Heim-Rechner vom Arbeitsplatz aus steuern (VPN?)

[TheManneken]

Hallo!

Ich würde gerne in Zukunft meinen Rechner zu Hause vom Arbeitsplatz aus steuern, z.B. wie mit RealVNC, doch damit habe ich nur im LAN Erfahrung und das auch nicht gerade viel.

Auf dem Heim-Rechner läuft Windows XP Pro SP2, er ist über ein 6 MBit Kabelmodem über Kabel Deutschland ans Internet angebunden. Als Soldat bin ich nur alle 2-3 Wochen zu Hause, will deshalb aus der Kasernenunterkunft auf den Rechner zugreifen können. Dort läuft ebenfalls Windows XP Pro und mir steht eine DSL-1000 Leitung zur Verfügung.

Hauptproblem: Wie bringe ich so eine Verbindung überhaupt zu stande? Was wird benötigt, z.B. über VPN?

Weitere Probleme: Ich habe keine feste IP zu Hause. Problem? Außerdem soll der Heim-PC nicht unbedingt 24/7 durchlaufen, sondern nur wenn ich gerade Zugriff brauche. Kann man WOL dafür nutzen? Sofern dies nicht gehen sollte, müssen die Eltern wohl ab und zu mal den PC anwerfen. Fernsteuerung wäre mir natürlich lieber.

Komme ich mit einer DSL-1000 Leitung eigentlich weit? Es sollen keine Daten übertragen werden. Es geht nur um den Remotezugriff. Wäre schön, wenn ihr mir helfen könntet. Da ich mich gerade in der Ausbildung zum FiSi befinde, könnte man das Ganze ja als Projektarbeit betrachten

[robotto7831a]

Hallo,

ist das ein BW DSL Anschluß? Dann solltest Du dich erstmal schlau machen ob das erlaubt ist.

WOL wird kaum funktionieren, da Du ja von außerhalb kommst.

DSL 1000 reicht für die Übertragung der Bilddaten aus.

Frank

[IT-Shrek]

Hallo,

einige Router erlauben ssl sessions von außen und bieten dann an WOL durchzuführen. Ich nutze das z.B. privat in Verbindung mit RDP.

Dennoch wird so gut wie jede Firmenpolicy dein Vorhaben nicht gestatten.

mfg, Shrek

[TheManneken]

Der Kabelanschluss ist von Kabel Deutschland und ich wohne im Saarland. Warum sollte ein Remotezugriff oder VPN verboten sein?

Schade, dass ich den PC nicht aus der Ferne anschalten kann. Dann würde sich aber noch die Power-On Funktion anbieten. Einfach täglich zu einer bestimmten Uhrzeit einschalten lassen. Wieder ausschalten ist ja dann kein Problem über Remote. Allerdings vielleicht etwas nervig, jeden Tag den PC runterzufahren weil man ihn nicht braucht. Naja, gut dass ich noch zu Hause wohne. Mom, Dad?

[TheManneken]

Dennoch wird so gut wie jede Firmenpolicy dein Vorhaben nicht gestatten.

Mist, warum ist das so? Findet ja alles privat statt. Außerdem ist es ein beliebtes Thema bei Abschlussarbeiten.

[Fufialk]

Wozu genau soll denn der Rechner benutzt werden? Geht es Dir nur um Daten, die darauf liegen? Oder willst Du bestimmte Funktionen nutzen?

Um nur an die Daten zu kommen könnte Dir zum Beispiel auch ein FTP Server, den Du auf dem Rechner einrichtest helfen. Gepaart mit dyndns wärst Du dann immer in der Lage zuzugreifen.

Zum runterfahren gibt es auch ein Script, daß Du in den Autostartordner kopieren kannst, daß Windows zeitgesteuert herunterfährt. Einschalten könntest Du über das BIOS oder eine Zeitschaltuhr, was nebenbei noch etwas Strom spart.

