Supportnet Computer
Planet of Tech

Supportnet / Forum / NW-Sonstiges

Fernwartung eines Netzwerkes hinter einem Router





Frage

Hi Leuts, hätte da mal eine Anfrage. Wir wollen per RemoteDesktop-Tool auf mehrere Clients einer Zweigstelle zugreifen, die hinter einem Router hängen. Das eigentliche Problem ist, dass der Router alle IP´s abweisst, die nicht explizit erlaubt sind und wir leider nur dynamische IP´s vom Provider bekommen. Die einzige Möglichkeit die ich sehe wäre DynDNS in Verbindung mit VNC. DynDNS steht aber leider wegen dem Vorstand nicht zur Debatte. Weitere Ideen? Eventuell mit Hilfe einer VPN Verbindung? Danke schonmal, Michael

Antwort 1 von manfred

Schlag dem Vorstand einen der teuren Bussinestarife der Telekom vor - mit festen IP's - dann gehts vielleicht auch mit DynDns ! ;-)
Gruß Manfred

Antwort 2 von Beamer

Hey Manfred,
das gleiche hab ich vorhin mit einem Kollegen besprochen. Glaube die Option fände er ebenfalls nicht gut ;)
Gibts sonst keine Möglichkeit?

Antwort 3 von manfred

Du kannst versuchen den Router so zu konfigurieren dass er das ganze Adresspectrum des(r) Provider(s) akzeptiert. Ist aber auch ein Sicherheitsrisiko.
Gruß Manfred

Antwort 4 von Marco230482

Das mit DynDNS ist schonmal nicht schlecht. Ein Problem sehe ich nur bei der Router-Konfiguration.

Du brauchst praktisch für jeden Client nen eigenen Port, den du im Router forwarden musst.

Die NAT Tabelle musst du dann wiefolgt füttern:

meineAdresse.dyndns.org:1234 -> Rechner1 (BSP: 192.168.0.1:6346)
meineAdresse.dyndns.org:1235 -> Rechner2 (BSP: 192.168.0.2:6346)
meineAdresse.dyndns.org:1236 -> Rechner3 (BSP: 192.168.0.3:6346)
meineAdresse.dyndns.org:1237 -> Rechner4 (BSP: 192.168.0.4:6346)

Somit werden die Anfragen auf einzelne äußere Ports auf einen bestimmten Socket im internen Netz weitergeleitet.

Dafür brauchst du auf jeden Fall die Ports, welche das Remoteprogramm verwendet.

Bei mehreren Rechnern eine sehr mühselige Arbeit und bei Billigroutern ist die Anzahl der NAT-Einträge begrenzt.

cya

Antwort 5 von Beamer

@manfred
ne, das ist leider nicht machbar.

@Marco
Thx für die Antwort.
Der Router unterstützt NAT und hätte auch genug Eintragungsmöglichkeiten. Wie gesagt ist DynDNS unerwünscht und wird nur im äussersten Notfall akzeptiert.
Bin grad am überlegen ob Einwahlverbindungen mit ISDN in Frage kommen.

Weitere Vorschläge sind erwünscht :)

Michael

Antwort 6 von manfred

Wasch mir den Rücken - aber mach mich nicht Nass!
Für jeden zu steuernden PC eine isdn-karte, dazu, am besten noch ne eigene MSN von der Telekom für jeden, und das Problem hat sich erledigt ;-)?!
Die Isdn verkabelung kostet ja nix!
Dazu fällt mir nix mehr ein ! ..auser ne Standleitung von der Telekom die ist sicher! (billig?)
Gruß Manfred


Antwort 7 von Beamer

sags nicht mir manfred!
Weiss auch nicht wo das Problem bei DynDNS und somit dem einfachen und billigen Weg liegt.
Hätte ja sein können ich vergesse noch etwas.
Naja danke trotzdem,

Michael

Antwort 8 von steffen2

ISDN ist zu langsam zum sinnvollen arbeiten mit VNC

Gruß Steffen

Antwort 9 von Strauss

Hi

Ich weiss nicht ob es sowas gibt, aber eine Überlegung wäre es doch wert:

Man müsse doch einen Clienten so konfigurieren können, das dieser die Daten der Einwahl (die dynamische IP) an eine bestimmmte Email-Adresse versendet.

Der Router wird das wohl nicht können (obwohl, es ja dafür auch Möglichkeiten gibt z.B: Fli4L)

Berichtigt mich, wenn ich blödes Zeug geschrieben habe.

