[Résolu] Souci avec connexion VNC

[karibou47]

Bonjour

J'ai voulu tester VNC avec ma config actuelle, a savoir :

IPCop 1.04b4 sur cel 400 4 Go 64 Mo Rnis Olitec

Entre 2 pc du reseau c'est ok

Par contre pour la prise en main distante, coonetc failed
J'ai ouvert les ports 5900 et 5800 mais rien n'y fait

De plus j'ai créé via no-ip.com un nom de domaine
Cela puet il me servir pour me connecter à distance? Si oui cela remplace t il VNC et dois je autoriser d'autres ports?
Si non puis taper ce nom de domaine dans VNC pour me connecter ?

Si vous avez une (ou des) réponse(s) merci d'avance

Karibou

[Petzi]

Oui tu peux utiliser ton nom de domaine sur IP dynamique pour te connecter. C'est très pratique d'ailleurs. Et cela ne change rien à tes ports.
Si ta connection ne marche pas depuis l'extérieur il faut vérifier tes "port forwardings", cela ne peut venir que de ça. A-tu bien bien forwardé les bons ports sur la bonne adresse interne ?

[carbone]

VNC marche super amis attention la version de base est non cryptée donc les pass sont en clair!
Pour faire tourner, tu dois mettre un serveur vnc sur une de tes machine du réseau, par exemple la 192.168.0.100.
Ensuite tu forwarde un port par exemple le 12000 vers le 5800 de 192.168.0.100
MAinetnant de l'extérieur tu lance le vnc viewer sur l @ip de ton firewall pour lextérieur:12000 et tu te retrouve connecté sur la machine 192.168.0.100 en vnc
si tu veux accéder à d autres machines, il faut faire un forward sur différents ports du firewall mais toujours sur le 5800 du serveur vnc (sauf si tu change la config vnc)

Pour avoir l @ip de ton firewall tu peux par exemple utiliser un service dyndns ou no-ip.com

[karibou47]

Merci de ta réponse rapide mais je suis encore un débutant et cela me parait flou.

En fouillant un peu dans les menus IPcop, dans DNS Dynamique, j'ai vu que l'on pouvait ajouter un hote
en mettant le service no-ip.com pour moi, mais que mettre dans les autres champs?

Dans quelle option dois je aller pour forwarder les ports et comment remplir les champs?

Par la meme occasion, quelles sont les autres options qui pourraient m'etre utiles ?

J'ai deja parmetrer les transfert ssh et cela fonctionne

Merci d'avance

Karibou

[Petzi]

Bon perso je n'utilise pas no-ip mais dyndns, cependant j'imagine que c'est exactement la même chose. Pour confiurer ça, il te suffit d'indiquer un hostname, un username et un password. Tu reprend les infos que tu as indiqué lors de ton inscription. A partir de là ,ipcop va lui-même mettre à jour ton IP chez no-ip (dans ton cas).
Pour VNC & le port firewalling, il faut aller dans l'onglet correspondant de l'interface web de ipcop. Ensuite, tu met les choses suivantes : Protocol : TCP (VNC utilise TCP), Source port : 5900, Destination port : 5900, Destination IP : l'adresse privée (type 19.168.x.x ou 10.100.x.x, ...) qui aura un service VNC, Remark : cequetuveux, Source IP : l'ip de la machine authorisée à faire du VNC, ou rien du tout si tu veux que tout le monde ait accès (peut recommandé). Les ports indiqué dans la config IPCOP doivent correspondre au port que tu as configuré sur ton serveur VNC (5900 est par défaut je crois).

Pour plus de détails, il y a quantité de documents sur Internet ... essaye www.google.com.

[PetitBit]

Bonjour petitkaribou,

Entre 2 pc du reseau c'est ok

Donc on est déjà sûrs que VNC fonctionne

J'ai ouvert les ports 5900 et 5800 mais rien n'y fait

Il faut aller dans "Pare-feu" -> "Transfert de port" et ajouter une règle avec:
Port source: 5900
Adresse IP de destination: Adresse IP du PC sur lequel il y a le serveur VNC
Port destination: 5900

Vérifie que la règle est bien activée (case cochée) et tu devrais pouvoir te connecter depuis l'extérieur.

Pas besoin d'ajouter une règle dans "Accès externes"

Si ça fonctionne tu pourras ensuite t'occuper du DNS dynamique mais n'essaie pas de résoudre tous les problèmes en même temps.

Bon courage !

