VNC-Server nicht erreichbar - Portforwarding

[Herzwärme]

Hallo liebe Gemeinde,

ich möchte eine Anlage aus der Ferne warten. Auf dieser läuft ein VNC-Server. Die Anlage ist hinter einer Fritzbox 6490 (cable).

Über mein Heimnetz kann ich den Server erreichen. Das Portforwarding an der Fritzbox funktioniert hingegen nicht. Der Port ist nicht erreichbar. Meine Einstellungen:

DNS-Dienst: dyndnss.net (Weiterleitung der Domain an Port 5900)
Fritzbox: Portweiterleitung von Port 5900 an Anlage (statische IP) an Port 5900

Wenn ich mit dyndnss einen Portcheck mache, so ist der Port 5900 geblockt. Wie beschrieben ist die Anlage aber im lokalen Netzwerk über den Port erreichbar.

Kann mir jemand sagen, was ich falsch mache?

 

[Cool Master]

Evtl. in der Fritzbox die falsche Schnittstelle benutzt ergo statt für LAN und WAN nur LAN ausgewählt?

 

[Mordhorst3k]

Firewall prüfen ob eine läuft (bspw. die Windows eigene).

Dazu: Was für ein Internetzugang? IPv4 NAT mit IPv6? (=NGN Anschluss bzw. DS-Light)

Ist das so einer, wird der Zugriff von extern via IPv4 nicht funktionieren. Das sieht man im Webinterface vom Router, ob DS-Light genutzt wird.

Das steht im Webinterface: "IPv4, FRITZ!Box verwendet einen DS-Lite-Tunnel"

Via IPv4 ist dann essig, bleibt dann nur IPv6, aber da musst du dann den Rechner freigeben.

Steht nichts dabei wegen DS-Light und nur:

Internet
IPv4, verbunden seit 10.11.2016, 12:50 Uhr
IP-Adresse: <zensiert>

Internet
IPv6, verbunden seit 10.11.2016, 12:50 Uhr
IPv6-Adresse: <zensiert>

Ist das DUAL-Stack. Dann solltest nochmal den Forward prüfen, ob du das richtige Protokoll (TCP oder UDP) eingestellt hast.

 

[Herzwärme]

Hallo Mordhorst3k,

du liegst richtig, es ist ein Zugang mit DS-Lite.

Auf die Anlagensoftware habe ich keinen Zugriff. Sie bietet nur IPv4.

Morgen kommt ein MA des Anlagenherstellers, der zwar gar keine Ahnung von Netzwerken hat (laut ihm am Telefon ), aber er hat eine Nummer zur Zentrale.

Sollte noch jemand eine Möglichkeit kennen, die ich als Laie umsetzen kann, dann bitte mitteilen.

 

[Mordhorst3k]

Du könntest schauen, ob dein Anbieter die Option bietet, den Anschluss auf IPv4 bzw. Dual Stack um zu buchen, die meisten Provider wollen aber eine monatliche Gebühr dafür.

 

[Raijin]

VNC via Internet kann problematisch sein. Achte darauf, dass du verschlüsselte Verbindungen nutzt. VNC kann nämlich auch unverschlüsselt und dann kann jeder mitlesen, etc..

Zur DS-Lite Problematik:

Im Idealfall wird der Provider den Internetanschluss an der Anlage auf IPv4 umstellen. Dann kannst du auch via Portweiterleitung auf den PC zugreifen. Macht der Provider das nicht, wäre VPN eine Option, allerdings nur in umgekehrter Richtung. Das heißt der PC in der Anlage müsste den VPN-Tunnel zu einem externen Server aufbauen, zB bei dir in der Firma. Dann könntest du über diesen Tunnel VNC starten.

Wenn ich mich recht entsinne, konnte man bei einigen VNC-Tools auch quasi Client-Server starten. Normalerweise wartet ein VNC-Server nur auf eingehende Verbindungen von Clients und gibt diesen dann den Desktop frei. Man kann das aber zT auch umdrehen, d.h. der eigentliche Server verbindet sich zum Client. Aber das habe ich lange nicht mehr genutzt/gesehen.

Im worst case bleibt noch die Alternative TeamViewer. Das ist quasi eine Kombination aus obigen Varianten. TV baut eine Verbindung zu den TeamViewer-Servern auf (Achtung! Fremdserver!!!) und nun kann man mittels ID und Passwort mit dem ZielPC verbinden. Dabei umgeht man einerseits die DS-Lite Geschichte, weil eine ausgehende Verbindung auf Server-Seite erfolgt (der Server wartet quasi nicht mehr im LAN auf eine Verbindung, sondern auf den TV-Servern im www), andererseits ist TV auch verschlüsselt. Ein gewisses Vertrauen in TV muss aber sein, weil man wie gesagt über deren Server geht. Bei sensiblen Daten sollte man sich dessen bewusst sein.

 

[chrigu]

ist z.b. teamviewer nicht möglich?

ansonsten direkt bei deinem kabelanbieter nach einer statischen ipv4 verlangen... grund: fernwartung eines ipv4 beschränkten gerätes