Forum: Haus & Smart Home PC aus der Ferne neustarten?

ssh

Oliver

Peter N. schrieb:
> Ich bediene meinen PC mittels RemoteDesktop (teilweise auch übers
> Internet).

Ich hoffe Du verwendest ein VPN und hast nicht den RDP-Port 3389 per 
Portforwarding ins Internet geöffnet. Letzteres ist ein ziemliches 
Sicherheitsrisiko, es gibt immer wieder Sicherheitslücken im RDP-Dienst 
von Windows die dann von jedermann ausgenutzt werden können.

Bei sehr vielen Routern ist eine VPN-Funktion enthalten. Z.B. falls Du 
eine Fritzbox hast, dann Wireguard.

> Welche Möglichkeiten gibt es, den PC aus der Ferne zu resetten?

Die sauberste Lösung dürfte ein KVM-System sein. Da hast Du nicht nur 
ein sturen Reset der Dir evtl. Dein System durcheinanderbringt (z.B. 
wenn Windows grad ein Update macht), sondern siehst was auf dem 
Bildschirm angezeigt wird und kannst Tastatur- und Mauseingaben machen. 
Zur Not geht aber auch ein harter Reset wenn Du das entsprechend 
verkabelst. Das KVM-System könntest Du dann auch durch das VPN hindurch 
erreichen.

Z.B.:
https://pikvm.org/
oder
https://github.com/sipeed/NanoKVM
https://de.aliexpress.com/item/1005007369816019.html

Peter N. schrieb:

> Welche Möglichkeiten gibt es, den PC aus der Ferne zu resetten?

Normal würde man den PC virtualisieren und dann den Wirt ansprechen.

Damals (TM) haben wir uns mittels Modem am seriellen Port der Maschine 
eingewählt und hatten dann volle Kontrolle via Kommandozeile. Das könnte 
man heute mit einem RS482-Webserver statt Modem nachbilden.

KVM switch wurde schon genannt.

Peter N. schrieb:

> Ich bediene meinen PC mittels RemoteDesktop (teilweise auch übers
> Internet).

Keine gute Idee. MS frickelt zwar immer mal wieder an den 
Sicherheitslücken ihrer RDP-Implementierung rum, tut das aber leider 
alles andere als kompetent. Oft werden nur die Angriffspunkte für einen 
bereits bekannten Angriff geflickt, aber nicht die grundlegenden 
Ursachen dafür, dass er funktionieren konnte.

Das führt dann sehr oft dazu, dass recht zeitnah verwandte Angriffe 
konstruiert werden, die halt die Flicken von MS anderweitig umschiffen. 
Mehr oder weniger erfolgreich.

> Manchmal hängt RDP (blauer Bildschirm mit "bitte Warten").

Das sieht nach den Folgen eines weniger erfolgreichen Angriffsversuchs 
aus. Sprich: der Angreifer hat sein eigentliches Ziel wahrscheinlich 
wohl nicht erreicht, aber immerhin erfolgreich ein DoS produziert. Das 
nützt ihm zwar nix, stört dich aber trotzdem gewaltig...

Merke: RDP nur über einen VPN-Tunnel benutzen. Niemals direkt im I-Net.

> Welche Möglichkeiten gibt es, den PC aus der Ferne zu resetten?

Netzwerkfähige Steckdosen. Das ist zwar nicht optimal, aber dafür 
relativ preisgünstig. Natürlich sollte man aber auch die nicht direkt 
in's Internet bringen, sondern nur über VPN.

Ob S. schrieb:
> Netzwerkfähige Steckdosen.

Vorteil: Bringt auch unwillige PCs wieder auf Linie.

Alternative für Fritzens Freunde: DECT Schaltsteckdose, die über den 
Router ansprechbar ist. Keine VPN nötig. Nur sollte der externe Zugang 
zum Router gut abgesichert sein, evtl 2FA.