[TheManneken]

Wozu genau soll denn der Rechner benutzt werden? Geht es Dir nur um Daten, die darauf liegen? Oder willst Du bestimmte Funktionen nutzen?

Um Daten geht es mir eigentlich relativ wenig, Hauptsächlich um bestimmte Funktionen.

Um nur an die Daten zu kommen könnte Dir zum Beispiel auch ein FTP Server, den Du auf dem Rechner einrichtest helfen. Gepaart mit dyndns wärst Du dann immer in der Lage zuzugreifen.

Könnte man nebenbei ja auch machen, falls ich doch mal schnell an Daten ran will. Die Option bleibt also offen. DynDNS klingt interessant? Das könnte ich ja auch den Zugriff mit VNC nutzen, oder? Wird ein VPN-Tunnel dann überhaupt benötigt?

Zum runterfahren gibt es auch ein Script, daß Du in den Autostartordner kopieren kannst, daß Windows zeitgesteuert herunterfährt. Einschalten könntest Du über das BIOS oder eine Zeitschaltuhr, was nebenbei noch etwas Strom spart.

Genau das habe ich mir auch schon überlegt. Die Idee von IT-Shreck klingt jedoch nicht verkehrt, doch im Moment kann ich nicht nachprüfen, ob der Router vor Ort dies unterstützt.

[Fufialk]

Um den VPN Tunnel aufzubauen benötigst Du aber meines Wissens auch Zugriff auf den Router in Deiner Kaserne, um Deinen Heimrechner in das dortige Netzwerk einzubinden, und ein Problem kommt noch hinzu, sobald der Tunnel steht, wird sich jeder aus der Kaserne in Deinen Heimrechner einschleichen können....

Welche Funktionen benötigst Du denn so dringend? Ist es nicht vielleicht sinnvoller die Sachen von einem USB Stick aus laufen zu lassen?

[AVEN]

Verschoben ins Security Forum...

[robotto7831a]

Der Kabelanschluss ist von Kabel Deutschland und ich wohne im Saarland. Warum sollte ein Remotezugriff oder VPN verboten sein?

Kabel Deutschland ist das egal. Ich meine ja auch den DSL Anschluß in der Kaserne.

Frank

[TheManneken]

Hallo,

ist das ein BW DSL Anschluß? Dann solltest Du dich erstmal schlau machen ob das erlaubt ist.

Nein, NRW. Provider ist T-Online.

[TheManneken]

Um den VPN Tunnel aufzubauen benötigst Du aber meines Wissens auch Zugriff auf den Router in Deiner Kaserne, um Deinen Heimrechner in das dortige Netzwerk einzubinden, und ein Problem kommt noch hinzu, sobald der Tunnel steht, wird sich jeder aus der Kaserne in Deinen Heimrechner einschleichen können....

Zugriff auf den Router in der Kaserne ist kein Problem, da der Internetzugang privat in der Stube installiert ist. Also die BW stellt nur den Telefonanschluss. Und ich dachte, ein Tunnel wäre genau dazu da, dass niemand der nicht authorisiert ist, in das Netzwerk hineinkommt.

Welche Funktionen benötigst Du denn so dringend? Ist es nicht vielleicht sinnvoller die Sachen von einem USB Stick aus laufen zu lassen?

Leider nicht. Es geht ja nicht darum, dass ich bestimmte Programme nutzen will, die ich hier nicht habe, sondern um Programme, die NUR auf meinem Heim-PC laufen. Das wäre zum Beispiel das Aufzeichnen von TV-Sendungen.

[Fufialk]

Na wenn der Router eh bei Dir auf der Stube steht, dann ist doch alles klar. Dann gibt es auch keine anderen rechtlichen Probleme, da es sich ja bei beiden Anschlüssen um private handelt.

