• Es gibt nach dem Softwareupdate eine Reihe von Änderungen und Neuerungen in unserem Forum. Genaueres dazu findet Ihr in dieser Ankündigung. Hinweise, Kritik, Anregungen, Lob und Tadel bitte hier diskutieren.
Apfeltalk Weihnachtsbanner

[10.13 High Sierra] Nachfolger für macOS Server VPN gesucht

Marcel Bresink

Millets Schlotterapfel
Mitglied seit
28.05.04
Beiträge
4.759
Sehr schick. Danach habe ich schon länger gesucht. Danke!
Wenn Du bis jetzt macOS Server hattest, geht das gleiche aber auch dort, auf Wunsch sogar komplett ohne dass Konfigurationsdateien verteilt werden müssen. Die Konfigurationseinstellungen von Apple Configurator stehen auch im Apple Profile Manager zur Verfügung und können dort drahtlos an macOS- und iOS-Geräte verteilt werden.

Diese Funktion gehört neben Xsan zu den Dingen, die auch in Zukunft noch unterstützt werden, wenn Apple das Produkt macOS Server in seiner bisherigen Form aufgibt.
 
  • Like
Wertungen: rakader

rakader

Osnabrücker Reinette
Mitglied seit
29.10.06
Beiträge
990
Ich persönlich würde den VPN-Server nicht auf der Synology betreiben, sondern auf einem separaten Linux-Rechner. Denn sonst hast du immer noch einen Port zur Synology ins Internet freigegeben und wenn durch einen Bug oder einen Hack da jemand rankommt, ist er gleich an deinen Daten.
Danke @ottomane – das hat mir ein befreundeter Informatiker auch schon gesagt und empfohlen, ich solle mir eine billige Rasperry Pi dafür hinstellen. Womit gesagt ist, dass ich hier (noch) keinen separaten Linux-Rechner habe und diesbezüglich auch keine Ahnung habe, wass man sich da genau hinstellt.
 
Zuletzt bearbeitet:
  • Like
Wertungen: trexx

ottomane

Roter Winterkalvill
Mitglied seit
24.08.12
Beiträge
11.559
Ein RasPI reicht meist, aber das kommt natürlich auf die Anforderungen an. Der Durchsatz ist nicht so berauschend, aber wenn die Leitung ohnehin ein Engpass wäre (z.B.), ist dies auch nicht wichtig.
 

rakader

Osnabrücker Reinette
Mitglied seit
29.10.06
Beiträge
990
Die CPU kann – selten – gefordert sein, aber genau dann ist ein Flaschenhals das letzte, was ich möchte. Mein Erfahrungswert ist der, dass es da immer genau hakt. Ich muss schon mal auf Konferenzen Videos streamen; das ist wohl bei mir die maximale Anforderung. In HD klappt das bisher trotz meiner nicht hoch performanten Leitung gut und sollte dieses Jahr Dank Netzausbau Telekom noch besser werden. Hast Du eine konkrete Empfehlung? Platzsparend und Green Energy wäre auch noch ein Kriterium.

Edit: Vergessen: Maximal greifen 5 User gleichzeitig zu (durchschnittlich aber nur 3), aber nur einer der streamt. Die anderen arbeiten an Excel-Tabellen oder ähnlichem.
 
Zuletzt bearbeitet:

ottomane

Roter Winterkalvill
Mitglied seit
24.08.12
Beiträge
11.559
Da stecke ich im Moment nicht ganz im Stoff, da für mich der RasPI reichen wird (plane das auch gerade locker). Sonst würde ich einen HP ProLiant Microserver in Betracht ziehen. Dazwischen gibt es eine ganze Reihe von Minirechern (Odroid, BananaPI, ...), aber das artet vermutlich in Frickellösungen aus. Sicher gibt es da noc bessere Ideen.

Was hast/bekommst du für eine Internetverbindung (up/down) und wie sollen die Streams laufen?
 

rakader

Osnabrücker Reinette
Mitglied seit
29.10.06
Beiträge
990
Down rund 1,2 MB/s, Up ca. 450 KB/s. Danke für den Range. Mit ProLiant hatte ich vor Jahren in unserem Medienzentrum zu tun. Edel und teuer. Für Frickellösungen bin ich zu alt. Aber jetzt bin ich ein wenig im Bilde - Pro Liant gibt es ja auch gebraucht.

Die Unterschiede im Stromverbrauch RasPi Pro Liant sind aber eklatant. Allein 5W Unterschied kosten rd. 10€/Jahr - das läppert sich. Auch ein Argument. Hier stehen einfach zu viele Maschinen...

