Zugriff aus der Ferne!

[morten]

Hallo Apfeltalker,

ich möchte auf meinen Cube zugreifen können, wenn ich nicht zu Hause bin.

Vorraussetzungen:

• der Rechner hängt hinter einem Router (Netgear RP614, unterstützt dynDNS)
• auf dem Rechner läuft der dynDNS Updater, die Firewall habe ich vorerst deaktiviert.
• der Rechner hat eine feste IP im 192er Bereich
• dynDNS Account ist eingerichtet
• dynDNS Daten sind im Router eingetragen
• derzeit zeigt dynDNS die IP noch nicht an (habe gelesen, dass dies einige Stunden dauern kann)

Fragen zu VPN:

1. Um auf meinen Rechner zuzugreifen, muss ich eine VPN Verbindung aufbauen.
1a.Richtig?

1b. Wenn ja, welche Einstellungen muss ich vornehmen?
(PPTP oder L2TP über IPSec?)
Was bedeutet das überhaupt?

1c.Das Programm "Internetverbindung" zeigt zwei Einträge: VPN und 802.1X.
Diese stammen, glaube ich, von meinem ersten Versuch.
Wie bekomme ich die weg?

Fragen zu Remote Desktop:

Der Zugriff soll über Remote Desktop erfolgen.

2. Welche Ports müssen frei sein?
3. Wie richte ich das ein?

Ich bin gerade etwas überfordert, da es so viele Variablen gibt!
Danke schonmal für Mitdenken!
Alle Helfer bekommen Karma ohne Ende!

 

[AhabDE]

Für einen remote desktop muss du nicht zwangsläufig über ein vpn gehen, ein internes portforwarding deines Routers auf den internen Rechner reicht vielleicht schon aus.

Folgende Produkte sind geeignet:
1. Apples Remote Desktop
2. ssh und sshd als terminalmodus (je nachdem was du remote machen willst)
3. Zugriff per X11 export (über ssh wenn es verschlüsselt sein soll)
4. Timbuktu

und als kostenlose Lösung und sogar platformübergreifend:
5. Client/Server VNC mit dem Mac-Client Chicken of the VNC.
VNC geht ausgzeichnet über einen geforwardeten Port im Router.

 

[stk]

Moin,

a) Die Meldung an DynDNS läßt idealerweise vom Router (der das ja auch kann), nicht vom Cube übermitteln.
b) Definere "Zugriff" - das kann sein die komplette Fernsteuerung des Rechners via ARD/VNC/SSH/Timbuktu, das kann aber auch sein der Zugriff auf die Dateien und Programme via AFP/SMB/NFS, die dann auf dem Remotezugreifenden Rechner geöffnet werden, das kann sein eine auf dem Cube geöffnete FileMaker-DB zu nutzen, etc. etc.

Für jeden der beschriebenen Dienste gibt's eine oder mehrere Portnummern, die Du auf dem Router öffnen und an den Cube forwarden mußt. Hast Du mehrere Dienste offen wird an der Ecke Deine Firewall löchrig wie ein schweizer Käse. Daher greift man in so einem Fall, wo mehrere Dienste parallel remote freigegeben werden sollen idealerweise zu VPN. Vorteil: nur ein, zwei offene Ports (je nach Methode) die allerdings bei Zugriff darauf eine Identifizierung verlangen.

VPN wiederum setzt voraus, das auf dem Cube ein entsprechender VPN-Server läuft. Der ist im OS X Client aber nicht enthalten - nur im OS X Server! Wahlweise gibt's dann Apple Geld in die Finger oder baust Dir das aus den entsprechenden OpenSource-Quellen selbst zusammen.

Die Ports die Du freigeben mußt (siehe oben: je nach Dienst unterschiedlich) findest Du sehr hübsch gelistet auf http://www.iana.org/assignments/port-numbers

Gruß Stefan

 

[morten]

@ AhabDE: Ich nutze bereits ARD 2.1, um den Rechner ohne Maus/Tastatur zu steuern.

@stk:
a) Also ist der dynDNS Updater nicht erforderlich?
b) Zugriff = komplette Steuerung via ARD 2.1

Ich leg mich glaube ich erstmal hin, um den ganzen Input Revue passieren zu lassen
Vielleicht sollte ich schrittweise vorgehen...

1. Stichwort: Portweiterleitung

Bei Netgear sieht das Ganze so aus:

Bitte einmal für ganz Dumme erklären, was ich dort eintragen muss....

 

[morten]

FRUST! Zuerst macht der Schlüsselbund Ärger, jetzt kann ich gar nicht mehr auf den Router zugreifen, nachdem ich versucht habe, den Port weiterzuleiten. (Fehlermeldung: Safari kann keine Verbindung zu Serbver/Router aufbauen)

Arghhhh!

/EDIT/ Nach Routerneustart geht es wieder...

 

[AhabDE]

Vermutlich wirst du "custom services" auf dem netgear nehmen müssen. Angenommen (habe das nicht gerade vor mir) ARD benutzt Port 333 dann laesst du den Router auf der WAN Seite auf meinetwegen Port 444 lauschen und traegst in die Tabelle ein, alles was auf WAN-IP Port 444 ankommt, bitte auf LAN-IP Port 333 forwarden. das amchst du fuer jeden Port den ARD benutzt und definierst dafuer einen "WAN-Port" auf der Routerseite. Natuerlich nicht gerade Port 80 oder 8080, dann hast du keinen Zugriff auf den Router mehr
Testen kannst du das ganze auch nur von der WAN-Seite aus, aus dem LAN bekommen die Router das nicht gebacken und bringen dann NAT und Portforwarding inklusive der Rueckrouten durcheinander.

