Chrome fjernskrivebord

Interessant. Findes der egentlig tilsvarende løsninger uden Google?

Remote desktop er ikke nyt, men det klassiske problem er jo, at den computer-analfabet, som man skal hjælpe, sidder bag en firewall, så man skal have vedkommende til selv at "kalde op" til en-eller-anden server.

Er der mulighed for at installere en service på egen tilgængelig server, således at udefrakommende kan forbinde gennem den, og - på den vis - dele deres skærmbillede (gennem deres egen firewall). Det vil være vildt nyttigt, når jeg igen-igen skal forklare svigerfar, hvordan han han starter sit mailprogram :)

#1
TeamViewer er ganske godt. Altså til fjernsupport af andre brugeres maskine.

Ja der findes fx Team Viewer:

http://www.teamviewer.com/da/download/linux.aspx

og RealVNC der med en Java implementation også virker fra en browser, og hvor man derfor ikke skal konfigurere router porte. Den koster dog penge, hvis den skal være cross platform.

Edit:

Glimrende at m_abs kom mig i forekøbet ;-)

Er der mulighed for at installere en service på egen tilgængelig server, således at udefrakommende kan forbinde gennem den, og - på den vis - dele deres skærmbillede (gennem deres egen firewall).

Uanset hvilken løsning du vælger, så skal der være en server app involveret, så det har de alle.

#2: TeamViewer er ganske godt. Altså til fjernsupport af andre brugeres maskine.

Udmærket. Og det er umiddelbart gratis for private? Det må jeg have installeret hos svigerfar næste gang, jeg er i nærheden :)

#4
Jeps, det helt gratis for private. Jeg har brugt den mange gange.
Det er meget nem af bruge. Når den der skal have hjælp starter sin teamviewer op, så er der to tal, et 9 cifret bruger id og en 4 cifret pin kode, har du de to så kan du logge ind på maskinen med klienten.

Bare pas på måsen ...

http://db.tt/ipw23ZNy

#3: Uanset hvilken løsning du vælger, så skal der være en server app involveret, så det har de alle.

Jo, klart. Men mit spørgsmål gik mere på om der var løsninger, der brugte ens egen server, som opkaldspunkt. Istedet for at have bekymringer over at sende konfidentielt data gennem Google eller TeamViewer, kunne det jo være fikst, hvis man selv kunne stå for den del...

#7: Jo, klart. Men mit spørgsmål gik mere på om der var løsninger, der brugte ens egen server, som opkaldspunkt.

Jeg forstår godt hvor du vil hen. Du tænker naturligvis; en dedikeret server installation, eksempelvis en domain controller, der varetager forbindelserne.

Det gør der helt sikkert, men formålet er til diskussion.
Efter min opfattelse, giver det ikke mening at lade en dedikeret server om at varetage forbindelserne, med mindre det er i forbindelse med en service man udbyder til andre.

Jeg ved ikke hvordan jeg kort kan begrunde det yderligere, udover at det forekommer som en slags overkill.

#3:

UltraVNC virker fint cross-platform. Og TightVNC mfl.

Men VNC virker meget trægt i sammenligning med både RDP og TeamViewer. Fungerer dog udmærket til support osv, men jeg kunne ikke forestille mig at arbejde over VNC på en fjernserver (husk på at min forbindelse er meget langsom). Derimod har jeg arbejdet i timevis over RDP på en windowsbox i den anden ende af landet stort set uden at tænke over at den ikke stod hos mig.

#8: Efter min opfattelse, giver det ikke mening at lade en dedikeret server om at varetage forbindelserne, med mindre det er i forbindelse med en service man udbyder til andre.

Hvorfor dog ikke?! Det er da et alvorligt sikkerhedsbrist at man kører tastetryk m.v. gennem en tredjepartsserver.

Hvis du virkelig mener det skulle være overkill, så tror jeg du har misforstået min intention. Der er jo, ret beset, bare tale om en omvendt VPN-service, som man kan lade bekendte logge ind på mhp. en tunnel ind gennem deres egen firewall til brug for andre.

#10: Hvorfor dog ikke?! Det er da et alvorligt sikkerhedsbrist at man kører tastetryk m.v. gennem en tredjepartsserver.

