PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : NX: welche Ports über das Internet forwarden?



der_dicke_alex
06.01.07, 15:14
Hi folks!

Folgendes Szenario:
Ein NX-Server ist hinter einer Firewall in einem Büro. Ich habe nun erstmal den Port 22 dieses internen Servers per Port-Forwarding im Internet verfügbar gemacht.
Per SSH komme ich auch auf den Rechner rauf.

Wenn ich aber nun mit dem NX-Client rauf will, klappt das nicht.
Er kann zwar die Verbindung über SSH herstellen, versucht aber dann auf die private IP des Servers eine Verbindung auf Port 500X herzustellen.
Mein NX-Client meldet also:
----------------
Info: Proxy running in client mode with pid '2440'.
Session: Starting session at 'Sat Jan 6 15:17:50 2007'.
Info: Connecting to remote host '192.168.0.254:5003'.
Info: Aborting the procedure due to signal '15'.
Session: Session terminated at 'Sat Jan 6 15:18:12 2007'.
----------------
Was muß ich noch forwarden, damit es klappt?

Thx

Alex

L00NIX
06.01.07, 16:24
Du brauchst eine direkte SSH-Verbindung zu dem Host, auf den du dich verbinden willst.

Wenn eine Firewall als Zwischenstation fungiert, muss du also Port 22 nach Außen tunneln:

$ ssh username@firewall -L 30022:nxhost:22

Das mit 30022 kann auch was anderes sein, es darf nur kein Dienst auf diesem Port bei dir lokal lauschen.

Gruß
L00NIX

der_dicke_alex
06.01.07, 16:33
Du brauchst eine direkte SSH-Verbindung zu dem Host, auf den du dich verbinden willst.

Wenn eine Firewall als Zwischenstation fungiert, muss du also Port 22 nach Außen tunneln:

$ ssh username@firewall -L 30022:nxhost:22

Das mit 30022 kann auch was anderes sein, es darf nur kein Dienst auf diesem Port bei dir lokal lauschen.

Gruß
L00NIX

Aber mein Port 22 wird doch über die Firewall weitergeleitet. Ich habe also eine direkte Verbindung zum SSH des internen NX-Server
?!

Hier ist mal meine dazugehörige Konfig der FW:
--------------
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 22 -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 22 -j DNAT --to-destination 192.168.0.254
iptables -A FORWARD -i ppp0 -m state --state NEW -p tcp -d 192.168.0.254 --dport 22 -j ACCEPT
---------------

L00NIX
06.01.07, 16:46
(Blödsinn: Sieht nach falscher DNS-Auflösung aus)

Sieht so dein Aufbau aus?



+-----------+ +----------+ +-----------+
| | n| | 22| |
| dein Host |--- Internet ---| firewall |----------| NX Server |
| | | | | |
+-----------+ +----------+ +-----------+


Da der Shell-Zugang bereits klappt, wüsste ich jetzt nicht so recht, was da noch falsch sein sollte.

Frage: Welcher der Rechner hat die interne IP 192.168.0.254?

der_dicke_alex
06.01.07, 17:05
(Blödsinn: Sieht nach falscher DNS-Auflösung aus)

Sieht so dein Aufbau aus?



+-----------+ +----------+ +-----------+
| | n| | 22| |
| dein Host |--- Internet ---| firewall |----------| NX Server |
| | | | | |
+-----------+ +----------+ +-----------+


Da der Shell-Zugang bereits klappt, wüsste ich jetzt nicht so recht, was da noch falsch sein sollte.

Frage: Welcher der Rechner hat die interne IP 192.168.0.254?

Jepp, genau so ist es. der NX-Server hat die 254. Deswegen wundert es mich auch, daß der Client hier im entfernten Netz diese IP ansprechen will.

L00NIX
06.01.07, 17:25
Was gibst du denn in deinem NX-Client als Zielrechner ein?

Es muss da ja die Firewall als Host und der entsprechende Port stehen. Steht dann erstmal die Verbindung, verbindet NX ja nicht noch einmal neu.

der_dicke_alex
06.01.07, 17:38
Was gibst du denn in deinem NX-Client als Zielrechner ein?

Es muss da ja die Firewall als Host und der entsprechende Port stehen. Steht dann erstmal die Verbindung, verbindet NX ja nicht noch einmal neu.

STOP!!!

ES KLAPPT NUN!!!

Ich musste in meinem NX-client die Option "Enable SSL-encryption on all traffic" aktivieren.
Komischerweise klappt die Verbindung in meinem LAN im Büro NICHT, wenn ich diese Option aktiviere. Jedenfalls geht es jetzt!
Jippiiieee!!

@LOONIX:
Danke auf jeden Fall für deine Hilfe. So weiß ich wenigstens, daß mein Port-forwarding nicht falsch ist.
Thx!