Discussion:
VNC - problem z połączeniem
(Wiadomość utworzona zbyt dawno temu. Odpowiedź niemożliwa.)
mariusz
2013-01-10 08:36:06 UTC
Permalink
Witam
Mam problem z połączeniem się poprzez vnc do pulpitu na moim serwerku
(centos). Zainstalowałem na nim tigervnc. W /etc/sysconfig/vncservers
mam tak:

VNCSERVERS="2:user"
VNCSERVERARGS[2]="-geometry 1024x768 -nolisten tcp -localhost -depth 24"

Jak wywale "localhost" to mogę się połączyć. Jak jest jak wyżej to nie.

Co muszę zrobić żebym mógł się połączyć z pulpitem w konfiguracji jak
wyżej ?

Pozdrawiam
Mariusz
jureq
2013-01-10 10:20:24 UTC
Permalink
Post by mariusz
VNCSERVERARGS[2]="-geometry 1024x768 -nolisten tcp -localhost -depth 24"
Jak wywale "localhost" to mogę się połączyć. Jak jest jak wyżej to nie.
Localhost oznacza, że możesz się połączyć tylko z servera a nie z
zewnątrz. W praktyce używa się tej opcji tylko wtedy jeśli łączymy się
korzystając z tunelu ssh. Czy masz na serverze uruchomione sshd? Jeśli
tak, to w kliencie vnc włącz opcje używania ssh.
mariusz
2013-01-10 11:02:36 UTC
Permalink
Post by jureq
Localhost oznacza, że możesz się połączyć tylko z servera a nie z
zewnątrz. W praktyce używa się tej opcji tylko wtedy jeśli łączymy się
korzystając z tunelu ssh. Czy masz na serverze uruchomione sshd? Jeśli
tak, to w kliencie vnc włącz opcje używania ssh.
Dzięki za odpowiedź. Trochę mi rozjaśniłeś sytuację. Oczywiście mam
sshd. Do połączeń z serwerem z kompa w LAN używam putty. Doczytałem że
można je tak ustawić żeby tworzyło tunel po którym może nawiązać
połączenie jakiś viewer vnc. Pytanie mam. Czy do takiego połączenia
potrzebne są operację na iptables ?


Pozdrawiam
Mariusz
jureq
2013-01-10 11:10:35 UTC
Permalink
Post by mariusz
Dzięki za odpowiedź. Trochę mi rozjaśniłeś sytuację. Oczywiście mam
sshd. Do połączeń z serwerem z kompa w LAN używam putty. Doczytałem że
można je tak ustawić żeby tworzyło tunel po którym może nawiązać
połączenie jakiś viewer vnc.
Jakiego używasz viewera vnc? Więszość viewerów nie wymaga używania
zewnętrznych programów do ssh takich jak putty. Obsługa ssh jest
wbudowana już w klienta (viewera) vnc.
Post by mariusz
Pytanie mam. Czy do takiego połączenia potrzebne są operację
na iptables ?
Nie znam twojej konfiguracji iptables. Ale jeśli iptables przepuszcza ci
połączenia z sshd np z putty i przepuszcza połączenia z vnc po usunięciu
"-localhost", to raczej w konfiguracji firewalla nic nie będzie trzeba
zmieniać.
mariusz
2013-01-10 11:19:45 UTC
Permalink
Post by jureq
Jakiego używasz viewera vnc? Więszość viewerów nie wymaga używania
zewnętrznych programów do ssh takich jak putty. Obsługa ssh jest
wbudowana już w klienta (viewera) vnc.
VNC-Viewer-5.0.3-Windows-32bit.exe. Może coś innego warto używać ?
Post by jureq
Post by mariusz
Pytanie mam. Czy do takiego połączenia potrzebne są operację
na iptables ?
Nie znam twojej konfiguracji iptables. Ale jeśli iptables przepuszcza ci
połączenia z sshd np z putty i przepuszcza połączenia z vnc po usunięciu
"-localhost", to raczej w konfiguracji firewalla nic nie będzie trzeba
zmieniać.
A jak jest z bezpieczeństwem? Bo po usunięciu -localhost jedynym
zabezpieczeniem jest hasło no i nazwa użytkownika. Da się zrobić żeby to
biegało po np ssl-u ? A może da się jakoś ograniczyć możliwośc
nawiązywania połączeń do serwera vnc jedynie z konkretnego kompa w sieci
LAN ?

Pozdrawiam
Mariusz
jureq
2013-01-10 11:35:15 UTC
Permalink
Post by mariusz
Post by jureq
Jakiego używasz viewera vnc? Więszość viewerów nie wymaga używania
zewnętrznych programów do ssh takich jak putty. Obsługa ssh jest
wbudowana już w klienta (viewera) vnc.
Może lekko ;) przesadziłem. Używam tylko te pod linuksa. W tym systemie
rzeczywiście większość viewerów ma obsługę ssh.
Post by mariusz
VNC-Viewer-5.0.3-Windows-32bit.exe. Może coś innego warto używać ?
To jest realVNC - on jeśli dobrze pamiętam nie ma wbudowanej obsługi ssh.
Niezbyt ci potrafię poradzić jaki inny pod windows jest wygodny i ma
wbudowane ssh. Może poradzi ktoś inny, albo wujek gugiel (np "VNC windows
client ssh", "vnc windows wiever ssh").
Post by mariusz
A jak jest z bezpieczeństwem? Bo po usunięciu -localhost jedynym
zabezpieczeniem jest hasło no i nazwa użytkownika. Da się zrobić żeby to
biegało po np ssl-u ? A może da się jakoś ograniczyć możliwośc
nawiązywania połączeń do serwera vnc jedynie z konkretnego kompa w sieci
LAN ?
Właściwym zabezpieczeniem dla VNC jest mocne hasło i właśnie tunelowanie
przez ssh.
Manhattan Project
2013-01-10 11:37:52 UTC
Permalink
Post by mariusz
Post by jureq
Localhost oznacza, że możesz się połączyć tylko z servera a nie z
zewnątrz. W praktyce używa się tej opcji tylko wtedy jeśli łączymy się
korzystając z tunelu ssh. Czy masz na serverze uruchomione sshd? Jeśli
tak, to w kliencie vnc włącz opcje używania ssh.
Dzięki za odpowiedź. Trochę mi rozjaśniłeś sytuację. Oczywiście mam
sshd. Do połączeń z serwerem z kompa w LAN używam putty. Doczytałem że
można je tak ustawić żeby tworzyło tunel po którym może nawiązać
połączenie jakiś viewer vnc. Pytanie mam. Czy do takiego połączenia
potrzebne są operację na iptables ?
Pozdrawiam
Mariusz
Dodaj w konfiguracji połączenia putty w gałęzi 'Connection > SSH >
Tunnels' takie coś:

Source port 5900 (jeżeli na kompie z windowsem nie masz VNC)
Destination localhost:5900
Pozostawiasz 'Local' i 'Auto'. Klikasz 'Add'. W 'Forwarded Ports'
powinien pojawić się wpis 'L5900 localhost:5900'.
Nawiązujesz połączenie ssh, odpalasz VNC i łączysz się z localhost. W
wyniku tunelowania połączenie na lokalny port 5900 przekazywane jest na
port 5900 'localhosta' ale już po drugiej stronie tunelu.

MP
mariusz
2013-01-10 12:04:52 UTC
Permalink
Już działa. Dziękuję wszystkim za poświęcony czas.

Loading...