[XP] RDP werkt wel, maar met ssh tunnel niet* - Windows clients

maandag 14 augustus 2006 15:40

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Thuis zit ik achter modem en een router. op werk een modem met ingebouwde router.
Op mijn werk de ssh poort en de rdp poort geforward naar het interne ip nummer.

Ik kan gewoon met alleen rdp connecten naar de pc op mijn werk.
Werkt allemaal perfect, maar eigenlijk wil ik het via een ssh tunnel.

Heb op mijn werk copssh draaien.
Heb thuis putty geconfigureerd.
Sourcepoort: 127.0.0.2:3389
Destinationpoort: ip-werk:3389

Kan met putty netjes connecten met de pc op mijn werk, alleen als ik dan rdp met verbindingsgegevens: 127.0.0.2:3389 opstart werkt het niet.
Er komt wel een remotedesktop op mijn scherm(127.0.0.2) en een windows aanmeldscherm.
Als ik me dan aanmeld met de logingegevens van mijn werk, krijg ik een melding dat de login niet correct is.

Toen kreeg ik het vermoeden dat ik dus connecte met mijn eigen desktop(loopback werkt waarschijnlijk niet, ondanks xp patch). Mijn eigen login ingevoerd en toen werd er wel geconnect, maar het enige wat ik kreeg was een zwart scherm.

Ik heb het wel werkend gekregen in mijn lan.

Iemand een idee wat er fout gaat??

maandag 14 augustus 2006 15:48

Acties:

0 Henk 'm!

engelbertus

zoiets hadden wij op het werk ook, rdp wilde niet via een vpn.
is rdp alleen niet veilig genoeg? werkt dat niet via ipsec?

misschien gaat het juist daarom mis, door de routering via de modems en dat ssh daar ook "iets"mee doet, dat windows rdp in de war raakt?

[edit]
ik zie dat je bij het starten van de rdp 127.0.0.2 gebruikt? moet dat niet het adres van de remote pc zijn? 127 ben je zelf.. ?
als de remte pc nu iets terig stuurt stuurt ie het ook naar 127 en dan komt het niet aan?
welke ip adressen gebruik je op je werk, en heb je dan geen conflict met de adres range thuis?

[edit]

[ Voor 39% gewijzigd door engelbertus op 14-08-2006 15:52 ]

maandag 14 augustus 2006 16:02

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

engelbertus schreef op maandag 14 augustus 2006 @ 15:48:ik zie dat je bij het starten van de rdp 127.0.0.2 gebruikt? moet dat niet het adres van de remote pc zijn? 127 ben je zelf.. ?
als de remte pc nu iets terig stuurt stuurt ie het ook naar 127 en dan komt het niet aan?
[edit]

Nee want als je rdp opstart met het ip van je werk dan maak je dus geen gebruik van de ssh tunnel.

Alles ingesteld/geconfigureer volgens:
Remote desktop and SSH
Windows remote desktop

[ Voor 7% gewijzigd door Verwijderd op 14-08-2006 16:06 ]

maandag 14 augustus 2006 16:07

Acties:

0 Henk 'm!

Arnout

Als je eens begint met die sourcepoort te veranderen in iets anders, iig geen 3389 om te elimineren dat je lokaal inlogt. Ten tweede vat ik niet waarom je 127.0.0.2 introduceert.

maandag 14 augustus 2006 16:24

Acties:

0 Henk 'm!

Krypt

Zo.. ff getest.. en weer wat bijgeleerd

De standaard RDP client kan niet connecten naar je eigen ip (eigen ip of 127.0.0.1); dat pikt ie niet.. maar als je 127.0.0.2 intikt dan pikt ie het wel.. Nadeel: zwart scherm omdat je je eigen console overneemt.. nadeel2: je krijgt het niet meer weg en je moet restarten..

Maar inderdaad; sourcepoort veranderen zou het moeten oplossen.. of Remote desktop op je eigen machine uitzetten.. de ssh tunnel werkt niet, omdat poort 3389 al in gebruik is door je eigen RDP service.

Pvouput live

maandag 14 augustus 2006 16:39

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Krypt schreef op maandag 14 augustus 2006 @ 16:24:
Zo.. ff getest.. en weer wat bijgeleerd

De standaard RDP client kan niet connecten naar je eigen ip (eigen ip of 127.0.0.1); dat pikt ie niet.. maar als je 127.0.0.2 intikt dan pikt ie het wel..

Dat is dus voor mij ook de reden om dit te doen. Je kan ook de compatibiliteit op win98 zetten, enig nadeel is dan dat je login gegevens niet kan saven.

