Fernzugriff auf Rechner der Mutter

[jensberlin]

Hallo,

unter Kubuntu gibt es die Option per krdc Paket eine Fernwartung zu anderen Rechnern einzurichten. Meines Wissens ist hierfür ein DynDNS Server nötig.

Gibt es unter Debian eine andere (bessere?) Möglichkeit? Wie würdet Ihr das machen?

Ich möchte meiner Mutter einen neuen Rechner schenken und würde mir sehr gerne das lästige Raten sparen. Mit einem Desktopzugriff könnte man Probleme viel einfacher lösen. Sowohl bei mir, als auch bei Ihr steht eine Fritz!Box.

Gibt es Bedenken, was die Sicherheit angeht?

[cirrussc]

Reicht dafür nicht ein einfacher ssh Zugang?
Screenshoots kannst Du dann mit scrot machen

[Lord_Carlos]

Meines Wissens ist hierfür ein DynDNS Server nötig.

Nicht nötig, aber es vereinfacht die sache erheblich. Weil sich die IP bei den meisten Provider alle 24 Stunden ändert.

[Danielx]

Ich gehe jetzt mal davon aus, dass auf dem Rechner deiner Mutter Debian läuft.

Meines Wissens ist hierfür ein DynDNS Server nötig.

Nötig nicht, aber bequemer, dann braucht dir deine Mutter nicht jedes mal ihre öffentliche IP vorlesen.
DynDNS sollte die Fritz!Box können.

Gibt es unter Debian eine andere (bessere?) Möglichkeit? Wie würdet Ihr das machen?

Ich würde x11xnc auf dem Rechner deiner Mutter und xvnc4viewer auf deinem Rechner installieren.
Dann bei der Fritz!Box deiner Mutter eine Port-Weiterleitung für SSH auf den Rechner deiner Mutter einrichten und x11vnc starten:

Code: Alles auswählen

x11vnc -forever -rfbauth VNC-Passwort-Datei -localhost -o /var/log/x11vnc.log 2> /dev/null &

Das VNC-Passwort musst du entsprechend einrichten und den Pfad zur VNC-Passwort-Datei anpassen.

Dann kannst du dich auf den Rechner deiner Mutter per VNC verbinden, VNC wird durch das "-via DynDNS-Adresse" über SSH getunnelt:

Code: Alles auswählen

xvnc4viewer localhost -via DynDNS-Adresse

DynDNS-Adresse entsprechend ersetzen.

Gibt es Bedenken, was die Sicherheit angeht?

Ich würde auf jeden Fall, wie beschrieben VNC über SSH tunneln und ein sicheres SSH-Passwort verwenden oder gleich mit Key-Authentifikation.

Gruß,
Daniel

[roli]

Hi,

auf heise.de finde ich folgende zwei Artikel zu dem Thema ganz gut:
-X-Window-Desktop fernsteuern per Shell-Skript und VNC
-Windows-Fernsteuerung auf Doppelklick

[Duff]

Ich würde auf jeden Fall, wie beschrieben VNC über SSH tunneln und ein sicheres SSH-Passwort verwenden oder gleich mit Key-Authentifikation.

Dann muss doch aber zuerst per ssh eine Verbindung aufgebaut werden und diese dann von vnc genutzt werden, oder?
Soweit ich mich erinner, ist dies aber nicht immer so einfach, da man bei den ssh-Optionen den lokalen und entfernten Port angeben muss usw.

[uname]

Ich würde noch einen Schritt weiter gehen. Sie sitzt ja hinter einem Router und an Ihren Einstellungen würde ich gar nichts drehen. Sicherheitslöcher solltest du bei dir einbauen.

Installiere Ihr einen SSH-Server, der nur auf "localhost" horcht, vergess ihren Router und bei ihr Dyndns. Erzeuge ein SSH-Keypair, kopiere dir nur den öffentlichen Schlüssel.

Schreibe ein Script, welches sie im Bedarfsfall starten kann:

Code: Alles auswählen

ssh -N -R 2222:localhost:22 user@dein-server-im-internet-oder-dyndns.tld

Installiere selbst auch SSH, mach es im Internet erreichbar, lege einen Benutzer "user" mit Shell /bin/false an, vergebe kein Passwort, erlaube nur Keys, erlaube nur ihren Key. Denk daran, dass bei deinem SSH "AllowTcpForwarding yes" gesetzt ist (ist eigentlich default).

Nun hat sie mal ein Problem. Sie startet das Script und du nutzt den SSH-Tunnel rückwarts (bei dir localhost:2222) zu ihr. Und das Sicherheitsrisiko liegt nur bei dir. Ob du nun durch den Tunnel VNC durchziehst oder nicht, deine Sache.

Alternativ zu einem neuen Benutzer kannst du auch den Key deiner ~/.ssh/authorized_keys mit der Option "no-pty" hinzufügen.