Telefon: "Mutti, drück mal den roten Knopf"

Wenn RDP hängt, hängt möglicherweise auch das restliche System. Das 
würde ich beim nächten Mal unbedingt prüfen (lassen). Wenn dem so ist, 
nützt dir auch keine andere Lösung auf der gleichen Maschine etwas.

Aber ich hätte eine Idee: Es gibt einen Telegram-Bot für ESP8266 und 
ESP32. Gibts sicher auch für andere Messenger. Dazu ein Reed-Relais 
parallel zum Reset-Button des PC ... fertig ist die Laube.

Einer unserer Praktikanten (Fachinformatiker Anwendungsentwicklung) hat 
so etwas ähnliches für den "Summer" an der Haustür unseres Bürogebäudes 
gebaut (für das Büro selbst haben wir ein Nuki-System, für die Haustür 
waren aber nicht genug Schlüssel vom Vermieter da bzw. zu teuer). 
Funktioniert sehr zuverlässig, so lange es Internet gibt.

Peter N. schrieb:
> meinen PC mittels RemoteDesktop

Welche OS-Versionen? Welcher RDP-Client? Vielleicht ist es besser, erst 
mal die Ursache des Problems zu finden.

Peter N. schrieb:
> Welche Möglichkeiten gibt es, den PC aus der Ferne zu resetten?

Ein Motherboard mit vPro (Intel) oder Dash (AMD). Da kann man den 
Rechner aus der Ferne einfach mit einem Browser zumindest einschalten, 
ausschalten, neu booten und herunterfahren und ggf. noch sehr viel mehr. 
Egal, wie und wo das Betriebssystem hängt, DAS geht immer, weil es 
allein über Funktionen des BIOS und des LAN-Chips läuft.

Viele Motherboards haben das, nur ist es unter Normalnutzern kaum 
bekannt. Doku lesen und nach vPro bzw. Dash googeln. Wenn man das einmal 
richtig eingerichtet hat, funktioniert es super.

Admins in größeren Unternehmen nutzen das, um PCs zu warten, ohne in die 
betreffenden Büros zu gehen und die PCs einschalten zu müssen.

Falls sich der abgestürzte PC damit noch herunterfahren lässt, hat man 
nicht das Risiko von Datenverlusten auf der Platte, wie sie auftreten 
können, wenn Mama oder ein Relais den Rechner hart zurücksetzt.

Ob S. schrieb:
> Merke: RDP nur über einen VPN-Tunnel benutzen. Niemals direkt im I-Net.

Klar. Aber es muss kein Jumbo-VPN sein, OpenSSH (in Windows und Linux 
enthalten) tut es auch.
Seit die Fritzbox WireGuard integriert hat, ist das aber wohl bequemer.

Rolf schrieb:
> Ob S. schrieb:
>> Merke: RDP nur über einen VPN-Tunnel benutzen. Niemals direkt im I-Net.
>
> Klar. Aber es muss kein Jumbo-VPN sein, OpenSSH (in Windows und Linux
> enthalten) tut es auch.
> Seit die Fritzbox WireGuard integriert hat, ist das aber wohl bequemer.

Selbst wenn nicht, geht es alternativ auch mit einem kleinen virtuellen 
Linux-Server für ein paar Euro im Monat. Gleichzeitig ist man damit auch 
unabhängig von AVM unterwegs. Bei mir läuft Wireguard über meinen Root 
Server, ich habe es spaßeshalber aber auch mal mit dem kleinsten 
Linux-VPS den ich finden konnte (1 vCPU, 1 GB RAM) probiert und selbst 
der lief (zumindest bei mir) zufriedenstellend und mit akzeptabler 
Leistung. Für einzelne bis wenige Personen aus meiner Sicht völlig 
ausreichend. Man muss auf jeden Fall auf die MTU achten und für einen 
optimalen Durchsatz etwas experimentieren. Wenn es schlecht läuft, kommt 
man am Ende trotz Gigabit-Anbindung nur auf ein paar Kilobyte pro 
Sekunde.