Nadeel: zwart scherm omdat je je eigen console overneemt.. nadeel2: je krijgt het niet meer weg en je moet restarten..

Zelfde probleem als ik had ondervonden

Maar inderdaad; sourcepoort veranderen zou het moeten oplossen.. of Remote desktop op je eigen machine uitzetten.. de ssh tunnel werkt niet, omdat poort 3389 al in gebruik is door je eigen RDP service.

De ssh tunnel gaat toch door poort 22, dus mag dat toch geen conflict geven.
Voor de zekerheid het volgende geprobeerd:

Heb bij werk en thuis op volgende registerregel
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

portnumber gewijzigd in 43210
Ook de forward in router gewijzigd.

Nu dus in putty: source 127.0.0.2:43210
destination: ip-werk:43210

Dit werkt ook niet via ssh tunnel, wel alleen rdp.

[ Voor 5% gewijzigd door Verwijderd op 14-08-2006 16:41 ]

maandag 14 augustus 2006 19:05

Acties:

0 Henk 'm!

engelbertus

heb je voor putty altijd een source ip plus poort nodig?

hoe doe je rdp. ik doe gewoon met windows bureaublad overnemen. ip adres opgeven en klaar.

die 127.0.0.2 is volgens mij ook nog steeds in de range local loopback dat moet je dus niet doen. kun je dat niet weglaten?
de 127 range moet je nooit zelf gaan gebruiken omdt dat altijd local loopback is.

ssh zal nog net wel kunnen werken, maar denk toch dat daar een deel van het probleem zit, hoe kan het anders dat je oook bij 127.0.0.2 op je eigen desktop terecht komt? blijkbaar gaat er dan iets mis met routeren.

de poort vranderen in 43210 op beide machines heeft dezelfde gevolgens als 3389 gebruiken, ze zijn dan al in gebruik als rdp poort op de eigen machine voor gebruik zonder ssh

je kunt het beste een ipadres uit je lokae netwerk gebruiken voor ssh stel je gebruikt nu 192.168.0.0 als netwerkmet netmask 255.255.255.0 dan kun je voor je lokale machines bijvoorbeeld 192.168.0.1 tot 192.168.050 gebruiken en de remote machines gaan aanspreken met 192.168.0.51 tot 192.168.0.100. die koppel je via ssh aan het wan adres van de modem van het werk, en die laat je dan doorrouteren naar de betreffende machine, adhv het poortnummer dat niet gelijk moet zijn aan het poortnummer van ssh of rdp.

je hebt namelijk ook nog te maken met een stukje NAT op het modem op je werk doordat je modem de poort moet forwarden.

je zal dus een ssh tunnel moeten maken tussen 192.168.0.1:3389 en bijvoorbeels 112.114.69.16:3389, die een brug maakt door je modems naar de server met fysiek ip adres 10.0.0.37

zodra je dus die tunnel hebt gemaakt lomt je rdp verzoek aan op 10.0.0.37 ,et de opdracht te verbinden met 127.0.0.2. en heey dat was je eigen poort op je lokale pc, en niet 10.0.0.37
een ssh tunnel maakt geen alias naar een ip adres.
je moet als je die tunnel hebt volgens mij een rdp veroek doen naar het ipadres van je server, dus 10.0.0.37 of te wel het lokale ip adres van de server, omdat je dmv de ssh tunnel beide netwerken aan elkaar koppelt, en niet een koppeling maakt van jou netwerk met de server, maar jou netwerk met het netwerk achter het wan ip adres van de modem op je werk

maandag 14 augustus 2006 19:10

Acties:

0 Henk 'm!

engelbertus

als je meer info kunt geven over hoe je netwerk er thuis en op het werk er uit ziet inclusief lokale ipadressen kan ik je ook dingen beter uitleggen.

dus heb je thuis een modem, router, switch welke iprange gebruik je thuis lokaal en hetzelfde voor je werk. en hoe is het dan aangesloten. server met 2 netwerkkarten 1 voor modem / internet en 1 voor een switch met clients?

ook moeet je als het even kan thuis en op het werk dus niet dezelfde ipranges gebruiken want dan krijg je dubbele ip adressem in 1 netwerk en dat gaat uiteraard ook niet goed.

maandag 14 augustus 2006 19:15

Acties:

0 Henk 'm!

Tropos

Ik heb ook wel eens geworsteld met RDP over SSH. In het onderstaande topic vind je waarschijnlijk genoeg info om het wel werkend te krijgen.
IPcop, Putty en Remote Desktop lukt niet

dinsdag 15 augustus 2006 14:24

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

De iprange van werk en thuis zijn verschillend en zullen dus niet confilcteren.

