Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Bestimmte URLs zulassen

    Scheduled Pinned Locked Moved Deutsch
    13 Posts 4 Posters 2.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • H
      haithabu84
      last edited by

      Ok Danke erstmal. Also Port 80 und 443 ist klar…

      Weißt du zufällig welche FQDN der Client benötigt um den Teamviewer ordentlich zum laufen zu bekommen? Und muss nur eine ausgehende Regel vorhanden sein oder auch eine eingehende?

      1 Reply Last reply Reply Quote 0
      • magicteddyM
        magicteddy
        last edited by

        Moin,

        für einen Rechner der sonst nicht in das Internet darf habe ich für Teamviewer eine Regel die nur Zielport 5938 TCP erlaubt und die Fernwartung klappt.

        -teddy

        @Work Lanner FW-7525B pfSense 2.7.2
        @Home APU.2C4 pfSense 2.7.2
        @CH APU.1D4 pfSense 2.7.2

        1 Reply Last reply Reply Quote 0
        • H
          haithabu84
          last edited by

          Also ein portforward auf die Rechner mit dem Port tcp 5938?

          1 Reply Last reply Reply Quote 0
          • magicteddyM
            magicteddy
            last edited by

            Nein.
            Eine Regel die nur ausgehenden Verkehr mit Zielport Port tcp 5938 zuläßt:

            IPv4 TCP  (IP des Rechners der darf) * * 5938 * none

            Ich habe kein Portforwarding eingerichtet.

            -teddy

            @Work Lanner FW-7525B pfSense 2.7.2
            @Home APU.2C4 pfSense 2.7.2
            @CH APU.1D4 pfSense 2.7.2

            1 Reply Last reply Reply Quote 0
            • JeGrJ
              JeGr LAYER 8 Moderator
              last edited by

              Teamviewer stellt die Verbindung im Normalfall für das tolle Feature "Umgehung von Firewalls etc." über einen Proxy selbst her. Sprich der TV Client, dem geholfen wird, stellt eine Verbindung zu einem zentralen Server bei TV her und wartet dort. Dann startet der Helfer seinen Client und verbindet sich ebenfalls mit dem zentralen TV Server. Nach Eingabe der entsprechenden ID Nummer die der Client dem Helfer gibt, werden die beiden Verbindungen dann miteinander verknüpft.

              Dieser "man in the middle" der die Verbindung knüpft ist auch der Grund, warum große Unternehmen lieber eine Inhouse Lösung für sowas bevorzugen. Bei denen steht nämlich mitunter in Sicherheitsvereinbarungen, dass sie ihre Daten nicht durchs Ausland o.ä. blasen dürfen, und unverschlüsselt schon gar nicht. Da u.a. viele ursprünglich deutsche Lösungen (Teamviewer, Netviewer, …) in den letzten Jahren von US oder UK Firmen gekauft wurden, hat das nochmal mehr Brisanz bekommen.
              Fun Fact: Aus dem Grund des Aufkaufs von Teamviewer durch einen UK Investor hat sich ein Teil der ehemaligen Crew ja inzwischen in Stuttgart unter dem neuen Label "AnyDesk" wieder neu gegründet, damit Sie für diverse Datenschutzerklärungen wieder sagen können "jup, Daten laufen nur in DE".

              Der langen Rede kurzer Sinn: Deshalb schreibt Teddy auch "ausgehend", da das Teamviewer Konstrukt via Man-in-the-Middle keine eingehenden Verbindungen benötigt, weil es damit versucht Firewall etc. auszuhebeln. (Sehr zum Unbill vieler Admins ;))

              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

              1 Reply Last reply Reply Quote 0
              • magicteddyM
                magicteddy
                last edited by

                Moin,

                danke für die informative Zusammenfassung, leider musste ich die Kröte Teamviewer für einen PC schlucken die Geschäftsleitung hat entschieden, aber dank pfSense sitzt diese Kiste mit Ihrer Steuerung in einem eigenen LAN Segment vollkommen isoliert ohne weitergehenden Internetzugang. Aufgrund des nahezu stillgeschwiegenen Verkaufs ist Teamviewer für mich privat gestorben.

