingibst das würde mich sehr interessieren Zitat Das lokale Forwarding in "cygwin" am amd2000 stimmt doch?du meinst am p350, oder? du sitzt zwar am amd aber die shell die du vor dir hast ist vom p350 wenn ich zeit finde, werde ich mal deine config selbst hier testen (linux -> vmware windows mit cygwin) Zitat Ps: Ich hätte nie gedacht, dass das so schwierig ist...hm, bin auch bissi genervt unter linux->linux ist das so easy...und wenn deine firma extern ein ssh gateway anbieten würde, wäre das alles auch sicher kein prob greez |
|
|
||
01.06.2004, 16:54
Member
Themenstarter Beiträge: 24 |
#50
Zitat kann es sein, dass diese bash einen xserver startet?Scheinbar... Ich hab jetzt eíne Fehlermedung in dieser bash produziert, und er schrieb: Welcome to XWin X Server- fatal error - bla,bla,bla... Zitat sprint der viewer auch dann noch auf, wenn du bei keinem der verschiedenen ssh commands das "-X" angibst?Und wie - echt komisch! ... aber verbinden tut er auch nicht Ich gebe aber nur bei einer Commandline das "-X" dazu - ist das richtig? Zitat wie verändert sich die variable DISPLAY bei den ganzen shells?In der "normalen" cygwin Umgebung tut sich da auf beiden Rechnern garnichts (er zeigt nichts an) In der "X Win" Umgebung zeigt er: 127.0.0.1:0.0 Zitat hm, bin auch bissi genervtDafür freut man sich aber wenn es wirklich funktioniert (ja, wenn..) Ich werde jetzt "cygwin" noch ein Mal durchforsten, vielleicht habe ich ein Package vergessen zu installieren... LG Hubert Dieser Beitrag wurde am 01.06.2004 um 16:57 Uhr von hupo300 editiert.
|
|
|
||
01.06.2004, 18:55
Member
Beiträge: 907 |
#51
der sshserver läuft ja in der reinen cygwin umgebung mit X11 forwarding enabled...
wenn nach deinem login (mit -X) auf dem ssh-server die displayvariable nicht gesetzt ist, haben wir irgendwo ein problem was mir gerade noch einfiel du hast ja nun auf beiden rechnern eine cygwin umgebung installiert, stimmts? die umgebung, die du auf dem amd rechner startest, muss einen lauffähigen X server gestartet haben, damit ssh die geforwardeten xapps darstellen kann ! ist dies bei dir der fall? wenn du ein vncviewer fenster angezeigt bekommst, obwohl -X nicht explizit angegeben wurden ist, dann funkt in irgendeiner art und weise der xserver einer cygwin umgebung dazwischen und es kommt zu komplikationen greez |
|
|
||
01.06.2004, 20:04
Member
Themenstarter Beiträge: 24 |
#52
Zitat der sshserver läuft ja in der reinen cygwin umgebung mit X11 forwarding enabled...Normal schon. Zitat du hast ja nun auf beiden rechnern eine cygwin umgebung installiert, stimmts?Klar Zitat die umgebung, die du auf dem amd rechner startest, muss einen lauffähigen X server gestartet haben, damit ssh die geforwardeten xapps darstellen kann !Da könnte das Problem liegen!! - Cygwin ist ja kein X-Server (meines Wissens halt nicht) Die X11-Forwardings in den sshd_config's haben damit ja auch nichts zu tun. Es muss ein X-Server laufen, stimmts? - Ich könnte doch auf beiden Rechnern die "X-Win"-Umgebung starten. Mach dann meinen Doppeltunnel auf, lokales Forwarding etc. und suche mir dann den viewer, starte ihn UND ICH BIN JETZT OPTIMISTISCH - ES WIRD GEHEN! (Hoffe ich halt ) LG |
|
|
||
02.06.2004, 22:09
...neu hier
Beiträge: 2 |
#53
Hallo!