Du musst halt nur sehen, daß beide Router z.B. das VPN Protokoll unterstützen, und daß Dein Router zu Hause beim Verbindungsaufbau immer brav seine IP Adresse weiterfunkt. Das würde ich über Dyndns realisieren, das wird von den meisten Routern eigentlich mit angeboten. Konfiguration gibt es dann im jeweiligen Handbuch. Wenn das klappt musst du nur noch die Adressübersetzung im Router vornehmen, und der Rechner steht quasi bei Dir auf der Stube im Netzwerk. Das Hoch- und Runterfahren haben wir ja schon besprochen.

Ich weiß nur nicht, ob Du das ganze auch über den Windows Remoteservice funktioniert. Damit habe ich mich noch nie beschäftigt. Aber meines wissens nach muss man doch erst mal vom zu steurnden PC eine Anfrage inklusive Berechtigung absenden, daß jemand von außen Zugriff bekommt. Oder nicht?

[robotto7831a]

Ich weiß nur nicht, ob Du das ganze auch über den Windows Remoteservice funktioniert. Damit habe ich mich noch nie beschäftigt. Aber meines wissens nach muss man doch erst mal vom zu steurnden PC eine Anfrage inklusive Berechtigung absenden, daß jemand von außen Zugriff bekommt. Oder nicht?

Jein. Was Du beschrieben hast ist Remoteunterstützung. Bei Remote Desktop kann man sich direkt auf den PC schalten. Dafür braucht man aber mindestens Windows XP Professional.

Frank

[TheManneken]

So, bisher bin ich noch nicht dazu gekommen, die Verbindung so einzurichten, wie ich will.

Ich will die Remoteverbindung mit UltraVNC herstellen. Habe das Programm im LAN mal etwas getestet und finde es super.

Bei mir zu Hause teilen sich 4 PCs eine Internetleitung. Demzufolge kann ich ja nicht einfach auf die IP zugreifen, über die die PCs ins Internet gehen. Sie bekommen vom Router ja eine lokale über DHCP. Wie komme ich jetzt von außerhalb über den Router zu Hause auf die PCs? Ich schätze, ich muss irgendwie mit Portweiterleitungen und statischen IP-Adressen arbeiten, oder?

Soweit, so gut. Nächstes Problem: DynDNS. Ich habe mir eine dynamische DNS-Adresse eingerichtet. Problem ist allerdings, dass ich zu Hause keine feste IP habe. Also muss die Adresse ständig mit der aktuellen IP abgeglichen werden. Ich glaube, da gibt es eine Software für. Aber welche war das und wo bekomme ich die her? Sollte wenn möglich nix kosten. Open Source oder Freeware wäre also ganz nett.

[robotto7831a]

Hallo,

am Router muss für jeden PC eine Portweiterleitung eingerichtet werden.

Dein Router kann bestimmt den DynDNS Anbieter mit der aktuellen IP Adresse versorgen.

Frank

[Thanks-and-Goodbye]

Willst du ohne Interaktion des Anwenders auf den Rechner aktiv drauf oder willst du, dass lokale Anwender von dir ferngewartet werden können?

Ich nutze dafür (um Familie und Bekannte zu supporten) UltraVNC Singleclick. Ich muss nur auf meiner Seite den entsprechenden Port auf meinem Router mit einer Weiterleitung versehen. Nachfolger des Ganzen (selber noch nicht richtig ausgetestet) ist UltraVNC Pchelpware.

Der Anwender muss dazu nur ein einziges Programm öffnen und die fest hinterlegte Verbindung starten.

Zur Namensauflösung nutze ich die Dyndns-Funktionalität meines Routers.

[Vork]

Also, folgende möglichkeiten:

1. Dyndns acc brauchst du auf jeden Fall.

- entweder DD Daten im Router eintragen dieser gleicht sich dann nach jeder neuen IP meistens alle 24 std mit deinem DNS namen ab.

- sollte dein Router kein DD unterstützen kannst du den abgleich auch über ein Programm realisieren welches du auf der DD Seite runterladen kannst. Installieren anpassen und in den Autostart, evtl. noch Portweiterleitung für den entsprechenden notwenigen Port.