Edit: ich nehme die Entscheidung wieder zurück - in der Praxis scheint das RasPi zu langsam zu sein, es scheint mehr für eine Spielerei denn für den Produktiveinsatz ausgelegt zu sein; zudem habe ich absolut keine Lust auf den vi-Editor. Das ist mir zu Geek. Ich belasse es erst einmal auf der Synology. Wenn sich Linux mal ohne diesen wider alle Logik aufgebauten Editor installieren lässt, gerne.
 
Zuletzt bearbeitet:

ottomane

Roter Winterkalvill
Mitglied seit
24.08.12
Beiträge
11.559
Die Datenrate müsste ein PI schaffen. Der neue 3b hat eine verbesserte Netzwerkanbindung. Ich habe von ca. 30 Mbit/s, also grob 3MB/s über VPN bei den älteren PIs gelesen.
 
  • Like
Wertungen: rakader

rakader

Osnabrücker Reinette
Mitglied seit
29.10.06
Beiträge
990
Vielen Dank - damit ist die Entscheidung gefallen; ein HP Microserver 40N hätte mit Ausstattung um die 300 gekostet bei ungleich höheren Stromkosten. Und nachdem hier schon einige Kisten im Dauerbetrieb stehen, ist es mir wichtig die Stromschraube nicht noch höher zu drehen.
 
  • Like
Wertungen: trexx und ottomane

Ijon Tichy

Wilstedter Apfel
Mitglied seit
21.11.06
Beiträge
1.944
zudem habe ich absolut keine Lust auf den vi-Editor. Das ist mir zu Geek. Ich belasse es erst einmal auf der Synology. Wenn sich Linux mal ohne diesen wider alle Logik aufgebauten Editor installieren lässt, gerne.
Ich weiß ja nicht, welches Linux du nutzt, aber unter Raspian und den meisten anderen kann man nano statt vi verwenden. Andernfalls einfach nachinstallieren. Am Editor kann es sich wohl kaum entscheiden.
 
  • Like
Wertungen: dg2rbf und ottomane

Holzwurm83

Jonagold
Mitglied seit
18.04.09
Beiträge
19
Hallo zusammen,

ich versuche aktuell einen OpenVPN Server zu installieren. Und komme damit nicht so richtig zurecht. Ich kann mittlerweile eine Verbindung mit meinem iPhone herstellen, allerdings kann ich weder über eine IP noch die Hostnamen auf die gerate zuhause zugreifen.

Ich habe eine Fritzbox, auf der ich den Port für openVPN freigegeben habe. Der DNS-Sever läuft auf meinem MacMiniServer.

Ich habe schon einiges im Netz abgesucht, aber so richtig was helfendes habe ich nicht gefunden.

Habt ihr Ideen oder Hinweise die ich probieren könnte?
 

Marcel Bresink

Millets Schlotterapfel
Mitglied seit
28.05.04
Beiträge
4.759
Ich habe eine Fritzbox, auf der ich den Port für openVPN freigegeben habe.
Gibt es Gründe, nicht den VPN-Server zu verwenden, der in die Fritzbox eingebaut ist? (Ja, es kann solche Gründe geben.)
Der Server wäre dann auch direkt mit allen Apple-Geräten kompatibel, ohne dass Du spezielle VPN-Klienten nachinstallieren musst.
 
  • Like
Wertungen: uhansen und trexx

rakader

Osnabrücker Reinette
Mitglied seit
29.10.06
Beiträge
990
Gibst Du noch ein paar Angaben mehr preis? Welche Version? Verwendest Du einen Dyn-Dienst? Ohne letzteren wird es - außer im lokalen Netz - nicht gehen. Und VPN ist ja nicht fürs lokale Netz gedacht. (Ich hoffe das stimmt so einigermaßen - mir steht dieser Schritt auch noch bevor).

Edit:
@Marcel Bresink war schneller. Was gegen die FritzBox sprechen könnte: Für mich wäre ein Grund, dass ich nur eine Maschine im Netz per VPN ansteuern möchte und zwar meinen Synology-Server, bzw. meinen MacMini. Das erhöhte die Sicherheit.
Sonst ist natürlich die Fritz-Option die stressfreieste Lösung. Nun ja - mit Einschränkungen: Bis jetzt hat Fritz kein Tool für Mac VPN bereitgestellt, d.h. man muss Fritz vertrauen oder die VPN-Datei händisch anpassen. Das kann ziemlich nervig sein.
 