Also noch hat das wie oben nicht funktioniert... Ich bin zur Zeit aber zeimlich im Stress und werde dann wenn wieder ein bisschen Luft ist mal genauer schauen. Ich poste dann... LG Hubert |
|
|
||
07.06.2004, 22:30
Member
Themenstarter Beiträge: 24 |
#54
Hallo, ich bin wieder da...
So wie ich das gemeint habe, funktioniert es leider nicht... Ich poste dir mal (wieder) meine ssh_config bzw. die sshd_config. Bitte sag mir, ob die so passen bzw. ob alles seine Richtigkeit hat. Anders als sonst habe ich jetzt die Verbindungen mit "putty" aufgebaut. Die netstat -ano's beider Rechner habe ich auch hier gepostet (bei doppeltunnel mit l-forwarding, aber ohne vncviewer) - sollte eigentlich auch alles passen (X11 hab ich enabled und zwar bei Putty auf beiden Rechnern !!). INHALT DER "SSHD_CONF": $OpenBSD: sshd_config,v 1.68 2003/12/29 16:39:50 millert Exp $ # This is the sshd server system-wide configuration file. See # sshd_config(5) for more information. # This sshd was compiled with PATH=/bin:/usr/sbin:/sbin:/usr/bin # The strategy used for options in the default sshd_config shipped with # OpenSSH is to specify options with their default value where # possible, but leave them commented. Uncommented options change a # default value. Port 22 #Protocol 2,1 #ListenAddress 0.0.0.0 #ListenAddress :: # HostKey for protocol version 1 #HostKey /etc/ssh_host_key # HostKeys for protocol version 2 #HostKey /etc/ssh_host_rsa_key #HostKey /etc/ssh_host_dsa_key # Lifetime and size of ephemeral version 1 server key #KeyRegenerationInterval 1h #ServerKeyBits 768 # Logging #obsoletes QuietMode and FascistLogging #SyslogFacility AUTH #LogLevel INFO # Authentication: #LoginGraceTime 2m #PermitRootLogin yes StrictModes no #RSAAuthentication yes #PubkeyAuthentication yes #AuthorizedKeysFile .ssh/authorized_keys # For this to work you will also need host keys in /etc/ssh_known_hosts #RhostsRSAAuthentication no # similar for protocol version 2 #HostbasedAuthentication no # Change to yes if you don't trust ~/.ssh/known_hosts for # RhostsRSAAuthentication and HostbasedAuthentication #IgnoreUserKnownHosts no # Don't read the user's ~/.rhosts and ~/.shosts files #IgnoreRhosts yes # To disable tunneled clear text passwords, change to no here! #PasswordAuthentication yes #PermitEmptyPasswords no # Change to no to disable s/key passwords #ChallengeResponseAuthentication yes # Kerberos options #KerberosAuthentication no #KerberosOrLocalPasswd yes #KerberosTicketCleanup yes #KerberosGetAFSToken no # GSSAPI options #GSSAPIAuthentication no #GSSAPICleanupCredentials yes # Set this to 'yes' to enable PAM authentication (via challenge-response) # and session processing. Depending on your PAM configuration, this may # bypass the setting of 'PasswordAuthentication' and 'PermitEmptyPasswords' #UsePAM no AllowTcpForwarding yes #GatewayPorts no X11Forwarding yes #X11DisplayOffset 10 X11UseLocalhost yes #PrintMotd yes #PrintLastLog yes #TCPKeepAlive yes #UseLogin no UsePrivilegeSeparation yes #PermitUserEnvironment no #Compression yes #ClientAliveInterval 0 #ClientAliveCountMax 3 #UseDNS yes #PidFile /var/run/sshd.pid #MaxStartups 10 # no default banner path #Banner /some/path # override default of no subsystems Subsystem sftp /usr/sbin/sftp-server ************************************* INHALT DER "SSH_CONFIG": # $OpenBSD: ssh_config,v 1.19 2003/08/13 08:46:31 markus Exp $ # This is the ssh client