[10.13 High Sierra] Nachfolger für macOS Server VPN gesucht

[rakader]

Apple hat angekündigt den VPN-Dienst mit dem kommenden Update im Frühjahr zu entfernen. Dazu listet Cupertion 3 Software-Pakete auf, die mich allesamt durch ihre intransparente Preispolitik und unseriösen Werbesprech nicht überzeugen.

Welcher VPN-Server empfiehlt sich als Nachfolger? Deutsches GUI wäre gut.

Oftmals lese ich, dass ein VPN von WAN und LAN getrennt werden und nur auf dem Router eingesetzt werden soll. Hier käme bei mir das VPN von FritzBox in Frage. Das ist auf Mac allerdings alles andere als simpel aufzusetzen und äußerst unhandlich.

Für Eure Empfehlungen Dank vorab!

 

[Wuchtbrumme]

ich sträube mich noch, etwas zu suchen...

Kleine Idee am Rande: Wer einen (v)Server hat - warum nicht dort einen openvpnd betreiben und damit das Problem auslagern? Und auf Clientseite könnte man z.B. mit Shimo eine dauerhafte Verbindung halbwegs hinbekommen.

 

[rakader]

Ich bin oft im Ausland und für Präsentationen darauf angewiesen. Da es sich um betriebsinterne Informationen handelt, kommt ein Auslagern nicht in Frage. Es muss auf allen Devices (MBP, iPad, iPhone) flüssig laufen. Mit macOS Server war das bisher der Fall.

Eine andere Geschichte ist eh noch der DDNS und ein anerkanntes Zertifikat. Selbstsignierte Zertifiakte werden von den Apps von Synology abgelehnt. Let's encrypt funktioniert nur mit dem DDNS von Synology, nicht aber mit dem DDNS von SPDNS (spdyn).

Ich bin da aber nicht so trittsicher. Es kann sein, dass ich hier Dinge durcheinander bringe. Letztens aber hatte ich kräftige Probleme via macOS VPN Server Dateien auf dem iPhone/iPad Dateien auf unserer Synology anzuzeigen.

Das Gefrickel funktioniert jetzt. Was ich aber genau gemacht habe, kann ich nicht mehr nachvollziehen. Wenn Apple mich zwingt umzusteigen, möchte ich die Gelegenheit nutzen es richtig zu machen. Damit etwaige Probleme allemal eliminiert sind.

Edit: Ach ja - OpenVPN wäre mir am liebsten. Ich nutze noch einen anderen Firmen-VPN mit OpenVPN mit Viscosity und finde diesen sehr komfortabel - im Gegensatz zu Tunnelblick.

 

[Wuchtbrumme]

ganz ehrlich - wenn schon richtig, dann richtig richtig. Wenn Apple nicht mehr möchte, dann bittesehr.
Linux-Distributionen gibt es wie Sand am Meer. Funktioniert vermutlich derzeit besser als auf ein macOS irgendwas draufzukleistern, wo die Damen und Herren aus Cupertino während eines unverfänglichen Updates mal wieder der Meinung sind, alte Zöpfe abzuschneiden und unterm Teppich aufzufegen.

 

[Dx667]

Wenn du glaubst VPN zu brauchen, dann setzt einen OpenVPN Server auf und fertig.

 

[Marcel Bresink]

Mit Apple-Geräten harmoniert am besten ein VPN nach dem "L2TP over IPSec"-Verfahren. So wurde es ja auch in macOS Server gemacht. Man braucht dann keine zusätzliche Client-Software und muss auch keine Zertifikate verteilen.

Das kann man über die Software-Pakete OpenSwan und xl2tpd auf jedem Linux-System einrichten. Soweit ich weiß gibt es das auch bereits fertig zur Installation auf einem Synology-NAS.

Das VPN der Fritzbox hat den großen Nachteil, dass DNS innerhalb der VPN-Verbindung nicht funktioniert, sondern beim Zugriff auf das lokale Netz nur mit IP-Adressen gearbeitet werden kann. Das führt schon bei einfachen Anwendungen, wie z.B. Zugriff auf den Inhouse-Mail-Server von unterwegs aus, zu großen Detailproblemen.

