Verbindung zu einem Firmenserver hinter einer Firewall

#46 Na ja -der Server läuft unter Windows - ganz normal...
Aufgefallen ist es mir auch, dass der Port 5900 nirgends auftaucht. Es könnte höchstens am Forwarding liegen, denn den Server kann ich ohne Doppeltunnel schön ansteuern (naturlich nicht auf localhost, sondern auf 5900)

Ich werden noch probieren müssen - aber was? ...

Ich hab jetzt mal ein "netstat -ano" ohne Tunnel, Forwarding etc. gemacht.
Der Server steht nun mit: TCP 0.0.0.0:5900 drinnen.

Mit Forwarding lauscht er nun auf 5902, das stimmt jetzt doch?

Ich poste dir mal das neue "netstat -ano" vom p350mhz
(wieder mit allem drum und dran):



Ich weiß nicht, warum die Ports nun so oft vorkommen...
Außerdem habe ich jetzt wieder das Problem, dass sich der "viewer" nicht öffnen lässt (Es springt kein Bild auf).
Das Bild oben, ist mit gestartetem "viewer" am amd2000 in cygwin
"vncviewer -lcalhost:2" (ich sehe halt nichts)

LG

#47 das sieht doch nun schon besser aus (netstat screenshot) !!!!!
in der cygwin umgebung (p350) zeigt er ja nicht so viel bei diesem befehl an, oder?

die kommen so oft vor, weil schon verbindungen (lokale) bestehen (hergestellt) bzw. der server läuft (abhören)

komisch, dass der viewer nicht aufpopt
kommt ein fehler, wenn du den viewer in der cygwin umgebung startest?
X-Forwarding gibsts du ja explizit an (-X)

du kannst auch mal im taskmanager schauen, welche prozesse das denn sind, die die ports nutzen (findest du mittels der PID raus)

greez

#48 Hi,

Zitat

in der cygwin umgebung (p350) zeigt er ja nicht so viel bei diesem befehl an, oder?

Na ja, ich habe jetzt "netstat -ano" in cygwin am amd2000 ausgeführt, also eigentlich am p350mhz - und da ist alles drinnen (P:5900, P:5902 etc.).

Zitat

komisch, dass der viewer nicht aufpopt
kommt ein fehler, wenn du den viewer in der cygwin umgebung startest?

Nein - Fehler kommt keiner. Er scheint einwandfrei gestartet zu sein.
Im Taskmanger am p350mhz unter Prozesse ist die "vncviewer.exe" drinnen

Zitat

X-Forwarding gibsts du ja explizit an (-X)

"ssh Hubert@localhost -X -p 2022", damit verbinde ich immer

Könnte es sein, dass ich in den cygwin-Einstellungen irgendwo noch was umstellen muss?
Mir kommt vor, dass irgendetwas den viewer blockiert. Wenn ich alles in der "cygwin-bash" mache, springt er nicht auf. Auch nicht wenn ich alles in "x-win bash" mache. Aber kombiniere ich beide, dh. Doppeltunnel und Forwardings in der "cygwin-bash", "x-win bash" starten, cmd, vncviewer.exe starten, dann springt er auf!! - Was ist da los?

Das lokale Forwarding in "cygwin" am amd2000 stimmt doch?

Ich glaube, wenn wir den viewer zum "popen" bringen haben wir eine gute Chance!

LG Hubert

Ps: Ich hätte nie gedacht, dass das so schwierig ist...

#49 was ist denn die x-win-bash ?
ich habe mit cygwin noch nie arbeiten müssen (wenn ich das hier sehe, bin ich auch froh)

kann es sein, dass diese bash einen xserver startet?
sprint der viewer auch dann noch auf, wenn du bei keinem der verschiedenen ssh commands das "-X" angibst?

wie verändert sich die variable DISPLAY bei den ganzen shells?
normalerweise findest du dies heraus, indem du echo $DISPLAY eingibst

das würde mich sehr interessieren

Zitat

Das lokale Forwarding in "cygwin" am amd2000 stimmt doch?

du meinst am p350, oder?
du sitzt zwar am amd aber die shell die du vor dir hast ist vom p350

wenn ich zeit finde, werde ich mal deine config selbst hier testen (linux -> vmware windows mit cygwin)

Zitat

Ps: Ich hätte nie gedacht, dass das so schwierig ist...

hm, bin auch bissi genervt
unter linux->linux ist das so easy...und wenn deine firma extern ein ssh gateway anbieten würde, wäre das alles auch sicher kein prob

greez

#50

Zitat

kann es sein, dass diese bash einen xserver startet?