system-wide configuration file. See # ssh_config(5) for more information. This file provides defaults for # users, and the values can be changed in per-user configuration files # or on the command line. # Configuration data is parsed as follows: # 1. command line options # 2. user-specific file # 3. system-wide file # Any configuration value is only changed the first time it is set. # Thus, host-specific definitions should be at the beginning of the # configuration file, and defaults at the end. # Site-wide defaults for various options # Host * ForwardAgent yes ForwardX11 yes # RhostsRSAAuthentication no # RSAAuthentication yes # PasswordAuthentication yes # HostbasedAuthentication no # BatchMode no # CheckHostIP yes # AddressFamily any # ConnectTimeout 0 # StrictHostKeyChecking ask # IdentityFile ~/.ssh/identity # IdentityFile ~/.ssh/id_rsa # IdentityFile ~/.ssh/id_dsa # Port 22 # Protocol 2,1 # Cipher 3des # Ciphers aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc # EscapeChar ~ ****************************************************** Netstat -ano am AMD2000: Netstat -ano am p350mhz: Vielleicht findest du etwas - da das x-forwarding nicht funktioniert? Denn der Viewer springt noch immer nicht auf, obwohl er als Task am p350mhz aufschein.... LG Hubert Dieser Beitrag wurde am 07.06.2004 um 22:38 Uhr von hupo300 editiert.
|
|
|
||
21.06.2004, 22:04
Member
Beiträge: 907 |
#55
sorry, bin mit meinem latein am ende und bei dem ganzen gewusel sieht man remote gar nicht mehr durch
ich würde dir raten, eine native linux maschine aufzusetzen und das ganze von vorn zu probieren greez |
|
|
||
27.06.2004, 19:01
Member
Themenstarter Beiträge: 24 |
#56
Danke trotzdem, du hast mir sehr weitergeholfen!!
Ich werde es aber trotzdem weiterversuchen - sollte ich etwas herausfinden, dann poste ich es hier... LG Hubert Dieser Beitrag wurde am 27.06.2004 um 19:01 Uhr von hupo300 editiert.
|
|
|
||
17.07.2004, 21:26
...neu hier
Beiträge: 2 |
#57
Es kann ganz einfach sein...!!
1) Am HomePC läuft der sshd-Server (in meinem Fall cygwin). (Installation von "cygwin" mit SSH unter http://tutorials.tanmar.de/cygwin.php bzw. http://www.kfa-juelich.de/zam/docs/tki/tki_html/t0375/t0375.html unter "Konfiguration von ssh & sshd") Es empfiehlt sich das SSH als Dienst zu starten, außerdem ist es hier wichtig, dass man in der "sshd_config" den Eintrag "#GatewayPorts no" auf "GatewayPorts yes" setzt!! 2) Am ArbeitsPC muss noch nicht ein Mal ein SSH-Server laufen Es reicht, wenn man sich "Putty (den SSH-Client)" unter http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html runterläd. Der (Win)VNC-Server (z.B. http://www.tightvnc.com/download.html) muss natürlich doch laufen (in meinem Fall auf Port 5900). Bei den "Advanced settings" des VNCServers muss noch "Allow loopback connections" eingestellt werden, denn sonst funktioniert gar nichts! Man starte nun "putty" als nächstes und gibt folgendes ein: a) Unter "Host Name (or IP address)": natürlich die HomePC-Adresse. Etweder die IPAdresse oder man registriert sich bei http://www.dyndns.org und erstellt sich somit eine "Dynamic DNS" (z.B. seppi@dyndns.org) - das ist vorteilhaft, wenn man eine Dynamische IP besitzt, denn die IP wird "dyndns.org mit Hilfe eines Zusatztools übermittelt" (z.B. DynSite) und der DNS zugeordnet. Es ist so mit sichergestellt, dass sich hinter seppi@dyndns.org immer die "gültige" IP befindet. b) Die