|
VNC dostep z zewnatrz
|
| kinimod |
Dodano 02-10-2007 14:20
|
User
Posty: 51
Dołączył: 25/08/2007 12:22
|
Witam!!
Troche czytalem na forum o przekierowaniu portow, ale chcialem sie zapytac, abym mogl swobodnie z zewnatrz korzystac z VNC to jak ma wygladac to w ustawieniach tomato?
Pozdrawiam i z gory dziekuje za odpowiedz
p.s Moje IP publiczne to 89.76.82.xxx
natomiast lokalne 192.168.1.100
Edytowany przez kinimod dnia 02-10-2007 14:22
|
| |
|
|
| jimmy |
Dodano 02-10-2007 15:09
|
Super User
Posty: 464
Dołączył: 15/03/2007 19:13
|
Poszukaj na forum - swego czasu pisałem na ten temat duużo (bodajże w dziale free zone) - wtedy o sprawę pytał bodajże pink. Z tomato da się naprawdę fajne sztuczki zrobić. |
| |
|
|
| qba |
Dodano 02-10-2007 16:38
|
Maxi User
Posty: 844
Dołączył: 04/03/2006 09:21
|
robisz przekierowanie portu 5900 na kompa i z zew laczysz sie z zew IP |
| |
|
|
| mgregor |
Dodano 02-10-2007 18:25
|
User
Posty: 199
Dołączył: 12/08/2006 10:41
|
5900 to dla klienta. A jak bedzie sie chcial laczyc przez strone to jeszcze 5800. |
| |
|
|
| jimmy |
Dodano 02-10-2007 19:13
|
Super User
Posty: 464
Dołączył: 15/03/2007 19:13
|
Można i tak ale wtedy każdy ze skanerem portów może próbować Ci się włamać  Lepiej nie robić forwarda tylko tunelem po ssh na router i stamtąd do PCta. |
| |
|
|
| kinimod |
Dodano 02-10-2007 20:07
|
User
Posty: 51
Dołączył: 25/08/2007 12:22
|
Dzieki za info, ale mam kilka pytan do Twojego wytlumaczenia dla Pink, a mianowicie:
1) Jesli mam w tomato ustawionego demona ssh to ma byc wlaczona jeszcze opcja remote access? Jesli tak to jaki numer portu tutaj mam wpisac?
2) W tych ustawieniach co podales to podczas logowania sie niestety ale mowi mi ze mam bledne haslo, a mam przeciez login i haslo podac z routera, czy sie myle? |
| |
|
|
| SlyT |
Dodano 02-10-2007 20:10
|
Power User
Posty: 366
Dołączył: 15/09/2006 23:44
|
Cytat jimmy napisał/a:
Można i tak ale wtedy każdy ze skanerem portów może próbować Ci się włamać Lepiej nie robić forwarda tylko tunelem po ssh na router i stamtąd do PCta.
A tak to co ? Skaner portow i skrypt do brute force ssh.
Najlepiej przekierowac sobie wysoki port nieidentyfikujacy uslugi na port na ktorym dziala VNC.
Linksys E2000 Tomato 1.28 shibby's compilation
Linksys EA6700 FreshTomato
|
| |
|
|
| jimmy |
Dodano 02-10-2007 20:29
|
Super User
Posty: 464
Dołączył: 15/03/2007 19:13
|
SlyT nie tak łatwo - z brute force nie podziałasz jeśli zastosujesz zabezpieczenie z kluczem prywatnym i passphrase. W sumie może i się da ale współczuję komuś komu będzie się to chciało robić tylko po to żeby się do domowego LANa wbić.
Kinimod - opcja remote access nie musi być ustawiona (to jest od zarządzania tomato z zewnątrz). Lepiej nawet żeby nie była dostępna wtedy nikt nawet "przez przypadek" nie dostanie się do routera (żeby dostać klucz prywatny i passphrase). Jeśli chcesz zarządzać tomato z zewnątrz to wystarczy jak przekierujesz w puttym dodatkowy port na adres routera:80. Ponieważ jesteś na routerze jesteś "widoczny" jako część LAN a nie WAN. W przeglądarce z puttym wpisujesz http://localhost:XXXX (przekierowany port) i voila.
Przy logowaniu przez ssh podajesz login root a nie admin - hasełko to samo. Ale jak już to zestawisz i będzie działać to zmień zabezpieczenie na oparte o klucz prywatny i passphrase. No i oczywiście warto dać szyfrowanie także na połączenie vnc (np. wtyczki dsm dla ultravnc). To na wypadek jak ktoś Ci się wbije do LAN np. przez wifi. |
| |
|
|
| kinimod |
Dodano 02-10-2007 21:07
|
User
Posty: 51
Dołączył: 25/08/2007 12:22
|
A gdy juz mi to wszystko dziala, to co wpisuje podczas uruchamiania VNC do podgladu?