Man skal under alle omstændigheder kunne bruge tastaturet, og det er jo stadig en tredjepartserver uanset om installeret på en dedikeret server eller ej, med mindre der er tale om Windows Terminal Server e.l..

Meningen med TeamViewer og Chrome er at det skal være nemt, med en AES (256 Bit) session encoding og er stadig en slags HTTPS/SSL, men jeg er ikke den bedste til at svare på TeamViewer. Jeg har ikke undersøgt om den først kontakter nogle TeamViewer servere som det er tilfældet med Chrome fjernskrivebord.

TightVNC og UltraVNC m.f. kender jeg heller ikke længere de nærmere omstændigheder om. Det er længe siden jeg har brugt dem og ved ikke om de er langsomme, bortset fra RealVNC.

For dens vedkommende er der ikke tale om langsomme forbindelser selv med en 3G, Den er point to point, og cross platform med Windows Domain Controllere. Jeg kan udmærket fjernstyre maskiner, både i den anden ende af landet, og i andre lande uden nævneværdig forsinkelse.

På RealVNC har jeg deaktiveret Java og bruger det aldrig over browseren, men åbner porte i routeren til aktuelle maskiner. Ofte kun en, eksempelvis DC'en, og fra den videre til arbejdsstationer på pågældende LAN hvis nødvendigt, men denne maskine distribuerer ikke forbindelserne. Jeg finder det vigtigt at deaktivere så meget som muligt af eksempelvis MS Terminal Services, bl.a. client services og RDP på arbejdsstationerne.

Jeg skulle måske nævne, at jeg også bruger en anden klient/server remote desktop, fx sammen med RealVNC, men kan ikke komme nærmere ind på emnet, kun at der heller ikke her er tale om en dedikeret serverinstallation.

Det hele afhænger af behov, funktionalitet og sikkerhed. Du kan kun selv afgøre hvad der eventuelt er overkill og/eller risici.

#11: Jeg har ikke undersøgt om den først kontakter nogle TeamViewer servere som det er tilfældet med Chrome fjernskrivebord.

Selvfølgelig gør den det, og at du er i tvivl antyder, at du stadig ikke har forstået, hvor jeg vil hen. Nu starter jeg helt fra bunden, så finder vi nok ud af hvor kæden hopper af...

Opgave: A vil se B's skærm over VNC (VNC eller RDP gør ingen principiel forskel). B har startet en VNC session
A og B sidder ikke på samme lokalnetværk
A sidder bag en firewall, der tillader udgående, men ikke indgående trafik (dvs. standardkonfiguration)
B sidder bag en firewall, der tillader udgående, men ikke indgående trafik (dvs. standardkonfiguration)

Pga. ovenstående kan man ikke bare bruge standardløsningen, hvor A forbinder direkte til den VNC session, som B har startet. Simpelthen fordi den pågældende port er lukket for indgående trafik.

Løsning: (samme løsning, som jeg formoder Chrome og TeamViewer benytter):

1) B forbinder til C (en server med åbne porte mod Internettet) for at oprette en tunnel ind gennem sin egen firewall. Dette kan lade sig gøre, idet B selv initierer forbindelsen (der dermed er udgående).
2) A forbinder til C og får tilladelse til at bruge den åbne tunnel mod B.
3) Voila - så kører vi.

Mit spørgsmål gik så på: Når nu man alligevel har en server, til web/mail/ftp/whatever, findes der så noget (open source) software til at klare den service som C leverer ovenfor? I bund og grund er det jo bare en SSH tunnel, der er pakket pænt ind.

Du har ret i at det er en vurderingssag om det er overkill eller ej. Men hvis jeg skal vælge mellem at:
1) sætte min lid til at Google eller en vilkårlig anden tredjepart ikke misbruger de dybt konfidentielle data, som jeg indtaster over en remote session. Gennem en klient, som de har lavet - via en server, som de administrer
2) taste "yum install whateversoftwaredoesthejob" på min Centos server, som alligevel står tændt, og bruge fem minutter på at sætte lortet op.
.. så foretrækker jeg 2).

#12

Okay. Jeg forstår nu udmærket problematikken, og kender selvfølgelig udmærket routerens standard opsætningen.