Porteinstellung lässt man Standardäßig auf 22. Sprich das "Protocol" auf SSH. c) Jetzt geht man zu den Tunneleinstellungen und erstellt das REMOTE-Forwarding lt. nachfolgendem Bild: Port 5900 ist in meinem Fall der Port, den der (Win)VNC-Server benutzt, es können aber auch andere geforwarded werden (und beliebig viele). Das heißt: Source port: 5900 Destination: localhost:5900 Wichtig ist auch, dass man "Remote" anklickt. Nun auf "add" klicken und es sollte erledigt sein. (Ob man nun das X11 forwarding wirklich braucht, da bin ich mir nicht ganz sicher, ich habe es vorsichtshalber aktiviert. Man darf nur nicht vergessen, es auch in der "sshd_config" zu aktivieren) d) Sollte man die Verbindung öffters brauchen (was man normalerweise auch tut ) empfiehlt es sich das ganze wieder unter "Sessions" zu speichern. Man gibt bei "Saved Session" den Verbindungsnamen ein und klickt auf "Save". -> nun solle eigentlich alles gespeichert sein und man braucht bei neuerlichem Start nur mehr auf "open" und eben den Verbindungsnamen klicken. e) Nun mit "OPEN" die Verbindung beginnen und es öffnet sich ein Konsolen-Fenster. Connect as: <Name des LOGIN am HomePC> Passwort: <Das PW das dazugehört> -> Die Verbindung sollte aufgebaut sein! 3) Da der (Win)VNC-Server schon am ArbeitsPC läuft, muss im letzten Schritt nur mehr zu diesem verbunden werden. Am HomePC startet man dazu den dazugehörigen Viewer, gibt als Serveradresse "localhost" ein, danach noch das PW wie es am (Win)VNC-Server eingestellt wurde - und siehe da, es sollte sich der Desktop des ArbeitsPCs am Bildschirm breit machen . Wenn man jetzt noch Datenaustausch betreiben möchte, könnte man "radmin" mit dem default Port 4899 verwenden (http://www.radmin.com/ ist aber keine Freeware sondern nur als Trial verfügbar). Alternativ können auch die ftp-Ports (20 und 21) geforwardet werden. Dies ist von mir aber noch nicht getestet worden - sollte aber normal kein Problem darstellen. Diese ausführliche Beschreibung dient nur der Vollständigkeit dieses Threads! Vielleicht kann es ja noch jemand brauchen, denn in meinem Fall hat es einwandfrei funktioniert ... LG aus Kärnten hupo Dieser Beitrag wurde am 17.07.2004 um 23:02 Uhr von Hubert300 editiert.
|
|
|
||
01.08.2004, 19:12
Member
Themenstarter Beiträge: 24 |
#58
Falls es irgend jemanden interessiert, habe ich eine genaue Anleitung zusammengestellt:
http://eduv.fh-kaernten.at/stu/e0314unhu/www/gemeinsam/download/anleitungen/firewall_umgehen.html Liebe Grüße aus Kärnten Hupo Dieser Beitrag wurde am 01.08.2004 um 19:28 Uhr von hupo300 editiert.
|
|
|
||
Aufgefallen ist es mir auch, dass der Port 5900 nirgends auftaucht. Es könnte höchstens am Forwarding liegen, denn den Server kann ich ohne Doppeltunnel schön ansteuern (naturlich nicht auf localhost, sondern auf 5900)
Ich werden noch probieren müssen - aber was? ...
Ich hab jetzt mal ein "netstat -ano" ohne Tunnel, Forwarding etc. gemacht.
Der Server steht nun mit: TCP 0.0.0.0:5900 drinnen.
Mit Forwarding lauscht er nun auf 5902, das stimmt jetzt doch?
Ich poste dir mal das neue "netstat -ano" vom p350mhz
(wieder mit allem drum und dran):
Ich weiß nicht, warum die Ports nun so oft vorkommen...
Außerdem habe ich jetzt wieder das Problem, dass sich der "viewer" nicht öffnen lässt (Es springt kein Bild auf).
Das Bild oben, ist mit gestartetem "viewer" am amd2000 in cygwin
"vncviewer -lcalhost:2" (ich sehe halt nichts)
LG