VNC vs. VPN

Lige en tilføjelse til mit problem. Jeg er altså i tilfælde af VPN løsningen ikke interesseret i at skulle installere et program på klienten. Så er jeg jo ikke bedre stillet end jeg er med min nuværende VNC løsning. Det jeg vil frem til er en løsning, hvor jeg kan logge på overalt - sikkert, vel at bemærke!

>Hvad er den umiddelbare forskel på VNC og VPN?
VNC lader dig overtage en desktop - VPN sætter den maskine du kommer fra ind på et virtuelt privat netværk.
Det betyder du kan bruge værktøjer fra din lokale pc på remotenetværket - også mounte diske og alt det andet sjove. - Der er en kæmpe forskel.

>Fordelen fremfor VNC skulle være inden jeg skifter?
Fordelene er mange - de mest markante er, at du ikke er bundet af blot at kigge på en remote computer - du har nemlig fået din egen maskine ind på det samme netværk.

>Men er en sådan så kryperet?
Ja den er krypteret - du skaber faktis en tunnel til netværket som er svær at brude ind i.

Du har lidt misforstået tingene. VPN er sikkerhed, VNC er fjernadministration, og det bedste er bestemt at kombinere de to. Man kan sige uden VPN er VNC meget usikkert, faktisk helt ubeskyttet.

Du bør altså køre VNC gennem VPN hvis du vil have sikker fjernadministration.

VPN kan ikke umiddelbart give dig fjernadministration
VNC kan ikke give dig sikkerhed

Kombiner de to

Enten det eller ssh gennem vpn

bufferzone - jeg misforstår muligvis noget. Det vil altså sige jeg ikke er "bedre" stillet end den secure VNC løsning jeg har fra http://community.3sp.com . Den jeg anvender er dog ikke den nyeste udgave da jeg heldigvis fik en version hentet inden det kostede penge :)

Mit ønske om at undgå installation af programel på en klient kan altså ikke lade sig gøre? Jeg tænker på de muligheder der allerede er i win xp - oprettelse af VPN forbindelse og derefter anvende fjernskrivebord. Er dette muligt?

Jeg har set jeres svar - vil dele pointene, men vil gerne have vished for hvad I mener med at kombinere VNC og VPN. Som jeg forstår jer er det hvad jeg gør nu?

/ Carsten

Det er Linux PC'en som har VNC server og så er det Windows som skal fungere som en klient ?

Windows XP har jo ellers VPN klient som standard. Mener at den faktisk har to alternative VPN klienter, uten at jeg i øyeblikket husker detaljene. Et interessant spørsmål vil da kunne være: Hvordan setter man opp en VPN server funksjon på Linux slik at man kan logge seg på via en av de de to standard VPN klientfunksjon som finnes hos XP (Hvis det nå er riktig at det finnes to slike.)

Vet på stående fot ikke hvordan dette kan gjøres, men jeg tror det kan gjøres og jeg kunne tenke meg å finne ut av det. Noen som vet, svaret, dvs den praktiske framgangsmåten ?!

Mener at det også skulle gå an å kjøre VNC via kryptert forbindelse slik at dette også blir rimelig sikkert. Er ikke sikker på hvordan man gjør dette heller. Noen som vet ?

Foruten VPN så er det jo også noe som heter ssh tunnelling og det fungerer jo i prinsipp litt likt med en VPN forbindelse, man får i det minste kryptert de fleste forbindelsene (minus ftp) via ssh port 22. Har brukt dette tidligere ifb med bruk av Webmin.

Hva med å forsøke å finne ut, rent praktisk:

A. Hvordan man setter opp VPN forbindelsen (Linux server pluss Windows klient, hvis det blir rett.)
B. Hvordan man eventuelt krypterer, VNC hvis dette er mulig.

cjmaak -> Beklager, så ikke det siste innlegget.

Hvilket produkt er det du bruker fra 3sp konkret ? Er det slik at du har en VNC løsning som kjører kryptert allerede ? Kan denne bruke web browseren som klient akkurat slik som den vanlige VNC eller kreves det en spesiell klient ?

Ser at 3sp beskriver ssh tunnling prinsipper for noen av produktene. Har satt opp SSH tunnelig tidligere ved hjelp av putty som er gratis, og det har fungert meget bra. Er usikker på om dette bare vil fungere i forhold til Linux eller om det er mulig å sette opp server funksjon på dette hos Windows.

Hmm, noget tyder på jeg har fundet et ret interessant emne :)

Langbein, nej My3SP som programmet hedder anvender jeg fra min xp maskine og tilbyder ikke browser adgang. Det er netop dette jeg gerne vil undgå - hvilket er årsagen til jeg startede dette spørgsmål. Min tanke er som du også er inde på Langbein, at der må findes et eller andet til linux der gør det muligt at logge sikkert på via sin browser og eller fjernskrivebordet.

Du mener at du ønsker browser tilgang ??

Det skal også være slik at du i prinsipp er i stand til å opprette den krypterte forbindelse fra web kafeer, fra hoteller eller hvor du er ?

Det sentrale behov er å kunne komme i kontakt med maskinen hjemme og eventuelt kunne få gjort "tingene" der. Rett forstått ?

Spørgsmål:
Du mener at du ønsker browser tilgang ??