Mfg Micha

Antwort 10 von Beamer

Hi Micha,
die Idee ist nicht mal schlecht, aber Programme dafür kenn ich keine. Die eMail Funktion müsste wohl der Router beherrschen da die Clients die öffentliche IP nicht mitbekommen.
Sicher das Fli4L diese Funktion unterstützt?

Michael

Antwort 11 von Marco230482

Das ist doch alles nur dummes Dahingebastel. Wie lange soll das halten und vor allem wie stabil soll das laufen.

Als Unternehmen darf man doch nicht an den Leitungen sparen.

Also ohne DynDNS oder ne fixe IP wird da nichts drauß.

cya

Antwort 12 von Undertaker

Hi,

also: DynDNS, IP per eMail, VPN etc. nützen Dir ersteinmal garnichts, solange ihr dynamische IPs bekommt und es der Vorstand verweigert, das die DSL-Router eingehende Verbindungen von allen IPs annehmen dürfen.

Was VPN angeht sollten dann sowieso Standleitungen mit mindestens 2MBit/s nötig werden. Zum Einen verbraucht VPN selbst schon einen nicht unerheblichen Teil der Bandbreite und zum Zweiten geht dann der gesammte Internettraffic der Filiale über VPN zum Gateway der Zentrale.


Es steht und fällt also alles mit der Entscheidung des Vorstands, das einer der DSL-Router eingehende Verbindungen von allen IPs (Zugriff weltweit möglich) bzw., wenn möglich, aus dem Subnetz des Providers des Einwahlortes (zumindest bei T-DSL ein Klasse B Subnetz, also etwas mehr als 64.000 mögliche IPs aus dem geografischen Umfeld) akzeptieren darf.

Im Fall der Filiale müssen dann je Client-PC (wie in Antwort 4 bereits beschrieben) der/die benötigte(n) Port(s) weitergeleitet werden. Es gibt also (je nach Anzahl der Clients) viele Ports
die offen sind, aber das Herstellen der Verbindung für Hilfesuchende und Supporter ist relativ einfach:
Hilfesuchende müssen die dynamische IP der Filiale in Erfahrung bringen (z.B. www.ipnummer.de) und telefonisch an den Support weiterleiten. Der Supporter connectetd dann diese IP und den Port der an den entsprechenden Client weitergeleitet wird.

Im Fall der Zentrale müssen dann je PC von dem aus Support geleistet werden soll, der/die benötigte(n) Port(s) weitergeleitet werden. Es gibt also (je nach Anzahl der PCS von denen aus Support geleistet wird) weniger offene Ports als im ersten Beispiel, aber das Herstellen dafür ist das Herstellen der Verbindung für Hilfesuchende und Supporter schwieriger: Supporter bringt die dynamische IP der Zentrale in Erfahrung (z.B. www.ipnummer.de) und teilt sie telefonisch dem Hilfesuchenden mit. Der Hilfesuchende trägt dann die IP im VNC-Server (Add new Client) ein und verbindet sich so "rückwärts" mit dem Support.


In beiden Fällen wirst Du aber mit VNC Probleme bekommen, wenn Du mehr als einen PC hinter einem Router erreichen willst, da die Ports bei VNC fix sind. Das ist bei VNC nicht nur ein Problem, sondern auch eine gravierende Sicherheitslücke, denn die Standard-Ports (von so zielmich allen Tools) sind natürlich bei Administratoren, technisch Interessieren und Leuten, die Schaden zufügen wollen bekannt und sollten dringendst geändert werden, da öffentliche IPs auf diese bekannten Ports reltiv oft gescannt werden. Ebenso sind natürlich komplexe Benutzernamen und Kennwörter zu empfehlen...

Es gibt diverse Remote-Tools, die (mal abgesehen vom Freeware-Status und der Untertstützung vieler Betriebssysteme) einige nicht zu verachtende Vorteile besitzen.
Ich kann beispielsweise Dameware NT Utilities bzw. das daraus ausgekoppelte Mini Remote Control (billiger) empfehlen (z.B. Lizenz je Admin, statt Lizenz je Client, Installation des Host über das lokale Netzwerk usw.).

Gruß
Undertaker

Antwort 13 von Beamer

Hi Undertaker

DynDNS würde schon helfen, für den Fall das der Router DynDNS auch unterstützt. Muss ich mich mal schlau machen.

