Ich habe zuhause folgendes vor:
Router von dlink mit dyndns.org ansprechen und über Portweiterleitung auf meine Macs zugreifen.(VPN mocha)

Mein IMac macht das, nur das Book, das an einem anderen Port geleitet ist lässt sich über den nicht ansprechen, Freigaben sind auf beiden Macs die selben und Passwort ist auch vergeben.

Was mache ich falsch? Oder geht das so gar nicht?

Danke für Tipps!

schau mal in die specs, wieviel vpn tunnel der dlink gleichzeitig erzeugen kann, vielleicht ist das der knackpunkt.

Aber der Tunnel wird doch nicht mit dem Router sondern mit dem Mac aufgebaut. D.h. der Router erzeugt keinen Tunnel! Portweiterleitung sollte er doch problemlos können.

@Kaneske
Firewall richtig konfiguriert? VPN Client richtig konfiguriert?

3. Die meisten Firewalls bieten lediglich eine Unterstützung bestimmter VPN-Tunnel an – also eine Möglichkeit, durch die Firewall hindurch eine VPN-Verbindung zu einem externen VPN-Knoten aufzubauen. Vor allem bei älteren Firewalls gilt dies lediglich für einen einzigen Client, da der VPN-Rückgabekanal mit dem Rechner verbunden werden muß (per Port-Forwarding-Regel). Um eine entsprechende Regel dynamisch zu erzeugen, bieten einige Firewalls den „VPN Pass-Through“-Modus an, der es ermöglicht, dass ein beliebiger Client die Verbindung anfordern kann. Abhängig von der Firewall wird dadurch auch erreicht, dass ein beliebiger anderer Client eine VPN-Verbindung aufnehmen kann, nachdem die bestehende VPN-Verbindung abgebaut wurde. Neuere Modelle kennen die VPN-Protokolle und sind dadurch in der Lage, die Verbindungen zu verwalten, wodurch die Zuordnung der Rückgabeports für mehrere VPN-Verbindungen parallel möglich wird.

aus wikipedia.

daraus und aus posts aus dem forum, deute ich: es ist nicht so einfach vpn umzubiegen, aber vermutlich wirklich nur ein konfig problem…wobei 2 identische benutzer afair so eigentlich nicht vorgesehen sind
[bearbeiten]
Der „VPN Pass-Through“-Modus einer Firewall

Sobald man von seinem PC aus eine VPN-Sitzung über eine externe Firewall hinweg aufbaut, steht die Firewall vor einer Herausforderung: Der VPN-Server muss in der Lage sein, von sich aus eine eigene (Rück-) Verbindung zu diesem PC aufzubauen. Das passiert abhängig vom VPN-Protokoll über einen bestimmten Port und gehört zum Sicherheitskonzept von VPN, welches ursprünglich nicht dafür gedacht war, eine Verbindung über ein dynamisches NAT-Gerät (PAT) hinweg zu ermöglichen. Das Problem: Der VPN-Rückkanal-Port unterscheidet sich von dem Rückkanal-Port, auf dem der PC die Verbindung aufgebaut hat. Somit ist das aus Sicht der Firewall keine Verbindung mehr, welche vom PC angefordert wurde. Da die Firewall sämtliche Verbindungsversuche blockiert, welche von außen angefordert werden, kommt die Verbindung also nicht zustande. Zudem steht die Firewall vor der Herausforderung, die Adresse der Netzwerkpakete umsetzen zu müssen, ohne die Gültigkeit der Pakete zu verlieren, weshalb die Firewall das jeweilige VPN-Protokoll unterstützen muss.