Men der findes Open Source RDP kompatibelt software. Der var fornyligt et tråd om emnet. Spørgeren kunne dog ikke få det til at virke, og efter lidt søgninger, kunne man læse på nettet, at andre heller ikke kunne uden at VNC blev installeret ...

Jeg kan ikke huske hvad det hedder, men prøv at søge i pakkemanageren med søgeordet RDP. Jeg kan ikke sige om den skulle kunne distribuere forbindelserne.

Jeg kan nemt forstille mig at TeamViewer bruger en tredjepartserver til at validere PIN. Det bør man kunne be- afkræfte ved at installere TV på to LAN maskiner og afbryde internettet før forbindelsen oprettes. Alternativt sniffe IP. Eftersom jeg ikke har TV installeret, kan jeg naturligvis ikke være sikker, men jeg formoder du har ret.

Med hensyn til RealVNC, så prøver jeg lige igen. VNC kræver ikke en validerene server på internet. Den bruger sin egen indbyggede java over browserene ind over port 80 (jeg bruger det ikke). Den distribuere ikke til andre maskiner, men man kan vist nok forwarde til andre gennem VNC serveren (det bruger jeg heller ikke).

http://db.tt/FjY0VVFv

VNC serveren har et internet-tjek, der fortæller om der er adgang udefra. Dette site viser hvordan med en glimrende beskrivelse:

http://timxhzl.wordpress.com/2009/03/11/290/

Det løser ikke spørgsmålet vedr. en dedikeret server til distribution, kun at ingen internetservere er involveret.

#13: Altså RDP klienter og servere findes der masser af. Det er en no-brainer på et lokalnetværk. Det fundamentale problem, jeg adresserer er det hvor to brugere sidder bag sin router, uden at have mulighed for at lave port forwarding og den slags. Det har Hr. og Fru Danmark jo ikke på deres standard TDC-router eller hvis de sidder et sted, hvor de ikke selv administrerer netværket.

#13: Det bør man kunne be- afkræfte ved at installere TV på to LAN maskiner og afbryde internettet før forbindelsen oprettes
Nej, hvis det er kodet snedigt, så tjekker den selvfølgelig først om der er adgang via LAN - så er der jo ingen grund til at gå via Internet. Forslaget med IP sniffing er meget bedre

#13: VNC kræver ikke en validerene server på internet. Den bruger sin egen indbyggede java over browserene ind over port 80 (jeg bruger det ikke).
Øhh, så må port 80 jo være åben for udefrakommende?! Ellers kan den jo ikke oprette forbindelse...

#13: VNC serveren har et internet-tjek, der fortæller om der er adgang udefra. Dette site viser hvordan med en glimrende beskrivelse:

http://timxhzl.wordpress.com/2009/03/11/290/

Det løser ikke spørgsmålet vedr. en dedikeret server til distribution, kun at ingen internetservere er involveret.

Jamen, for hulen - det er jo netop med port forwarding på egen router. Komplet irrelevant for diskussionen..

#14: Nej, hvis det er kodet snedigt, så tjekker den selvfølgelig først om der er adgang via LAN - så er der jo ingen grund til at gå via Internet. Forslaget med IP sniffing er meget bedre

Du kan prøve med en sniffer. Ang. LAN adgang og PIN tjek kan jeg ikke sige om du får en anderledes logon uden internet med TV ... Det var netop derfor jeg nævnte snifferen.

#14: Øhh, så må port 80 jo være åben for udefrakommende?! Ellers kan den jo ikke oprette forbindelse...

Hvad vil du? Vil du have adgang begge veje eller kun den ene? Hvis du ikke kan oprette forbindelsen TIL det LAN du sidder ved, så prøv at åbn porten. Vil du have adgang begge veje, skal du muligvis have adgang til begge routere, hvis du har rettighederne. Igen, prøv dig frem.

Du har tidligere nævnt:

#12>Mit spørgsmål gik så på: Når nu man alligevel har en server, til web/mail/ftp/whatever

... Jeg formoder derfor du i forvejen har port 80 åben. I den forbindelse skal vi også være enige om vi taler om TV,GFS eller VNC, men korrekt at porten nok skal være åben med VNC uanset om det handler om java. Det er også tilfældet med en dedikeret server, ikke sandt ...

