RPi3 für Portforwoarding um 2 getrente netze zu Verbinden, um danach mittels VNC rechner mit Intel VPro -AMT-KVM fernzuwarten

  • Hallo Zusammen,

    ich bin neu in diesem Forum und ebenfalls in der Raspberry bzw. Linux welt.

    Leider hab ich keinen passenden bereich gefunden um mich vorzustellen, eventuell gibt es ja doch was :).

    Ich habe ein etwas in erster line für mich komplexes konstrukt zulösen, und habe mich bei euch schon fleissig durchgelesen leider nichts passendes gefunden daher schildere ich euch einfach mal mein problem.


    es geht um ein Firmennetzwerk, mit Windows 10 PC's jedoch kann hier nichts installiert werden da wirklich alles geblock ist bis auf ein programm das zum arbeiten benötigt wird.

    Jetzt ist es so das dieser rechner ein integrierten VNC server besitzt (dank Intel VPro - AMT -KVM) das ganze wird per Bios aktiviert etc... eventuell kennt jemand das system schon mir was es ehrlicherweiße bis vor paartagen neu :-/ aber man lernt ja nie aus :)


    nach dem das soweit eingerichtet ist, habe ich folgendes problem dieser rechner befindet sich in einem sogenanten Company netz das einen ganz anderen adressbereich etc hat als das zweite "offentliche netz" bei uns. Das öffentliche netzt ist ganz klassisch über eine Fritzbox realisiert (DSL Anschluß).

    Mein Problem ist jetzt folgendes wie bekomme ich diese zwei netzte zusammen scheinbar gibt es eine lösung mit Socat und raspberry leider hab ich davon nicht wirklich eine ahnung...

    Scheinbar ist es so das mit der Raspberry die zwei netzwerke über portweiterleitung vereint werden so das VNC mit dem Standardport 5900 danach erreichbar ist aus der Ferne.

    Am ende möchte ich mich von einem Externen Laptop über die DynDNS mit VNC Viewer auf mein Netzwerk verbinden so das ich das Arbeitsprogramm aus der Ferne nutzen kann.

    Dieses Konstrukt besteht bereits bei einem partner von uns, leider ist die person nicht mehr im betrieb die das damals realisiert hat, und für Präsentationen auserhauß wäre das auch bei uns einfach eine super sache die ich gerne realisieren würde.

    Ps: ich kann den PC nicht einfach wo mitnehmen, da ich ja das Company netzt benötige da sonst das Programm nicht läuft :)
    *Ich habe von unserem Partner eine zweite Raspberry bekommen wo scheinbar das schon alles für sein netzwerk eingerichtet war, ich hatte mir dadurch erhoft eventuell logs oder sowas von socat zufinden um das ganze dann für meine netzwerkbedürfnisse anzupassen, leider ohne erfolg evtl. bediengt durch meine mangelnden Linux kenntnisse auch :D

    Schon mal entschuldigung für den langen text und die eventuelle verwirrung in meiner beschreibung.
    Ich hoffe dennoch das wir zusammen eine lösung für mich finden.

    Danke & Viele Grüße

  • Wende dich mit dem Problem doch mal an die IT Abteilung deiner Firma.

    Was du machen willst reisst ein tiefes Loch in die Security eurer Firma.

    Dafür gibt es professionelle Lösungen.


    PS: Ich würde dich draußen am Fahnenmast an den Eiern aufhängen wenn du so etwas bei mir im Firmennetzwerk machen würdest.

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?


    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

  • Danke für hilfreiche information :)
    das ganze ist mit dem Chef abgesprochen, und es gibt keine IT abteilung leider.


    Grüße

  • Scheinbar ist es so das mit der Raspberry die zwei netzwerke über portweiterleitung vereint werden so das VNC mit dem Standardport 5900 danach erreichbar ist aus der Ferne.

    Am ende möchte ich mich von einem Externen Laptop über die DynDNS mit VNC Viewer auf mein Netzwerk verbinden so das ich das Arbeitsprogramm aus der Ferne nutzen kann.

    Kannst Du das etwas genauer beschreiben.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Kannst Du das etwas genauer beschreiben.

    Hi Danke für dein Interesse,


    ich denke der befehl könnte mein problem lösen

    socat <INTERNE IP>:5900,fork TCP:<PRIVATE IP>:5900


    Letztendlich möchte ich nur so eine Art Proxy mit der Raspberry realisieren, damit ich die VNC übertragung vom Desktoprechner auf dem Laptop unterwegs aufrufen kann.
    Allerdings sind es zwei unterschiedliche Netzte, wir haben einmal das Netzt auf dem das Programm sich anmeldet das ist im Sogenanten Company netzt z.B IP: 10.24.100.50 und dann möchte ich das ganze an unser lokales netztwerk mit verbindung ins internet (z.B IP:192.168.100.50) weiter reichen um mir den Screen per VNC unterwegs herholen zukönnen.