Scheinbar... Ich hab jetzt eíne Fehlermedung in dieser bash produziert, und er schrieb: Welcome to XWin X Server- fatal error - bla,bla,bla...

Zitat

sprint der viewer auch dann noch auf, wenn du bei keinem der verschiedenen ssh commands das "-X" angibst?

Und wie - echt komisch! ... aber verbinden tut er auch nicht
Ich gebe aber nur bei einer Commandline das "-X" dazu - ist das richtig?

Zitat

wie verändert sich die variable DISPLAY bei den ganzen shells?
normalerweise findest du dies heraus, indem du echo $DISPLAY eingibst

In der "normalen" cygwin Umgebung tut sich da auf beiden Rechnern garnichts (er zeigt nichts an)
In der "X Win" Umgebung zeigt er: 127.0.0.1:0.0

Zitat

hm, bin auch bissi genervt
unter linux->linux ist das so easy...und wenn deine firma extern ein ssh gateway anbieten würde, wäre das alles auch sicher kein prob

Dafür freut man sich aber wenn es wirklich funktioniert (ja, wenn..)

Ich werde jetzt "cygwin" noch ein Mal durchforsten, vielleicht habe ich ein Package vergessen zu installieren...

LG Hubert

#51 der sshserver läuft ja in der reinen cygwin umgebung mit X11 forwarding enabled...

wenn nach deinem login (mit -X) auf dem ssh-server die displayvariable nicht gesetzt ist, haben wir irgendwo ein problem

was mir gerade noch einfiel

du hast ja nun auf beiden rechnern eine cygwin umgebung installiert, stimmts?
die umgebung, die du auf dem amd rechner startest, muss einen lauffähigen X server gestartet haben, damit ssh die geforwardeten xapps darstellen kann !
ist dies bei dir der fall?

wenn du ein vncviewer fenster angezeigt bekommst, obwohl -X nicht explizit angegeben wurden ist, dann funkt in irgendeiner art und weise der xserver einer cygwin umgebung dazwischen und es kommt zu komplikationen

greez

#52

Zitat

der sshserver läuft ja in der reinen cygwin umgebung mit X11 forwarding enabled...

Normal schon.

Zitat

du hast ja nun auf beiden rechnern eine cygwin umgebung installiert, stimmts?

Klar

Zitat

die umgebung, die du auf dem amd rechner startest, muss einen lauffähigen X server gestartet haben, damit ssh die geforwardeten xapps darstellen kann !
ist dies bei dir der fall?

Da könnte das Problem liegen!! - Cygwin ist ja kein X-Server (meines Wissens halt nicht) Die X11-Forwardings in den sshd_config's haben damit ja auch nichts zu tun. Es muss ein X-Server laufen, stimmts? - Ich könnte doch auf beiden Rechnern die "X-Win"-Umgebung starten. Mach dann meinen Doppeltunnel auf, lokales Forwarding etc. und suche mir dann den viewer, starte ihn UND ICH BIN JETZT OPTIMISTISCH - ES WIRD GEHEN! (Hoffe ich halt )

LG

#53 Hallo!

Also noch hat das wie oben nicht funktioniert...
Ich bin zur Zeit aber zeimlich im Stress und werde dann wenn wieder ein bisschen Luft ist mal genauer schauen.

Ich poste dann...

LG Hubert

#54 Hallo, ich bin wieder da...

So wie ich das gemeint habe, funktioniert es leider nicht...
Ich poste dir mal (wieder) meine ssh_config bzw. die sshd_config.
Bitte sag mir, ob die so passen bzw. ob alles seine Richtigkeit hat.

