VNC, Dameware, Daneware og pc-anywhere

www.radmin.com

Enig. Bruger selv Radmin, og har gjort det i ca. 3 år.
Har aldrig probs og det kører med en god hastighed.

Således ser min opsætning ud:

MinPC1 -- switch -- Firewall(port80) --- internettet \

MinPC2 -- switch -- Firewall(port80) --- Internettet /

Kan Radmin klare dette? Jeg har prøvet at downloade den, men jeg sætter den åbenbart forkert op.

den du skal connete til skal vælge at han skal kunne remotes på port 80 og du skal vælge at forbinde til ham på port 80 det går ganske simpelt!

Jeg glemte måske at nævne at MinPC1 har IP:10.10.2.2 og MinPC2 her IP:192.168.1.25

Hver firewall har også et IP nr. Jeg formoder at det er firewall'endes IP som jeg skal skrive

hvis port 80 er forwardet til dine computere på indersiden så JA, hvis de ikke er forwardet så skal du gøre det!

Gratis eller demo ?? Mulighet for å prøve ??

Jeg sidder i et netværk på flere hundrede og har ikke mulighed for at forward min firewall. Det er netop der problemet ligger.

Da er det tilnærmet en umulighet uten å gå over i rene hacker metoder. Du er avhengig av å ha tilgang til å forwarde fra firewall. Det kan være mulig å forwarde forskjellig alt avhengig av avsender ip, slik at en ip kan havne på remoote controll mens de øvrige havner på web server. Teknikker for "punktering" av firewall uten tilgang til routeren oppsett vil kanskje ikke bli spesielt verdsatt hos eksperten admin. Denne typen brukeratferd er vel det som nettverksadministratore setter aller minst pris på. (men det er mulig.)

Hmmm.. det lyder ikke nemt...
Administrationen vil kun åbne for portene 25,80,110 og de er alle omdiregeret til administrationens server. Men det må da være muligt at modtage pakker som serveren ikke kan bruge eller som direkte har mit lokale IP nr. i headeren af pakken(Service Access Point).
Du siger det ikke vil være verdsatt af admin, men der er jo intet ulovligt i det, da det handler om mine computer begge steder, og ingen af mine administratorne har noget imod det så længe de ikke skal åbne flere porte.

Å sette videreadresseringen som en ekstra informasjon i headeren det mener jeg vil være en umulighet. Det er simpelthen ikke plass. Det hadde kanskje vært en teoretisk mulighet å legge lokal ip inn i datafeltet og så la routeren lese dette og sende videre, men jeg har aldri hørt om noen router som virker på denne måten.

Dersom man setter opp mulighet for remoote pålogging inn på lan slik som du foreslår da har man i virkeligheten brutt ned store deler av de sikkerhetssystemer som finnes for nettverket. Firewall vil da i praksis være nesten uten verdi, fordi det vil være enkelt for en hacker å finne denne veien inn til lan og forbi firewall. Hvis et nettverk inneholder slike "punkteringer" eller mulighet for å lage remoote pålogging inn til PC på lan, da er i praksis store deler av sikkerhetssytemene på nettverket ødelagt. PC inne på lan vil da kunne brukes til videre angrep inn mot nettverket.

Dette er nok noe av grunnen til at det bare er noen få porter som er åpne inn og at de alle er redirected til sine eksisterende servere. Ingen nettverksadministrator vil ønske å sette opp firewall på en slik måte at hvem som helst kan gå inn gjennom firewall og inn på en fjernstyrt PC. Da er man jo inne på lan og klar for videre angrep. Tvert i mot så konfigureres firewallene på en slik måte at dette skal være så vanskelig som mulig eller aller helst umulig å sette opp en slik remote controll av PC inne på lan.

På denne PC'en inne på lan så kan jo en hacker installere alle typer angrepsverktøy via remoote contol, for videre angrep mot lan og servere, fra innsiden av firewall. Hvis det finnes en åpning for pålogging inn til lan så vil en hacker normalt kunne finne den i løpet av 1-2 minutter.

Men du siger det er muligt. Hvordan?

Hej Wired

Du skriver at der kun kan åbnes for bestemte porte. Har man ikke mulighed for at give dig en VPN klient, således at du først connecter med vpn klienten til "remote" site, og derefter aktiverer fjernstyringsværktøjet med serverens interne ip adresse på "remote sitet" ?

Jeg bestemmer 100% over begge maskiner, så hvis en vpn klient kan oprettes og anvendes uden at skulle åbne nye porte, lyder det til at kunne være en løsning. I såfald skal jeg lige sætte mig ind i oprettelsen og anvendelsen af en vpn klient.

Hvis de to firewalls understøtter VPN, bør der i forvejen være lov til dette. Når først du har en VPN tunnel kørende bør der ikke være filtre der begrænser nogen form for trafik.

\Lars

Anvender VPN andre porte end port 80?
Og hvordan finder man ud af om en firewall understøtter VPN.

Nej. VPN anvender ikke port 80. VPN kan bruge flere forskellige porte alt efter hvordan det sættes op.

Hvis du kan finde ud af hvilken type firewall der bruges har du mulighed for at slå den op hos producenten. De plejer at skrive hvis deres firewalls også kan fungere som VPN koncentratorer.

\Lars

Lukketid ?

VNC skal kunne kommunikerer gennem en åben port, for at få forb til din anden pc. Om porten så er åben fra standart i firewallen, eller om du selv skal åbne den er underordnet. Lyder som om du sidder på kollegie, og derfor har lukket af for alt udover mail & web. Tror ikke på der er åbnet for VNC.

I din VNC server, sætter du op hvilken port du skal kunne komme igennem.
Lad os sige du vælger/den står til: 4000

Når du skal connecte med din klient, prøver den at connecte til 192.168.1.25:4000

Men da den ikke er åbnet fra din firewall's side, får du intet svar.

Skulle det være muligt, skulle man ind i firewall'en, og redirecte
192.168.1.25:4000 -> 10.10.2.2:4000

Eller åbne for port 4000 på 192.168.1.25

Firewallen's local IP må være:
192.168.1.1 eller 192.168.1.100
eller noget i den stil..

Du kan jo prøve at se om du kan få adgang gennem din browser, og bryde koden :P

Du kan ikke gøre så meget andet - desværre

Sorry sidder vist og sover lidt..
Du skal ind i firewall2, og åbne for port 4000 på 192.168.1.25.

Dvs skal du connecte fra comp1 -> comp2, skal du connecte
til firewall 2's eksterne IP, og ikke den interne IP, som jeg skrev ovenfor (192.168.1.25).

Husk at VNC = ingen sikkerhed fsva. password. Et godt alternativ er at anvende krypterede tunneller (eks. Zebedee tillader 576bit kryptering + private/public key). En sådan tunnel kan du også få ud igennem port 80 (eks.). Zebedee skal så blot kører i en serverversion (på serveren) og i en klientversion. Din lokale VNC taler så gennem localhost med Zebedee. Al kommunikation krypteres og smides afsted på en valgfri port. På den 'anden side' pakkes data ud og kan så sendes til en valgfri host (eks. localhost). Den VNC der kører her bør (aht. sikkerhed) kun tillade loopback connection. Det skal lige nævnes at Zebedee (www.winton.org.uk/zebedee) leveres med deployment eksempel til VNC.

Meget interessant !! Eksperten har opplysninger om det meste !!

Sorry har været på ferie, men er nu tilbage..

Tomb3: Du har ret i at jeg sidder på det man kan betragte som et kollegie i den ene ende og den anden ende som en arbejdsplads. Jeg har derfor ikke direkte adgang til routeren/firewallen, og ville derfor gerne remote via. port 80. Og her lyder det til at winsys har noget i ærmet.

Winsys: Men vil det sige at jeg kun kan styre server-maskinen?
Jeg ville jo vældig gerne kunne styre min "kollegie maskine" fra "arbejdet".

Alt kan sættes op som en 'server'. En server i Zebedee regi er en maskine hvor Zebedee kører som server. Hvis det er din 'hjemmePC' er dette således intet problem at fjernbetjene denne fra arbejde (jeg gør deet selv). 'Blot' skal du have mulighed for at få trafik ud gennem dit arbejdes FW (eks. tal med din IT ansvarlige).
Hvis du har en router/FW/whatever foran din hjemmePC der så skal tillade inbound på en bestemt port og fra een bestemt IP (dit arbejde - dette er en god ide!). Igennem denne port kan du så kaste al trafik vha. Zebedee. Eks. VNC, Remote Desktop, Proxy, og...og...
Eneste detalje er at der ikke må være nogen FW foran din private maskine der blokerer for inbound og at den trafik der kommer ind bliver forwardet til DIN PC. Ellers virker det ikke, og der er for den sags skyld ikke nogen vej uden om. Blot fordi at du kan surfe Internettet betyder det nemlig ikke at der så kan komme 'uanmeldt' trafik ind fra Internettet.
Et andet alternativ er hvis dit arbejde tillader inbound trafic på bestemte porte (eller du kan få lov til dette fra bestemte IP'er/porte) eller ikke har nogen FW. Zebedee har nemlig en mulighed for at initiere en udgående forbindelse når den er i server mode. Dvs. 'serveren' initiere forbindelsen gennem FW til en ekstern maskine, men er stadigvæk server. For FW er alt normalt (det er jo en maskine på 'indersiden' der har startet forbindelsen) men det er 'ydersiden' af FW som har klienten.
En opsætning med:
client -> FW -> Internet -> FW -> server
kan ikke løses med Zebedee (eller noget andet program mig bekendt) da FW normalt kun tillade udgående trafik og da indgående trafik, som ikke er initieret af den udgående trafik, afvises.

lukketid ?

Jeg har ikke adgang til andre end port 80 og ingen af indgangene (bag routeren) er omdiregeret til mine computer. Ud fra det I skriver kan jeg altså ikke fjernstyre den anden computer, men hvorfor kan vi skrive sammen via messenger og bruge web-cam via messenger?

Nope kan du ikke...

Fordi MSN ikke kræver åbne porte, for at kunne kommunikere.