 

[Ijon Tichy]

Wir verwenden das VPN der Fritzbox u. a. mit Macs und iOS-Geräten ohne Probleme. Hierzu erstelle ich mit dem Apple Configurator eine mobileconfig-Datei, die man auch auf dem Mac importieren kann. Mit ein paar Zeilen Handarbeit kann man sie auch für On-Demand-VPN vorbereiten.

Auch das DNS im lokalen Netz funktioniert einwandfrei.

Tunnelblick ist unnötig und hat bei mir nicht mal richtig funktioniert (der Support war ratlos).

Falls du dich also doch für die Fritzbox-Lösung entscheiden solltest, kann ich gerne Tipps geben.

 

[trexx]

Das VPN der FritzBox reicht für kleine Umgebungen, hat aber im Handling gleichzeitiger Verbindungen Limitierungen. Bei mehr als zwölf Verbindungen wird es zäh.
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publication/show/117_Maximale-Anzahl-gleichzeitiger-VPN-Verbindungen-zur-FRITZ-Box/
Alternativ ginge eine kleine Appliance oder eine pfsense.
Ein kleiner Überblick über Appliances hier:
https://www.zdnet.de/88275224/vpn-loesungen-fuer-unternehmen-im-ueberblick/

 

[Ijon Tichy]

Das mag stimmen und kann ich nicht sagen, da wir so gut wie nie mehr als 3-4 Verbindungen gleichzeitig brauchen. Dürfte aber auch auf die Fritzbox-Hardware ankommen.

 

[trexx]

Das mag stimmen und kann ich nicht sagen, da wir so gut wie nie mehr als 3-4 Verbindungen gleichzeitig brauchen. Dürfte aber auch auf die Fritzbox-Hardware ankommen.

Klar, das reicht dann locker.

 

[Ijon Tichy]

Das VPN der Fritzbox hat den großen Nachteil, dass DNS innerhalb der VPN-Verbindung nicht funktioniert, sondern beim Zugriff auf das lokale Netz nur mit IP-Adressen gearbeitet werden kann.

Ich frage mich, weshalb du das meinst, zumal diese Problematik (wenn man sie denn hat) ja auch gar nichts mit der Fritzbox selbst zu tun hat?!?

 

[Marcel Bresink]

Weil ich das einerseits sehr sorgfältig ausgetestet habe und AVM selbst zugibt, dass das im allgemeinen Fall nicht klappt.

Der VPN-Server der Fritzbox ist so konfiguriert, dass er den DNS-Eintrag des Clients während der VPN-Verbindung immer nur auf die Fritzbox selbst setzt und nicht auf den DNS-Server des lokalen Netzes (weder IPv4 noch IPv6). Das kann also höchstens im einfachsten Fall klappen, wenn kein eigener lokaler DNS-Server vorhanden ist und der Domain-Name auf "fritz.box" gesetzt bleibt.

Bei anderen VPN-Implementationen (inklusive macOS Server) tritt dieses Problem nicht auf.

 

[Ijon Tichy]

Ah, das meinst du!

Ich habe das einfach so gelöst, dass der lokale DNS-Server in der Fritzbox als Uplink eingetragen ist. So weiß der Fritzbox-DNS auch über die lokalen Domains Bescheid.

 

[Marcel Bresink]

Das führt zu neuen Problemen in "Split-DNS"-Konfigurationen. Da ist es in der Regel erforderlich, die DNS-Server in genau umgekehrter Reihenfolge miteinander zu verketten.

 

[Ijon Tichy]

Das führt zu neuen Problemen in "Split-DNS"-Konfigurationen. Da ist es in der Regel erforderlich, die DNS-Server in genau umgekehrter Reihenfolge miteinander zu verketten.

Ich ahne - glaube ich - was du meinst, aber in der Fritzbox ist ja NUR der interne DNS-Server drin, dessen Uplink dann wiederum einer oder mehrere öffentliche sind. Funktioniert problemlos.

 

[rakader]

Mit Apple-Geräten harmoniert am besten ein VPN nach dem "L2TP over IPSec"-Verfahren. So wurde es ja auch in macOS Server gemacht. Man braucht dann keine zusätzliche Client-Software und muss auch keine Zertifikate verteilen.