  • ich denke der befehl könnte mein problem lösen

    socat <INTERNE IP>:5900,fork TCP:<PRIVATE IP>:5900


    Letztendlich möchte ich nur so eine Art Proxy mit der Raspberry realisieren, damit ich die VNC übertragung vom Desktoprechner auf dem Laptop unterwegs aufrufen kann.
    Allerdings sind es zwei unterschiedliche Netzte, wir haben einmal das Netzt auf dem das Programm sich anmeldet das ist im Sogenanten Company netzt z.B IP: 10.24.100.50 und dann möchte ich das ganze an unser lokales netztwerk mit verbindung ins internet (z.B IP:192.168.100.50) weiter reichen um mir den Screen per VNC unterwegs herholen zukönnen.

    INTERNE-IP wäre die 10.24.100.50? Aber wie hat dein PI Zugang zu diesem Netz? Wo befindet sich dein PI?

    Gibt es eine "Verbindung" zwischen dem Company-Netz und dem Subnetz der FritzBox? Wo befindet sich diese FritzBox?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • INTERNE-IP wäre die 10.24.100.50? Aber wie hat dein PI Zugang zu diesem Netz? Wo befindet sich dein PI?

    Gibt es eine "Verbindung" zwischen dem Company-Netz und dem Subnetz der FritzBox? Wo befindet sich diese FritzBox?

    Genau in dem fall wäre die 10.24..... die Company IP z.B

    Also das Ganze befindet sich bei uns in einem kleinen Server Schrank, dort sind beide Router Company und (Fritzbox - dient in erster Linie für die Telefonie und für den herkömmlichen Internet Anschluss) drinnen und jeweils dazu ein Switch, die Pi würde dann quasi so verbunden werden das sie über LAN mit dem Company Netz verbunden wird sprich an den Switch vom Company Netz und mit WLAN an die fritzbox angeschlossen wird, alternativ könnte man ja noch eine virtuelle netzwerkkarte erzeugen aber ich denke das wäre dann zu aufwendig.
    Da wäre das ganze mit LAN und WLAN schneller realisiert.


    Physikalisch sind das Company Netz und die Fritzbox erst mal nicht verbunden, sprich es geht keine LAN Verbindung von dem Company Switch zum Switch an dem die Fritzbox hängt.

  • ..., die Pi würde dann quasi so verbunden werden das sie über LAN mit dem Company Netz verbunden wird sprich an den Switch vom Company Netz und mit WLAN an die fritzbox angeschlossen wird, ...

    Wenn dein PI dann so verbunden ist, poste von deinem PI die Ausgaben von:

    Code
    ip a
    route -n
    ip n s
    sudo iptables -nvx -L
    sudo iptables -nvx -L -t nat
    sysctl net.ipv4.ip_forward

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Wenn dein PI dann so verbunden ist, poste von deinem PI die Ausgaben von:

    Code
    ip a
    route -n
    ip n s
    sudo iptables -nvx -L
    sudo iptables -nvx -L -t nat
    sysctl net.ipv4.ip_forward

    ok kannst du mir auch kurz erklären was das resultat daraus sein soll ? :)
    sorry wie gesagt linux ist eher neuland für mich :)

    ich hab nur noch das problem das ich jetzt von dem PC auf dem dann der VNC server dann laufen soll die IP adresse rausfinden muss da ich leider keinen zugriff auf CMD und die Netzwerkverbindungen hab da dies durch regeln verhindert wird von unserem partner.
    Ich hab nur die MAC adresse, das wird jetzt noch bisschen Tricki da ich den adressbereich nicht kenne.

  • ok kannst du mir auch kurz erklären was das resultat daraus sein soll ? :)
    sorry wie gesagt linux ist eher neuland für mich :)

    ich hab nur noch das problem das ich jetzt von dem PC auf dem dann der VNC server dann laufen soll die IP adresse rausfinden muss da ich leider keinen zugriff auf CMD und die Netzwerkverbindungen hab da dies durch regeln verhindert wird von unserem partner.
    Ich hab nur die MAC adresse, das wird jetzt noch bisschen Tricki da ich den adressbereich nicht kenne.