Ik wil dus een verbinding maken tussen twee xp pro machines die beide achter een router zitten.

Het probleem dat ik met 127.0.0.2 naar mezelf connect is opgelost. Ik had op mijn pc nog aangevinkt staan dat ik verbindingen van buitenaf mag accepteren.

Ik krijg nu het volgende:

The client could not establish a connection to the remote computer.

The most likely causes for this error are:
1) Remote connections might not be enabled at the remote computer.
2) The maximum number of connections was exceeded at the remote computer.
3) A network error occurred while establishing the connection.

Punt 1 en 2 kan ik wegstrepen, want alleen rdp connect prima.
Met putty kan ik ook connecten.
Ik heb in putty een ongebruikte source poort gebruikt: 127.0.0.2:2222
en toen met rdp connecten naar 127.0.0.2:2222 geeft bovenstaande melding.

Ik zit er al aan te denken om het met vpn te gaan doen, maar ja hoe connect ik dan met rdp door de vpn tunnel?

woensdag 16 augustus 2006 00:16

Acties:

0 Henk 'm!

engelbertus

[ edit ]
slaps himself in the face (bis, bis) goh is het al zo laat?

op welk moment sluit je putty? dat heb ej wel nog open staan als je rdp probeert op te zetten?
hoe weet je dat je kunt connecten met je werk? weet je zeker dat je niet connect met je modem aldaar?

eehm vooral niet lezen wat hieronder nog staat.. gaaap dat gaat namelijk nergelns over.. iets met tangen en varkens... of klokken en klepels.
[ /edit ]

door aan te geven welke route je rdp moet gebruiken als je naar het andere netwerksegment ( op je werk) wilt connecten

de fout die je nu overigens krijgt is waarschijnlijk cause 1, omdat je nog steeds met je eigen desktop wilt connecten, maar dat dat uit staat.
ssh werkt volgens mij hetzelfde als vpn

zoek maar eens info op over route
route add etc. en verdiep je daar in, want als je via ssh wilt ( of via vpn voor mijn part) zul je de route naar je andere netwerk op je werk toch ergens aan moeten geven, al kan ik me voorstellen dat vpn zoals dat standaard tussen windows pc's werkt, ook een route toevoegt naar pc's aldaar, maar dat weet ik niet zeker

je MOET dus eerst van die 127.0.0.2:xxx AF!

zolang je daarmee doorgaat gaat het ALTIJD fout want dat is de local loopback range en is GERESERVEERD voor communicatie met je eigen pc. dat ssh zich daar niets van aantrekt zal wel een of andere vage ooraak hebben uit de linux wereld waarin zulke gereserveerde zaken niet zo hard zijn als ze lijken, maar alsnog wel gereserveerd gehouden dienen te worden voor local loopback communicatie

edit:
ssh wrkt natuurlijk gewoon omdat het op de lokale pc staat en dus ook doet wat het doet, communiceren met de eigen pc. local loopback)

A:
ik weet nog niet welk netwerk je zelf gebruikt en welk netmask, dus ik kan je ook niks vertellen over welk ip-adres je beter kunt gebruiken voor ssh dan 127.0.0.2:222

B:
als je dat gedaan hebt en ssh wrerkt weer net als nu, kijk dan eens welke routes er nu ingesteld zijn op je pc, en die server.

want je pc moet snappen dat als jij een remote ip intypr, dat ie dat net naar de default gateway stuurt, maar naar je source ip van ssh. dit is wat je nu ook fout doet, je probeert op 127.0.0.2: 2222 te connecten met rdp, ipv dat je met de remote pc op ipadresvanserver probeert te connecten
dat je het lokaal wel werkend krijgt is omdat je lokale verkeer binnen het netwerksegment valt en je pc daar zelf de weg weet en het ipadres vindt.
lokale adressen worden dus gewoon in het netwerk gerouteerd.
alles wat niet in het lokale netwerk zit wordt standaard naar de defaul gateway gestuurd meestal het ipadres van je router.

