Wie kann ich auf OS-X-Server über VPN von außen zugreifen?

monatele

Erdapfel
Registriert
01.02.16
Beiträge
2
Hallo zusammen,

ich stehe da gerade vor einem Problem und bevor ich mir als mittelmäßig begabter Hobby-IT-ler hier einen Mist zusammenkonfiguriere, frage ich lieber mal.

Folgende Herausforderung:
Verwende in unserem Netz einen MacMini als OS-X-Server. Innerhalb des Netzes klappt alles prima.
Bin ich jedoch außerhalb des lokalen Netzwerks, so gelingt es mir zwar per VPN von meinem MacBook
mich über unsere FritzBox 7490 ins Netz einzuwählen, aber weder komme auf den auf den OS-X-Servern
noch sehe ich den MacMini im Netz.

Jetzt Frage ich mich, ob ich hierzu am eine zusätzliche oder eine andere VPN-Verbindung auf dem OS-X-Server
konfigurieren muss und/oder ob hierzu Portfreigaben in der FritzBox eingetragen werden müssen. Falls ja, welche?

Dasselbe Problem habe ich nicht nur auf Reisen, sondern auch an unserem 2. Standort. Die beiden, in unterschiedlichen Ortsteilen stehenden Büros sind beide mit FritzBox 7490 ausgestattet und permanent über eine VPN-Verbindung verbunden (1x feste IP, 1 x No-IP). Trotz bestehender VPN-Verbindung ist auch hier kein Zugriff auf den Mac-Server möglich.

Bin für jeden Tipp dankbar, denn ich sehe gerade den Wald vor lauter Bäumen nicht.

Liebe Grüße

Michael
 

soramac

deaktivierter Benutzer
Registriert
08.08.12
Beiträge
2.367
Versucht du die Ordner / Festplatten drauf zugreifen oder komplette entferne Anmeldung?
 

monatele

Erdapfel
Registriert
01.02.16
Beiträge
2
Hi soromac, eigentlich beides. Überwiegend geht es zwar darum auf Ordner und Dateien zuzugreifen. Aber auf dem Server laufen auch Applikationen die ich gerne unterwegs nutzen möchte. Zugriff auf den Drucker am entfernten Standort wäre z.B. auch nicht schlecht, so dass ich Dokumente auf dem entfernten Printer drucken kann.
Ich hatte VPN halt immer so verstanden, dass man dann so mit dem Netz verbunden ist, als wenn man Vor-Ort wäre. Ergo müsste ich auch die Drucker sehen und nutzen können.
 

nomos

Borowinka
Registriert
22.12.03
Beiträge
7.721
Ich hatte VPN halt immer so verstanden, dass man dann so mit dem Netz verbunden ist, als wenn man Vor-Ort wäre. Ergo müsste ich auch die Drucker sehen und nutzen können.
Nur wenn die Fritzbox die angebotenen Dienste, zB Bonjour der Drucker und des Servers, weiterleiten könnte bei einer VPN Verbindung. Und das kann sie meine ich nicht.

Du müsstest also die IP des jeweiligen Gerätes wissen.
 

Scotch

Bittenfelder Apfel
Registriert
02.12.08
Beiträge
8.029
Bonjour funktioniert über VPN nicht so ohne weiteres. Einfachste Lösung: Geräte über IP-Adresse ansprechen. Etwas eleganter: IP-Adressen in /etc/hosts auf dem Client eintragen, dann kann man auch die Servernamen verwenden.
 
  • Like
Reaktionen: nomos

Wuchtbrumme

Golden Noble
Registriert
03.05.10
Beiträge
21.412
Die Verwendung von Fritz!Box-VPN und OS X VPN-Server sind quasi exklusiv, sprich: entweder oder, jedenfalls in den Standard-Konfigurationen (IPsec). Außerdem müssten ggfls. die Ports geöffnet und weitergeleitet werden (die Fritz!Box mag dazu auch neu gestartet werden). Nicht vergessen darfst Du unterschiedliche Ranges (IP-Subnetze, also z.B. 192.168.176.0/24 u. 192.168.177.0/24) an den Standorten, was dann relevant werden würde, wenn Du die Standorte untereinander verbinden wollen würdest. Die Fritz!Box hat darüber hinaus in der Standard-Konfiguration bisher immer Regeln gegen umfassenden Zugriff gehabt - mittlerweile wurde aber der Prozess verändert, mag also nicht mehr so sein, prüfen würde ich das aber auch.