Vielen Dank. Das löst schon einmal ein Entscheidungsproblem. Ich nutzte bisher auch OpenVPN mit dem hide.me-Dienst und der Software Viscosity im Ausland, um einerseits das Geoblocking zu umgehen, zum anderen um die VPN-Konfigurationen meiner Organisation zu nutzen. Bei letztem muss ich fragen, ob L2TP möglich ist. In der Alltagshektik auf unterschiedlichen Devices mit unterschiedlichen Protokollen zu hantieren verwirrt und ist damit fehleranfällig.

Das kann man über die Software-Pakete OpenSwan und xl2tpd auf jedem Linux-System einrichten. Soweit ich weiß gibt es das auch bereits fertig zur Installation auf einem Synology-NAS.

Nochmals Dank @Marcel Bresink ! Auch das klärt meine Frage WO ich den Server aufsetzen soll. In den Paketen von Synology für DSM 6.0x gibt es einen VPN-Server. Ob der dezidiert OpenSwan ist, weiß ich nicht.

Das VPN der Fritzbox hat den großen Nachteil, dass DNS innerhalb der VPN-Verbindung nicht funktioniert, sondern beim Zugriff auf das lokale Netz nur mit IP-Adressen gearbeitet werden kann. Das führt schon bei einfachen Anwendungen, wie z.B. Zugriff auf den Inhouse-Mail-Server von unterwegs aus, zu großen Detailproblemen.

Und auch hier einen großen Dank für die Entscheidungshilfe, die begründet, warum viele Empfehlungen im Netz den VPN-Server auf der FritzBox laufen zu lassen, falsch sind.

Ich konnte das oben zusätzliche Problem mit den Zertifikaten unterdessen lösen (Synology benötigt Underscores "__" statt "?" für die Update-URL des DDNS, dann funktioniert auch let's encrypt) und werde den VPN künftig auf einer Synology laufen lassen.

Wenn alles stabil läuft, werde ich die Synology nur noch per VPN von extern ansprechen und den Zugang per Web-URL als zusätzliche Sicherheitsmaßnahme schließen. Spricht etwas dagegen?

Anyway - vielen Dank für die profunde Hilfestellung! File closed.

Und Dank an alle anderen hier in diesem erhellenden Thread!

EDIT: Als Gedankenprotokoll: Das Problem, bei FritzBox-VPN nur per IP zugreifen zu können, habe ich in Erinnerung, als ich noch keinen macOS Server hatte.

 

[rakader]

Hierzu erstelle ich mit dem Apple Configurator eine mobileconfig-Datei, die man auch auf dem Mac importieren kann.

Falls du dich also doch für die Fritzbox-Lösung entscheiden solltest, kann ich gerne Tipps geben.

Danke @Ijon Tichy - ich habe mich für den Ansatz von @Marcel Bresink entschieden, zumal ich früher schon erhebliche Probleme mit dem Anpassen der Config-Datei auf der FritzBox hatte. Es gibt dort nur ein Tool für Windows, für Mac ist reine Handarbeit nötig, die einen Normanwender zwingt, sehr tief (und fehlerbehaftet) in die Materie einzutauchen.

Aber aus Interesse nachgefragt: Was meinst Du mit Apple Configurator?

 

[Ijon Tichy]

Aber aus Interesse nachgefragt: Was meinst Du mit Apple Configurator?

Damit erstellt man mobileconfig-Dateien, die ein iOS-Gerät automatisch konfigurieren. Funktioniert aber bzgl. VPN auch auf macOS.

https://help.apple.com/configurator/mac/2.7/?lang=de

 

[rakader]

Sehr schick. Danach habe ich schon länger gesucht. Danke! Wir sind zwar nur ein paar Köpfe, aber es wird mir Text ersparen

 

[ottomane]

Ich möchte dazu noch eines anmerken: Ich persönlich würde den VPN-Server nicht auf der Synology betreiben, sondern auf einem separaten Linux-Rechner. Denn sonst hast du immer noch einen Port zur Synology ins Internet freigegeben und wenn durch einen Bug oder einen Hack da jemand rankommt, ist er gleich an deinen Daten.

Bei einem separaten System gibt es immerhin eine Hürde mehr und besser gepflegte Software.