VNC session přes Putty SSH tunel

VNC protokol a programy jej používající nejsou při používání bezpečné (protokol je nekryptovaný a hesla pro přístup jen slabě šifrovaná), a při přístupu přes internet nebo veřejné sítě je nebezpečí odposlechu komunikace a následného průniku do sítě. Proto je nutné komunikaci zabezpečit, poměrně snadným řešením je použít bezpečný SSH tunel. Následující příklad nastavení předpokládá, že na klientském PC s Windos je nainstalovám program Putty (viz např. tento popis) a program TightVNC (viz např. popis tady):

Cíl: Bezpečné VNC připojení lokálního PC k interním počítačům fiktivní firmy "Komíny Plánice".

Dané parametry:

1. Připojujeme se k počítačům "hala" (IP=192.168.0.10) a "sprava" (IP=192.168.2.11), VNC session je na obou počítačích chráněna heslem "k33lemp".
2. VNC servery na obou připojovaných počítačích komunikují na standardním portu 5900 (screen 0).
3. VNC připojení užije SSH tunel mezi lokálním PC a "kominy.betonstavby.cz" s IP adresou "82.99.133.73", kam se lze připojit jako uživatel "jendabenda".

Vlastní nastavení sestává ze dvou kroků:

• Program Putty vytvoří SSH tunel localhost<->firewall, který bude zvolený(é) lokální port(y) (zde užity porty 5900 a 5901) forwardovat na příslušný(é) počítač(e) vzdálené interní sítě.
• Na tento lokální port se připojí VNC klient a spojení bude tunelem přesměrováno na počítač, na který se chceme připojit.

Nastavení podrobně: Vytvoříme novou Putty session s parametry (viz též tento popis):

Session -> Host name (or IP address): gw.domena.cz (nebo 194.228.214.34)
Session -> Protocol: SSH (automaticky dosadí Port=22)
Session -> Saved Sessions: ToPcInMyLAN (nebo jiné mnemo označení)
Connection -> Auto-login username: jendabenda
Connection -> SSH -> Tunnels -> Source port: 5900
Connection -> SSH -> Tunnels -> Destination: 192.168.0.10:5900
Connection -> SSH -> Tunnels : <Add>
Connection -> SSH -> Tunnels -> Source port: 5901
Connection -> SSH -> Tunnels -> Destination: 192.168.2.11:5900
Connection -> SSH -> Tunnels : <Add>
Session -> : <Save> (Právě nadefinovaná session je uložena pod jménem "ToPcInMyLAN")

Vlastní připojení ke vzdálenému PC:

• Spustíme Putty s vytvořenou session ToPcInMyLAN, po výzvě zadáme SSH heslo pro uživatele jendabenda na firewallu.
• Spustíme TightVNC viewer. Do pole VNC server zadáme localhost:0 pokud se chceme připojit na PC "hala" (IP=192.168.0.10) /nebo localhost:1 pokud se chceme připojit na PC "sprava" (IP=192.168.2.11)/. Také můžeme pro lepší odezvu vybrat "Low-bandwidth connection" profil. Tlačítkem Connect nastartujeme připojení k vzdálenému počítače.
• Objeví se vzdálená plocha připojeného počítače a je možno na něm pracovat.
• Ukončit VNC session, přepnout do celoobrazovkového módu nebo zjistit/nastavit její parametry je možné po kliknutí pravým tlačítkem na horní modrý pruh VNC okna. Návrat z celoobrazovkového módu provedeme stiskem CTRL-ESC ESC a pak kliknutím pravým tlačítkem na ikonu VNCvieweru na liště.

Poslední aktualizace: 2.7.2009 Fr. Hanzlík                   Připomínky na Frantu Hanzlíka