Wenn Du dann "drin bist", gibt es wie die geneigten Herren Vorposter ganz richtig anmerkten noch das Problem, dass Bonjour per Standard LAN-only ist. Das kann man umkonfigurieren, aber glaube mir, das willst Du nicht. Bleibt also eine Namensauflösung per DNS//etc/hosts (damit klappt dann immer noch nicht alles, z.B. von mobilen Geräten, die nur Bonjour-Browser in der App vorsehen) oder per IP-Adresse.

Wenn Du nicht groß herumkonfigurieren möchtest, dann ist VPN über OS X Server die deutlich einfachere Variante.

Empfehlen tut sich die Benutzung eines dynDNS-Dienstes (muss nicht dynDNS sein, aber irgendwas, was man in der Fritz!Box auswählen kann, macht die Sache doch viel leichter). Ersatzweise gibt es auch Skripte, die man auf einem Mac laufen lassen kann, die die externe IP bestimmen und auf eine Webseite speichern können (z.B. www.meinedomain.de/dieseURListetwasversteckt.html).
 
Zuletzt bearbeitet:

Scotch

Bittenfelder Apfel
Registriert
02.12.08
Beiträge
8.029
wenn Du die Standorte untereinander verbinden wollen würdest

Es geht um eine reine Client-Netz-Anbindung. Die FW der FB zu durchlöchern und einen OS X Server im LAN als VPN-Server zu nutzen ist dafür absolut indiskutabel - sowohl aus Sicherheitsgründen, als auch ob der deutlich aufwändigeren Konfiguration.
 
  • Like
Reaktionen: nomos

Wuchtbrumme

Golden Noble
Registriert
03.05.10
Beiträge
21.412
dafür absolut indiskutabel
Dein Post ist mal indiskutabel: harte Worte. Absolut pauschal. Die meisten, die so schreiben, wollen damit verdecken, dass sie keine Ahnung haben. Dazu zitierst Du an der Stelle auch gerade noch meine Einschränkung ("falls ... wollen würdest...")?.

Die VPN-Lösung auf dem OS X Server ist die einfachste Variante (allerdings nur, wenn der OS X Server ansonsten schon läuft und korrekt eingerichtet ist, wovon ich anhand der Fragestellung ausgehe). BTDT.

Über Sicherheitsaspekte kann man jetzt philosophieren. Ich mag die Fritz!Box, aber es ist trotzdem so, dass es eine kleine Bude ist. Bei beiden Unternehmen sind Lücken schon "unbehandelt" verblieben, dennoch räume ich Apple mehr Potenz ein. Irgendwas zu konstruieren mit "FW zu durchlöchern blabla" ist Schmarrn, denn selbst wenn Du die VPN-Funktion auf der FB aktivierst wird da "durchlöchert", soviel verstehst Du hoffentlich von Netzwerken und Paketfiltern. Falls Du jetzt kommst, dass da ein anderes Gerät angesprungen werden kann - jo mei, wenn das Sicherheitsbedürfnis so groß ist, dann sollte man das sowieso "etwas größer und vernünftiger" dimensionieren (aber frei nach Dir: davon hat der TE nicht gesprochen).

Du darfst aber gerne Deine Meinung haben, dafür leben wir ja in einem pluralistischen Land. Ich wäre nur sehr verbunden, wenn Du Deine "Meinung" nicht für bare Münze - und alles andere als Blödsinn - darstellen würdest.
Es gibt nämlich sowas wie eine Umgangskultur.
 
Zuletzt bearbeitet:

Scotch

Bittenfelder Apfel
Registriert
02.12.08
Beiträge
8.029

Nein, denn das erfordert bei allen mir bekannten Routern die Freischaltung von UPnP für die Routerkonfiguration und das ist eine Sicherheitslücke allerersten Ranges.

Dein Post ist mal indiskutabel: harte Worte.

Das ist bei sicherheitsrelevanten Themen auch absolut angebracht.