Hinweis: Es gibt aktuelle NAT-taugliche VPN-Protokolle, welche bei der Passierung einer Firewall zum Teil anders verfahren und deshalb weniger Probleme bereiten.
[bearbeiten]
Das Problem mit Port-Forwarding lösen - und damit ein neues Problem schaffen

Nun könnte man per Port-Forwarding-Regel der Firewall beibringen, dass der vermeintliche Rückkanal-Port mit einem PC aus dem gesicherten Netz verbunden wird. Somit wird der Verbindungsversuch nicht mehr blockiert, sondern direkt zum PC weitergereicht. Das würde auch funktionieren, jedoch hat das den Nachteil, dass immer nur dieser eine PC in der Lage ist, eine VPN-Verbindung zu einem Server aus dem Internet herzustellen. Einen Fehler in der VPN-Software oder eine entsprechende Malware vorausgesetzt, ist der PC auch dann aus dem externen Netz heraus über den Port erreichbar (und ggf. angreifbar), wenn er keine VPN-Verbindung angefordert hat.
[bearbeiten]
Die Lösung: „VPN Pass-Through“

Die Lösung für beide Probleme heißt „VPN Pass-Through“ und bewirkt, dass ein beliebiger PC, welcher den VPN-Tunnel anfordert, automatisch die Port-Zuweisung auf der Firewall erhält. Abhängig von der Firewall verliert der PC die Portzuweisung wieder, nachdem er die VPN-Sitzung beendet hat. So kann der nächste PC aus demselben internen Netz einen VPN-Tunnel aufbauen, sobald die andere VPN-Sitzung geschlossen wurde.

@DQ:
Danke für die Infos. Ich hatte es so verstanden, dass Kaneske immer nur eine Verbindung aktiv hat, aber die Verbindung zum MacBook nicht funktioniert. Aber das war nur vermutet. Da der eine Mac erreicht werden kann, denke ich das es an der Konfiguration liegt.

Genau ich will immer nur einen Mac zur Zeit steuern. Nicht gleichzeitig. Firewall kann doch nicht sein, wenn keine drauf ist?!? Das Book hat eine Portnummer höher als der iMac mehr ist in der Konfig nicht unterschiedlich.

Das könnte ja das Problem sein. Denn VPN nutzt, wie ja zum Beispiel auch HTML nur einen oder zwei Ports. Wenn du zu einem falschen Port weiterleitest, geht das nicht.

Dann muss der VPN Client auch den neuen Port nutzen!

Also hier muss glaube ich mal was klar gestellt werden, Kaneske schreibt oben folgendes

"mocha" ist ein VNC Client, kein VPN Client, er möchte zwei Mac's per VNC von unterwegs steuern, dazu hat er eine Portweiterleitung auf dem Router angelegt, leider lässt sich in OSX der VNC Port von Screensharing nicht so einfach ändern,
für den iMac hat er wahrscheinlich Port 5900 weitergeleitet. Um das MacBook zu erreichen müsst noch ein andere Port auf die IP des MacBooks weiter geleitet werden. Lösung sollte sein eine Portweiterleitung auf dem Router so ein zu stellen,
das er extern z.B. Port 5901 annimmt und auf Port 5900 IP des MacBooks weiterleitet. Von aussen kann er dann beide Mac ansprechen indem er unterschiedliche Ports im VNC Client angibt z.B. Port 5900 für seinen iMac oder Port 5901 für das MacBook . So könnte man beide Rechner fernsteuern.

Allerdings muss ich sagen dass dieses eine sehr unsichere Lösung ist, da es immer wieder Sicherheitsprobleme mit VNC gibt. Ich würde einen VPN Tunnel zum Router bevorzugen, mit dem man dann vollen und sicheren Zugriff auf das interne heim Netz hat.

