"geschützten" rechner über internet erreichen

Post Reply
Message
Author
skeptiker
Posts: 6
Joined: 13. Nov 2006 20:35

"geschützten" rechner über internet erreichen

#1 Post by skeptiker »

Hallo erstmal,

ich bin auf euer forum gestoßen weil ich dachte ich muss die verbindung tunneln. nach dem ich etwa 1 stunde verdammt interessanten kram gelesen hab, bin ich mit da nicht mehr sicher XD.
Also folgende konfiguration:

rechner(windoof)
win2k3 server
hinter einem router
(nicht hinter einer firewall)
soll von überall
(allerdings möglichst sicher oO)
per Remotedesktop erreicht werden.

rechner(Gentoo)
soll den win2k3 rechner über internet erreichen
was muss ich tun?

W I C H T I G!
keine portweiterleitung! die beeinflusst das restliche netz! der ist extra für mich aus der dmz rausgeflogen und quasi zum abschuss freigegeben.

Optional hab ich auch noch nen win2k3 server im netz stehen auf dem ich admin rechte hab und alles installieren kann was ich will. falls das dazu nötig ist.

über sicherheits bedenke und sowas braucht ihr euch keine gedanken zu machen, da die firma bescheit weiß XD.

wär toll wenn ihr mir ein wenig helfen könntet

folgendes hab ich bisher (falsch)verstanden:
da der win2k3 hinter nem nat router liegt muss die verbindung eigentlich vom win2k3 server ausgehen damit der router dann auch zurückrouten kann.

da ich aberauch hinter nem nat router bin brauch ich das auch, oder?
(deswegen ja auch der optionale win2k3 der direkt im netz mit fester ip ohne nat und fw ist!)

herzlichen dank für jede antwort schonmal

skeptiker

User avatar
Janka
Posts: 3585
Joined: 11. Feb 2006 19:10

#2 Post by Janka »

Einen Rechner, der irgendwo hinter einem NAT-Router liegt, kann von außen logischerweise ausschließlich per Portforwarding am Router erreicht werden. Irgendwoher muss der Router ja wissen, welche Pakete er nicht selbst verarbeiten (abweisen) soll, sondern wer das stattdessen tut.

Janka
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.

skeptiker
Posts: 6
Joined: 13. Nov 2006 20:35

#3 Post by skeptiker »

Ja recht hast du da!
es sei denn: die verbindung geht von innen aus, sprich über den 3. rechner der problemlos erreichbar ist.

oder verstehe ich da was falsch???

thx für die schnelle antwort

User avatar
Janka
Posts: 3585
Joined: 11. Feb 2006 19:10

#4 Post by Janka »

Erläutere doch mal deine Vorstellungen etwas genauer. Ich bin schlecht im Raten und meine Glaskugel ist immer noch in Reparatur...

Janka
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.

skeptiker
Posts: 6
Joined: 13. Nov 2006 20:35

#5 Post by skeptiker »

Jo sorry wenns ein wenig unverständlich war...

meine idee:

Wenn du einen router mit NAT hast, kannst du ja erst dann wieder ins netz rein, wenn du auch vorher rausgegangen bist. also auf gut deutsch beide rechner sollen sich quasi auf einem 3., der ohne nat und sowas arbeitet treffen. beispielsweise: der rechner, der ferngesteuert werden soll schaut auf dem rechner der "frei" zugänglich ist alle paar sekunden nach ob jemand ne verbindung möchte. wenn ich nun fernsteuern will gehe ich auf den "frei" zugänglichen rechner. und dann müsste die verbindung doch nur irgendwie über diesen "freien" rechner weitergeleitet werden, oder?

danke schon mal an der stelle

User avatar
Janka
Posts: 3585
Joined: 11. Feb 2006 19:10

#6 Post by Janka »

Das ist total umständlich, und entspricht dabei einem Portforwarding auf einem "hohen" Port (also 10000 aufwärts), das auf dem Router eingerichtet wird.

Ich würde mir so einen Mist nicht ans Bein binden. Wenn DU das möchtest, kannst du beispielsweise einen ssh-Tunnel (TCP-Forwarding) zwischen den beiden entfernten Hosts einrichten, der von dem Host innerhalb des NAT iniitiert wird. Dafür brauchst du dort eine ssh, und auf dem anderen Rechner einen sshd.

Besser ist ein "echtes" VPN, da durch das Tunneln von TCP über TCP einige unerfreuliche Seiteneffekte bei Verbindungsproblemen auftreten können. Dafür braucht man wegen UDP allerdings wieder ein Portforwarding oder einen passenden NAT-Helper auf dem Router...

Weitere Infos zu RDP:
http://www.microsoft.com/windowsxp/usin ... rdfaq.mspx

Janka
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.

skeptiker
Posts: 6
Joined: 13. Nov 2006 20:35

#7 Post by skeptiker »

ok nur damit ich das richtig verstehe. da besteht bei port forwarding absolut kein unterschied???

also für mein verständniss:

1. der port ist nur offen wenn auch das programm das benutzt wird gestartet ist.
2. der port ist wenn er offen ist doch ständig mit einem bestimmten rechner verbunden, oder?

aber wie gesagt ich bin mir nicht sicher ob ich das richtig verstanden hab.

mfg

skeptiker

User avatar
Janka
Posts: 3585
Joined: 11. Feb 2006 19:10

#8 Post by Janka »

skeptiker wrote: 1. der port ist nur offen wenn auch das programm das benutzt wird gestartet ist.
2. der port ist wenn er offen ist doch ständig mit einem bestimmten rechner verbunden, oder?
Ja, dies ist beim Portforwarding so. Wenn der Rechner hinter dem NAT-Router gerade kein RDP anbietet, meldet er dies dem Router, und dieser leitet es an den Client-Rechner weiter.

Aus der Sicht des Client-Rechners bietet der Router das RDP an (oder eben gerade nicht).

Janka
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.

skeptiker
Posts: 6
Joined: 13. Nov 2006 20:35

#9 Post by skeptiker »

Dankeschoen hast mir sehr geholfen!

Post Reply