Zuletzt bearbeitet:

Holzwurm83

Jonagold
Mitglied seit
18.04.09
Beiträge
19
Gibt es Gründe, nicht den VPN-Server zu verwenden, der in die Fritzbox eingebaut ist? (Ja, es kann solche Gründe geben.)
Der Server wäre dann auch direkt mit allen Apple-Geräten kompatibel, ohne dass Du spezielle VPN-Klienten nachinstallieren musst.
Ja, der Hauptgrund ist das ich einen DNS-Server auf meinem Mini am laufen habe. Dieser ist zwar in der FritzBox eingetragen, aber ich Fritz.Box kann das wohl nicht bzw. nur über die IP-Adressen und das reicht mir nicht.

Gibst Du noch ein paar Angaben mehr preis? Welche Version? Verwendest Du einen Dyn-Dienst? Ohne letzteren wird es - außer im lokalen Netz - nicht gehen. Und VPN ist ja nicht fürs lokale Netz gedacht. (Ich hoffe das stimmt so einigermaßen - mir steht dieser Schritt auch noch bevor).
.
Ich verwende den Dyn-Dinst von MyFritz. Aktuell habe ich auch noch macOS Sierra laufen mit der Server App und möchte es jetzt auf Mojave umstellen. Als DNS-Sever möchte ich dann den Blind nutzen, dass ist wohl auch der, der auch schon drauf ist...
 

v3rtex

Braeburn
Mitglied seit
12.12.10
Beiträge
46
Es gibt noch die Möglichkeit IPFire einzusetzen, was nichts anderes als eine Firewall auf Linux ist.
Hier gibt es unter Anderem die Möglichkeit diverse VPN Server zu erstellen, darunter auch OpenVPN.

Ich persönlich nutze dies bereits eine Weile und möchte einerseits den Komfort der GUI aber andererseits die Mächtigkeit im Hintergrund durch Linux nicht mehr missen.
Bei mir habe ich durch die Firewall eine Portweiterleitung auf den VPN Port nur zugelassen, solange die Verbindung aus freigegebenen Ländern erfolgt (GeoBlock).
Alle anderen Verbindungen lässt die Firewall trotz extern geöffnetem Port einfach ins Leere laufen.
Des Weiteren lasse ich einerseits den kopletten Verkehr der VPN Verbindung über mein lokales Gateway laufen (geht aber auch ohne) um auch extern die IP des lokalen Servers zu verwenden, ich nutze den DynDNS Client in IPFire über NOIP und auch den sehr komfortable einstellbaren DHCP Server des IPFire.
Auch lasse ich bei VPN Verbindungen aus Sicherheitsgründen den DNS Server mit dem meines VPN Servers ersetzen.

Die VPN Verbindungen selbst funktionieren bei unseren Androids, iPhones und Macs problemfrei und werden auch bei mir über den Apple Configurator erstellt.
Toll finde ich in iOS die VPN Funktion on Demand, die automatisch ein VPN Tunnel herstellt, sobald eine Verbidnung zu einem WiFi Netz hergestellt wird.


Diese Lösung in Verbindung mit einer kompletten Firewall hat für mich weitaus mehr Nutzen und Möglichkeiten als durch ein einzelnes Gerät (Fritzbox).
 
Zuletzt bearbeitet:

Holzwurm83

Jonagold
Mitglied seit
18.04.09
Beiträge
19
OK, das hört sich vielversprechend an. Hast du die IPFire dann mittels homebrew auf deinem Mac Server installier, oder wo hast du diesen aufgesetzt? Hast du auch einen eigenen DNS-Server?

Kannst du eine Anleitung (HowTO ) im Netzt dafür empfehlen?
 

rakader

Osnabrücker Reinette
Mitglied seit
29.10.06
Beiträge
990
Dem schließe ich mich an. Das Ganze, zudem mit Apple Configurator, hört sich sehr fortgeschritten an. Braucht es dafür eine eigene Linux-Maschine?
 

Ijon Tichy

Wilstedter Apfel
Mitglied seit
21.11.06
Beiträge
1.944
Sonst ist natürlich die Fritz-Option die stressfreieste Lösung. Nun ja - mit Einschränkungen: Bis jetzt hat Fritz kein Tool für Mac VPN bereitgestellt, d.h. man muss Fritz vertrauen oder die VPN-Datei händisch anpassen. Das kann ziemlich nervig sein.
Ich verwende seit Jahren IPSecuritas und bin damit sehr zufrieden. Alternativ kann man mit dem Apple Configurator eine mobileconfig Datei erstellen und importieren. Das geht eigentlich auch ganz einfach. Mit IPSecuritas bekommt man standardmäßig Split Tunneling, d.h. nur der Traffic fürs LAN geht durch das VPN. Es soll theoretisch auch möglich sein, Full Tunneling in IPSecuritas zu konfigurieren, aber ich habe das nicht hinbekommen. Bei dem in macOS eingebauten IPSec VPN wird dagegen nur Full Tunneling unterstützt.