C: stel de route in voor verkeer naar je netwerk op het werk
route add etc,. zul je zelf ff moeten opzoeken. ik weet niet of dit een reboot overleeft, dus dat zul je ff moeten nakijken
deze route wordt dus ingesteld op de pc's! niet op je router. dat zou misschien ook kunnen, maar dan heb ej waarschijnlijk een vpn router die op dat moment waarschijnlijk weer geen ssh ondersteunt voor het opzetten van de tunnel.

je maakt dus mijns inziens een aantal nogal grote fouten en je blijft dat ook hardnekkig doen.

zoek eerst meer info over routering:
het commando route

ssh is niet meer en niet minder dan het zelfde als een route instellen, alleen dan een met login en encryptie. eigenlijk weer hetzelfde als telnet, maar telnet was lek, en zonder encrytpie.
windows xp's VPN werkt net hetzelfde als ssh, maar dan wordt dit grafisch gedaan. ik weet dit niet zeker maar zoek eens uit of VPN ook ipsec gebruikt, ( ipsec is dus ook encryptie) op ip niveau
dit wordt wel gebruikt op windows, en zit bijvoorbeeld ook standaard bij IPv6
hoe het allemaal precies werkt weet ik niet, maar het kan ook nog zo zijn dat ergens onderweg een router of zo roet in het eten gooit door je getunnelde pakketjes niet goed te verwerken of simpelweg niet te ondersteunen, maar dat zal toch hopelijk anno 2006 niet het geval zijn. ( ook aangezien ssh het wel gewoon doet)

[ Voor 7% gewijzigd door engelbertus op 16-08-2006 00:55 ]

woensdag 16 augustus 2006 20:40

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

engelbertus schreef op woensdag 16 augustus 2006 @ 00:16:
op welk moment sluit je putty? dat heb ej wel nog open staan als je rdp probeert op te zetten?
hoe weet je dat je kunt connecten met je werk? weet je zeker dat je niet connect met je modem aldaar?

Zodra ik met putty connect naar het ip van mijn werk (daar wordt poort 22 geforward naar een interne pc) moet ik mezelf inloggen met de windowslogin gegevens. Dus ga er dan ook vanuit dat ik connected ben, kan namelijk ook bladeren in mappen.
Zodra putty connected is minimaliseer ik hem en ga dan met rdp proberen te connecten.

Maar of het loopback verhaal alleen zal werken op linux weet ik niet. Dit stond bij een uitleg over rdp en putty:
On a computer that is running Microsoft Windows XP with Service Pack 2 (SP2), programs that connect to IP addresses that are in the loopback address range may not work as you expect. For example, you may receive an error message that says that you cannot establish a connection. Windows XP SP2 users can download a patch from Microsoft that corrects this.

Maar ik ga het nu dan eerst maar eens met vpn proberen. Bij de handleiding van beide routers staat dat ze vpn doorlaten.

woensdag 16 augustus 2006 20:44

Acties:

0 Henk 'm!

elevator

Officieel moto fan :)

Waarom wil je eigenlijk per se RDP (een secure protocol) tunnelen over een ander protocol? RDP over SSH tunnelen is vergelijkbaar met een SSH sessie over RDP tunnelen, dat weet je toch he?

woensdag 16 augustus 2006 22:12

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Had zitten searchen op Got en kwam dit tegen:

http://gathering.tweakers.net/forum/list_messages/895236

En ben toen vandaaruit verder gaan googlen hoe eea werkend te krijgen.

Maar als je beweerdt dat rdp veilig genoeg is(heb standaard poort gewijzigd, dus al moeilijker voor random attacks op ip+poort 3389) dan laat ik het hierbij. Wil er namelijk niet zo heelveel tijd meer aan besteden.......

donderdag 17 augustus 2006 10:10

Acties:

0 Henk 'm!

xzenor

Ja doe maar. 1 klontje suiker.

ik zie je probleem niet.
Ik doe dit al jaren gewoon omdat bij 90% van de bedrijven 3389 dicht staat op de firewall voor verkeer naar buiten en ik wil ook eigenlijk geen rdp open zetten voor de buitenwereld.
Met ssh kom ik altijd wel naar buiten (op wat voor poort dan ook)

Maar wat zeurt iedereen nou over de lokale rdp die al draait?
Je moet bij het portforwarding stukje in putty toch aangeven welke lokale poort je wilt forwarden naar welke remote port.
Wat boeit het dan dat je lokaal al een rdp service hebt draaien?

Neem lokaal poortje 3388 bijvoorbeeld om van het poort3389 conflict af te zijn.

Ik heb ook even getest of het uitmaakt dat je 127.0.0.1 gebruikt als ip om van de forwarden maar dat maakt niet uit, dat werkt gewoon.. Hij gaat echt uit van 127.0.0.1 aan de remote kant..

je opent mstsc en vult gewoon 127.0.0.1:3388 in als host en hoppa connecten met die boel..
Ik doe het echt al zolang ik XP heb, en voor die tijd al met andere dingen..
ssh is niet voor niks afgesloten op de firewall bij veel bedrijven.
Je kan ALLES tunnelen over ssh en dat is een securityrisk.

[ Voor 3% gewijzigd door xzenor op 17-08-2006 10:11 ]

Pagina: 1

Reageer