Registered User
Guten Tag,
wir haben zwei Intranator(en), die per VPN miteinander verbunden sind.
Versuch ich nun, eine VNC-Sitzung auf einem Client der anderen Seite zu öffnen, wird diese aufgebaut, jedoch nicht angezeigt. Bei den Clients handelt es sich um ThinClients der Marke IGEL mit neuester Firmware.
Ich vermute hier eine Filterung durch die Einstellungen der XL-Firewalls.
Haben Sie einen Tipp für mich?
Marc Hasenbeck
Administrator
Hallo Herr Hasenbeck,
was für eine Firewall-Regelliste haben Sie denn auf der Zielseite in der VPN-Verbindung eingestellt? Klappt es mit "Vollzugriff"?
Herzliche Grüsse,
Thomas Jarosch
Registered User
Hallo Herr Jarosch,
die Einstellungen sind beidseitig Vollzugriff/ freier Zugang.
Ihr
Marc Hasenbeck
Registered User
Hallo Herr Hasenbeck,
wenn die beiden Clients auf Vollzugriff stehen filtert die Firewall des Intranators nichts, das Problem muss also an anderer Stelle liegen.
Funktioniert das VPN denn ansonsten? Koennen sich die beiden Rechner pingen oder anderweitig aufeinander zugreifen?
Sind eventuell Personal Firewalls auf den Clients installiert?
Herzliche Grüsse,
Johannes Hirche
Registered User
Ich danke für Ihre Ausführungen. Leider trifft das nicht zu - ich habe oben beschrieben, dass alles wirklich bestens läuft.
Ich habe quasi LAN-Qualitäten. Nur das Bild lässt sich nicht aufbauen.
Marc Hasenbeck
Administrator
Hallo,
wie schon gesagt, wenn Sie "Vollzugriff" für den Client eingestellt haben, blockiert die Firewall nichts. Wenn Sie die messages-Logdatei (unter Information > System > Logdateien) anschauen, sollten Sie auch keine blockierten Pakete von Ihren ThinClients sehen.
Folgendes können Sie noch prüfen: der VNC-Server muss den Intranator als Standardgateway eingetragen haben. Ausserdem haben manche Server die Möglichkeit, den Zugriff auf bestimmte Netze zu beschränken. Vielleicht sind hier die IPs Ihres VPNs nicht mit freigeschaltet.
Herzliche Grüße,
v. Egidy
Registered User
Hallo Herr Egidy,
ich weiss worauf Sie hinaus wollen, aber so ist es leider nicht.
Ich komme bis zum VNC-"Server", nur zeigt er das Bild nicht an. Ich habe dieses Phänomen nicht bei den Thin-Clients im INTRANET sondern nur bei den Clients, die auf der anderen Seite vom VPN stehen. Hier wird demnach etwas gefiltert.
Haben Sie sonst noch eine Idee?
Firma Seculan kann das oben beschriebene Problem verifizieren.
Vielen Dank
Marc Hasenbeck
Registered User
Nach versuchtem Aufbau der VNC-Verbindung (Cleint hat die Anfrage entegegengenommen, erscheint kein Bild.
Beende ich die Sitzung, erscheint auf der Filialseite in der Firewall folgende Meldung:
Nov 18 13:56:54 xerberusmhl kernel: BAD IN=eth0 OUT=ipsec0 SRC=192.168.130.201 DST=100.1.10.74 LEN=40 TOS=0x00 PREC=0x00 TTL=63 ID=27868 DF PROTO=TCP SPT=1663 DPT=3128 WINDOW=5840 RES=0x00 ACK RST URGP=0
Auf der Zentral-Seite erscheint keine Meldung.
Der Thin-Client auf der Filialseite arbeitet via DHCP - von daher ist das Gateway der dort postierte Intranator, da dieser der DHCP-Server ist und keine anderes Gateway angegeben wurde.
Vielleicht jetzt eine Chance?
Marc Hasenbeck
Administrator
Hallo,
Wie greifen Sie denn auf den VNC-Server zu? Über einen VNC-Client (extra Programm) oder einen im Browser eingebetteten VNC-Client wie er vom Server versendet wird?
Ich vermute Sie greifen mit dem Browser via Proxy auf einen eingebetteten Client zu. Der Proxy ist wohl mit im Spiel, wie Sie am "DPT=3128" im Log erkennen können.
Der Proxy des Intranators erlaubt normalerweise nur Zugriff auf die Ports 80, 21 und 443. Die ensprechenden Ports für VNC (meistens 5800 und 5900) müssten Sie unter Dienste > Proxy > Einstellungen noch freischalten.
Oder noch besser: Sie machen einen direkten Zugriff ohne Browser und Proxy.
Herzliche Grüße,
v. Egidy
Registered User
Guten Tag,
ich habe jetzt alles ausprobiert, deaktiviert und neu konfiguriert. Es bleibt bei dem alten Problem:
- Im Intranet erreiche ich die baugleichen Thinclients
- Über das VPN erreiche ich die TC, kann auch die Session öffnen, aber leider nichts sehen
- der "gespiegelte User" kann jedoch meine Mausbewegungen am Bildschirm des TC verfolgen.
Mehr kann ich nicht feststellen.
Ihr
Marc Hasenbeck
Administrator
Hallo Herr Hasenbeck,
folgender Vorschlag: Legen Sie ein Support-Ticket unter http://www.intra2net.com/de/support/anfrage.php an.
Dann können wir uns aufschalten und die Pakete mitschneiden. Denke das ist das beste Vorgehen.
Herzliche Grüsse
Thomas Jarosch
Registered User
Wir steuern auch zig PCs per VNC fern, ohne Probleme quer durch mehrere VPN angeschlossene Netzwerke.Zitat von mhasenbeck
Haben Sie mal die windows eigene Firewall kontrolliert, und zwar nach Einschränkungen des IP Kreises, bzw. auch in der VNC Software selbst?
Berechtigungen
Zitieren