Ja, der Hauptgrund ist das ich einen DNS-Server auf meinem Mini am laufen habe. Dieser ist zwar in der FritzBox eingetragen, aber ich Fritz.Box kann das wohl nicht bzw. nur über die IP-Adressen und das reicht mir nicht.
Ich kann dir garantieren, dass das geht, denn so verwende ich es schon seit über einem Jahr. Ich vermute mal, dass du die lokale Top Level Domain nicht bei den Ausnahmen für den Rebind-Schutz eingetragen hast. Standardmäßig unterdrückt die Fritzbox nämlich aus Sicherheitsgründen DNS-Antworten, die auf lokale Adressen verweisen.

Natürlich muss auch der Client so konfiguriert sein, dass er bei aktivem VPN die entfernte Fritzbox als DNS-Server verwendet, aber ich denke mal, das hast du schon so gemacht.


Ich verwende den Dyn-Dinst von MyFritz. Aktuell habe ich auch noch macOS Sierra laufen mit der Server App und möchte es jetzt auf Mojave umstellen. Als DNS-Sever möchte ich dann den Blind nutzen, dass ist wohl auch der, der auch schon drauf ist...
Ich persönlich werde vermutlich statt Bind dann dnsmasq verwenden. Das ist viel einfacher zu konfigurieren und reicht völlig aus, wenn man nicht in die Tiefen der DNS-Konfiguration einsteigen möchte oder muss.
 

v3rtex

Braeburn
Mitglied seit
12.12.10
Beiträge
46
OK, das hört sich vielversprechend an. Hast du die IPFire dann mittels homebrew auf deinem Mac Server installier, oder wo hast du diesen aufgesetzt? Hast du auch einen eigenen DNS-Server?
Kannst du eine Anleitung (HowTO ) im Netzt dafür empfehlen?
Nein, ich hatte bisher keinen Server, auch keinen mac Server.
Das System läuft auf einem eigenen, sehr günstigen PC mit 2 guten Netzwerkkarten von Intel, durch die dann die Firewall geleitet wird.
Die Eine quasi auf der Internet Seite, die Andere im guten Netzwerk.
Grade wegen Reparatur, schnellem Austausch von Festplatte oder anderer Komponenten und da mind. 2 Netzwerkanschlüsse benötigt werden, habe ich mich für einen PC entschieden.
Dieser läuft nun 24/7 und übernimmt Firewall, Virenscan im Netzwerkverkehr, VPN Server und Netzwerk Speicher zusätzlich zu meiner internen NAS.
Der IPFire Server kann im internen Netz problemlos als DNS Server angegeben werden.
Ich habe mir in den Firewall Regeln eine Umleitung erstellt, die mir alle DNS Anfragen aus dem lokalen Netz mit den 2 konfigurierten DNS Adressen vom IPFire Server ersetzt.
Sobald dann einmal etwas im intenen Netz die DNS Anfragen umleiten würde (Malware o.Ä.) hätte dies keinelei Auswirkungen auf den echten Verkehr und niemand kann meine Verbindungen zu dubiosen Seiten unwissend umleiten.

Das Gute an all dem ist zusätzlich, dass der Seitenaufbau im Internet auch noch spürbar schneller wurde.

Dem schließe ich mich an. Das Ganze, zudem mit Apple Configurator, hört sich sehr fortgeschritten an. Braucht es dafür eine eigene Linux-Maschine?
Alle Systeme auf denen Linux laufen, sind möglich.
Ich meine auch schon mal mitbekommen zu haben, dass Linux auf den macs laufen kann, damit habe ich aber keine Erfahrung.
 
Zuletzt bearbeitet:

ottomane

Roter Winterkalvill
Mitglied seit
24.08.12
Beiträge
11.559
Eine Sache wurde noch nicht angesprochen: Was ist das für ein Internetzugang/Provider?

Einige Provider vergeben für den Anschluss keine für VPN nutzbare IPv4-Adresse mehr, sondern nur noch IPv6. Falls das so ist, kommt man mit dem Fritz-VPN nicht weit, da die Box dieses m.W. nach nicht über IPv6 kann, sondern nur über v4.

Falls man selbst einen einfachen, billigen und stromsparenden VPN-Server aufsetzen will, ist das hier vielleicht eine Idee: http://www.pivpn.io
 

Holzwurm83

Jonagold
Mitglied seit
18.04.09
Beiträge
19
Vielen Dank für das zahlreiche Feedback. Das hilft mir auf jeden Fall schon mal weiter. Jetzt muss ich mich nur nich entscheiden!
 
  • Like
Wertungen: trexx