#14>: Jamen, for hulen - det er jo netop med port forwarding på egen router. Komplet irrelevant for diskussionen..

Jeg har sagt tydeligt, at jeg ikke kan svare på en dedikeret server løsning. Det er også temmelig tydeligt, at jeg bruger remote desktop langt mere end du gør, også at du er bekymret ang. at stole på tredjepart (TV og Google FS), hvilket jeg ikke mener er relevant, men naturligvis op til dig selv. Det virker ikke særlig sandsynligt at disse to har tænkt sig at misbruge din (manglende) tillid. Helt modsat er valideringen til for at forøge sikkerheden.

Min bekymring ang. Google fjerskrivebord går hovedsagligt på at det endnu kun er beta, men jeg er også lidt i tvivl iht google i almindelighed.

Du bruger naturligvis den løsning der passer dig bedst ...

#12:
Nu forstår jeg også hvad du mener. Det var ikke helt tydeligt før :-)

Det er en interessant problematik, det med 2 x firewall og en fjernsession. Men kan det ikke klares med en vpn server på C? For hvis både A og B forbinder til samme vpn server vil de jo være på samme lokalnetværk og altså bag firewallen. Eller tager jeg fejl?

Ellers, hvis C kører windows stødte jeg engang på et program der muligvis kan bruges. Jeg kan ikke lige huske hvad det hed, men jeg kan nok finde ud af det i morgen.


#15:

Du foreslår at åbne porten for at få forbindelse, men præmissen er jo netop at portene et lukkede og ikke kan åbnes. Så det er altså ingen løsning.

#16: Du foreslår at åbne porten for at få forbindelse, men præmissen er jo netop at portene et lukkede og ikke kan åbnes. Så det er altså ingen løsning.

Ja korrekt, men hvis der alligevel er en webserver, hvad er så forskellen?

Mig bekendt behøver man ikke åbne nogen port med TeamViewer, eller Google FS ...

Med VPN skal der også åbnes en eller flere porte alt efter services og den står lokalt, men det er et godt spørgsmål iht TV og GFS, der jo netop er VPN. Under alle omstændigheder skal man stole på noget, om det er en købt VPN forbindelse, åbne porte m.v.

TeamViewer manual:

http://www.teamviewer.com/en/res/pdf/TeamViewer7_Manual_RemoteControl_E…

Nu kom jeg i tanke om navnet: XRDP, der så vidt jeg ved også kræver VNC server, og/eller Win Terminal Services. Jeg tror ikke at det duer til noget, men hvis nogen kan få det til at virke, så er jeg interesseret ...

Edit:

Hov. Ifølge Bitdefender's Trafficlight indeholder www.xrdp.org/ malware ...?

#17: Ja korrekt, men hvis der alligevel er en webserver, hvad er så forskellen?


Er der da det?

#17: Mig bekendt behøver man ikke åbne nogen port med TeamViewer, eller Google FS ...

Korrekt, og det skyldes nok som mrbrown beskriver at det er TV programmet der initierer forbindelsen i begge ender ind mod en mellemserver. De fleste alm. firewalls og routere er åbne for udadgående trafik men lukket for indadgående. Dvs. hvis klienten skyder en forespørgsel afsted på port xxx, så vil den blive midlertidigt åbnet bidirektionelt .

Personligt har jeg ingen skrupler ved at bruge TV; hvis de misbrugte folks oplysninger var de færdige i branchen med det samme.

#18: Er der da det?

Ja det er jo et godt spørgsmål. Jeg kan ikke gennemskue om der er sådan en installeret, eller det er teoretisk.

I sikkerhedsspørgsmål, kan jeg forstå en paranoid holdning. Man går altid lidt rundt med virksomhedens sikkerhed i baghovedet, jeg gør ihvertfald. Som jeg forstår hvad TV skal bruges til, så er jeg enig. Ingen grund til bekymring, og enig i at hvis TV (og Google FS) misbruger tilliden, så er de bare så "killed" på ingen tid.