Svar:
Jeg ønsker en løsning der ikke forudsætter, at der installeres mere programel end det der standard er med i Windows (XP). Så ja, jeg ønsker muligheden for tilslutning fra alle steder der er net - ønsker friheden.

Hvis du ikke vil have programel ud til klienten, kan du ikke bruge ssh eller vpn !
Men hvis en VNC server kan køre krypteret - eller SSL kan den jo nås fra en almindelig browser

skau - det store spørgsmål er netop hvordan jeg får en krypteret VNC forbindelsen når en sådan er oprettet mellem en browser og min linux maskine. Hvorfor har jeg ikke bare spurgt om det fra starten..

Jeg tror at VPN vil virke slik at du vil måtte ha administratorrettigheter på klientmaskinen for å kunne etablere en slik forbindelse, og dette har man jo vanligvis ikke rundt om på arbeidsplasser, webcafeer, hoteller og slikt. Tror det er slik at Windows XP har et par VPN klienter som man kan aktivisere dersom man har administratorrettigheter på klientmaskinen. (Mon ikke det er rett ??)

Et annet vilkår eller forutsetning vil vel også være at det nettverket som klienten er på tillater den datatransporten som VPN klienten benytter seg av. Dette er vel kanskje ikke alltid tilfellet (??) (Firewalls, natforbindelser, osv).

Når det gjelder ssh så bruker jeg den løsning at jeg har liggende ssh klinten putty i root directory på min hjemmeserver. Når jeg så taster http://domene.dk/putty.exe så lastes putty programmet til klientmaskinen. Jeg velger så "eksekver programmet" og jeg har så kjørende en ssh klient uansett hvor jeg er. Dette fungerer i praksis på de aller fleste web kafeer, hoteller og hvor det måtte være. (For putty skal ikke skrive data noen steder, den skal bare kjøre som klient.)

Bruker dette først og fremst for shell access til Linux.

Har også brukt den til ssh tunneling for andre services og protokoller, først og fremst for remoote access til web baserte konfigurasjonsgrensenitt.

Dersom man setter opp en ssh tunneling for port 80 web server, så virker dette slik at de lokale requestene til port 80 "redirectes" og krypters for så å sendes ut via port 22, ssh. Vel framme på serveren så skjer det en ny "redirection" der "signalene" fra port 22,ssh "sendes videre til web serveren på port 80. På en trafikkmonitor så kan det se ut som man kjører port 22, ssh. I virkeligheten så "sufer" man på web serveren og port 80.

Da jeg satte opp dette så var det kun nødvendig å konfigurere dette på putty klienten. Den tilsvarende funksjonalitet var der som default fra før av på serveren (RedHat Linux) slik at det ikke var nødvendig å sette opp noe her. Fant framgangsmåten for ssh tunneling via putty på internett via Google.

Spørsmålet blir kanskje noe slik som: Desom man setter opp en ssh server funksjon på Windows, vil man da kunne få til en tilsvarende funksjon på en Windows "server" ?

Eller var det slik at det kun var et Linux grensenitt man ønsket opp remoote ?

Her har vi noe som handler om tunnelling dvs kryptering av mail funksjoner. Prinsippet må vel bli noenlunde det samme uansett hva man skal "tunnelle". (Med unntakk av visse tjenester, for eksempel ftp der dette ikke virker.)

Samler litt data for å se om det går ann å få til noe..

http://www.cs.purdue.edu/facilities/access/ssh-tunnel.shtml

Her har vi en artikkel om hvordan sette opp X11 tunnelling via putty.

Men hva vil nå dette si i praksis, og hva er X11, det samme som X-windows ? og hva er X-Win32 slags program, hvilken plattform skal det kjøres på og hva skal det brukes til ?

http://e.molioner.dk/guides/puttyx11

Mer om mail, men jeg mener å kjenne igjen detaljene for den helt generelle konfigureringen:

http://www.surferz.net/~marina/ssh_tunneling-win.html

Satte opp en ssh tunnel via putty akkurat nå. Brukte den siste linken fra surferz net. Fungerte veldig bra. Satte opp tunnelling for port 80 web server.

Sitter ellers på en maskin der jeg ikke er logget på med administratorrettigheter og på et nettverk med "normal sikkerhet".

Framgangsmåte:

Man bruker de skjermbildene som linken viser.

I feltet source port så setter man for eksempel "80".

I feltet destination så setter man for eksempel "domene1.dk:80"

Så logger man seg på Linux serveren på vanlig måte via putty.

I det man får shell access så opprettes også tunnelling.

Hvis man for eksempel i egen lokal browser taster http://localhost så kommer man remmote inn på Linuxserverens web server via ssh / port 22 og hele forbindelsen er kryptert.

Ville vel anta at dette også skulle fungere bra for en VNC server som kjører på Linux. Hvis det der i mot dreier seg om en VNC server som kjører på en remoote windows, så vet jeg jo ikke, men jeg ville tro det går bra. I så fall så må man vel som en forutsetning sette opp en ssh server på windows maskinen. Hvor finner man eventuelt denne ?

Hva er det som ønskes opp som remoote grafisk shell, er det Linux X windows eller er det Windows XP ?? (Bruker selv bare Linux uten X-win så det eneste jeg eventuelt kan få testet ut det blir vel VNC server på Windows.)

Når det gjelder VNC standard eller tight så har jo disse web Java klienter og her går det vel kanskje ann å lage et tunneling arrangenment. (Hvis Windows ssh server støtter dette.)