Eine Standleitung ist gegeben. Hauptsitz 2Mbit, Nebenstellen 1Mbit. Jedoch ADSL.
Bin mir allerdings nicht sicher ob VPN näher ins Gespräch kommt.

Einen Subnetzbereich festzulegen wäre auch eine Idee. Werd ich hinterfragen.

Was ich nicht verstehe ist, warum VNC bei mehreren Clients Probleme macht. Es arbeitet doch mit Display-Nummern, kann ich so nicht eindeutig zuordnen?

Falls es wirklich Probleme macht, wären deine weiteren Tips geeignet?

Btw. Thx für deine sehr ausführliche Antwort.

Gruß,
Michael

Antwort 14 von Undertaker

Hi,

>> DynDNS würde schon helfen

aber Du schriebst:
>> DynDNS steht aber leider wegen dem Vorstand nicht zur Debatte.
Wie denn nun? Alternativ eben www.ipnummer.de und dann telefonisch der Gegenstelle mitteilen.

>> Eine Standleitung ist gegeben. Hauptsitz 2Mbit, Nebenstellen 1Mbit. Jedoch ADSL.

Das Problem ist A-DSL. Ergo geringer Upload (Bei T-DSL: DSL1000=1MBit down/15KBit up, DSL2000=2MBit down/128KBit up, DSL3000=3MBit down/348KBit up).
Für VPN brauchst Du auch beim Upload entsprechende Bandbreite. Ergo S-DSL = identische Bandbreiten für down und up. Sonst wird´s elendig langsam... Und mit dynamischer IP auf beiden Seiten kannst Du VPN sowieso vergessen, da sich die beiden Router nicht finden können...

>> Einen Subnetzbereich festzulegen wäre auch eine Idee.

Habe ich erwähnt, weil es in vorherigen Antworten bereits genannt wurde. Bei entsprechenden Routern wird das wohl möglich sein. Bei DSL-Routern aus dem SOHO Bereich (Small Office / Home Office) wird aber nur der zu überwachende Port und ggf. noch eine IP-Adresse, aber kein Subnetz (also IP-Bereich + Subnetzmaske) einzutragen sein.
Ob das Euer Router kann, mußt Du dann mal im Router nachschauen bzw. bei dem/den Admin(s) nachfragen.

>> [...] warum VNC bei mehreren Clients Probleme macht.

Mom. Muß ich mal testen...
Ok, also vom Viewer zum Host kann man die Display-ID angeben, wodurch der Port entsprechend geändert wird (0=5500, 1=5501 usw.). Damit kommst Du durch den Router auf mehrere Clients. Aber vom Host zum Client (Rückwärts verbinden auf Port 5900) funktioniert das nicht.

>> Falls es wirklich Probleme macht, [...]

Client zum Host: Nein. Host zum Client: Ja.
Kommt also darauf an, ob die Verbindung von der Zentrale oder von der Filiale aus hergestellt werden soll.

>> [...] wären deine weiteren Tips geeignet?

;-))) Das mußt Du entscheiden. Ich kann Dir nur vermitteln, was ich als Autodidakt gelernt habe. Gerne auch auf anderen Kommunikationswegen, falls Du Details nicht öffentlich nennen darfst...

Wo ich Dir nicht bei helfen kann ist VPN. Das meiste, was ich von VPN weiß, hat mir ein ehemaliger Kollege, der Admin ist, erzählt. Alle eigenen Versuche, auf meinem W2k Server VPN einzurichten, scheiterten bis dato an dem eingerichteten RAS.

Gruß
Undertaker

Antwort 15 von Undertaker

Nachtrag:

>> Falls es wirklich Probleme macht, [...]

Ein Problem ist natürlich weiterhin die Sicherheit bei (Real)VNC. Das Sicherheitsproblem aufgrund der bekannten Ports kann man zum Teil durch entsprechend hohe Display-IDs reduzieren. Allerdings bietet RealVNC nur ein Passwort und keinen Benutzernamen. Andere Remote-Tools bieten zumindest Benutzername und Kennwort, eigene Benutzerprofile oder die Verwendung der NT-Benutzerprofile.

Gruß
Undertaker

Antwort 16 von manfred

Wie wärs denn mit Netmeeting und nem ILS-Server?
Gruß Manfred

Antwort 17 von Undertaker

Hi,

ILS und Netmeeting als Remote-Administration zwischen Zentrale und Filiale und dazu noch ungeschützt über`s Internet????

wow!