Wie gut funktioniert das eigentlich mit Windows? Seit ich fast nur noch 
mit Linux arbeite, habe ich mich so sehr an die Vorzüge von SSH gewöhnt, 
dass ich sowas wie Remote Desktop mit all den Sicherheitsrisiken gar 
nicht mehr nutzen wöllte.

Florian S. schrieb:
>> Seit die Fritzbox WireGuard integriert hat, ist das aber wohl bequemer.
>
> Selbst wenn nicht, geht es alternativ auch mit einem kleinen virtuellen
> Linux-Server für ein paar Euro im Monat. Gleichzeitig ist man damit auch
> unabhängig von AVM unterwegs. Bei mir läuft Wireguard über meinen Root
> Server

Wo hast Du eine "Abhängigkeit" vom AVM oder brauchst einen extern 
betriebenen Rootserver oder VPS, nur um auf Dein Heimnetz zuzugreifen?

Du nimmst einfach Deinen im Heimnetz bereits vorhandenen Router und 
konfigurierst dort z.B. Wireguard (oder halt IPSec wenn der Router kein 
Wireguard kann). Jetzt kannst Du von überall im Internet direkt das VPN 
zu Deinem Router aufbauen und durch das VPN auf Dein Heimnetz zugreifen. 
Da braucht es keinen Kontakt zum Router-Hersteller wie AVM oder einen 
externen Rootserver. Es braucht vielleicht einen Dyndns-Dienst, aber 
derer gibt es viele.

Ausnahme ist wenn Dein Internetzugangsprovider jegliche eingehende 
Verbindungsversuche blockt. Das machen Mobilfunkprovider leider so wenn 
man keinen speziellen M2M-Tarif hat. In diesem Ausnahmefall macht der 
Umweg über den Rootserver Sinn, sonst nicht.

Florian S. schrieb:
> Wie gut funktioniert das eigentlich mit Windows?

Windows 10/11 hat inzwischen einen OpenSSH Dienst, man muss ihn nur 
aktivieren.

Gerd E. schrieb:
> kannst Du von überall im Internet direkt das VPN
> zu Deinem Router aufbauen und durch das VPN auf Dein Heimnetz zugreifen.

Was aber nicht bedeutet, dass du dann jeden abgestürzten PC im Heimnetz 
sauber (Intel nennt das bei vPro "graceful") herunterfahren und neu 
starten kannst. Auch per SSH oder anderen Tunneln geht das nicht immer.
Genau das ist aber das Wichtige, wenn du in der Ferne sitzt.

Peter N. schrieb:
> Ich bediene meinen PC mittels RemoteDesktop (teilweise auch übers
> Internet).

Wenn "teilweise auch übers Internet" bedeuten soll, das das ohne Tunnel 
o.ä. passiert: Klemm' die Kiste ab und höre auf, an "irgendwas mit 
Internet" rumzufummeln. So blöde kann man doch nicht sein. Falls doch, 
willkommen bei shodan.

> Welche Möglichkeiten gibt es, den PC aus der Ferne zu resetten?

"Geht so"- Lösung: vPro. Bei Intel dann bevorzugt die Q-Chipsätze. Geht 
immer: IPMI. Beides selbstverständlich immer über einen sicheren 
Tunnel. Ansonsten s.o.: Willkommen bei shodan.

Max I. schrieb:
> Geht immer: IPMI
https://de.wikipedia.org/wiki/Intelligent_Platform_Management_Interface
https://www.thomas-krenn.com/de/wiki/IPMI_Grundlagen

Letzte Rettung ist Strom aus (mit allen Folgen), wenn die Sache zu 
verzwickt ist (und ein gesundes Backup vorhanden ist). Wichtig ist 
jedoch, die RICHTIGE Hardware zu erwischen. Deshalb gut beschriften!

Lu schrieb:
> Letzte Rettung ist Strom aus (mit allen Folgen), wenn die Sache zu
> verzwickt ist

Bei IPMI nicht nötig, das läuft unabhängig vom Host, da kann abstürzen 
oder einfrieren was will.