Hvis du vil kontrollere hvilken trafikk du har kjørende fra til din Windows klient så finnes det en gratis trafikkmonitor, TCPView:

http://www.sysinternals.com/ntw2k/utilities.shtml

Det finnes også et tilsvarende program for Linux. Dette heter "iptraf" og det er en del av standardrpmene, i hvert fall til RedHat.

Også TCPView kan legges inn i roten (ellr hvor det måtte passe) på Linux serveren slik at man kan laste dette remoote til den Windows maskinen man måtte sitte på. (Fungerer likt med å laste putty.exe fra remoote posisjon.)

.. Men hva er egentlig "det optimale ønske", en remoote X-Windows desktop, en remoote Windows desktop eller noe annet ?

Selv så bruker jeg kun shell mot Linux, og det er jo ellers helt ukomplisert med ssh/putty, eventult Webmin med ssl slik at det eventult nyttige for meg det ville være en kryptert remoote Windows desktop, for da ville jeg jo kunne gjøre "alle arbeidsstasjonsting remoote". (Bruker altså Windows workstation.)

Er det slik at du ønsker en remoote Linux workstation ?

Langbein> Han vil ikke installere noget software på klienten - det er det der er udfordringen - det er nemt nok at sætte en ssh tunnel op, men det kan man ikke uden at installere en ssh klient på klientmaskinen !

Da er vel VPN utelukket, skulle man tro (For denne krever vel administrator rettigheter på klienten ?).

Når det gjelder ssh tunnelling så har jeg brukt dette i flere år tidligere uten å installere noe program på klienten, og jeg har brukt det på web kafeer og alle mulige steder jeg har vært. Hemmeligheten var bare å legge inn putty på web serverens web root directory (eller et annet sted) og så starte den på klineten fra klientens web browser slik: http://domene1.dk/putty.exe (Det finnes noen få steder der dette ikke fungerer, men normalt så går det bra.)

Putty er et lite program som laster i løpet av et sekund eller to, og man behøver ikke å lagre eller å installere det, bare eksekvere. I praksis så har dette fungert så bra i løpet av de årene som jeg har brukt denne løsningen at det i grunne ikke har vært noe behov for å finne på noe annet.

Det finnes imidlertig også en annen mulighet, å kjøre en ssh klient som er en Java plugin. Jeg ser at man også kan sette opp tunneling via denne Java plugin klienten, men dette har jeg sånn sett foreløpig ikke prøvd eller testet. (Mulig jeg oppretter et nytt eksperten spørsmål for å finne ut av dette.)
Eksempel på bruk: http://ramses.smeyers.be/homepage/links/

Fant hjemmesiden til den Java baserte ssh klienten. Her finnes det vel også en installasjonsveiledning. http://www.appgate.com/products/5_MindTerm/

http://www.appgate.com/products/80_MindTerm/110_MindTerm_Download/index.php

Til info: http://www.eksperten.dk/spm/539918
(Synes dette blir et helt nytt spørsmål.)

Her fant jeg ellers en ssh java klient der man kan logge på en hvilken som helst ssh server. SSH tunneling fungerer også helt fint. Det kan se ut som om denne ssh klienten også kan ivareta ssh tunneling for ftp (det trodde jeg ikke var mulig.)

Oppsettet er stort sett likt som for tunnelling via putty og man logger seg på remoote for eksempel slik: http://localhost

http://www.oit.duke.edu/sa/security/ssh.html

Foreløpig så har jeg ikke funnet ut av å installere dette slik at det hele kan kjøre fra egen server. Har som nevnt opprettet nytt spørsmål for dette.

For de som ønsker å prøve java klienten fra duke.edu

Måten å sette opp tunnelling på ser ut til å være litt forskjellig fra putty.

Hos putty så definerer man først tunellene og når man så logger seg på så opprettes de krypterte tunellene samtidig.

Her ser det ut til å skje i motsatt rekkefølge. Først så må man logge seg på og der etter så kan man opprette de krypterte tunellene man har bruk for. Synes nesten dette er den mest logiske varianten.

Synes den java baserte klienten er den som er enklest å sette opp med hensyn til krypterte nunneller selv om jeg har brukt putty i lange tider fra før av. (Java klient for første gang i dag.)

Håper at "noen" finner ut av hvordan man setter opp java klienten på egen server slik at man slipper å være avhengig av å linke denne inn fra en ekstern server (duke.edu eller andre.)

Det er jo ellers ingen grunn til å tro at ikke VNC kan kjøres via tunneling slik at dette kan skje med full sikkerhet ..

Mye interessant på en gang:
http://jakarta.apache.org/site/cvsonwin32.html

http://www.linuxsecurity.com/feature_stories/feature_story-88.html

Til info. http://eksperten.dk/spm/540061

Hvis det som var det sentrale budskap eventuelt druknet i alt annet, så var det enkele budskapet:

Man kan altså sette opp en kryptert tunell via en SSH. Dette kan gjøres enkelt ved å laste putty.exe "online" fra server. Man skal ikke installere bare eksekvere. Der etter så konfigurerer man tunellen(e). Noen av linkene over viser hvordan.