Anders als sonst habe ich jetzt die Verbindungen mit "putty" aufgebaut.
Die netstat -ano's beider Rechner habe ich auch hier gepostet (bei doppeltunnel mit l-forwarding, aber ohne vncviewer) - sollte eigentlich auch alles passen (X11 hab ich enabled und zwar bei Putty auf beiden Rechnern !!).


INHALT DER "SSHD_CONF":


$OpenBSD: sshd_config,v 1.68 2003/12/29 16:39:50 millert Exp $

# This is the sshd server system-wide configuration file. See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/bin:/usr/sbin:/sbin:/usr/bin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options change a
# default value.

Port 22
#Protocol 2,1
#ListenAddress 0.0.0.0
#ListenAddress ::

# HostKey for protocol version 1
#HostKey /etc/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh_host_rsa_key
#HostKey /etc/ssh_host_dsa_key

# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 768

# Logging
#obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
#PermitRootLogin yes
StrictModes no

#RSAAuthentication yes
#PubkeyAuthentication yes
#AuthorizedKeysFile .ssh/authorized_keys

# For this to work you will also need host keys in /etc/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

# Set this to 'yes' to enable PAM authentication (via challenge-response)
# and session processing. Depending on your PAM configuration, this may
# bypass the setting of 'PasswordAuthentication' and 'PermitEmptyPasswords'
#UsePAM no

AllowTcpForwarding yes
#GatewayPorts no
X11Forwarding yes
#X11DisplayOffset 10
X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression yes
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS yes
#PidFile /var/run/sshd.pid
#MaxStartups 10

# no default banner path
#Banner /some/path

# override default of no subsystems
Subsystem sftp /usr/sbin/sftp-server

*************************************



INHALT DER "SSH_CONFIG":


# $OpenBSD: ssh_config,v 1.19 2003/08/13 08:46:31 markus Exp $

# This is the ssh client system-wide configuration file. See
# ssh_config(5) for more information. This file provides defaults for
# users, and the values can be changed in per-user configuration files
# or on the command line.

# Configuration data is parsed as follows:
# 1. command line options
# 2. user-specific file
# 3. system-wide file
# Any configuration value is only changed the first time it is set.
# Thus, host-specific definitions should be at the beginning of the
# configuration file, and defaults at the end.

# Site-wide defaults for various options

# Host *
ForwardAgent yes
ForwardX11 yes
# RhostsRSAAuthentication no
# RSAAuthentication yes
# PasswordAuthentication yes
# HostbasedAuthentication no
# BatchMode no
# CheckHostIP yes
# AddressFamily any
# ConnectTimeout 0
# StrictHostKeyChecking ask
# IdentityFile ~/.ssh/identity
# IdentityFile ~/.ssh/id_rsa
# IdentityFile ~/.ssh/id_dsa
# Port 22
# Protocol 2,1
# Cipher 3des
# Ciphers aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc
# EscapeChar ~

******************************************************
Netstat -ano am AMD2000:




Netstat -ano am p350mhz:



Vielleicht findest du etwas - da das x-forwarding nicht funktioniert?
Denn der Viewer springt noch immer nicht auf, obwohl er als Task am p350mhz aufschein....


LG Hubert

#55 sorry, bin mit meinem latein am ende und bei dem ganzen gewusel sieht man remote gar nicht mehr durch

ich würde dir raten, eine native linux maschine aufzusetzen und das ganze von vorn zu probieren

greez

#56 Danke trotzdem, du hast mir sehr weitergeholfen!!
Ich werde es aber trotzdem weiterversuchen - sollte ich etwas herausfinden, dann poste ich es hier...

LG Hubert

#57 Es kann ganz einfach sein...!!

1)
Am HomePC läuft der sshd-Server (in meinem Fall cygwin).
(Installation von "cygwin" mit SSH unter http://tutorials.tanmar.de/cygwin.php bzw. http://www.kfa-juelich.de/zam/docs/tki/tki_html/t0375/t0375.html unter "Konfiguration von ssh & sshd")

Es empfiehlt sich das SSH als Dienst zu starten, außerdem ist es hier wichtig, dass man in der "sshd_config" den Eintrag "#GatewayPorts no" auf "GatewayPorts yes" setzt!!