Auch solche Management-Komponenten können sich aufhängen oder spinnen. 
Gut ist es dann, wenn man nicht nur mit dem Management dem Server einen 
Tritt verpassen kann, sondern auch umgekehrt vom Server-OS ausgehend dem 
Management.

War mittlerweile schon einige Male bei steinalten Dell Servern fällig. 
Da läuft mittlerweile das ESXi-OS stabiler als das iDRAC-Management.

(prx) A. K. schrieb:
> Gut ist es
> dann, wenn man nicht nur damit dem Server einen Tritt verpassen kann,
> sondern auch umgekehrt vom Server-OS ausgehend dem Management.

Der Weg steht ja offen, dank SSIF selbst für die Billigheimer unter den 
BMC.



Max I. schrieb:
> IPMI

(prx) A. K. schrieb:
> steinalten Dell Servern
> iDRAC

Finde den Fehler ;)

Im Ernst, da wird möglicherweise das Netzteil an Alterschwäche leiden. 
Manch PM hat seine eigene Versorgung. Alternativ die Spannungsregler für 
den BMC auf dem Board.

Max I. schrieb:
> da wird möglicherweise das Netzteil an Alterschwäche leiden

Unwahrscheinlich weil doppelt vorhanden. Ich kann mir auch Ursachen 
vorstellen. Diagnose seltener Ereignisse auf Geräten quer durchs Land 
ist aber ein Höllenjob, wenn das Management-Modul es nicht selbst 
diagnostiziert. Die Dinger haben es ohnehin bald hinter sich. Broadcom 
hat recht effektiv am eigenen Sarg genagelt.

Max I. schrieb:
> "Geht so"- Lösung: vPro. (...) Geht immer: IPMI.

IPMI findet sich aber bei PCs unterhalb der Server-Klasse viel seltener 
als vPro.

Im Homeoffice kann ich unter Citrix den PC auch neu starten. Man hat nur 
keine Rückmeldung, wann der PC wieder erreichbar ist.
Es passiert aber auch manchmal, daß jemand anruft, man möge dessen PC 
ausschalten und wieder booten.

Peter D. schrieb:
> Es passiert aber auch manchmal, daß jemand anruft, man möge dessen PC
> ausschalten und wieder booten.

Oder auch nur einschalten, weil die Schlafmütze am Ende des Arbeitstages 
nicht neu gestartet hatte, sondern runtergefahren. :)

Viele BIOS lassen das Booten über Netzwerk zu.
Wenn du zum Beispiel mit wireguard auf (ich nehme hier eine fritzbox als 
Beispiel) deine fritzbox zugreifst und allen Geräten feste IP zugeteilt 
hast, dann sollte dieser Rechner Booten, wenn du es im BIOS so 
eingestellt hast.
Aber mal ehrlich, wer auf seinen Rechner zugreifen will, der macht den 
doch gar nicht mehr aus.

Viele BIOS lassen das Booten über Netzwerk zu.
Wenn du zum Beispiel mit wireguard auf (ich nehme hier eine fritzbox als 
Beispiel) deine fritzbox zugreifst und allen Geräten feste IP zugeteilt 
hast, dann sollte dieser Rechner Booten, wenn du es im BIOS so 
eingestellt hast.
Aber mal ehrlich, wer auf seinen Rechner zugreifen will, der macht den 
doch gar nicht mehr aus.
Und mit Cloudspeicher hat man eh alle Daten und überall.

Frank O. schrieb:
> Viele BIOS lassen das Booten über Netzwerk zu.
> Wenn du zum Beispiel mit wireguard auf (ich nehme hier eine fritzbox als
> Beispiel) deine fritzbox zugreifst und allen Geräten feste IP zugeteilt
> hast, dann sollte dieser Rechner Booten, wenn du es im BIOS so
> eingestellt hast.