    Das Resultat sind die Voraussetzungen für dein Vorhaben.

    Und da geht es schon los: Wenn dein PI erfolgreich eingebunden ist, kannst Du mit deinem PI (bei bekannter MAC-Adresse), mit einem arp-scan (oder gleichwertig) die IP-Adresse rausfinden.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Das Resultat sind die Voraussetzungen für dein Vorhaben.

    Und da geht es schon los: Wenn dein PI erfolgreich eingebunden ist, kannst Du mit deinem PI (bei bekannter MAC-Adresse), mit einem arp-scan (oder gleichwertig) die IP-Adresse rausfinden.

    ok danke, du meinst quasi um gegenzuprüfen ob es wirklich funktioniert ?

    das problem ist ja, ich muss aber die IP davor rausfinden damit ich sie ja der PI bzw auch dem VNC server zuteilen kann
    Damit ich der Pi die IP für folgenden befehl mitteilen kann

    socat<INTERNE IP>:5900,fork TCP:<PRIVATE IP>:5900

  • das problem ist ja, ich muss aber die IP davor rausfinden damit ich sie ja der PI bzw auch dem VNC server zuteilen kann

    Für das zuweisen einer IP-Adresse an deinen PI, reicht es ja wenn Du das Subnetz kennst und den DHCP-Pool.

    Dem PI kannst Du dann eine IP-Adresse von außerhalb des DHCP-Pools manuell zuweisen. Die Gefahr, dass diese IP-Adresse schon anderweitig zugewiesen ist, wird gering sein.


    Das mit socat musst Du ja nicht sofort machen. Du kannst erst mal das Verhalten des PI in den beiden Subnetzen, testen.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Für das zuweisen einer IP-Adresse an deinen PI, reicht es ja wenn Du das Subnetz kennst und den DHCP-Pool.

    Dem PI kannst Du dann eine IP-Adresse von außerhalb des DHCP-Pools manuell zuweisen. Die Gefahr, dass diese IP-Adresse schon anderweitig zugewiesen ist, wird gering sein.


    Das mit socat musst Du ja nicht sofort machen. Du kannst erst mal das Verhalten des PI in den beiden Subnetzen, testen.

    Mein Problem wird sein das Subnetz rauszufinden und DHCP geh ich von aus gibt es nicht in diesem fall da vom Company netz her alles statisch ist scheinbar.
    Wenn ich mich Lokal an den Switch vom Company netz anstecke, werd ich vermutlich erst mal nichts bekommen da alles Statisch vergeben ist, und auf den Router komme ich auch nicht da bestimmt ein PW hinterlegt ist. Leider hat mir hier noch die zeit gefehlt das rauszufinden.
    Die Person die das bei unserem Partner gemacht hat will mir nicht sagen wie sie das gemacht hat, da es sein "geheimniss" ist... gegen eine Größere summe von 300€ würde er mir das verraten finde ich nicht gerade die feine englische art...
    Jetzt muss ich mich da irgendwie durchhangeln

  • Wenn ich mich Lokal an den Switch vom Company netz anstecke, werd ich vermutlich erst mal nichts bekommen ...

    ich weiß jetzt nicht was der Switch durch lässt, aber Du könntest dem eth0-Interface des PI eine IP-Adresse aus dem Subnetz 10.0.0.0/8 manuell zuweisen, per Kabel verbinden und mit tcpdump auf arp-requests/-replys sniffen:

    Code
    sudo tcpdump -c 300 -vvveni eth0 arp

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • ich weiß jetzt nicht was der Switch durch lässt, aber Du könntest dem eth0-Interface des PI eine IP-Adresse aus dem Subnetz 10.0.0.0/8 manuell zuweisen, per Kabel verbinden und mit tcpdump auf arp-requests/-replys sniffen:

    Code
    sudo tcpdump -c 300 -vvveni eth0 arp

    ok das könnte ich probieren, frage die IP adresse für den eth0 bzw auch fürs Wlan gibts da eine grafische möglichkeit um diese zu vergebn oder muss ich das unbedingt in der cmdline.txt machen ?
    ich habs jetzt jetzt nur einmal gemacht über die cmdline.txt speicherkarte in einen windows rechner und mit dem editor editiert.

  • ...., frage die IP adresse für den eth0 bzw auch fürs Wlan gibts da eine grafische möglichkeit um diese zu vergebn oder muss ich das unbedingt in der cmdline.txt machen ?