[Danielx]

Dann muss doch aber zuerst per ssh eine Verbindung aufgebaut werden und diese dann von vnc genutzt werden, oder?

Ja, aber das mach doch der von mir genannte Befehl automatisch:

Code: Alles auswählen

xvnc4viewer localhost -via DynDNS-Adresse

Dieser Befehl baut auf Grund der Option "-via DynDNS-Adresse" automatisch einen SSH-Tunnel zum Rechner "DynDNS-Adresse" auf und tunnelt die VNC-Verbindung dann durch die SSH-Verbindung!

unter Kubuntu gibt es die Option per krdc Paket eine Fernwartung zu anderen Rechnern einzurichten.

Krdc (Client) und Krfb (Server) für KDE gibt es bei Debian auch.
Außerdem gibt es noch Vinagre (Client) und Vino (Server) für Gnome.

Gruß,
Daniel

[Duff]

DAnke. Ich habe das Packet nicht installiert sonst hätte ich mal nachschauen können, was die -via Option genau bewirkt.

Arbeite mit OpenVPN und rdesktop um auf entfernte Windows-Rechner zugreifen zu können.

[Danielx]

DAnke. Ich habe das Packet nicht installiert sonst hätte ich mal nachschauen können, was die -via Option genau bewirkt.

http://manpages.songshu.org
http://manpages.debian.net

Gruß,
Daniel

[Duff]

Ok, habe sie mal zu den favorisierten Links gespeichert

[uname]

Zum Thema "via". Quellcode ist selbsterklärend:

vncviewer.cxx:

Code: Alles auswählen

 
try {                                                                                                                                                    
    /* Tunnelling support. */   
    if (strlen (via.getValueStr ()) > 0) {                                                  
      char *gatewayHost = "";                     
      char *remoteHost = "localhost";                     
      int localPort = findFreeTcpPort ();              
      int remotePort;                           
      if (!vncServerName)                     
        usage();                                               
      interpretViaParam (&gatewayHost, &remoteHost, &remotePort,                                           
                        &vncServerName, localPort);                          
      createTunnel (gatewayHost, remoteHost, remotePort, localPort);                          
    }            

.....

static void
createTunnel (const char *gatewayHost, const char *remoteHost,
             int remotePort, int localPort)
{ 
  char *cmd = getenv ("VNC_VIA_CMD");
  char *percent;
  char lport[10], rport[10];
  sprintf (lport, "%d", localPort);
  sprintf (rport, "%d", remotePort);
  setenv ("G", gatewayHost, 1);
  setenv ("H", remoteHost, 1);
  setenv ("R", rport, 1);
  setenv ("L", lport, 1);
  if (!cmd)
    cmd = "/usr/bin/ssh -f -L \"$L\":\"$H\":\"$R\" \"$G\" sleep 20";
  /* Compatibility with TightVNC's method. */
  while ((percent = strchr (cmd, '%')) != NULL)
    *percent = '$';
  system (cmd);
}

 

[jensberlin]

Bei meiner Mutter kann ein beliebiges System - natürlich bevorzugt Debian aufgesetzt werden.
Bei dem von mir vor 1 Jahr kurz getesteten Tool krdc konnte das Gegenüber, in diesem Fall meine Mutter, einfach per Mausklick die Sitzung zulassen und ab diesem Moment hatte ich Kontrolle über Ihren Mauscursor.

Der große Vorteil darin bestand, dass ich Ihr all die schönen Dinge "zeigen" konnte. Momentan sehen die Supportanrufe immer so aus, dass ich ständig fragen muss:
"Was hast Du geklickt? Wo? Was siehst Du?"

Das könnte man somit elegant umgehen.

[uname]

Also im Internet habe ich mal nach "krdc secure" gesucht.

http://jeltsch.org/node/209

Code: Alles auswählen

ssh -L 5902:192.168.0.7:5902 -f -N jeltsch@192.168.0.7 krdc localhost:2

In deinem Fall wohl so:

Code: Alles auswählen

ssh -L 5902:localhost:5902 -f -N user@dyndns-deiner-mutter.org krdc localhost:2

Bei dem Display (localhost.2) bin ich mir nicht so sicher. Musst mal im Internet raussuchen, wie man krdc über SSH nutzt.

[Danielx]

Der große Vorteil darin bestand, dass ich Ihr all die schönen Dinge "zeigen" konnte. Momentan sehen die Supportanrufe immer so aus, dass ich ständig fragen muss:
"Was hast Du geklickt? Wo? Was siehst Du?"

Ja, genau deswegen habe ich ja x11vnc empfohlen, da kann deine Mutter nämlich auch schön zusehen, was du da auf ihrem Rechner machst!