2)
Am ArbeitsPC muss noch nicht ein Mal ein SSH-Server laufen
Es reicht, wenn man sich "Putty (den SSH-Client)" unter http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
runterläd.
Der (Win)VNC-Server (z.B. http://www.tightvnc.com/download.html) muss natürlich doch laufen (in meinem Fall auf Port 5900). Bei den "Advanced settings" des VNCServers muss noch "Allow loopback connections" eingestellt werden, denn sonst funktioniert gar nichts!

Man starte nun "putty" als nächstes und gibt folgendes ein:

a)
Unter "Host Name (or IP address)":
natürlich die HomePC-Adresse. Etweder die IPAdresse oder man registriert sich bei http://www.dyndns.org und erstellt sich somit eine
"Dynamic DNS" (z.B. seppi@dyndns.org) - das ist vorteilhaft, wenn man eine Dynamische IP besitzt, denn die IP wird "dyndns.org mit Hilfe eines Zusatztools übermittelt" (z.B. DynSite) und der DNS zugeordnet. Es ist so mit sichergestellt, dass sich hinter seppi@dyndns.org immer die "gültige" IP befindet.

b)
Die Porteinstellung lässt man Standardäßig auf 22.
Sprich das "Protocol" auf SSH.

c)
Jetzt geht man zu den Tunneleinstellungen und erstellt das REMOTE-Forwarding lt. nachfolgendem Bild:



Port 5900 ist in meinem Fall der Port, den der (Win)VNC-Server benutzt, es können aber auch andere geforwarded werden (und beliebig viele).

Das heißt:
Source port: 5900
Destination: localhost:5900

Wichtig ist auch, dass man "Remote" anklickt.

Nun auf "add" klicken und es sollte erledigt sein.
(Ob man nun das X11 forwarding wirklich braucht, da bin ich mir nicht ganz sicher, ich habe es vorsichtshalber aktiviert. Man darf nur nicht vergessen, es auch in der "sshd_config" zu aktivieren)

d)
Sollte man die Verbindung öffters brauchen (was man normalerweise auch tut ) empfiehlt es sich das ganze wieder unter "Sessions" zu speichern.
Man gibt bei "Saved Session" den Verbindungsnamen ein und klickt auf "Save".

-> nun solle eigentlich alles gespeichert sein und man braucht bei neuerlichem Start nur mehr auf "open" und eben den Verbindungsnamen klicken.

e)
Nun mit "OPEN" die Verbindung beginnen und es öffnet sich ein Konsolen-Fenster.
Connect as: <Name des LOGIN am HomePC>
Passwort: <Das PW das dazugehört>

-> Die Verbindung sollte aufgebaut sein!

3)
Da der (Win)VNC-Server schon am ArbeitsPC läuft, muss im letzten Schritt nur mehr zu diesem verbunden werden.
Am HomePC startet man dazu den dazugehörigen Viewer, gibt als Serveradresse "localhost" ein, danach noch das PW wie es am (Win)VNC-Server eingestellt wurde - und siehe da, es sollte sich der Desktop des ArbeitsPCs am Bildschirm breit machen .


Wenn man jetzt noch Datenaustausch betreiben möchte, könnte man "radmin"
mit dem default Port 4899 verwenden (http://www.radmin.com/ ist aber keine Freeware sondern nur als Trial verfügbar).
Alternativ können auch die ftp-Ports (20 und 21) geforwardet werden.
Dies ist von mir aber noch nicht getestet worden - sollte aber normal kein Problem darstellen.

Diese ausführliche Beschreibung dient nur der Vollständigkeit dieses Threads!
Vielleicht kann es ja noch jemand brauchen, denn in meinem Fall hat es einwandfrei funktioniert ...

LG aus Kärnten
hupo

#58 Falls es irgend jemanden interessiert, habe ich eine genaue Anleitung zusammengestellt:

http://eduv.fh-kaernten.at/stu/e0314unhu/www/gemeinsam/download/anleitungen/firewall_umgehen.html

Liebe Grüße aus Kärnten

Hupo