Wer anderen Nutzern unter die Arme greifen will, kann dies auch aus der Ferne tun. Das Internet ermöglicht den Fernzugriff über beliebige Distanzen. Neben dem Konsolen-Login über SSH, kann man sich natürlich auch den ganzen Desktop des Hilfesuchenden heranholen. Neben vielen Freeware-Tools, die aber wieder genau dieses Tool als Gegenstück auf der anderen Seite erwarten, sollte man vorzugsweise auf das Protokoll VNC setzen. Mit VNC ist das Betriebssystem an beiden Enden beliebig. Unter Ubuntu Linux kann der Hilfesuchende seine Oberfläche einfach freigeben, indem er unter “System” → “Einstellungen” → “Entfernter Desktop” seinen eigenen Desktop freigibt. Dabei ist es möglich entweder nur die Ansehen durch den Helfer zu ermöglichen oder aber auch die Steuerung an den Helfer zu übergeben. Im zweiten Fall kann der Desktop vom Hilfesuchenden und vom Helfer gleichzeitig bedient werden. Allerdings sollte man sich absprechen. Einer von beiden sollte die Finger von der Maus lassen. Der Helfer startet seinen VNC-Client unter Ubuntu über “Anwendungen” → “Internet” → “Betrachter für entfernte Desktops”, und verbindet sich mit der IP oder dem Hostnamen des Hilfesuchenden. Soweit geht das ganz einfach im lokalen Netz. Für VNC-Verbindungen über Internet ist etwas mehr Arbeit nötig.

Fernzugriff über Internet

Damit ein Fernzugriff, egal welcher Art (SSH, VNC, …) über das Internet auf einen Computer klappt, der hinter einem Router (Fritz!Box, …) sitzt, ist es notwendig die entsprechenden Ports vom Router auf den freizugebenden Rechner weiterleitet. Auf der Seite des Hilfesuchenden, muss Portforwarding bzw. eine Portfreigabe auf dem Router eingerichtet werden. Die benötigten Informationen sind die lokale IP (z.B. 192.168.1.34) und die Portnummer, die der Dienst (SSH, VNC,…) benötigt. Eine Verbindungsversuch aus dem Internet schlägt beim Router auf. Ohne Portforwarding verwirft dieser einfach die Pakete. Mit Portforwarding wird die Verbindung an die eingerichtete lokale IP weitergereicht. Für den Fernzugriff per VNC muss (soweit nicht anders konfiguriert) Port 5900 offen sein und auf den Rechner des Hilfesuchenden weitergeleitet werden. Sollen mehrer PCs im lokalen Netz per VNC gewartet werden, muss für jeden PC eine separate Portfreigabe eingerichtet werden; mit unterschiedlichen Ports, versteht sich. Der erste PC lauscht auf Port 5900, der zweite auf 5901, usw.
Der Helfer braucht als Information für den Verbindungsaufbau die externe IP des Routers des Hilfesuchenden, die Portnummer und die Display-Nummer. Die externe IP wird meist auf der Konfigurationsoberfläche des Routers anzeigt, oder bei Diensten, wie Heise-Netze. Die Portnummer hat der Hilfesuchende festgelegt. In den meisten Fällen die Displaynummer die “0″. Da sich die externe IP aber meist mind. alle 24 Stunden ändert, ist es umständlich jedes Mal den Hilfesuchenden die externe IP raussuchen zu lassen.

Einfacher mit DynDNS

Es gibt mehrere Dienste im Internet, die sich beim Router über die aktuelle externe IP erkundigen, und diese in eine Namensauflösung umsetzen. Beispiel: Muss man ohne so einen Dienst die externe IP erst erfragen, kann man auf Router (und PCs dahinter) bequem per Hostnamen zugreifen, wie hilfesuchender.dyndns.org. Ändert sich die IP, macht das nichts. So kann man sofort auf den PC des Hilfesuchenden zugreifen, ohne erst einen Eiertanz um IP und Portfreigaben zu machen. Wie man einen DynDNS-Account einrichtet und mehr Informationen gibt es hier:

1. DynDNS-Account anlegen
2. Dynamisches DNS-Update

Hier nicht mit eMail-Adressen rumlügen oder Wegwerf-Adressen verwenden. Sonst kann sich jemand anderes Zugang zu Eurem Account verschaffen.

Sicherheitsbedenken

Jeder offene Port ist ein Sicherheitsrisiko. Das ist richtig. Hier kann man aber ganz pragmatisch sein. Zum einen reden wir hauptsächlich von Linux-Systemen auf die zugegriffen werden soll. Zum anderen ist der PC des Hilfesuchenden nicht 24/7 online. 95% der Angriffe laufen also ins Leere. Wenn man die Einstellung so setzt, dass man ein Kennwort und Zustimmung des Hilfesuchenden braucht, um auf den Desktop zuzugreifen, sollte das kein Problem sein. Wer auf Nummer sicher gehen will, macht die Ports erst gar nicht auf, oder tunnelt z.B. den VNC-Traffic über SSH.

This entry was posted on Friday, October 31st, 2008 at 14:56 and is filed under Anleitungen, IT. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.