Meiner Meinung nach ist das eine gute und einfache Lösung:

1.) Auf dem Rechner der Mutter:

Code: Alles auswählen

x11vnc -localhost -bg

Oder mit VNC-Passwort, welches in der Datei /Pfad/zur/passwd steht:

Code: Alles auswählen

x11vnc -localhost -bg -rfbauth /Pfad/zur/passwd

Oder VNC-Passwort einfach direkt übergeben:

Code: Alles auswählen

x11vnc -localhost -bg -passwd MeinPasswort

2.) Auf dem Rechner des Sohnes:

Code: Alles auswählen

xvnc4viewer localhost -via DynDNS-Adresse-der-Mutter

Hierbei wird die VNC-Verbindung sicher über SSH getunnelt.
Das war es schon.

x11vnc beendet sich dann automatisch, sobald der Sohn die VNC-Verbindung beendet, möchte man dies nicht, dann fügt man einfach die Option "-forever" beim x11vnc-Aufruf hinzu.
Die Option "-localhost" sorgt dafür, dass nur über die SSH-Verbindung (oder lokal) auf den VNC-Server zugegriffen werden kann, das dient der Sicherheit.

In deinem Fall wohl so:

Code: Alles auswählen

ssh -L 5902:localhost:5902 -f -N user@dyndns-deiner-mutter.org krdc localhost:2

Das ist ziemlich sinnlos.
Er will ja den Desktop seiner Mutter sehen und nicht umgekehrt, denn der VNC-Client (krdc) würde hier auf dem Rechner der Mutter gestartet!
Außerdem kann er ein X-Programm nicht so einfach auf dem Display der Mutter starten, schon alleine daran wird der Befehl scheitern.

So würde es funktionieren:
1.) Auf dem Rechner der Mutter:
K-Menü -> Einstellungen -> Arbeitsfläche freigeben
Die Mutter gibt den Desktop frei und nennt dem Sohn das Passwort.
2.) Auf dem Rechner des Sohnes:

Code: Alles auswählen

ssh -L 5900:localhost:5900 -N user@dyndns-deiner-mutter.org

Und dann krdc starten und dort als Rechner "localhost:0" angeben.

Allerdings ist diese Methode bei mir (im Gegensatz zu x11vnc) nicht wirklich performant, d.h. es kommt zu Flackern auf dem freigegebenen Desktop und die Maus-Steuerung reagiert etwas träge, aber das kann auch an dem entfernten Rechner liegen.

Gruß,
Daniel

[Duff]

Muss man nicht auch noch was in Bezug auf die entsprechenden Ports beachten?
(Z.B. bei der dyndns-Verbindung)

[Danielx]

Muss man nicht auch noch was in Bezug auf die entsprechenden Ports beachten?

Meinst du Port-Weiterleitung für SSH von der Fritz!Box der Mutter auf den Rechner der Mutter?
Habe ich ja schon hier erwähnt: viewtopic.php?f=30&t=109959#p695952

(Z.B. bei der dyndns-Verbindung)

Was meinst du genau?

Gruß,
Daniel

[Duff]

Ok, wenn das alles ist und man wirklich nur ssh auf der Fritzbox zum Rechner weiterleiten muss.

Beim Aufruf auf dem Rechner des Sohns muss nicht noch einen Port angeben?

[Danielx]

Beim Aufruf auf dem Rechner des Sohns muss nicht noch einen Port angeben?

Welcher Port sollte das sein?

Gruß,
Daniel

[uname]

Ok, wenn das alles ist und man wirklich nur ssh auf der Fritzbox zum Rechner weiterleiten muss.

Welcher Port sollte das sein?

Der Port, den man auf der Fritzbox für die Weiterleitung angibt. Am besten ein Port oberhalb von 1023. Z.B. 4711.

[Duff]

Ich kenne es nur von meinem ssh-Server.
Dort habe ich dyndns auf der fritzbox eingerichtet und leite den Port von 65100 auf 22 auf dem Server um.
Um mich mit dem Server verbinden zu können, muss ich beim ssh-Befehl neben dem dyndns-Namen noch mit -p 65100 den Port angeben.

Sowas meinte ich.

[Danielx]

Dort habe ich dyndns auf der fritzbox eingerichtet und leite den Port von 65100 auf 22 auf dem Server um.
Um mich mit dem Server verbinden zu können, muss ich beim ssh-Befehl neben dem dyndns-Namen noch mit -p 65100 den Port angeben.

Wenn man nicht den standard-Port verwendet, dann muss man ihn natürlich extra angeben, das sollte wohl klar sein, denn das ist eigentlich immer so...

Gruß,
Daniel

[Duff]

Dann wäre der Aufruf vom Rechner des Sohns so:

Code: Alles auswählen

xvnc4viewer localhost -via DynDNS-Adresse -listen <Port>

[Danielx]

Dann wäre der Aufruf vom Rechner des Sohns so:

Code: Alles auswählen

xvnc4viewer localhost -via DynDNS-Adresse -listen <Port>

Damit das hier nicht alle Ewigkeiten so stehen bleibt:
Nein.



Gruß,
Daniel