Verbindung zu einem Firmenserver hinter einer Firewall

#1 Hallo!

Eigentlich habe ich das ähnliche Problem, wie in:
http://board.protecus.de/t8251-1.htm
Nur die Lösung kommt (für mich jedenfalls) nicht ganz zum Vorschein.
Und auch sonst habe ich keine Lösung gefunden...

Zum Problem:
Ich versuche eine Verbindung zu einem PC am Arbeitsplatz zu erreichen, der hinter einer Firmenfirewall ist.
Dort möchte ich gerne einen ftp-, sowie einen VNC-Server laufen lassen.
Und diese mit den Clients am "MeinHomePC" ansteuern.
Also: MeinHomePC --> Internet --> Firewall --> ArbeitsPC
Vom Adim habe ich die Erlaubnis bekommen, doch Port will er mir keinen freischalten. Also muss (will) ich es mit Hilfe von SSH-Tunneling (über Port: 22) versuchen.
(Ins Internet = nach außen wird alles erlaubt nur nach Innen nichts!)
Beide PCs sind WinXP: Am Homerechner läuft cygwin als SSH-Server und am ArbeitsPC Putty als Client (ist diese Anordnung überhaupt richtig?).

Ich krieg nur keine Verbindung mittels ftp (Port 20/21) u. vnc (Port 5900).
Welche Einstellungen sind den notwendig (v.a. die Port forwardings)
Wie sieht es denn mit -R bzw. -L aus (wo setze ich es ein)?

Für euere Hilfe wäre ich sehr dankbar!

LG Hupo

PS: ftp ist nicht so wichtig - Wenn ich eine VNC-Verbindung habe kann ich zwar umständlich, aber doch Daten vom ArbeitsPC zum HomePC schicken, da nach außen alles erlaubt ist

#2 habt ihr von außen irgendwo erreichbar ein ssh gateway? frag zur not euren admin

was du machen kannst: remote ssh port forwarding

dabei baust du von innen aus der firma eine ssh verbindung nach hause auf
von zu hause kannst du diese verbindung nun nutzen und dich zurück ins firmennetz verbinden auf deinen arbeitsplatzrechner, so als sitzt du direkt daran

das erfordert auf beiden pc einen ssh daemon - ein client reicht nicht aus
anders ist das mit ssh niht möglich, wenn der admin keinen port freimacht und du kein ssh-gateway (von außen) hast

da du aber sicher mit windows arbeitest auf beiden rechnern, könnte das ein wenig problematisch werden - habe es bisher nur unter nativem linux im einsatz
aber cygwin sollte es auch können

am ende muss nur noch lokal ein forwarding für deinen vnc client statt finden
aber soweit sind wir noch nicht und performancemässig ist das auch nicht die beste lösung

greez

#3 Hallo Emba!

Danke für deine Antwort!

Also, du kennst dich aus - hab ich schon gemerkt

Wie soll ich das mit dem Gateway verstehen? Ich hab zwar schon davon gelesen, jdoch hab ich's nicht verstanden- Den Admin kann ich zZ nicht erreichen - nehmen wir mal an, wir haben keinen... - aber für was wäre der Gateway denn notwendig? Kann ich nicht meinen HomePC so einrichten? - Habe aber auf beiden Rechnern schon cygwin installiert und auch schon eine Verbindung vom ArbeitsPC zum HomePC hergestellt. Umgekehrt hat es nich funktioniert.
Wenn ich das richtig verstehe, muss auf beiden Rechnern cygwin und putty od. teraterm installiert sein.

Soweit bin ich:
1) Verbindung zum HomePC (also zu cygwin) mit putty o.Ä (bisher ohne Portforwarding)
-> funktioniert...
2) Rückverbindung vom HomePC mit putty (ebenfalls ohne Portf.) zum ArbeitsRechner (wieder zu cygwin)
-> funktioniert nicht (wie gebe ich das an? Die Firewall blockt doch?)

Zitat

Emba postete
... und performancemässig ist das auch nicht die beste lösung

Ich bin immer für Neues offen


LG Hubert

#4 welche dienste werden denn überhaupt von außen von der firewall zugelassen? blockt sie alles? dann musst du es mit einem reverse tunnel machen, wobei dir eventuell noch dieses tool helfen könnte (als ssh alternative) [1]

Zitat

Wenn ich das richtig verstehe, muss auf beiden Rechnern cygwin und putty od. teraterm installiert sein.

wenn beides windows rechner sind, müssen beide die cygwin umgebung UND je einen ssh server installiert haben - die von dir genannten sind doch nur clients, oder?

mit gateway meine ich einen rechner, der von außen erreichbar ist und zugang zu eurem firmennetz hat incl. eines laufenden ssh servers

greez

[1]
http://www.gray-world.net/pr_af.shtml

#5 Die Firewall block nach innen alles und nach außen nichts!

Zitat

Emba postete
wenn beides windows rechner sind, müssen beide die cygwin umgebung UND je einen ssh server installiert haben - die von dir genannten sind doch nur clients, oder?