 

[morten]

Ehrlich gesagt kapier ich gerade gar nichts mehr. Ich muss dem Router sagen, leite eine Anfrage auf 192.168.0.X weiter. Das ist dann der Rechner/Server auf den ich zugreifen will. Damit ARD funktioniert, muss auch hier ein Port freigegeben werden. Aber welcher? In der Hilfe steht TCP und UDP, das meldet mir auch Little Snitch. Sind das Dienste, wie oben beim Router aufgeführt?

Himmelherrgott ist das kompliziert, ich glaube ich gebe auf...

Nachdem ich ARD vom 10er Adressbereich auf 192 umgestellt habe erscheint plötlich das VNC Symbol. Ist das gut?

 

[AhabDE]

Das VNC Icon bedeutet wohl die Möglichkeit eines VNC Client (Gast-)Zugriffs. Heisst, ARD Clients können auf VNC-Server zugreifen bzw. auch VNC-Clients auf ARD-Server.

Einzelheiten dazu im guten ARD-Admin-Handbuch. damit solltest du auch klären können, welche Ports (tcp und udp) du freigeben bzw. vom Router forwarden lassen musst.

da steht:
“If you want to use Remote Desktop from behind a NAT router to access computers
beyond the NAT router, you need to set TCP and UDP port forwarding for ports 3283
and 5900 to your administrator computer. Similarly, if you wish to access a client
computer that is behind a NAT router, you need to set the router to forward TCP and
UDP ports 3283 and 5900 to the client computer you wish to access.“

Diese Ports sind "Dienste - naemlich die von ARD", sie sind aber nicht in deiner scrolldownliste des Netgear, sondern du setzt die Ports unter "custom services".

 

[stk]

Moin,

@AhabDE: weiso nimmst Du außen einen anderen Port? Wie stellst Du den den bei ARD um? Also: Die Portnummern sollten idealerweise identisch sein. ARD sendet fix auf 333 ergo sollte der Router auch darauf lauschen und die Anfragen wiederum auf 333 an den Cube weiterreichen, weil der seinerseits auf dem Port die Anfragen erwartet.

Also Aufbau wie folgt:

a) Router und Cube brauchen interne Adressen aus dem gleichen IP-Bereich - logo, aber besser einmal zuviel erzählt, als zu wenig. Router z.B. 192.168.0.1, Cube 192.168.0.2 beide IPs fix vergeben. Ping von Cube zu Router, bzw. Zugriff auf Admin-Oberfläche des Routers sollte als erfolgreicher Test genügen.

b) Test ersteinmal netzintern ob Du den Zugriff von einem zweiten Mac auf den Cube bekommst und Du diesen fernsteuern kannst. Erspart später eine Punkt in der möglichen Fehlersuche.

c) Der Router bekommt in der Portforwarding Tabelle eingetragen:
"Add Custom Service", Name: ARD (wahlfrei), Anfangs + End-Port 333, Weiterzuleiten an (o.g. Beispiel) 192.168.0.2

d) Im Router die DynDNS-Konfiguration hinterlegen und testen. Mal von außen anpingen ob die DynDNS-Adresse aufgelöst wird, ggf. mal kurz die Fernwartung des Routers öffnen und schauen, ob dieser von außen ansprechbar ist. Damit wäre die grundlegende Verbindung zu Deinem Netz sichergestellt. Auch hier: Fehlermöglichkeiten sukzessive ausschliessen.

e) auf dem Cube die ARD-Administration unter Sharing einschalten. Der Zugriff via VNC kann ausgeschaltet bleiben. Willst Du den erlauben (weil z.B. mal Steuerung von einem PDA, Win-Rechner, etc gewünscht) solltest Du unter c) auch noch o.g 3282 und 5900 eintragen.

f) ARD-Zugriff über den LittleSnitch protokollieren lassen - ggf. tauchen da noch Ports auf, die in der Tabelle des Routers einzutragen sind.

g) Finaler Test ob via funktionierender DynDNS-Verbindung (d) der Durchgriff auf den funktionierenden ARD-Server (b) im internen Netzbereich des Router (a) möglich ist. Falls nicht können die Fehler nur noch bei (c) liegen, also im Portforwarding. Ggf. müssen dann noch weitere Ports umgeleitet werden (f).

Versuche das immer in möglichst kleine, testbare Häppchen zu zerlegen. Wenn ein Baustein funktioniert zum nächsten, sonst gehst Du bei der Fehleranalyse Wasser saufen.

Gruß Stefan

 

[AhabDE]

Moin,
@AhabDE: weiso nimmst Du außen einen anderen Port? Wie stellst Du den den bei ARD um? Also: Die Portnummern sollten idealerweise identisch sein. ARD sendet fix auf 333 ergo sollte der Router auch darauf lauschen und die Anfragen wiederum auf 333 an den Cube weiterreichen, weil der seinerseits auf dem Port die Anfragen erwartet.

Das war nur als reines Beispiel gedacht, da ich die ARD Ports nicht im Kopf hatte - natürlich kann man auf LAN- und WAN-Seite den gleichen Port nehmen; ist ja nur ne Nummer. Die Port-Dienste-Forwarding-Zuordnung ist das Entscheidende, aber wie in der ARD Doku zu sehen ist, verlangt ARD nach 3283 und 5900 (tcp und udp), also wird man die auch der Bequemlichkeit nach benutzen auf beiden Seiten.
Die Portnummern sind ja reine Konventionen, nichts spricht dagegen z.B. deinen Webserver auf Port 586 laufen zu lassen und nicht auf 80. Die Dienste müssen halt nur wissen auf welchen Port sie zu lauschen haben und welchen Port dein Client zu adressieren hat.
Für weitere tiefere Geheimnisse hat Brian Hall eine gute FAQ geschrieben.