Aller enklest er det å bare klikke på denne linken som inneholder en ferdig Java applet som er en ssh klinet som kan tunneling og det hele (denne er nesten selvforklarende):

http://www.oit.duke.edu/sa/security/ssh.html

De aller fleste typer datatransport kan kjøre gjennom en slik kryptert tunell, dette inkluderer etter all mulig sannsynlighet også den ordinære VNC applikasjonen sin web klient.

Man kan med andre ord kople seg inn remoote til ens Linux server via en kryptert ssh forbindelse for de aller fleste typer tjenester.

(Og er man fornøyd med å klikke på andre sine Linker for å få opp en slik Java klient, så behøver man ikke noe mer.)

Og til sist en liten korreksjon:

Har nå testet fram og tilbake og satt opp "krypterte tunnels av alle typer".

Det som jeg faktisk synes fungerer best, det er den opprinnelige løsningen der man altså legger et eksemplar av putty.exe på web serveren slik at den kan eksekveres (men ikke installeres) ute på klienten. Dette er enkelt og det fungerer. Det er faktisk temmelig enkelt å sette opp.

Den Java baserte ssh klienten fungerer også og man kunne kanskje tenke seg at man har java varianten som en reserve for de tilfellene at putty.exe ikke lar seg eksekvere. Java klienten ser på den annen side å være avhengig av å bruke sikkerhetssertifikater hvilket krever skriverettigheter på klienten.

Konklusjon: putty eksekvert fra serveren er det enkleste og beste(?)alternativ for å sette opp en ssh kryptert tunell. (???!!)

Det sidste svar fra langbein tror jeg er den bedste løsning - når først tunellen er sat op kan du starte hvad du vil - men ikke umiddelbart en Desktop (det kræver software på klienten (enten vnc klient eller Xserver)

Dere får unskylde mine alt for mange innlegg, men av og til så er det veldig lett og praktisk å bruke eksperten som notatbok. Man har det da selv for ettertiden og forhåpentligvis så kan det også være til nytte for noen andre.

Men apropos klient ... Det er akkurat det som er poenget ... Man skal slettes ikke ha noen klient eller software på klienten annet enn det som alle klienter vanligvis er satt opp med, altså en web browser.

All testing i denne arbeidssekvensen har således blitt gjort helt uten klintsoftware annet enn Microsoft Explorer.

VNC kan for eksempel kjøre med Microsoft Explorer som klient. Man behøver ikke noen annen klient enn dette. (Port 5800/5900 så vidt jeg husker.)

Når det gjelder Java plug in som klient så er jo dette en del av "den utvidete funksjonalitet" til Web browseren.

Når det gjelder putty som ssh klient så skal denne heller ikke installeres. Den forutsetter kun en prosess på klienten som startes opp fra serveren, men ingen filtilgang. Dette medfører at det popper opp et klientvindu som man kan jobbe i.

Når det er Linux som er i "den annen ende" så klarer man vel stort sett å få til alle arbeidsoperasjoner "i den annen  ende" via ssh tunelling, uten installasjon av klientsoftware.

Dersom det er en Windows server "i den annen ende" for eksempel XP, så vet jeg ikke, har ikke hatt tid til å prøve. (Men tror velg egentlig at det skal gå bra der også,  .. neste arbeidsoppgave :)

Synes det å kunne ha en sikker remoote tilgang er en viktig ting slik at det saktens kan være greit å bruke noen timer..

Et annet interessant spørsmål:

Er det mulig å sette opp to paralelle tunnels, port 20 og 21 ftp, slik at man eventult kan kjøre ftp via ssh tunel.

Hvis man da også bruker Explorer som ftp klient slik at man kan dragge og droppe filer fra klienten, så vil man da ha en funksjon som likner en hel del på å ha mountet ens HD remoote, kryptert via Explorer. (selv om det ikke er helt likt.)

Vet ikke om dette går,har ennå ikke prøvd ..

Bruker ellers til daglig en PHP applikasjon som heter Owl. Denne virker litt på samme måten, som en "remoote harddisk". Kjører den vanligvis med kryptering via ssl. Antar at den også vil kjøre fint via ssh tunneling, men det har jeg heller ikke prøvd.

http://owl.sourceforge.net

(Og Owl behøver heller ikke noen annen klient en Web browser, for eksempel MS Explorer eller Opera.)

Demo Owl: http://owl.sourceforge.net/intranet/
Pålogg: demo/demo

Rettelse: guest/guest

Siste:

Satte opp remote pålogging til Windows skrivebord via kryptert ssh tunell akkurat nå. Trodde først at det var nødvendig å kjøre ssh server på Windows maskinen, men det var ikke nødvendig. Det hele kjører via Linux sin ssh.

På windows maskin: VNCtight.
På klientmaskin via Internett: Kun Windows explorer (Med standard Java funsjonalitet.)
"Komunikasjonssentral": Linux server på samme Lan som Windows maskin.
Både Linuxmaskin og fjernkontrollert Windows maskin står bak en hardware firewall.

Har en del jobb å gjøre i dag og litt mindre tid. Hvis dere vil ha mer kofigurasjonsdetaljer så får dere si i fra.

Får ikke ftp til å kjøre ved å sette opp tunelling for port 20 og 22. Hvis det er noen som får ftp til å kjøre via kryptert tunnell, pls lleave a msg.

Testet så Owl gjennom kryptert tunell ettersom denne har noenlunde den samme funksjonalitet som en mountet disk eller en ftp forbindelse (men ok ikke helt ..)