    Nein, das muss nicht via cmdline.txt sein, denn Du hast doch Zugang zu deinem PI über das wlan0-Interface (FritzBox) und so kannst Du in der Kommandozeile dem eth0-Interface eine IP-Adresse manuell, mit ip oder mit ifconfig zuweisen.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Nein, das muss nicht via cmdline.txt sein, denn Du hast doch Zugang zu deinem PI über das wlan0-Interface (FritzBox) und so kannst Du in der Kommandozeile dem eth0-Interface eine IP-Adresse manuell, mit ip oder mit ifconfig zuweisen.

    Ok sprich wenn ich das jetzt richtig zusammen gefasst habe würdest du jetzt folgende schritte durchgehen.

    Step1. Raspberry mit WLan an die Fritzbox anbinden "Heimnetz" dann das Lan Kabel der PI (eth0) an den Switch vom Company netz anschließen
    Step2. IP-Adresse aus dem Subnetz 10.0.0.0/8 manuell zuweisen, und mit tcpdump auf arp-requests/-replys sniffen:(sudo tcpdump -c 300 -vvveni eth0 arm) , so könnte ich dann die IP adresse des rechners anhand der MAC adresse herausfinden ?
    Step3. Der Raspberry dann eine IP am eth0 im selben bereich zuteilen den ich vorher im Step2 ausfündig gemacht habe.
    Was ich noch weiß ist das scheinbar das Subnetz auf 8.Geräte beschränkt ist und in der regel irgendwas im 248 bereich sein müsste.
    Step4. dann wenn ich die IP Adresse auf dem eth0 eingestellt habe nachdem ich den bereich ausfündig gemacht habe, prüfe ich folgende befehle
    ip a, route -n, ip n s, sudo iptables -nvx -L, sudo iptables -nvx -L -t nat, sysctl net.ipv4.ip_forward
    Step5. danach stelle ich mit folgendem befehl die weiterleitug ein socat <INTERNE IP>:5900,fork TCP:<PRIVATE IP>:5900, und habe dann somit alle schritte erfüllt richtig ?
    Step6. Wenn alles klappt würde ich gerne folgenden befehel noch hinzufügen:



    Korriegiere mich bitte wenn ich falsch liege, man lernt nie aus :)
    Bin dir aber jetzt schon sehr dankbar für deine mühe und gedult :)

  • Step1. Raspberry mit WLan an die Fritzbox anbinden "Heimnetz" dann das Lan Kabel der PI (eth0) an den Switch vom Company netz anschließen
    Step2. IP-Adresse aus dem Subnetz 10.0.0.0/8 manuell zuweisen, und mit tcpdump auf arp-requests/-replys sniffen:(sudo tcpdump -c 300 -vvveni eth0 arm) , so könnte ich dann die IP adresse des rechners anhand der MAC adresse herausfinden ?
    Step3. Der Raspberry dann eine IP am eth0 im selben bereich zuteilen den ich vorher im Step2 ausfündig gemacht habe.
    Was ich noch weiß ist das scheinbar das Subnetz auf 8.Geräte beschränkt ist und in der regel irgendwas im 248 bereich sein müsste.
    Step4. dann wenn ich die IP Adresse auf dem eth0 eingestellt habe nachdem ich den bereich ausfündig gemacht habe, prüfe ich folgende befehle
    ip a, route -n, ip n s, sudo iptables -nvx -L, sudo iptables -nvx -L -t nat, sysctl net.ipv4.ip_forward

    Das Protokoll ist arp und nicht arm:

    Code
    sudo tcpdump -c 300 -vvveni eth0 arp

    Die iptables-Regeln brauchst Du nicht.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Das Protokoll ist arp und nicht arm:

    Code
    sudo tcpdump -c 300 -vvveni eth0 arp

    Die iptables-Regeln brauchst Du nicht.

    ok danke dir werde so versuchen.
    Aber zum rest, wäre meine vorgehensweiße wie aufgelistet richtig ?

    Mit den iptables regeln würde ich doch dafür sorgen das nur diese eine sache weiter geleitet wird und die raspberry sich sonst quasi wie eine tarnkappe verhält oder ?

  • Mit den iptables regeln würde ich doch dafür sorgen das nur diese eine sache weiter geleitet wird und die raspberry sich sonst quasi wie eine tarnkappe verhält oder ?

    Das wäre der 2. Teil. Das Weiterleiten wird dann mit iptables in der nat table, mit destination-NAT (und source-NAT) gemacht.

    Aber erst muss man schauen wie und ob dein PI Zugang zum Company-Netz bekommt. Evtl. gibt es dort eine Firewall die den PI blockt.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden