
<div dir="ltr"><div><div><div>Hi Mark,<br><br></div>Great, I'm glad you've solved it.<br><br></div>Regards,<br></div>Flo Rance<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Mar 17, 2018 at 12:14 AM, Mark Foley <span dir="ltr"><<a href="mailto:mfoley@novatec-inc.com" target="_blank">mfoley@novatec-inc.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Solved! I've fixed up the various ports and now I am able to connect.  For the<br>

edification of other list readers I'll summarize.<br>

<br>

I have a local Linux host acting as firewall/router.  It routes requests on port<br>

1234 to port 3389 on a local Linux workstation which is running x11vnc server<br>

listening on its local port 5900.  I want to connect to this VNC server from a<br>

remote vnc viewer.<br>

<br>

(Why does the router forward to port 3389? Because the workstaion can dual-boot<br>

Windows, so the forward works regardless of booted OS.)<br>

<br>

<br>

Remote vnc viewer, stunnel client stunnel.conf:<br>

<span class=""><br>

verify = 2<br>

pid = /home/mfoley/.stunnel/stunnel.<wbr>pid<br>

CAfile = /home/mfoley/.stunnel/<wbr>certificate.pem<br>

client = yes<br>

</span>[x11vnc]<br>

accept = 5900<br>

connect = <a href="http://router.obfuscate.org:1234" rel="noreferrer" target="_blank">router.obfuscate.org:1234</a><br>

<br>

<br>

Local workstation vnc server, stunnel server stunnel.conf:<br>

<span class=""><br>

pid = /var/run/stunnel.pid<br>

debug = 7<br>

</span><span class="">[x11vnc]<br>

accept = 3389<br>

key = /root/privatekey.pem<br>

cert = /root/certificate.pem<br>

connect = <a href="http://127.0.0.1:5900" rel="noreferrer" target="_blank">127.0.0.1:5900</a><br>

<br>

<br>

</span>The certificate is self-signed and created on the stunnel/vnc server host using<br>

the following commands:<br>

<br>

openssl genrsa -out privatekey.pem 2048<br>

openssl req -new -x509 -days 365 -key privatekey.pem -out certificate.pem<br>

<br>

The certificate.pem is copied to the stunnel client host.<br>

<br>

With x11vnc listening on 5900 on the local workstation and with 'stunnel<br>

stunnel.conf' running on both stunnel client (as the normal user) and server<br>

hosts, I use the remote vnc viewer, logged in as a normal user, with the<br>

connection <a href="http://127.0.0.1:5900" rel="noreferrer" target="_blank">127.0.0.1:5900</a><br>

<br>

I'm guessing I could configure my vnc viewers to connect to multiple clients with<br>

difference [service] sections, for example:<br>

<span class=""><br>

verify = 2<br>

pid = /home/mfoley/.stunnel/stunnel.<wbr>pid<br>

CAfile = /home/mfoley/.stunnel/<wbr>certificate.pem<br>

client = yes<br>

<br>

</span>[remoteHost1]<br>

accept = 5900<br>

connect = <a href="http://router.obfuscate.org:1234" rel="noreferrer" target="_blank">router.obfuscate.org:1234</a><br>

<br>

[remoteHost2]<br>

accept = 5901<br>

connect = <a href="http://router.obfuscate.org:4321" rel="noreferrer" target="_blank">router.obfuscate.org:4321</a><br>

<br>

I haven't tried that, but I will.<br>

<br>

I futher guess that I could have different CAfiles per server if I moved that<br>

directive to the respective service defintions (can someone confirm?), but I<br>

haven't tried that either.<br>

<br>

Thanks especially to Flo Rance for helping me work through this.<br>

<br>

Now, I have to figure out how to do this from a Windows client!<br>

<span class="HOEnZb"><font color="#888888"><br>

--Mark<br>

</font></span><div class="HOEnZb"><div class="h5">______________________________<wbr>_________________<br>

stunnel-users mailing list<br>

<a href="mailto:stunnel-users@stunnel.org">stunnel-users@stunnel.org</a><br>

<a href="https://www.stunnel.org/cgi-bin/mailman/listinfo/stunnel-users" rel="noreferrer" target="_blank">https://www.stunnel.org/cgi-<wbr>bin/mailman/listinfo/stunnel-<wbr>users</a><br>

</div></div></blockquote></div><br></div>