Det viste seg at Owl både kjører helt fint både gjennom ssl og gjennom kryptert ssh tunell. Det er sånn sett ikke noe problem å få filene til fra server via en kryptert tunell.

Da mener jeg at alle "de grunnleggende funsjonene" skulle kjøre.

Skulle man for eksempel ha bruk for å printe ut noe remote så kan man jo bare gjøre det via VNC og remote skrivebord. Man kan jo for eksempel om ønskelig sende dokumentet via mail eller laste det opp via kryptert tunell og Owl.

Som sagt ønsker dere flere konigurasjonsdetaljer, så legg en beskjed.

Langbein> er meget interesseret i din kommentar fra 07:44 (Siste) - har du nogen links til hvor du har fået informationerne - det skal jeg prøve ;o)

Jo, det var da hyggelig at det er noen andre som er interessert i denn "galskapen" (for det kan jo bli for mye også .. he, he).

Jeg fant ikke informasjonen noen steder, bare satte i gang og teste ut.

Det viser seg at ssh tunneligen funger på en litt annen måte enn det som jeg hadde tenkt meg, og jeg er ganske forbauset over hvordan dette fungerer og hva slags muligheter som egentlig ligger der.

Jeg hadde tenkt meg at tunellingen skulle virke kun mot den Linux serveren som man har opprettet tunnellen i forhold til, men slik virker det faktisk ikke. Til min store forbauselse så oppdager jeg at man kan sette opp tuneller ut til alle mulige andre steder i verden også. Dette inkluderer også de interne ip adressene på det lan der linux serveren står, slik at man for eksempel kan accessere VNC serveren inne på en hvilken som helst arbeidsstasjon eller server på lan.

Fra klient ute på internett så kjører det tydeligvis ssh port 22 inn til Linux serveren som også inneholder en ssh server. Tunellen slutter sånn sett ikke der, men den rettes så videre mot det "objekt" man måtte ønske enten dette er inne på Linux servernen "lan" eller ute på internett. Jeg går ut fra at forbindelsen må kljøre på "ordinær måte" ut i fra Linux boksen og ut til "target".

Hadde som sagt ingen ide om at dette var mulig før jeg satte i gang med å teste ut.

Må imidlertid innrømme at jeg har oppdaget et problem som ser ut til å kunne oppstå når man kjører VNC klient via ssh tunneling, i hvert fall nåt denne klienten er Internet Explorer med Java. Det ser ut til å kunne oppstå problemer med kommunikasjonen eller oppdateringen av skjermbildene. Når jeg for eksempel forsøkte å starte opp Word via VNC / ssh tunnellen så mistet jeg plutselig kontakten med denne prosessen på Windows maskinen slik at jeg ikke var i stand til å stenge ned Word igjen. Kunne der i mot starte andre programmer.

Tenker litt på om dette enten kan ha noe å gjøre med at jeg kjører Java klient i stedet for den orginale VNC klienten eller om det kan ha noe med å gjøre at jeg bruker VNCTight som server på Windows maskinen i stedet for den litt langsommere orginale VNC server.

Hvis du har tid til å bli med på å teste litt og så legge en beskjed, så hadde det vært veldig fint.

Eksempel:

Man ønsker å sette opp en tunell inn til intern Windows boks som kjører med ip 10.0.2.44 og VNCtight server. Man ønsker å bruke MS explorer som klient.

Først så klikker man på denne:
http://www.oit.duke.edu/sa/security/ssh.html

Så logger man seg på ssh serveren via den eksterne ip eller domene adresse.

Der etter så definerer man en tunell fra port 5800 lokal til 10.0.2.44 port 5800
Desuten så behøver man også en tunell fra port 5900 lokal til 10.0.2.44 port 5900
(Når man bruker web browser som klient, den orginale VNC klient bruker bare en port.)

Så gar man inn på web browseren der man er og taster:

http://localhost:5800 og vips så kommer windows boksen sitt VNC pålogginsbilde opp i web broseren

Hmm .. det spørs om man hadde kommet litt hurtigere avgårde hvis man hadde lest litt mere dokumentasjon ..
http://www.uk.research.att.com/archive/vnc/sshvnc.html

Se så kjørte det til sist tilsynelatende feilfritt.

Skiftet ut VNCTight med den RealVNC. Brukte ikke den nyeste 4.0 utgaven men den 3.x versjon som fantes før dette (pga at jeg kjenner denne fra før, konfigurasjonsmessig.)

Oppsettet er vel ellers identisk likt det som står beskrevet i linken fra uk research så vidt jeg kan se. Oppdaget dokumentasjonen først etter at jeg hadde satt opp det hele "the experimental way".

Kjører nå VNC med via web klient og kryptert forbindelse via ssh og det hele kjører faktisk med en helt ok brukbar ytelse.

Tester nå fra klient på jobb der det er helt "normal" sikkerhet via Microsoft domenekontroller og MS ISA server, slik at jeg mener at testoppsettet er ganske realistisk. Linux boks og Windows maskin med VNC server står bak en hardware firewall der hjemme.

Jammen så er det jo præcist det som cjmaack efterspørger - det må jeg se at få sat op på et par af mine maskiner så jeg kan komme på hvorend jeg måtte være i verden - når blot jeg har en browser og internet forbindelse

cjmaack> Det burde være et kanon svar på dit problem ;o)

Først, jeg giver alle point til langbein - finder dette mest retfærdigt da langbein virkelig har undersøgt sagen.