Ich hoffe das hilft, Gruß Cyber

Ich wollte auch schon mal so etwas ähnliches konfigurieren. Ist schlussendlich daran gescheitert, dass der verwendete Router nicht in der Lage war, einen externen Port einem anderen internen Port zuzuweisen (Port-Mapping nennt man das, glaube ich). Und das ist es, was man tun muss: Externen Port 5900 an internen Port 5900 (IP-Adresse des iMacs) und externen Port 5901 an internen Port 5900 (IP-Adresse des MacBooks).
Es gäbe natürlich auch die Möglichkeit, am MacBook den Port für VNC von 5900 auf 5901 zu ändern bzw. umzuleiten, was aber anscheinend nicht so trivial ist:

Haha ... stimmt, jetzt wo du es sagst, einen mocha vpn client gibt es gar nicht Vielleicht sollte Kaneske mal sagen was er da genau macht Das wäre ja was völlig anderes

@hidalgo
Ja, das ist schnell mit einem Eintrag erledigt, jedoch muss ipfw noch übers Terminal eingeschaltet und konfiguriert werden. Weiß nicht wie fit Kaneske darin ist.

Ansonsten einfach einen anderen VNC Server nutzen. z.B.

Alternativ kann man auch einfach ichat laufen lassen und dann darüber screen-sharing nutzen, dann kann einem die Portweiterleitung egal sein.

Habe gerade noch ein andere Lösung gefunden

Wenn man den OS X eigenen VNC server noch einmal startet, dann kann man auch einen port angeben:
/System/Library/CoreServices/RemoteManagement/AppleVNCServer.bundle/Contents/MacOS/AppleVNCServer -port 5901

Jetzt ist der Rechner über 5900 und 5901 erreichbar. Hier klappt das im lokalem Netz, dann sollte das auch über dyndns laufen. Habe versucht das gleich direkt bei dem starten des (ersten) Server anzugeben, aber dann läuft zwar der VNC Server, aber er ist unter keinem Port erreichbar.

Das mit mocha stimmt wohl...Asche auf mein Haupt. Das mit den Ports hab ich so gemacht, kann ich den Poet denn in osx umlegen?

Hast du hidalgo's und meine Posts gelesen

@Kaneske

Welchen dLink Router hast du evtl. unterstützt er ja VPN's und man könnte mit IP Securitas einen VPN Tunnel bauen, dann bist du die Portweiterleitungsprobleme los.

Gruß Cyber

Ja habe die Posts gelesen, danke für die Hilfe. Ich werd das mal testen. Verstehe das aber so, dass die Änderung des Ports durch manuelles starten von OS X eigenem VPN Dienst durch einen Neustart wieder dahin ist?! Die Frage in meinem letzten Post sollte eher lauten: ist es Möglich diesen Dienst dauerhaft so zu konfigurieren, dass er denn Port 5901 nutzt, also ich das Book neu starten kann und dann wieder erreiche wenn es hochgefahren ist? Oder geht auch ein Skript in den Startobjekten?

Du brauchst im Mac keine Ports ändern. Du kannst alles so lassen. Die Port weiterleitung machst du nur im Router/Firewall (wie oben auch bereits beschrieben).

5900 5900 (iMac)
5901 5900 (MacBook)

im VNC Client dir dann zwei Settings abspeichern mit den beiden Ports. 5900 für iMac und 5901 für MacBook..

@Psybenzon:
Laut seinem Ausgangsposting klappt das ja eben nicht

@Kaneske:
Klar kann man dass, such dir was aus: Script, Startobjekte, StartupItems, launchd, ...

@Kaneske:

Nun sag uns doch mal welchen Router du von dLink hast dann können wir dir helfen, alles andere ist nur "good gues"

CU Cyber

Der DI 604 glaube ich, ein Kabelrouter mit 4 Ports...

Alte Kiste, der liegt im Keller und speist die Datendosen ein.

Der kann das mit den Portumleitungen intern glaube ich nicht.

Kann mit jemand ein Skript basteln?

Danke.

Also in eine neue leere Datei schreibst du mit einem Texteditor deiner Wahl folgendes:


Die Datei speicherst du unter ~/Library/LaunchAgents/com.vncserver.5901.plist. Danach einfach neu starten und nun hast du nen zweiten VNCServer mit Port 5901.

Danke danke!

Gern geschehen