Guten Morgen,
VNC direkt über Portfreigabe wäre ja ein sicherheitstechnischer GAU, ich benötige aber mehrere VNC-Zugriffe über eine Web-Oberfläche. Deswegen habe ich mir folgendes (funktionierendes) Konzept ausgedacht:
//Vorhandene Geräte
S1: Server "im Internet" mit Apache Reverse-Proxy zu Apache Tomcat mit Guacamole
S2: Server im LAN hinter Firewall und Router
PCn: Mehrere PCs, auf die per VNC zugegriffen werden soll (hinter der selben Firewall / Router wie S2, haben keinen Zugriff auf "Internet")
//Konzept:
S2 hat durch die Firewall die Befugnis auf den (nicht Standartmäßigen) SSH-Port des S1 zuzugreifen. Er baut mittels autossh und keyfiles eine Verbindung auf und Tunnelt für alle PCn den Port 5901 nach 5900n auf S1, natürlich lediglich auf localhost von S1.
S1 nutzt einen Reverse-Proxy um auf eine Guacamole-Installation zuzugreifen (die nur local auf S1 erreichbar ist) und veröffentlicht diesen Zugriff lediglich per HTTPS.
//Frage:
Wie schätzt Ihr die Sicherheit ein? Natürlich ist das sicherer als die "normale" unverschlüsselte VNC-Verbindung. Seht ihr Verbesserungspotential?
Danke im Vorraus!