[GELÖST] x11vnc über ssh und firewall

[severin]

Hi!
Ich versuche gerade, durch das Internet eine X-Sitzung zu spiegeln. Bisher geschafft habe ich:
-die ssh-Verbindung steht:

Code: Alles auswählen

ssh <remote IP> -l<remote username> -L 5900:<remote IP>:5900 -p <remote port>

-der x11vnc läuft auf dem Server:

Code: Alles auswählen

x11vnc -solid -forever

Aber meine vnc clients bekommen keine Verbindung. Woran kann das liegen? Das port forwarding am Router des Servers ist offensichtlich in Ordnung, sonst bekäme ich ja gar keine ssh-Verbindung. Kann mich jemand mal generell aufklären, auf welchem Port ich dann da rauskomme? Ich hab schon öfter vnc auf Rechner ohne firewall gemacht, aber mit firewall scheint da noch ein Haken zu sein...

[Danielx]

Code: Alles auswählen

ssh <remote IP> -l<remote username> -L 5900:<remote IP>:5900 -p <remote port>

Ich würde gleich intern weiterleiten, also:
-L 5900:localhost:5900

Aber meine vnc clients bekommen keine Verbindung.

Wie sieht denn der Aufruf des VNC-Viewers aus?

Gruß,
Daniel

[severin]

Hi!
Ja, mittlerweile hat sich rausgestellt, dass es daran hakte (http://sidux.com/PNphpBB2-viewtopic-t-14736.html). Aber *warum*? Ich dachte immer, in dieser Notation ist das vor dem Doppelpunkt der Port des clients, das zwischen den Doppelpunkten der server, an den ich tunnele, und das nach dem Doppelpunkt der Port, auf dem die Daten des client-Ports am server ankommen. Oder nicht?

[Danielx]

Ich dachte immer, in dieser Notation ist das vor dem Doppelpunkt der Port des clients

Ja, das ist der Port des Clienten, welcher weitergeleitet wird.

das zwischen den Doppelpunkten der server, an den ich tunnele,

Ja, das ist der Server, zu welchem der Port weitergeleitet wird, allerdings aus der Sicht des Servers, mit dem du die SSH-Verbindung aufgebaut hast!
Da der Server auf den du dich per SSH verbunden hast und der Server zu dem du weiterleiten möchtest bei dir derselbe ist, muss der Server von sich aus gesehen also die Verbindung an sich selbst weiter leiten.
Und der Server ist für sich selbst eben localhost.

Theoretisch könntest du auch anstatt localhost die öffentliche IP des Servers angeben, das setzt aber voraus, dass der Server weiß, welche öffentliche IP er selbst hat um zu erkennen dass die Weiterleitung für ihn selbst bestimmt ist.
Da du aber wahrscheinlich den Server nicht direkt am Internet hängen hast, sondern mit einem Router davor, kennt der Server seine eigene öffentliche IP nicht und denkt deshalb bei der öffentlichen IP, welche du angegeben hast, würde es sich um einen anderen Server im Internet handeln und versucht deshalb die Pakete an die "öffentliche IP" Port 5900 über den Router in das Internet an den scheinbar "fremden" Server weiterzugeben.
Der Router merkt jetzt aber, dass die öffentliche IP seine eigene öffentliche IP ist und leitet die Pakete auf sich selbst zum Port 5900, dort lauscht aber kein Dienst und somit nimmt niemand die Pakete an und der Tunnel kann nicht aufgebaut werden.

Verstanden?

und das nach dem Doppelpunkt der Port, auf dem die Daten des client-Ports am server ankommen.

Ja, das ist der Port auf dem Server (der zwischen dem Doppelpunkt steht) an den weitergeleitet wird.

Gruß,
Daniel

[severin]

Meine Güte! Das erklärt, warum es ohne firewall (vor dem Server) ging! Dann hat sich der server über seine IP selber gefunden. Das heißt (Gedankenexperiment), ich könnte da auch die interne (192.168....) IP des Servers angeben. Ulkig, aber macht irgendwie Sinn, dass der server wissen muss, an welchen Rechner er die Daten weiterleiten muss.

[Danielx]

Das heißt (Gedankenexperiment), ich könnte da auch die interne (192.168....) IP des Servers angeben.

Ja, genau.