Bestimmte URLs zulassen
-
Moin,
für einen Rechner der sonst nicht in das Internet darf habe ich für Teamviewer eine Regel die nur Zielport 5938 TCP erlaubt und die Fernwartung klappt.
-teddy
-
Also ein portforward auf die Rechner mit dem Port tcp 5938?
-
Nein.
Eine Regel die nur ausgehenden Verkehr mit Zielport Port tcp 5938 zuläßt:IPv4 TCP (IP des Rechners der darf) * * 5938 * none
Ich habe kein Portforwarding eingerichtet.
-teddy
-
Teamviewer stellt die Verbindung im Normalfall für das tolle Feature "Umgehung von Firewalls etc." über einen Proxy selbst her. Sprich der TV Client, dem geholfen wird, stellt eine Verbindung zu einem zentralen Server bei TV her und wartet dort. Dann startet der Helfer seinen Client und verbindet sich ebenfalls mit dem zentralen TV Server. Nach Eingabe der entsprechenden ID Nummer die der Client dem Helfer gibt, werden die beiden Verbindungen dann miteinander verknüpft.
Dieser "man in the middle" der die Verbindung knüpft ist auch der Grund, warum große Unternehmen lieber eine Inhouse Lösung für sowas bevorzugen. Bei denen steht nämlich mitunter in Sicherheitsvereinbarungen, dass sie ihre Daten nicht durchs Ausland o.ä. blasen dürfen, und unverschlüsselt schon gar nicht. Da u.a. viele ursprünglich deutsche Lösungen (Teamviewer, Netviewer, …) in den letzten Jahren von US oder UK Firmen gekauft wurden, hat das nochmal mehr Brisanz bekommen.
Fun Fact: Aus dem Grund des Aufkaufs von Teamviewer durch einen UK Investor hat sich ein Teil der ehemaligen Crew ja inzwischen in Stuttgart unter dem neuen Label "AnyDesk" wieder neu gegründet, damit Sie für diverse Datenschutzerklärungen wieder sagen können "jup, Daten laufen nur in DE".Der langen Rede kurzer Sinn: Deshalb schreibt Teddy auch "ausgehend", da das Teamviewer Konstrukt via Man-in-the-Middle keine eingehenden Verbindungen benötigt, weil es damit versucht Firewall etc. auszuhebeln. (Sehr zum Unbill vieler Admins ;))
-
Moin,
danke für die informative Zusammenfassung, leider musste ich die Kröte Teamviewer für einen PC schlucken die Geschäftsleitung hat entschieden, aber dank pfSense sitzt diese Kiste mit Ihrer Steuerung in einem eigenen LAN Segment vollkommen isoliert ohne weitergehenden Internetzugang. Aufgrund des nahezu stillgeschwiegenen Verkaufs ist Teamviewer für mich privat gestorben.
-teddy
-
Apropos stillschweigend: Das ging wohl wirklich letztes Jahr sehr sehr leise über die Bühne:
http://stadt-bremerhaven.de/teamviewer-milliarden-us-dollar/
…wurde Teamviewer bereits Anfang Mai von dem im London ansässigen Unternehmen Permira für 1,1 Milliarden US-Dollar übernommen. Weder im Pressebereich von Teamviewer ist davon etwas zu lesen, noch wird sonst irgendwo auf der offiziellen Seite die Übernahme erwähnt.
Auch Permira äußerte sich gegenüber des Wall Street Journals dazu nicht, allerdings ist hier wenigstens eine Pressemitteilung zu finden, die auf den 6. Mai datiert ist. Ist natürlich nicht unspannend, wenn eine in Deutschland entwickelte Software zur Fernwartung von einem anderen Unternehmen übernommen wird.
http://www.permira.com/technology/investments/teamviewerKaum einen Monat später (3.6.2014) tauchte dann AnyDesk auf der Bildfläche auf.
Weiterer Fun Fact: Der Verkauf an Permira (UK) ging ja von GFI aus (die US Unternehmen sind). Zwar agiert Teamviewer selbst als GmbH und argumentiert korrekt, dass sie sich an deutsches Recht halten müssen, aber … hmm nunja. Ist alles korrekt, bringt einem dann aber doch nichts, wenn bspw. der Vermittlungsserver (MITM) dann bspw. in UK oder US steht. Dann untersteht der ggf. deren Gerichtsbarkeit bzw. kann an dem Standort dann abgegriffen werden. Da die wenigsten Leute prüfen werden, wogegen sich ihr Client alles verbindet, ist das eben das Risiko. War u.a. nach dem Verkauf von Netviewer an Citrix Online ja ebenso, dass man die NV Produktsparte zugunsten der US basierten GoToXY Produkte ablösen wollte. Alles auf SaaS Basis, inHouse Lösungen wie bei Telekom und Co. sollten abgeschafft werden. Damit rennt man nur bei deutschen Unternehmen keine Türen ein ;)
-
Mir bleibt leider auch nichts anderes übrig. Wir verwenden Unternehmensweit Teamviewer zur Fernwartung und haben auch entsprechend eine teure Lizenz dafür. Es ist bequem und ziemlich performant, aber natürlich Datenschutz-technisch nicht so das Gelbe vom Ei.
Die Lizenz ist jetzt nunmal vorhanden und jeden Protest dagegen kann man nur schwer der Geschäftsleitung vermitteln. Deshalb muss man diesen Klopps jetzt schlucken.
Ich werde das mal probieren. Danke für euere Hilfe.
-
So ich habe es jetzt nochmal probiert. Folgendes habe ich eingestellt:
Unter NAT
WAN 10.1.0.0/20 * * * WAN address * NO
Unter Rules LAN
IPv4 UDP 10.1.0.0/20 * * 5938 * none
Doch leider bekomme ich damit keine Verbindung zustande. Muss man da nicht irgendwie noch eine eingehende Verbindung zulassen?
Jemand eine Idee woran das liegt?
-
Also die NAT Einstellung ist ja praktisch default (LAN network mapped on WAN address).
Die Regeln auf dem LAN abgehend sehe ich als "fast" richtig an. Meines Wissens nutzt Teamviewer (sinnvollerweise) TCP, nicht UDP und checkt zusätzlich 80/443. Letzteres nur als Fallback wenn 5938/tcp nicht offen ist.
Grüße
-
Ich habe den Fehler gefunden:
Ich hatte vergessen für die Clients die nicht ins Inet dürfen DNS zu erlauben. Somit kann es nicht funktionieren, da Teamviewer mit FQDN´s arbeitet.
Komischerweise funktioniert es mit TCP auch… scheinbar geht beides, es sei den man deaktiviert in den erweiterten Einstellungen von Teamviewer "UDP erlauben".
Die Default NAT-Einstellungen habe ich deaktiviert und zu meiner Übersicht neu angelegt. Den ich habe viele Subnetze zu verwalten. ;D