Bo juz serwer stoi i teraz tylko chce wytestowac czy nawiaze polaczenie. |
| |
|
|
| jimmy |
Dodano 02-10-2007 21:11
|
Super User
Posty: 464
Dołączył: 15/03/2007 19:13
|
W oknie łączenia vnc wpisujesz localhost:5900 czy na jakim tam porcie ustawiłeś przekierowanie na vnc server. Np. w puttym masz przekierowane z localhost:8888 na 192.167.0.5:5900 (zakładam że na tym ip i porcie stoi vnc) to wpisujesz w vnc localhost:8888. Na początek próbuj bez szyfrowania w vnc bo np. w ultra vnc wystarczy drobna różnica wersji plugina kodującego i już nie chce działać. |
| |
|
|
| kinimod |
Dodano 02-10-2007 21:19
|
User
Posty: 51
Dołączył: 25/08/2007 12:22
|
wszystko jest niby zrobione tak jak powinno byc, no ale przy polaczeniu pojawia mi sie okienko ze:
"The connection closed unexpectedly"
Oczywiscie przy ciagle otwartej sesji w puttym
Edytowany przez kinimod dnia 02-10-2007 21:24
|
| |
|
|
| SlyT |
Dodano 02-10-2007 21:23
|
Power User
Posty: 366
Dołączył: 15/09/2006 23:44
|
Cytat jimmy napisał/a:
SlyT nie tak łatwo - z brute force nie podziałasz jeśli zastosujesz zabezpieczenie z kluczem prywatnym i passphrase. W sumie może i się da ale współczuję komuś komu będzie się to chciało robić tylko po to żeby się do domowego LANa wbić.
Ale ja nie pisze ze latwo. Portem jednoznacznie identyfikujesz usluge. Chodzi o to ze zostawisz otwarty port 22 i juz masz tysiace prob. I po co ?
Poza tym stosujesz szyfrowanie w VNC np. AESem i zabezpieczenie rownie skuteczne.
Edytowany przez SlyT dnia 02-10-2007 21:25
Linksys E2000 Tomato 1.28 shibby's compilation
Linksys EA6700 FreshTomato
|
| |
|
|
| jimmy |
Dodano 02-10-2007 21:25
|
Super User
Posty: 464
Dołączył: 15/03/2007 19:13
|
Znaczy że coś vnc się rozłączył. Jakiego używasz? Spróbuj może na początek sprawdzić połączenie przy przeforwardowanym porcie (tak jak proponowano wcześniej). Jeśli to zadziała to testuj dalej z tunelem ssh. Mnie dobranie działającej konfiguracji zajęło kilka dni, ale musiałem przebić się przez proxy z autoryzacją i powalczyć z nie działającym pluginem szyfrującym do ultra vnc.
Rozwiązanie z przekierowaniem portu jest najprostsze ale najmniej bezpieczne. To drugie - owszem skomplikowane (zwłaszcza, że musisz mieć np. na penie klucze do ssh i dsm) ale powinno być bardziej bezpieczne - a po jednorazowym skonfigurowaniu nie sprawia problemów. |
| |
|
|
| jimmy |
Dodano 02-10-2007 21:29
|
Super User
Posty: 464
Dołączył: 15/03/2007 19:13
|
SlyT - nie twierdzę, że to rozwiązanie jest "jedynie słuszne". Mnie się przydaje bo będąc na routerze i odpowiednio przekierowując porty mam dostęp do wszystkich kompów w lan (czy to ftp, vnc czy inne) z otwartym jednym portem (wcale nie musi to być 22 ssh ale np. 9998). Poza tym mam np. zarządzanie tomato z "LAN" i zarządzanie bramką voip. |
| |
|
|
| kinimod |
Dodano 02-10-2007 21:33
|
User
Posty: 51
Dołączył: 25/08/2007 12:22
|
Ja obecnie uzywam REAL VNC 4.2.9 wersja Enterprise.
Czyli tak w skrocie co mam mniej wiecej teraz zrobic? |
| |
|
|
| jimmy |
Dodano 02-10-2007 21:54
|
Super User
Posty: 464
Dołączył: 15/03/2007 19:13
|
Do testów samego działania vnc - przekieruj na tomato port 5900 na docelową maszynę i spróbuj się podłączyć. Jeśli rozłącza tak jak poprzednio to testuj aż rozwiążesz problem. Jeśli działa to wyłącz forward portu, skonfiguruj tunel i połączenie i wtedy testuj. |
| |
|
|
| pink |
Dodano 03-10-2007 09:27
|
User
Posty: 79
Dołączył: 25/04/2007 00:27
|
tak pytalem
jimmy pomogl za co dzieki jeszcze raz 
powiedz mi prosze czy warto wchodzic w temat OpenVpn?
Edytowany przez pink dnia 03-10-2007 09:28
|
| |
|
|
| jimmy |
Dodano 03-10-2007 12:38
|
Super User
Posty: 464
Dołączył: 15/03/2007 19:13
|
Nie bawiłem się tym. Dla mnie liczy się tylko, że z LAN mogę się podłączyć do sieci firmowej a to jest niejako "w drugą stronę". Poza tym ta opcja chyba dopiero weszła w nowej wersji tomato - ja tam zostaję przy 1.06. Działa dobrze a nowe wersje nic nowego dla mnie nie wnoszą. |
| |
|
|
| SlyT |
Dodano 03-10-2007 12:52
|
Power User
Posty: 366
Dołączył: 15/09/2006 23:44
|
Jesli chodzi o OpenVPN to jak najbardziej warto sie bawic, ale konfiguracja wymaga znajomosci angielskiego (nie spotkalem sie z opisem po polsku) oraz pewna wiedza nt. protokolow sieciowych.
Kolejnym aspektem jest to ze standardowo Tomato nie ma OpenVPN. natomiast pojawiaja sie mody oprpgramowania Tomato z OpenVPN (dslreports ?). Oczywiscie w przypadku OpenWRT nie ma problemu z doinstalowaniem wymaganych pakietow.
Linksys E2000 Tomato 1.28 shibby's compilation
Linksys EA6700 FreshTomato
|
| |
|
|
| kinimod |
Dodano 03-10-2007 21:36
|
User
Posty: 51
Dołączył: 25/08/2007 12:22
|
jimmy wielkie dzięki za pomoc, wszystko śmiga, teraz tylko muszę poprawić bezpieczeństwo |
| |
|
' target='_blank'>Link