Vil så i næste åndedrag sige, at jeg desværre her de sidste par dage og de næste par dage frem ikke har tiden til at afprøve løsningen. Blot har jeg fået læst de forskellige tråde løst igennem og synes det ligner det jeg efterspørger. Har bare lige en ting.. Langbein, det indslag du skriver den 17/09 kl 0808. Er det korrekt at læse det således, at jeg kan sidde "ude i verden" og forbinde til min linux maskine og tilmed (!) til min windows maskine som sidder på lokalnettet bag min firewall på linux maskinen? - det lyder mig lidt teknisk, men bestemt spændende hvis det viser sig jeg læser dine indlæg korrekt.

Alt andet lige, jeg håber jeg i næste uge finder tid til at afprøve løsningen - glæder mig da det lyder spændende. Håber så i den forbindelse det er ok hvis jeg herinde spørger lidt nærmere til opsætningen hvis jeg sidder fast.

Tusind tak for alle de fine indlæg, kan forstå det præcis omhandler hvad jeg søgte.

Jeg har overhovedet ikke været til nogen hjælp - derfor er det selvfølgelig Langbein der skal have points - rent faktisk lyder hans løsning helt rigtig (uden dog at have haft tid til at teste)
Det er jo meningen at hvis du giver det indlæg der hjalp points så kan andre også se hvad løsningen var - det har ingen betydning om nogen har brugt lang tid eller ej

Jo n sitter jeg og jobber mot eksperten gjennom kryptert tunell og VNC paa min hjemme PC, selv om jeg alts er paa jobb.

Oppdaget noe naa, de norsk danske bokstaver virker ikke .. ae , oe, aa , he, he

Satte ellers opp tunellen i dag morges da jeg kom klokken 8 og den kjorer fortsatt stabilt klokken halv 2.

Det med poeng er ellers ikke saa noye, men takker allikevel.

Mener at skau sine innledningsvise definisjoner er helt korrekt.

Har selv faatt hjelp paa eksperten mange ganger med ting jeg har staat fast i med og det er i grunnen det som er det viktiste. I dette tilfellet saa var det snakk om en problemstilling som jeg syntes var ganske interessant og som jeg selv godt kunne ha god bruk for.

MVH Langbein (Skrevet paa jobb og postlagt hjemmefra via ssh tunell. :)

cjmaack ->

"Er det korrekt at læse det således, at jeg kan sidde "ude i verden" og forbinde til min linux maskine og tilmed (!) til min windows maskine som sidder på lokalnettet bag min firewall på linux maskinen?"

Jo det vil virke slik også. I mitt testoppsett så går ikke trafikken gjennom en Linux firewall, menm en annen hardware firewall (Netopia). Linux boksen (serveren) sitter inne på Lan sammen med Windows maskinene. Via ssh tunellene så kan man enten valgfritt kople seg opp mot Linux boksen selv, mot hver enkelt av de PC ene som står på lan for eksempel Windows med VNC eller man kan kople seg vidre opp mot internett, for eksmepel eksperten.dk.

Stort sett ingen grenser som helst, klienten man jobber fra må ha en web browser med Java og man må ha fri trafikk ut på port 22, det er vel hele kravet for at det skl virke.

Har nå testet en del, men må desverre meddele at det har forekommet at VNC serveren på Windows maskinen har "hengt seg" når jeg har kjørt VNC via tunell. Det er jo ikke akseptabelt.

De gangene som den har hengt seg opp så har jeg kjørt med 1024x768 pixel skjermoppløsning på den Windows maskinen som har hatt VNC server funksjonen dvs den makinen som har blitt fjernkontrollert via internett.

Når jeg har kjørt 800x600 i skjermoppløsning så har den aldri "hengt seg" så langt.

Jeg lurer på om det kan være så enkelt og banalt at den ikke klarer å oppdatere et skjermbilde som er over en viss størrelse, at det er en eller annen buffer som kjører full eller noe slikt.

Hvis det er noen som etter hvert har erfaringer med dette, vær da så snill å legg en beskjed. (Please leave a msg.)

Ellers så kan man også legge vnc vieweren inn i rot direktory på Web serveren (eller der det måtte passe) og så starte denne opp fra serveren likt med putty. Man trenger da fortsatt ikke noe annet enn en web browser på klienten og når man så allikevell kjører den orginale VNC klienten så får man mye bedre kvalitet og hurtigere oppdatering, enn når man kjører via den java baserte klienten. (Vnc viewer startes da for eksempel slik: http://domene1.dk/vnc.exe)

Har lige en kommentar.. Har stadig ikke fundet tid til at teste det spændende projekt, men Langbein. Det der link du henviser til i din sidste tråd, og egentlig også har postet tidligere får jeg ikke til at virke. "Domene1 findes ikke" - det er beskeden min browser (firefox) kommer med. Er der en forklaring eller er det blot min browser der ikke gider?

Jeg har nået følgende (læs, det er hvad jeg kan finde ud af):

Jeg har lagt putty programmet tilgængeligt i roden fra mit web hotel. Kan connecte via SSH og få en terminal frem. Har imidlertidig svært ved at få oprettet en tunnel via X11 således jeg gennem putty får billede på. Hvad er det for et program(?) "X-Win32" der omtales under  "defalt settings" - er det også noget der skal installeres? Linktet til siden jeg refererer fra er http://e.molioner.dk/guides/puttyx11

Skriver lige senere med hvad jeg evt. kommer frem til. Behøver vil ikke nævne jeg er lidt begynder på linux området..