Tschuldige, da hab ich mich wohl unklar ausgedrückt - ich habe natürlich die "cygwin"-Umgebung (was ganz richtig ist ) installiert, auf der ein "open-SSH"-Server läuft.
Das Tool oben im Link hört sich interessant an, werd das auch mal in Betracht ziehen... - danke!

Zitat

Emba postete
...dann musst du es mit einem reverse tunnel machen...

Genau um das geht es - durch diese Einstellungen blick ich noch nicht ganz durch...

LG Hubert

#6

Zitat

Genau um das geht es - durch diese Einstellungen blick ich noch nicht ganz durch...

wir hatten hier schon einen ähnlichen thread, bei dem ich das einem schüler erklärt habe
such mal danach (stichwort: ssh remote forwarding)

greez

#7 Ich hab unter:
http://www.tecchannel.de/software/1117/8.html
was gefunden.
Hier wird ein Doppeltunnel beschrieben.
Zusätlich wird unter:
http://www.tecchannel.de/software/1117/6.html
noch das Weiterleiten eines VNC-Ports erklärt. (Allerdings nur durch einen "einfachen" Tunnel.
Soweit so gut... das Kombinieren ist jetz halt schwer...

Also einen Doppeltunnel kann ich mit:
ssh benutzer@arbeitsrechner -R 2022:heimrechner:22 //am ArbeitsPC
ssh benutzer@heimrechner -p 2022 //am HomePC
öffnen! - Is ja schon mal ganz gut

Aber wie konfiguriere ich jetzt die Portforwards? Also, dass der Port 5900 von VNC-Client am HomePC durch den Tunnel geschleußt wird, herauskommt und am ArbeitsPC genau den VNC-Server erreicht??

LG Hubert

#8 @hupo

net schlecht, genau so wird ein remote forwarding gemacht

jetzt sagst du, dass der vnc-server auf dem arbeitsplatz rechner meinetwegen auf port 5900 läuft

du müsstest nun auf dem arbeitsplatzrechner folgendes lokales forwarding machen : (ACHTUNG !!! ich habe selbst so ein kompliziertes forwarding noch nicht gemacht, also keine gewähr)

ssh benutzer@arbeitsplatzrechner -L 22:localhost:5900

ob das geht, weiß ich nicht
desweiteren unterbindest du somit weitere logins von anderen auf deinen ssh-rechner auf arbeit, da der jede anfrage an den vncserver weiterleitet

die bessere möglichkeit wäre doch die hier aus dem tecchannel artikel unter dem punkt "Remote Control via VNC"

du musst nur vorher, d.h. bevor du von arbeit nach hause gehst, lokal den VNC port nach hause forwarden, die VNC-Viewer applikation starten und diese wird dann nach hause "weitergeleitet" und sollte dort ihre ausgaben präsentieren (wenn denn nicht ein ssh oder X sicherheitsfeature dies unterbindet - einfach versuchen)



greez

#9

Zitat

Emba postete
...desweiteren unterbindest du somit weitere logins von anderen auf deinen ssh-rechner auf arbeit, da der jede anfrage an den vncserver weiterleitet...

Das ist mir nur recht

Das mit dem "Remote Control via VNC" muss ich mir anschauen - aber heute, merke ich, geht nix mehr
Das mit dem Forwarden ist schon eine verstrickte Lage -

Zitat

Emba postete
...lokal den VNC port nach hause forwarden...

Diese Syntax bringe ich heute nicht mehr zusammen (Durch eine Doppeltunnel irgendetwas weiterleiten -> abstrakt) ...

LG Hubert

*********************************************************
Hallo (heute geht es wieder)!

Also ich fasse die Schritte ein Mal zusammen (so wie ich sie mir vorstelle)

Vorausgesetzt wird cygwin mit open-SSH (als Dienst) und putty o. Ä. auf beiden Rechnern installiert!


1)
Zuerst mit putty vom ArbeitsPC zum HomePC verbinden
(ohne Portforwardings etc. also keine Einstellungen)

2)
Doppeltunnel aufbauen:

(in der DOS-Shell od. im offenen Fenster von putty am ArbeitsPC)
ssh benutzer@arbeitsrechner -R 2022:heimrechner:22

(in der DOS-Shell am HomePC)
ssh benutzer@heimrechner -p 2022

3)
lokal den VNC port nach hause forwarden:
(in der DOS-Shell am ArbeitsPC)
ssh benutzer@arbeitsplatzrechner -L 22:localhost:5900

4)
VNC-VIEWER starten am ARBEITS_PC starten!!
(VNC-Daten werden nach Hause geschleußt)

5)
Am HomePC ebenfalls den VNC-Viewer starten
und die der Desktop des ArbeitsPCs sollte angezeigt werden

Bitte korrigiere mich, sollte ich mich geirrt haben!

Ist Schritt 1) überhaupt notwendig?
Bei Schitt 2): Muss ich mich hier mit putty verbinden (ohne Portf.) und gebe den Syntax dann in diesem Fenster ein, oder stimmt meine Version?