Sorry, aber das meinst Du nicht wirklich so, oder?

Gruß
Undertaker

Antwort 18 von manfred

Mein Satz endete mit einem Fragezeichen. ;-.)
....aber es würde gehen - oder?
Gruß Manfred

Antwort 19 von Undertaker

Hi,

>> Mein Satz endete mit einem Fragezeichen. ;-)

Der Smilie wäre angebrachter gewesen.

>> ....aber es würde gehen - oder?

Netmeeting benötigt einen nicht unerheblichen Bereich der verfügbaren Ports (1024-65535). a) gibt es Router, die damit Probleme haben, b) wird das vermutlich nur für eine Verbindung zur Zeit funktionieren und c) könnte die Firma dann ja gleich ihre Geschäftsdaten auf Plakate drucken oder per Wurfzettel verteilen...

Gruß
Undertaker

Antwort 20 von Beamer

Hey Undertaker,

es würde von daher helfen das man ne "feste IP" hat. So ziemlich jeden Tag im Router eine neue IP festelgen (z.B. mit www.ipnummer.de) wäre sehr stressig.

Das VPN wegen dem ADSL nicht hinhaut dachte ich mir schon fast. Dann lassen wir das mal :)

Wenn man bei VNC vom Client auf mehrere Server hinter dem Router connecten kann ist es schon mal geeignet.
Der Tip die Display Nummer hoch anzusetzen ist auch gut. Wenigstens ein bisschen sicherer gegen Angriffe.

Thx nochmal, auch für die angebotene, weitere Hilfe.
Ich werde den weiteren Verlauf abwarten, bzw. mit einem Kollegen besprechen, dann melde ich mich wieder.

Viele Grüße,
Michael


Antwort 21 von Undertaker

jup, mach das...

Gruß
Undertaker

Antwort 22 von nightcoder

meine idee wäre eine hardwarelösung aus watchguard - fireboxen, gibt es in unterschiedlichen größen und funktionalitäten, und können auch bei dynamischer ip-vergabe vpn tunneln, such mal im net, gibt da diverse anbieter, vielleicht ist das ja die lösung

Antwort 23 von Tadek

Ich löse solche Aufgabe so:

in der Niederlassung installiere ich den Router Bintec X1200 mit VPN-Lizenz, Kosten ca. 400 Euro + Konfiguration (der Router muss aber seine Adresse über ein dyndns-Service propagieren, also ohne dyndns geht nicht).

Dann über VPN verbinde ich mein PC mit dem Rechner in dem Netzwerk der Niederlassung und kann mit Remotesoftware jede Workstation über ihre IP erreichen.


brozda@web.de


Antwort 24 von moktar

T-Online bietet DirektVPN an schau Dir das doch mal an, außerdem gibt es Provider die Fest-IP's anbieten


http://dienste.t-online-business.de/c/12/95/11/1295116.html

Antwort 25 von Beamer

Moin nightcoder und Tadek,

sorry, beides zu teuer :)

Hatte eben ein Gespräch mit einem Kollegen und wir sind nun am überlegen das ganze nun wirklich mit ISDN zu realisieren.
Jede Niederlassung (jeweils nur bis zu 6 Clients) hat mindestens einen Rechner der bereits eine ISDN Karte besitzt.
Falls nun ein Problem auftaucht ruft uns der Mitarbeiter an, wählt sich per DFÜ ein, teilt uns seine IP mit und wir connecten über die DSL-Leitung mit VNC auf diesen ISDN PC. Von hier aus dann mit einer neuen VNC-Sitzung auf einen der anderen Clients.
Hört sich sehr improvisiert an, ist aber billig und ziemlich sicher.

Die Performance mit ISDN muss ich jetzt noch testen, sind aber ja nur wenige Clients in den Zweigstellen vorhanden.
Mal sehen ob diese Lösung passt.
Man hats echt nicht leicht, Leute ;)

Michael




Antwort 26 von Undertaker

Hi,

>> Die Performance mit ISDN muss ich jetzt noch testen

VNC-Viewer -> Options
Häkchen setzen bei "Restrict Pixels to 8-bit (for slow networks)"

>> Man hats echt nicht leicht, Leute ;)

wem sagst Du das....