Die VPN-Lösung auf dem OS X Server ist die einfachste Variante

Sichere VPN Verbindungen auf einem OS X Server erfordern korrekt konfigurierte iptables sowie die Benutzerverwaltung via lDAP oder OD. Wir scheinen sehr unterschiedliche Vorstellungen von "einfach" zu haben. Einfach nur ohne Sinn und Verstand den VPN-Server über das GUI zu konfigurieren mag einfach sein, aber dann sind wir wieder bei den harten Worten: Ohne saubere serverseitig authentifizierte Profile unter Sicherheitsaspekten vollkommen undiskutabel.

Bei beiden Unternehmen sind Lücken schon "unbehandelt" verblieben, dennoch räume ich Apple mehr Potenz ein.

Das stützt sich jetzt genau worauf? Auf das sofortige fixen von Sicherheitslücken? Das regelmässige und selbstständige offenlegen von Sicherheitslücken (schon mal Apple Release "Notes" zu Sicherheitslücken gelesen)? Das agieren ohne Druck von der Öffentlichkeit auf langjährige Sicherheitslücken? Aufwachen!

denn selbst wenn Du die VPN-Funktion auf der FB aktivierst wird da "durchlöchert", soviel verstehst Du hoffentlich von Netzwerken und Paketfiltern

ich schon - du auch?! Das "Loch" endet in diesem Fall am NAT-GW, bei aktuellen Modellen sogar bereits am NAT64. Ist ein ziemlicher Unterschied gegenüber einem offenen Port im LAN.

Ich wäre nur sehr verbunden, wenn Du Deine "Meinung" nicht für bare Münze - und alles andere als Blödsinn - darstellen würdest.

Dann schreib' halt keinen Blödsinn.
 
  • Like
Reaktionen: dadudeness

nomos

Borowinka
Registriert
22.12.03
Beiträge
7.721
Nun beruhigt euch mal und habt euch wieder lieb!

:-D
 

Wuchtbrumme

Golden Noble
Registriert
03.05.10
Beiträge
21.412
Dann schreib' halt keinen Blödsinn.
den verzapfst Du doch und wie. Du windest Dich wie ein Aal: Am Anfang ging es noch darum, was am Einfachsten ist. Die Fritz!Box kommt per Default mit UPnP on. Das heißt, mit dem OS X Server beschränkt sich der Konfigurationsaufwand auf das Umlegen des Schalters. Nichts anderes habe ich geantwortet.

Jetzt ist Dir wohl klargeworden, dass UPnP noch eine Rolle spielt und man das besser nicht haben will.
Darauf können wir uns gerne einigen. Genauso, wie ein ausgewachsener Server eine Konfigurationsaufgabe für "Kerle" ist.
Aber darum ging es nicht.

Wenn man es richtig machen würde, würde man ohnehin sagen, lass die Finger von. Ist das praxisgerecht? Sicher nicht.
 

Scotch

Bittenfelder Apfel
Registriert
02.12.08
Beiträge
8.029
Die Fritz!Box kommt per Default mit UPnP on.

Auch diese Aussage ist wieder falsch. Eine FB kommt - je nach Provider - vielleicht mit UPnP AV und UPnP Dienststatus übertragen eingeschaltet, ganz sicher aber nicht mit eingeschaltetem UPnP für die Routerkonfiguration. Die dafür notwendige Option steht auch nicht ohne Grund bei der Konfiguration der Router-Sicherheitsfunktionen (und nicht etwa bei Mediaserver, NAS, Smarthome oder den normalen Netzwerkeinstellungen).

Es drängt sich der Eindruck auf, dass du nicht einmal eine FB hast bzw. keine mit aktuellem OS.

Das hier mag standardmässig eingeschaltet sein (und läuft im LAN hinter dem NAT(64)):

Bildschirmfoto 2016-02-02 um 18.20.48.png

Das ist allerdings die relevante Einstellung:

Bildschirmfoto 2016-02-02 um 18.21.37.png

Und das ist garantiert nicht standardmässig eingeschaltet und da steht - oh Wunder - (wenn auch deutlich abgeschwächt) meine Warnung.

Und jetzt ist Schluss mit Nachhilfe.
 

Wuchtbrumme

Golden Noble
Registriert
03.05.10
Beiträge
21.412
Für mich ist das hier Freizeit. Es ist auch nicht das erste Mal, dass Du mich - oder andere - meinst, belehren zu müssen und auf wirklich übelste Art anferzt. Von daher: willkommen in meinem Killfile - ich kasper doch in meiner freien Zeit nicht noch mit Problemfällen rum.
 
Zuletzt bearbeitet: