• Es gibt nach dem Softwareupdate eine Reihe von Änderungen und Neuerungen in unserem Forum. Genaueres dazu findet Ihr in dieser Ankündigung. Hinweise, Kritik, Anregungen, Lob und Tadel bitte hier diskutieren.

[10.13 High Sierra] Server nur per VPN verfügbar machen

Forces

Angelner Borsdorfer
Mitglied seit
05.11.10
Beiträge
618
Hi @All,

ich habe meinen Server nun fast so am laufen wie ich es gerne wollte.
Nun wollte ich noch einige kleinere Sachen ändern bzw. konfigurieren.

Zum einen wollte ich den Zugriff auf den Profimanager (MDM) nur per VPN verfügbar machen. Also das ich auch von unterwegs von meinem MacBook oder meinem iPad darauf zugreifen kann. Aktuell geht das nur wenn ich den Aktiv mache für Alle dann kann ich ohne weiteres den Per Internet aufrufen (ohne VPN) oder halt deaktivieren dann habe ich nur lokal vom Server aus zugriff.
Das VPN wird von meiner FritzBox (7490) bereitgestellt, eine DynDNS Adresse ist aktiv und läuft soweit.
Auf die Dienste CardDav und CalDav bekomme ich ohne Probleme Zugriff, und das sollte ohne VPN auch so sein.
Nun ist die Frage wie muss ich das im Server so einstellen das ich auf den Profilmanager nur per VPN oder lokal vom Netzwerk aus Zugriff bekomme.

Ähnliches habe ich vor mit einer Virtuellen Maschine auf der ich Linux mit OwnCloud / NextCloud laufen lassen wollte. Unter MacOS klappt das wohl nicht so reibungslos (OwnCloud / NextCloud) dies zum laufen zu bringen. Auch hier wollte ich den Zugriff so beschränken das dies nur mittels VPN geht.

Über eine Rückmeldung wäre ich sehr dankbar.
 

trexx

Oberdiecks Taubenapfel
Mitglied seit
01.04.13
Beiträge
2.757
Ich meine, solche Firewall Regeln kann die Fritzbox nicht. Da müsst schon etwas professionelleres her.
 

Ijon Tichy

Hibernal
Mitglied seit
21.11.06
Beiträge
1.994
Leg eine Gruppe an und erlaube Zugriff nur für deren Mitglieder. Dann noch OpenDirectory aktivieren und alle anderen Anwendungen sollen die Authentifizierung über den LDAP machen.
 

Forces

Angelner Borsdorfer
Mitglied seit
05.11.10
Beiträge
618
Leg eine Gruppe an und erlaube Zugriff nur für deren Mitglieder. Dann noch OpenDirectory aktivieren und alle anderen Anwendungen sollen die Authentifizierung über den LDAP machen.
wie jetzt? Also ich lege nur Gruppen an sage dem Server Anmeldung nur für Mitglieder und was dann? o_O
 

Marcel Bresink

Lane's Prinz Albert
Mitglied seit
28.05.04
Beiträge
4.885
Zum einen wollte ich den Zugriff auf den Profimanager (MDM) nur per VPN verfügbar machen.
Das ist nicht sinnvoll, bzw. Du müsstest erst erklären, was mit "Zugriff" genau gemeint ist. Sinn des Profilmanagers ist es doch, eine Fernkonfiguration und zur Not auch eine ferne Sicherheitslöschung jederzeit möglich zu machen, egal ob sich die Geräte gerade innerhalb oder außerhalb des lokalen Netzes befinden. Zumindest der Zugriff auf Port 443 (https) muss deshalb auch ohne VPN möglich sein.

Aktuell geht das nur wenn ich den Aktiv mache für Alle dann kann ich ohne weiteres den Per Internet aufrufen (ohne VPN)
Dann musst Du die Firewall der Fritzbox explizit umgangen haben, indem Du eine Portweiterleitung definiert hast.
 
  • Like
Wertungen: ottomane

Ijon Tichy

Hibernal
Mitglied seit
21.11.06
Beiträge
1.994
Ich habe das dumpfe Gefühl, dass hier einige Unklarheit herrscht - zumindest bei mir.

Der Zugriff über VPN erfolgt ja wohl über die Fritzbox, nicht über das VPN des Servers (das hatte ich übersehen, sorry). Ein Zugriff nur über VPN auf MDM macht für mich auch keinen Sinn - warum sollte man den lokalen Zugriff verbieten wollen? Kannst du uns das erklären?

Zum anderen kann man den Zugriff natürlich über Benutzergruppen erlauben, aber dann hängt das natürlich vom Benutzer ab, der sich anmeldet. Ob der sich über VPN angemeldet hat oder aus dem lokalen, ist dabei wurscht. Theoretisch wäre es wahrscheinlich möglich, die MDM-Verwendung nur von den IP-Adressen zu erlauben, die beim Zugang über VPN von der Fritzbox vergeben werden. Dazu weiß ich aber zu wenig über das MDM. Oder aber meintest du den Zugriff auf die Devices nur im VPN?
 

ottomane

Welschisner
Mitglied seit
24.08.12
Beiträge
11.697
Zum einen wollte ich den Zugriff auf den Profimanager (MDM) nur per VPN verfügbar machen. Also das ich auch von unterwegs von meinem MacBook oder meinem iPad darauf zugreifen kann. Aktuell geht das nur wenn ich den Aktiv mache für Alle dann kann ich ohne weiteres den Per Internet aufrufen (ohne VPN) oder halt deaktivieren dann habe ich nur lokal vom Server aus zugriff.
Ich glaube fast, dass die Lösung einfacher ist als gedacht: Die überflüssige pauschale Portweiterleitung (Exposed Host?) in der FritBox abschalten und der MDM ist nur noch über VPN erreichbar.

Auf die Dienste CardDav und CalDav bekomme ich ohne Probleme Zugriff, und das sollte ohne VPN auch so sein.
Hierfür muss dann natürlich eine Portweiterleitung bestehen. Aber das dürften andere Ports sein und wenn ich mich recht entsinne, kann man bei der FritzBox einzelne Ports (hier die für CardDAV und CalDAV) weiterleiten.
 

Ijon Tichy

Hibernal
Mitglied seit
21.11.06
Beiträge
1.994
Hm, klingt gut, ich verstehe wohl nur nicht, was mit „Aktiv machen für alle“ gemeint war?
 

ottomane

Welschisner
Mitglied seit
24.08.12
Beiträge
11.697
Tja, verstehe ich auch nicht so ganz. Die Beschreibung ist verwirrend.