[Green]

salut a tous,

d'un point de vue securite sur un VNC que peut-on faire pour ameliorer tout ca, sans avoir une solution trop lourde/complexe ?
Y a-t-il moyen de passer tout ca en ssh oua autre ?...

Merci

[Petzi]

Oui c'est possible, mais j'ai jamais essayé.
http://www.uk.research.att.com/archive/vnc/sshvnc.html

[Green]

merci pour le lien je vais regarder
Ce qui serait super cool serait que le ssh soit géré par IPCOP mais la ca doit compliquer enorment les choses

Je pensais aussi a faire passer le VNC dans du VPN : OK pour une solution fixe mais ca me semble lourd pour une solution nomade ?

[tomtom]

merci pour le lien je vais regarder
Ce qui serait super cool serait que le ssh soit géré par IPCOP mais la ca doit compliquer enorment les choses

non, en fait il n'y a rien de plsu simple...

IPCop possede deja un serveur ssh -> on va l'utiliser.
Sur ton poste distant sur internet, tu lances ssh en mode tunnel. Si tu utilise linux, c'est l'option -L. Sou s putty, c'est encore plus simple.
Lance putty.
configure ta connection comme d'hab (ip publique de ipcop, port 222)
dans le menu à gauche, tu vas tout en bas dans "connection->ssh->tunnels", tu vois une zone "port forwarding". C'est la que ca joue.
Dans source port, tu mets le port que tu vas utiliser localement (pourquoi pas le port par defaut : 5900).
Dans destination, tu mets : adress.ip.de.servvnc:5900
Tu laisses local de coché (ben oui, on forwarde un port local ! ) et tu cliques sur Add.

Ensuite, tu etablis la connection comme d'habitude, avec ton mot de passe de ipcop.

maintenant, dans une commande dos, fais un netstat -an.
Miracle ! un port 5900 est en ecoute.
tu peux connecter ton client vnc sur loclhost:5900

Tout passe dans le tunnel de manière transparente.
Malin, non ?
en plus, ca evite de transferer un port de plus sur le firewall( plus besoin de transferer le 5900 )
Elle est pas belle la vie ?

t.

[Petzi]

Tomtom merci pour cette explication, c'est vraiment cool !!!

J'ai juste une question. Je pense avoir mal compris quelque chose. Quand tu dis qu'on se connecter a IPCOP via SSH port 222 avec l'option tunneling ... ? A priori je ne peux pas me connecter en ssh sur IPCOP depuis l'extérieur. Merci.

[tomtom]

2 possibilités :

- tu n'as pas activé le serveur ssh
- tu n'as pas ouvert le port 22 entrant.

Je n'utilise pas IPCop, mais je suis certains que ces actions peuvent se réaliser dans l'interface web !

T.

[Petzi]

CA MARRRrrrche !!!!! Super TOMTOM, Merci.

[karibou47]

Tomtom a écrit

Tout passe dans le tunnel de manière transparente.
Malin, non ?
en plus, ca evite de transferer un port de plus sur le firewall( plus besoin de transferer le 5900 )
Elle est pas belle la vie ?

J'ai suivi à la lettre tes indications et tout a fonctionné parfaitement. Simplement j'ai enlevé le transfert de port 5900 et cela ne fonctionne plus?

Cette solution sécurise t elle VNC à 100%?

Petitbit a écrit

Si ça fonctionne tu pourras ensuite t'occuper du DNS dynamique mais n'essaie pas de résoudre tous les problèmes en même temps

Ok maintenant que cela fonctionne et que j'ai compris la finalité de toutes ces options, passons au DNS Dynamique

Dois je le parametrer et qu'est ce que cela va m'apporter de plus?

Merci d'avance et aussi pour toutes les reponses déja apportées.

Karibou

[Green]

non, en fait il n'y a rien de plsu simple...


Tout passe dans le tunnel de manière transparente.
Malin, non ?
en plus, ca evite de transferer un port de plus sur le firewall( plus besoin de transferer le 5900 )
Elle est pas belle la vie ?

Merci pour ta réponse complete

Par contre y a 2 ou 3 truc que je comprend pas bien :
-Comment sans tranfert de port ma passerelle(IPCOP) va savoir ou est mon serveur VNC ? Il faut bien lui donner cette info a un endroit je pense ?
-en faisant de cette maniere, si je comprend bien c'est IPCOP qui va s'occuper de l'encapsulation ssh et non mon serveur VNC ?

Cette solution sécurise t elle VNC à 100%?

Je dirais pas 100%, mais je pense que c un bon debut nivveau secu.
Par contre si il y a mieu a faire, je suis également preneur

Merci d'avance a tous