Danke für deine Hilfe!

LG Hubert

#10 Das mit dem Doppeltunnel hat soweit funktioniert!

Hat eigentlich der Port: 2022 aus 2) mit dem Port: 5900 aus 3) etwas zu tun?
Müssen diese gleich sein (irgendwie glaub ich's ja nicht aber...)??

Das ich den VNC-Viewer und den Server gleichzeitig auf dem Arbeitsrechner laufen lasse ist mir auch ein wenig suspekt.

Zitat

die bessere möglichkeit wäre doch die hier aus dem tecchannel artikel unter dem punkt "Remote Control via VNC"

Worin unterscheidet sich diese von der 1. Möglichkeit, wie sie weiter oben beschrieben wird?

Punkte 2-3)
Würde der "Remoute Control via VNC", wie beschrieben folgend aussehen?
ssh benutzer@HomePC -L 5902:HomePC:5900?

Ich glaub ich kappiers wirklich nicht !

LG Hubert

#11 hm...das ist echt verzwickt

die tecchannel lösung scheint nun doch nicht die zu sein, nach der du suchst (es war auch für mich schon spät )

und das mit dem mehrfachen forwarding klappt sicher auch erst nach zahlreichen probieren (wenn überhaupt)

ich habe das szenario durchgespielt und folgenden lösungsvorschlag für dich:

aktiviere auf dem rechner, auf dem der vncserver läuft, das X forwarding in der sshd_config
sshd neustarten

1) remote tunnel, wie in (2) beschrieben aufbauen (ACHTUNG: bei dem zweiten befehl von dir bitte noch die option "-X" als ersten parameter mit angeben [wie "-l" halt] )

2) da du nun wieder von zu hause auf deinen arbeitsplatzrechner zugreifen kannst (und eine shell hast), führe folgenden befehl auf deinem arbeitsplatzrechner aus (du arbeitest immer noch von zu hause aus)

vncviewer

3) jetzt sollte sich der viewer öffnen und du musst nur noch angeben, dass der vncserver auf localhost:0 lauscht (default)

greez

#12 Schon ziemlich kompliziert ...

Danke auf jedenfall für deine Hilfe!

Du meinst also:

sshd_config editieren (in meinem Fall am ArbeitsPC):
1) "X11Forwarding no" auf "X11Forwarding yes" und SSH-Server neustarten

2)Doppeltunnel aufbauen:

(in der Shell am ArbeitsPC)
ssh benutzer@arbeitsrechner -R 2022:heimrechner:22

(in der Shell am HomePC)
ssh benutzer@heimrechner -p 2022

3) ssh benutzer@HomePC -X -L 5902:HomePC:5900

4) "vncviewer" ausführen (am ArbeitsPC aber von Zuhause (in der offenen Shell))

5) VNC-Server am ArbeitsPC?? auf <localhost:0> "lauschen" lassen - wie beschrieben:



Hast du die Befehlsabfolge so gemeint?
Bitte korrigiere mich, sollte ein Punkt falsch sein (oder überflüssig...)
Im Punkt 2) -3) bin ich mir nicht ganz sicher...
Und Punkt 4) - wie mach ich das? Und erscheint dann das VNC-Client Fenster am HomePC Desktop, damit ich den ArbeitsPC steuern kann?


Danke!

LG Hubert

#13 punkt 3: fällt weg
punkt 4: einfach in der kommandozeile, die du nach schritt 2 bekommst, vncviewer eingeben (der ist doch unter cygwin installiert, oder?)
zur letzten frage: ja

ich sehe gerade, dass du winvnc benutzt
jetzt weiß ich nicht, wie sich das mit cygwin verträgt
mach einfach mal nach punkt 2 in einer kommandozeile als root

netstat -tanp

und paste den output

greez

#14 Danke!
Jetz hab ich eine grobe Syntax!

Zitat

Emba postete
...punkt 4: einfach in der kommandozeile, die du nach schritt 2 bekommst, vncviewer eingeben (der ist doch unter cygwin installiert, oder?)...

Ich benutze WinVNC und der ist unter Windows installiert.

Weiter oben hast du gepostet:

Zitat

Emba postete
ACHTUNG: bei dem zweiten befehl von dir bitte noch die option "-X" als ersten parameter mit angeben [wie "-l" halt]

Meinst du den zweiten Befehl im Punkt 2) ?
ssh benutzer@heimrechner -X -p 2022

Den Syntax:
netstat -tanp
werde ich mal probieren, und sag dir dann Bescheid...

LG Hubert

#15 ich weiß halt nicht genau, wie cygwin und windows interagieren
es kann sein, dass du noch einen vncviewer in die cygwin umgebung installieren musst, den du dann innerhalb des sshtunnels starten kannst

der befehl mit -X ist richtig, so meine ich das
netstat bitte auf dem arbeitsplatzrechner und erst, wenn ssh reverse tunnel aufgebaut sowie vncserver läuft

greez