                -teddy

                @Work Lanner FW-7525B pfSense 2.7.2
                @Home APU.2C4 pfSense 2.7.2
                @CH APU.1D4 pfSense 2.7.2

                1 Reply Last reply Reply Quote 0
                • JeGrJ
                  JeGr LAYER 8 Moderator
                  last edited by

                  Apropos stillschweigend: Das ging wohl wirklich letztes Jahr sehr sehr leise über die Bühne:

                  http://stadt-bremerhaven.de/teamviewer-milliarden-us-dollar/

                  …wurde Teamviewer bereits Anfang Mai von dem im London ansässigen Unternehmen Permira für 1,1 Milliarden US-Dollar übernommen. Weder im Pressebereich von Teamviewer ist davon etwas zu lesen, noch wird sonst irgendwo auf der offiziellen Seite die Übernahme erwähnt.
                  Auch Permira äußerte sich gegenüber des Wall Street Journals dazu nicht, allerdings ist hier wenigstens eine Pressemitteilung zu finden, die auf den 6. Mai datiert ist. Ist natürlich nicht unspannend, wenn eine in Deutschland entwickelte Software zur Fernwartung von einem anderen Unternehmen übernommen wird.

                  http://www.permira.com/technology/investments/teamviewer

                  Kaum einen Monat später (3.6.2014) tauchte dann AnyDesk auf der Bildfläche auf.

                  Weiterer Fun Fact: Der Verkauf an Permira (UK) ging ja von GFI aus (die US Unternehmen sind). Zwar agiert Teamviewer selbst als GmbH und argumentiert korrekt, dass sie sich an deutsches Recht halten müssen, aber … hmm nunja. Ist alles korrekt, bringt einem dann aber doch nichts, wenn bspw. der Vermittlungsserver (MITM) dann bspw. in UK oder US steht. Dann untersteht der ggf. deren Gerichtsbarkeit bzw. kann an dem Standort dann abgegriffen werden. Da die wenigsten Leute prüfen werden, wogegen sich ihr Client alles verbindet, ist das eben das Risiko. War u.a. nach dem Verkauf von Netviewer an Citrix Online ja ebenso, dass man die NV Produktsparte zugunsten der US basierten GoToXY Produkte ablösen wollte. Alles auf SaaS Basis, inHouse Lösungen wie bei Telekom und Co. sollten abgeschafft werden. Damit rennt man nur bei deutschen Unternehmen keine Türen ein ;)

                  Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                  If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                  1 Reply Last reply Reply Quote 0
                  • H
                    haithabu84
                    last edited by

                    Mir bleibt leider auch nichts anderes übrig. Wir verwenden Unternehmensweit Teamviewer zur Fernwartung und haben auch entsprechend eine teure Lizenz dafür. Es ist bequem und ziemlich performant, aber natürlich Datenschutz-technisch nicht so das Gelbe vom Ei.

                    Die Lizenz ist jetzt nunmal vorhanden und jeden Protest dagegen kann man nur schwer der Geschäftsleitung vermitteln. Deshalb muss man diesen Klopps jetzt schlucken.

                    Ich werde das mal probieren. Danke für euere Hilfe.

                    1 Reply Last reply Reply Quote 0
                    • H
                      haithabu84
                      last edited by

                      So ich habe es jetzt nochmal probiert. Folgendes habe ich eingestellt:

                      Unter NAT

                      WAN  10.1.0.0/20 * * * WAN address * NO

                      Unter Rules LAN

                      IPv4 UDP 10.1.0.0/20 * * 5938 * none

                      Doch leider bekomme ich damit keine Verbindung zustande. Muss man da nicht irgendwie noch eine eingehende Verbindung zulassen?

                      Jemand eine Idee woran das liegt?

                      1 Reply Last reply Reply Quote 0
                      • JeGrJ
                        JeGr LAYER 8 Moderator
                        last edited by

                        Also die NAT Einstellung ist ja praktisch default (LAN network mapped on WAN address).

                        Die Regeln auf dem LAN abgehend sehe ich als "fast" richtig an. Meines Wissens nutzt Teamviewer (sinnvollerweise) TCP, nicht UDP und checkt zusätzlich 80/443. Letzteres nur als Fallback wenn 5938/tcp nicht offen ist.

                        Grüße

                        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                        1 Reply Last reply Reply Quote 0
                        • H
                          haithabu84
                          last edited by

                          Ich habe den Fehler gefunden:

                          Ich hatte vergessen für die Clients die nicht ins Inet dürfen DNS zu erlauben. Somit kann es nicht funktionieren, da Teamviewer mit FQDN´s arbeitet.

                          Komischerweise funktioniert es mit TCP auch… scheinbar geht beides, es sei den man deaktiviert in den erweiterten Einstellungen von Teamviewer "UDP erlauben".

                          Die Default NAT-Einstellungen habe ich deaktiviert und zu meiner Übersicht neu angelegt. Den ich habe viele Subnetze zu verwalten. ;D

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.