VNC ed indirizzi IP

[bandit400]

Salve a tutti,

ho un quesito carino per chi utilizza con soddisfazione VNC. Ho un PC con tre interfacce di rete che, di fatto, costituisce un ponte selettivo tra tre diversi rami della medesima LAN. Trascurando la logicità di una simile configurazione il problema risiede nella configurazione del VNC che il mio cliente richiede espressamente per il controllo di questa macchina. Le tre interfacce di rete hanno i seguenti IP:

ETH0: 192.168.1.254
ETH1: 10.176.3.102
ETH2: 172.16.0.254

VNC deve essere normalmente raggiungibile attraverso ETH1 ed ETH2 e deve essere raggiungibile attraverso ETH0 tramite una connessione sicura. Questo sono riuscito a farlo tramite OpenSSH for Windows (lato server) e putty (o plink) lato client. Il problema, però, è che VNC deve ''ascoltare'' sulla porta standard solo su 10.176.3.102, 172.16.0.254 e 127.0.0.1. Cosa devo settare per imporre questa regola?

Per il loopback è sufficiente modificare il valore della chiave

HKEY_LOCAL_MACHINE\SOFTWARE\ORL\WinVNC3\AllowLoopback

a 1, ma per il resto?
So che si potrebbe usare la chiave (REG_SZ)

HKEY_LOCAL_MACHINE\SOFTWARE\ORL\WinVNC3\AllowHosts

inserendo i pattern degli indirizzi abilitati, ma non funziona.
Suggerimenti?

Wide Open

Gianluca ''BaNdit400''

[kadosh]

Ciao BigFoot, dunque credo mi serva qualche indicazione in più sul tuo problema.
Il PC deve essere raggiunto, oltre che dall'indirizzo con OpenSSL, da altre 2 vie verso le altre 2 schede di rete rimaste con VNC, e fin qui ok, ma i pc che lo contattano dove si trovano? Stessa rete, altre sottoreti, esterno, dmz etc...?

C'è un router, firewall di mezzo?

Hai libertà di scelta nell'uso di qualche software/hardware?

Il PC che sistema monta?

Saludos

[bandit400]

Ciao Kadosh,

come ti butta? Allora, il problema è molto più semplice di quanto tu possa pensare...questo PC è sito al centro di una rete interna (notare gli indirizzi tutti privati) e pone in comunicazione tre rami distinti della stessa. L'amministrazione di questo PC, quindi, avviene esclusivamente nella LAN in cui è sito. Siamo, evidentemente, già in DMZ. I PC che lo devono raggiungere con il VNC Viewer appartengono ad uno qualsiasi di questi rami, ma solo due di questi lo possono raggiungere direttamente:

ETH1: 10.176.3.102
ETH2: 172.16.0.254

Il terzo ramo, connesso tramite l'interfaccia ETH0

ETH0: 192.168.1.254

non deve poter connettersi direttamente e per questo hanno richiesto una connessione sicura. Questa è possibile instaurarla grazie ad un tool gratuito della suite PuTTY chiamato PLINK lato client che permette in una connessione cifrata, tramite OpenSSH lato server, di raggiungere il servente VNC che NON DEVE ascoltare su ETH0, bensì solo su ETH1, ETH2 e LOOPBACK. La domanda è, quindi, come imporre gli indirizzi sui quali VNC può ascoltare?

Un bacio!!

Wide Open

Gianluca ''BaNdit400''

[kadosh]

Ormai è parecchio che non uso più VNC, ma come ogni sw di remotizzazione pc lui si mette in ascolto su di una determinata porta e aspetta di essere chiamato, ma non mi pare che abbia qualche opzione particolare per dirgli da quali IP possa essere chiamato e da quali no.
Nel qual caso devi scegliere un modo di comunicazione che ti aiuti nel giochetto, che sia un sw di terze parti, che sia l'IPSec di MS se è abilitato, che sia un hw nel mezzo...insomma...devi vedere tu.

Se il PC che vuoi raggiungere, con il VNC Server, ha un sistema Win Server installato, io opterei per IP Security Policies on Local Computer, voce che trovi negli Administration Tools con il nome di Local Security Settings; ovviamente se è in dominio vai nelle Policies di Dominio. Da lì puoi gestirti comodamente tutto il traffico in ingresso, accettandolo o meno a seconda che ci sia una connessione secura, e questo te lo garantisce la chiave Kerberos che lui usa. Gli dici da quali macchine deve essere raggiunto e su quale porta, vedi tu se accettare il resto del traffico e credo che il problema sia risolto.

Fammi sapere...ciauzzz...