Som jeg skrev den 15.9 så kræver det en X server (noget der skal installeres på klienten - fordi klienten i det her spil er en server)

Jeg synes det strider lidt imod dit sp. at skulle bein
20/09-2004 01:57:22    Har nå testet en del, men må desverre meddele at det har forekommet at VNC serveren på Windows maskinen har "hengt seg" når jeg har kjørt VNC via tunell. Det er jo ikke akseptabelt.

De gangene som den har hengt seg opp så har jeg kjørt med 1024x768 pixel skjermoppløsning på den Windows maskinen som har hatt VNC server funksjonen dvs den makinen som har blitt fjernkontrollert via internett.

Når jeg har kjørt 800x600 i skjermoppløsning så har den aldri "hengt seg" så langt.

Jeg lurer på om det kan være så enkelt og banalt at den ikke klarer å oppdatere et skjermbilde som er over en viss størrelse, at det er en eller annen buffer som kjører full eller noe slikt.

Hvis det er noen som etter hvert har erfaringer med dette, vær da så snill å legg en beskjed. (Please leave a msg.)

Ellers så kan man også legge vnc vieweren inn i rot direktory på Web serveren (eller der det måtte passe) og så starte denne opp fra serveren likt med putty. Man trenger da fortsatt ikke noe annet enn en web browser på klienten og når man så allikevell kjører den orginale VNC klienten så får man mye bedre kvalitet og hurtigere oppdatering, enn når man kjører via den java baserte klienten. (Vnc viewer startes da for eksempel slik: http://domene1.dk/vnc.exe)
Kommentar: cjmaack
20/09-2004 09:12:45    Har lige en kommentar.. Har stadig ikke fundet tid til at teste det spændende projekt, men Langbein. Det der link du henviser til i din sidste tråd, og egentlig også har postet tidligere får jeg ikke til at virke. "Domene1 findes ikke" - det er beskeden min browser (firefox) kommer med. Er der en forklaring eller er det blot min browser der ikke gider?
Kommentar: cjmaack
21/09-2004 13:08:06    Jeg har nået følgende (læs, det er hvad jeg kan finde ud af):

Jeg har lagt putty programmet tilgængeligt i roden fra mit web hotel. Kan connecte via SSH og få en terminal frem. Har imidlertidig svært ved at få oprettet en tunnel via X11 således jeg gennem putty får billede på. Hvad er det for et program(?) "X-Win32" der omtales under  "defalt settings" - er det også noget der skal installeres? Linktet til siden jeg refererer fra er http://e.molioner.dk/guides/puttyx11

Skriver lige senere med hvad jeg evt. kommer frem til. Behøver vil ikke nævne jeg er lidt begynder på linux området..
Kommentar


Abonnér

Undskyld - der gik noget galt i min mozilla - jeg prøver lige igen ;)

Som jeg skrev den 15.9 så kræver det en X server (noget der skal installeres på klienten - fordi klienten i det her spil er en server)

Jeg synes det strider lidt imod dit sp. at skulle installere noget på klienten.

Hvis du vælger at installere en xserver på klienten - skal du i din sshd_config sætte ForwardX11 til true

Uha... nu er jeg ved at blive forvirret, men har rodet lidt med det forskellige i dag. Sidder lige nu og overvejer at tage en masse screesshots således I kan følge hvor det evt. går galt for mig. Jeg har konfigureret putty i bedste overbevisning men nå jeg så logger på om en given bruger for en ikke en grafisk brugerflade frem. Ej heller for ej muligheden for at logge på - har kun terminalen. Ergo, det må være moden jeg forwarder portene på.

Og en sidste ting. Som jeg forstår det hele skal der IKKE installeres noget på en klient. Putty eksekveres fra nettet (gemmes ikke på HD). Denne konfigureres og vupti man kan logge sikkert på VNC via en sikker tunnel. Hvordan der så logges på VNC ved jeg ikke - det er lidt her mit problem nu er placeret. Skal der komme en signon boks "ting" frem på udmiddelbart efter man via putty har logget på en bruger (her har jeg et terminal vindue åbent) - således det grafiske display vises i samme vindue (erstatter det tidligere)? Eller sidste mulighed skal jeg logge på VNC via browser og kommandoen/adressen http://localhost:5901? Ved denne sidste løsning er jeg så lidt splittet da pålogning her jo normalt foregår gennem 5801..

Jeg er lidt forvirret, men håber I er i stand til at trække essensen ud..

Jeg har lavet lidt skærmbilleder..
http://www.ma2ck.dk/putty_prob

Ifølge dine skærmbilleder og beskrivelsen - så har du fået tunnellen op (det tilkendegir din prompt på boksen - så skal du vel bare gøre som der står i punkt 7 - start den vncviewer som du skal installere på din klient !!

Er det ikke nok at have prompt ?

Skau.. Netop, det er præcis dér jeg er for tiden. Meen, så er vi altså ikke helt udenom problemet med at skulle installere en VNC viewer på klienten? Eller.. måske det vil fungere at afvikle et display via browseren og lade som om man sidder lokalt. Har desværre ikke mulighed for at foretage en test på dette indenfor de nærmeste dage. Alt aldet lige er det den konklusion jeg har nu - dog skal man HUSKE at terminal billedet (mit sidste skærmbillede) skal forblive åbent. Dette må jo være "beviset" på forbindelsen er oprettet..(?)

Langbein. Ender vi med samme løsning? Mener bare at forstå du IKKE har programmer installeret på klienten. Hvordan får du så et display - gennem browseren? Hvis ja, må vi gøre det samme.. og dermed forsætte min løsning virker når jeg er away.

Langbein har foreslået
------------8<--------------------
Ellers så kan man også legge vnc vieweren inn i rot direktory på Web serveren (eller der det måtte passe) og så starte denne opp fra serveren likt med putty. Man trenger da fortsatt ikke noe annet enn en web browser på klienten og når man så allikevell kjører den orginale VNC klienten så får man mye bedre kvalitet og hurtigere oppdatering, enn når man kjører via den java baserte klienten. (Vnc viewer startes da for eksempel slik: http://domene1.dk/vnc.exe)
------------8<----------------------

Når nu du tunneler på port 5902, kunne du så ikke sætte en webserver op der lytter på den port, og så lægge vncviewer i dok. root ?
linket ville så være (efter du har startet tunellen) http://domain.dk:5900/vnc.exe så vil trafikken være krypteret og alle andre porte end 22 kan lukkes i firewallen, da tunnellen PATter til port 22.

PAT == Port Address Translation (minder om NAT)

Tak skau - det indslag fra langbein havde jeg ikke bidt mærke i. Nu må mit (og andres) problem alt andet lige være løst til fulde! Jeg har mulighed for at køre en test senere i dag - glæder mig lidt må jeg indrømme.

Åh .. her hadde det skjedd en hel masse som jeg ikke hadde fått med meg. Har holdt på med et annet prosjekt en liten periode (3 port firewall m dmz).

Håper at dere får det til å kjøre.

Det som ble stående igjen som et lite mysterium det var at vnc tunellen kunne kjøre i timesvis enkelte ganger, og noen ganger så kunne den henge seg opp. Overførte bilder på 1024x768 de ganger som den hang seg og 600x800 de ganger den ikke hang seg. Håper at det er så enkelt. Hvis ikke så tenkte jeg på å få til en "a la telnet tilgang via ssh tunell" til remoote windows slik at man kunne resette vnc serveren på denne.

Dere får legge en beskjed om stabilitet er et problem eller ikke. Jeg så ellers en tråd på eksoperten i kveld der det opplyses (tror jeg) at det er mulig å kjøre ssh forbindelsen på andre porter. Mon det skulle væere mulig å tunelle ut via port 80 (Kan være det kommer i konflikt med web browser.)

Håper dere legger en beskjed hvordan det går. Er spesielt interessert i dette med driftsstabilitet og om dere erfarer at forbindelsen kan henge seg.

Når man ellers kjører denne varianten http://domain.dk:5900/vnc.exe og får opp den orginale vnc viewer, og hvis man velger den beste fargedybden så kan man nesten ikke se forskjell på remoote Windows og lokal Windows.

Til info: http://eksperten.dk/spm/542872

Langbein> Hvis du vil have en webserver kørende på port 80, kan du ikke samtidigt have en ssh server der lytter på denne port - hvis du feks kigger i din /etc/services eller /etc/inetd.conf vil du se at der er defineret hvilken proces der skal lytte på hvilken port (man binder en proces til en port - det være sig en http server eller en sshd server).
en netstat -a vil vise dig hvad der lytter på hvilke porte (kig efter LISTEN)

"Hvis du vil have en webserver kørende på port 80, kan du ikke samtidigt have en ssh server der lytter på denne port"

Det stemmer nok helt sikkert. Man ville selfvfølgelig måtte blokkere port 80 på serveren (eller ip adressen) til dette.

Det som jeg var/er i tvil om det er om man kan benytte web klienten til utgående trafikk, slik at man for eksempel kan hente inn/starte opp en en vnc klient, samtidig som man også kommuniserer fra windows klienten ut via en ssh tunell som også går via port 80. Er langt fra sikker, men har en ide om at det kanskje kunne fungere. (Mon man ikke kan ha utgående trafikk på samme port fra flere programmer, tror det.)

Hvis dette eventuelt er riktig så kan man komme ut med utgående tuneller også i det tilfellet at den eneste tillatte trafikk ut er via port 80. (Port 22 for utgående trafikk kan jo være stengt.)

Jeg har nu fået testet og kan få det virke! :)

Langbein.. jeg har prøvet at køre med opløsningen 1400x1050 (fuldskærm), men ikke i så lang tid jeg kan drage noget egentlig konkluderende. Det kørte upåklageligt lige bortset fra billedet på ét tidspunkt hang. Om det er i stil med hvad du har problemer med skal jeg ikke kunne sige, men genstartede og problemet var løst. Dette er selvfølgelig ikke holdbart i længden, men jeg behøver nok heller ikke så stor en opløsning (min upload hastighed er heller ikke så hurtig igen).

Takker for info. Har inntrykk av at det kjører stabilt nå men holder meg til den lave oppløsningen. Har ellers også eksperimentert med å kjøre Linux/Gnome via vnc/ssh tunellen. Fungerer også fint.