Gruß
Undertaker

Antwort 27 von steffen2

@ Undertaker

RealVNC 4 hat die Möglichkeit eine Eingabebox zur Bestätigung einzublenden, dann hat der lokale User 10 Sekunden Zeit zu bestätigen ob auf seinen PC zugegriffen werden darf

Gruß Steffen

Antwort 28 von Karsten

Wie wäre es denn die Remoteanwahl abhängig von der MAC-Adresse des anwählenden Rechners zu realisieren. Diese und die max IP-Range des Prowiders und die Verbindung sollte recht sicher sein. Mir ist allerding z.Zt kein Router bekannt der die MAC-Adressen der WAN-Verbindungen auswertet. Bei uns in der Firma wird diese Technik eingesetzt, leider fehlen mir detaillierte Informationen.

Gruß
Karsten

Antwort 29 von Beamer

Moin Karsten,

ansich keine schlechte Sache, aber das kann unser Router bestimmt nicht.
Die Zweigstellen benutzen einen Belkin F5D7230-4.
Morgen bekomm ich so ein Modell zum testen, dann weiss ich mehr.

Grüße,
Michael

Antwort 30 von Undertaker

Hi,

@steffen2
Thanks für den Tip. Ich verwende noch die 3.3.3R9. Da ist es noch nicht enthalten. Aber es nützt nur etwas, wenn immer jemand vor dem PC sitzt. Habe auch gesehen, das es eine Enterprise Edition gibt, die dann Authentifizierung mit NT-Konten kann. Allerdings für 50$ je Lizenz.

@Karsten
Der Belkin unterstützt keine MAC für Port Forwarding.

@Beamer
Hab noch ne Idee bez. zweiter VNC-Sitzung:
RAdmin ist mit 30 Euro +MwSt relativ günstig und bietet u.a. eine Redirect-Funktion. Die leitet die Verbindung auf einen anderen Client weiter. Damit ist dann auch nur ein Port am Router freizugeben, aber Du umgehst den Flaschenhals mit der zweiten VNC-Sitzung...

Gruß
Undertaker


Antwort 31 von Reindy

hi,
habe nun nicht alles antworten durchgelesen.
nur so viel.
http://www.twd-industries.com/de/
DS - Server nicht vergessen.
kostenlose demo runterladen uind probieren und STAUNEN.
Das thema Nat oder nicht unw. no problem

Reinhard

Antwort 32 von Gummikuh

Hallo zusammen,
bei www.tal.de gibt's DSL-Tarife mit FESTER IP.
Sind allerdings alles Volumenflats (z.B. 9,90€ für 2GB Traffic 24/7 Online).
Je nach Traffic in der entfernten Filiale wäre das eine gescheite möglichkeit.
Ich habe das vor einiger Zeit bei einem Kunden eingerichtet und alles funktioniert wunderbar.
Es kam PCAnyWhere zum Einsatz.
Dort einfach je den einzelnen Clients 2 Ports zuweisen und im entfernten Router im NAT festlegen welcher Port zu welcher IP soll.
Gruss
Micha

Antwort 33 von Undertaker

Hi Beamer,

vielleicht ist dies ja eine Alternative: VPN-Tunnel zwischen den DSL-Routern und dafür nötiger Informationsaustausch mittels kostemlosen D-Kanal (ISDN) statt mit DDNS

http://www.vnunet.de/testticker/suche/full_search.asp?SExpression=I...

Zitat:
Die Verwendung von DDNS hat zwei Nachteile:

[...]

Abhilfe schafft hier ein ISDN-Anschluss im Router, wie ihn nur der Lancom 1811 Wireless und der Bintec VPN Access 25 mitbringen.

Der eine Router ruft hier bei seiner Gegenstelle an und meldet einen Verbindungsaufbau an. Beide Router verwenden dafür den kostenlosen D-Kanal zum Übertragen der jeweiligen IP-Adressen und weisen den Verbindungsaufbau über den kostenpflichtigen B-Kanal ab. So fallen keine Telefongebühren an und ein Eintrag bei einem DDNS-Provider wird hinfällig.



Gruß
Undertaker


Antwort 34 von Stealthcat

Hi.

VNC in Verbindung mit einem Tool namens "Publish-My-IP" ist doch sicherlich dir kostengünstigste Lösung.



Antwort 35 von Beamer

Hi Leute,

nochmals vielen Dank für eure Antworten.

Vorerst wird die ISDN Methode verwendet, der Speed ist auch akzeptabel.

@Undertaker
Interessanter Link, vielleicht ja was für die Zukunft. Thx.

Grüße,
Michael