2. Verbindungsauf zum Rechner

- entweder Port 3389 auf deine interne IP weiterleiten und Remotedesktop auf dem Client aktivieren --> !Achtung! unsicher da keinerlei Verschlüsselung bei der Dateiübertragung.

- Empfehlung: Schau nach dem OpenSource Projekt "OpenVPN" hierbei kannst du ein VPN über Port 443 aufbauen welchen erstens verschlüsselt ist und zweiten mit einem 128 bit (glaub das max bei dem Produkt) Key zusätzlich abgesichert werden kann, dann einfach rdp durch das vpn tunneln. Evtl. Firewall Probleme von der Zugriffsseite aus solltest du nicht haben da 443 sowieso auf den meisten Firmen internen FW offen ist, zumindest für den Verbindungsaufbau nach aussen und die entsprechende Rückstrecke zur offenen Verbindung.

OpenVPN - An Open Source SSL VPN Solution by James Yonan

Schaus dir an, hf ;-)

[TheManneken]

Ok, mein Router kann sich leider nicht mit DynDNS abgleichen. Werde es dann über das Tool von DynDNS realisieren.

Alles weitere wie ihr mir jetzt erklärt habe muss ich gucken wenn ich wieder Zugriff auf diesen Router und die PCs habe. Ich melde mich dann, wenn es neues gibt oder ich noch Fragen habe.

[hades]

...

- entweder Port 3389 auf deine interne IP weiterleiten und Remotedesktop auf dem Client aktivieren --> !Achtung! unsicher da keinerlei Verschlüsselung bei der Dateiübertragung.

...

Diese pauschale Aussage ist nicht richtig.

RDP bietet ab Version 6 eine SSL/TLS-basierte Verschluesselung der gesamten Kommunikation zwischen Server und Client.

Die RDP-Version 6 ist beim Windows Server 2003 SP1 dabei.

Bei RDP mit TLS-Verschluesselung muss als Client Windows 2000, XP oder Vista mit min. RDPClient-Version 5.2 verwendet werden.

siehe Microsoft Corporation

OpenVPN ist aber immer eine gute Wahl.

[TheManneken]

entweder Port 3389 auf deine interne IP weiterleiten und Remotedesktop auf dem Client aktivieren --> !Achtung! unsicher da keinerlei Verschlüsselung bei der Dateiübertragung.

Über Windows Remote will ich auf keinen Fall arbeiten. Hab mir schon UltraVNC angeschaut und bin damit sehr zufrieden.

[TheManneken]

So, habe jetzt meinen Router da. Komme aber nicht sonderlich weit. DynDNS wird unterstützt. Habe ich eingerichtet, funktioniert auch.

Aber beim Port-Forwarding komme ich nicht weiter, denn ich weiß nicht was ich eintragen soll.

Der Router ist ein Siemens Gigaset. So sieht die Oberfläche bei der Port-Weiterleitung aus:

BILD

[robotto7831a]

Ist doch ganz einfach.

Dienstname: VNC oder Micky Maus

ext. Port: halt den Port den Du öffnen möchtest

int. Port: Der Port auf den VNC auf deinem PC horcht.

Frank

[TheManneken]

Das habe ich getan. Habe die Ports 5800 und 5900 auf den PC, auf dem VNC Server läuft, weitergeleitet über TCP. Aber anpingen geht nicht und mit dem VNC Viewer kann ich leider ebenfalls nicht auf dem Server zugreifen.

Die Firewall ist zu testzwecken übrigens aus.

[robotto7831a]

Von anpingen war bisher überhaupt keine Rede. Um den Router anpingen zu können reicht es nicht einfach einen Port zu öffnen.

Klappt denn intern von einem anderen Rechner über VNC Viewer über Port 5800 oder 5900 eine Verbindung? Port 5900 war doch bei VNC über einen Browser oder nicht?

Frank