Marlar, tak for et relevant svar - du ryger med i min aftenbøn:)

#16: Men kan det ikke klares med en vpn server på C? For hvis både A og B forbinder til samme vpn server vil de jo være på samme lokalnetværk og altså bag firewallen. Eller tager jeg fejl?

Det kunne godt være en løsning - og VPN-klienter er jo tilmed en del af en standard-Windows-installation, så det vil være nogenlunde nemt at guide IT-analfabeter igennem den løsning. Jeg har faktisk aldrig brugt VPN i indadgående retning (altså at man forbinder til VPN server mhp. at tillade VPN-serverens lokalnetværk adgang til egen PC), men jeg kunne da sagtens forestille mig at det vil virke. Det må prøves af - det ville være superlækkert, hvis det spiller...

#20: Jeg har faktisk aldrig brugt VPN i indadgående retning (altså at man forbinder til VPN server mhp. at tillade VPN-serverens lokalnetværk adgang til egen PC),

Det gør jeg i et aktuelt projekt, og det virker. Formålet er dog ikke vnc, men mon ikke også det vil virke?

#15: Hvad vil du? Vil du have adgang begge veje eller kun den ene? Hvis du ikke kan oprette forbindelsen TIL det LAN du sidder ved, så prøv at åbn porten. Vil du have adgang begge veje, skal du muligvis have adgang til begge routere, hvis du har rettighederne. Igen, prøv dig frem.

Komplet misforståelse af emne.

#15: Jeg formoder derfor du i forvejen har port 80 åben.

NEJ! Jeg er tæt på at konstatere, at jeg simpelthen ikke har evnerne til at forklare dig tingene. Jeg gør hermed et sidste forsøg...

Princippet er at ham, der har brug for hjælp (og som i den forbindelse starter en VNC/RDP-server session) sidder bag en router/firewall, som han ikke kan pille i (enten pga. manglende evner, manglende rettigheder eller utilstrækkelig hardware - det er sagen uvedkommende, men præmissen er meget almindeligt forekommende i praksis).

I den udviddede udgave af problemet sidder både A og B bag en ukonfigurerbar router/firewall (som nævnt i #12), men det ændrer ikke problemet ret meget, idet det er A's firewall, der er primære problem.

Der, hvor portene er åbne er på C, som er en server, der er eksponeret mod Internettet med tilpas åbne porte. Det er eksempelvis en server, som B har rettigheder til, men som ikke nødvendigvis står på samme adresse/LAN, som B befinder sig på.

--
Det her går ikke ud på at tæppebombe med navne på alverdens eksotiske remote desktop-programmer. Det går ud på at fatte, at uanset hvor fancy et program, du har til rådighed, så kommer du ikke ind igennem en lukket firewall uden at ham, der sidder på den anden side har initieret en forbindelse. I det tilfælde kan der ryge data tilbage gennem firewallen, som svar på den oprindelige forespørgsel. Det er et TCP/IP koncept, som har eksisteret i evigheder - og det kan "RealVNC MonsterEnterpriseGiga 3000 Green Edition" eller andre programmer ikke forbryde sig mod..

#19: I sikkerhedsspørgsmål, kan jeg forstå en paranoid holdning. Man går altid lidt rundt med virksomhedens sikkerhed i baghovedet, jeg gør ihvertfald. Som jeg forstår hvad TV skal bruges til, så er jeg enig. Ingen grund til bekymring, og enig i at hvis TV (og Google FS) misbruger tilliden, så er de bare så "killed" på ingen tid.

Jeg er normalvis ikke den paranoide type, men det kræver det kun et enkelt broddent kar i TVs udviklerstab - og jeg vil hellere være helt fri for bekymring. Det kan jo være ret konfidentielt, hvis man skal hjælpe andre med at logge ind problematiske steder. Hvis løsningen ender med at blive for besværlig, så bruger jeg da bare TV, men hvis det ender med at være så simpelt som fx. at installerere og starte en VPN-server (iøvrigt nyttigt i mange andre sammenhænge), så foretrækker jeg da helt klart sådan en løsning, hvor jeg har 100% styr på hvor mine data ryger hen...

#21: Det gør jeg i et aktuelt projekt, og det virker. Formålet er dog ikke vnc, men mon ikke også det vil virke?

Jo, formentlig. Jeg prøver det af i aften...