Nein. Denn für Wake-On-LAN musst Du ein "Magic Packet" per Broadcast im 
LAN versenden. Die dem Gerät nach dem Booten zugeteilte IP (fest oder 
dynamisch per DHCP) spielt dafür keine Rolle. Und ein Broadcast-Paket 
kannst Du nicht durch ein VPN hindurch versenden, die Broadcast-Adressen 
lässt ein VPN nicht zu. Es braucht dafür also einen Dienst innerhalb des 
LANs welchen Du übers VPN ansprechen kannst und der dann die Magic 
Packets innerhalb des LANs versendet. Auf OpenWRT gibt es dafür z.B. 
luci-app-wol.

Und was der TO wollte, nämlich einen bereits eingeschalteten, aber nicht 
mehr reagierenden, PC zu rebooten bekommst Du damit nicht hin.

> Aber mal ehrlich, wer auf seinen Rechner zugreifen will, der macht den
> doch gar nicht mehr aus.

Du Engergieverschwender.

Frank O. schrieb:
> Aber mal ehrlich, wer auf seinen Rechner zugreifen will, der macht den
> doch gar nicht mehr aus.

Eine gute Regel für Sicherheit besteht darin, am Ende des Tages neu zu 
starten. Damit keine laufenden Programme und angemeldeten Sitzungen 
vorhanden sind.

Gerd E. schrieb:
> Auf OpenWRT gibt es dafür z.B.
> luci-app-wol.

Ein gewöhnlicher Fritz kann es auch.

Gerd E. schrieb:
> Du Engergieverschwender.

Es gibt Szenarien, in denen die Verfügbarkeit wichtiger ist.

(prx) A. K. schrieb:

> Gerd E. schrieb:
>> Auf OpenWRT gibt es dafür z.B.
>> luci-app-wol.
>
> Ein gewöhnlicher Fritz kann es auch.

Meiner Beobachtung nach nicht wirklich gut. Nämlich: Nicht automatisch 
über's VPN.

Also: es funktioniert gut, wenn ein port forward (oder exposed host) 
eingerichtet ist. Wenn jetzt eine Anfrage aus dem WAN kommt, dann weckt 
die Fritzbox das Ziel per WoL auf, wenn das für das Ziel aktiviert (und 
natürlich das Ziel auch entsprechend konfiguriert) ist.

Was aber nicht funktioniert: Ich komme per VPN rein und versuche dann, 
den schlafenden Rechner anzusprechen. Das löst leider nicht die 
automatische Generierung eines magic packet für das Ziel aus.

Die Beschriftung des entsprechenden Häckchens drückt das auch relativ 
treffend aus: "Diesen Computer automatisch starten, sobald aus dem 
Internet darauf zugegriffen wird"

Ja, es gibt direkt neben dem Häckchen noch einen Button, denn man dann 
benutzen kann. Aber es ist natürlich maximal umständlich, sich dazu erst 
bei der Fritzbox anmelden und sich bis dorthin durchklicken zu müssen.

Das hätte man sicher besser lösen können, zumindest für Zugriffe aus dem 
VPN sollte das technisch problemlos möglich sein. Bei Zugriffen aus dem 
LAN hingegen wird es schwieriger. Die werden ja nur geswitched, da 
bekommt die FB u.U. gar nichts von mit.

Gerd E. schrieb:
> Du Engergieverschwender.

Wenn "Rooobert" mit seiner Yacht aus dem Hafen ausgelaufen ist, hat der 
den halben Sprit meines Jahresverbrauches gebraucht.

Ob S. schrieb:
> Nämlich: Nicht automatisch über's VPN.

Aber manuell über Fritzens Weboberfläche.

(prx) A. K. schrieb:
> Ob S. schrieb:
>> Nämlich: Nicht automatisch über's VPN.
>
> Aber manuell über Fritzens Weboberfläche.

Schrieb ich ja. Aber danke, dass du es nochmals wiederholt hast. Damit 
dürfte es dann auch der Letzte noch begriffen haben.