[10.13 High Sierra] Server nur per VPN verfügbar machen

Forces

Angelner Borsdorfer
Registriert
05.11.10
Beiträge
622
Hi @All,

ich habe meinen Server nun fast so am laufen wie ich es gerne wollte.
Nun wollte ich noch einige kleinere Sachen ändern bzw. konfigurieren.

Zum einen wollte ich den Zugriff auf den Profimanager (MDM) nur per VPN verfügbar machen. Also das ich auch von unterwegs von meinem MacBook oder meinem iPad darauf zugreifen kann. Aktuell geht das nur wenn ich den Aktiv mache für Alle dann kann ich ohne weiteres den Per Internet aufrufen (ohne VPN) oder halt deaktivieren dann habe ich nur lokal vom Server aus zugriff.
Das VPN wird von meiner FritzBox (7490) bereitgestellt, eine DynDNS Adresse ist aktiv und läuft soweit.
Auf die Dienste CardDav und CalDav bekomme ich ohne Probleme Zugriff, und das sollte ohne VPN auch so sein.
Nun ist die Frage wie muss ich das im Server so einstellen das ich auf den Profilmanager nur per VPN oder lokal vom Netzwerk aus Zugriff bekomme.

Ähnliches habe ich vor mit einer Virtuellen Maschine auf der ich Linux mit OwnCloud / NextCloud laufen lassen wollte. Unter MacOS klappt das wohl nicht so reibungslos (OwnCloud / NextCloud) dies zum laufen zu bringen. Auch hier wollte ich den Zugriff so beschränken das dies nur mittels VPN geht.

Über eine Rückmeldung wäre ich sehr dankbar.
 

trexx

Mecklenburger Orangenapfel
Registriert
01.04.13
Beiträge
2.977
Ich meine, solche Firewall Regeln kann die Fritzbox nicht. Da müsst schon etwas professionelleres her.
 

Ijon Tichy

Clairgeau
Registriert
21.11.06
Beiträge
3.684
Leg eine Gruppe an und erlaube Zugriff nur für deren Mitglieder. Dann noch OpenDirectory aktivieren und alle anderen Anwendungen sollen die Authentifizierung über den LDAP machen.
 

Forces

Angelner Borsdorfer
Registriert
05.11.10
Beiträge
622
Leg eine Gruppe an und erlaube Zugriff nur für deren Mitglieder. Dann noch OpenDirectory aktivieren und alle anderen Anwendungen sollen die Authentifizierung über den LDAP machen.

wie jetzt? Also ich lege nur Gruppen an sage dem Server Anmeldung nur für Mitglieder und was dann? o_O
 

Marcel Bresink

Hadelner Sommerprinz
Registriert
28.05.04
Beiträge
8.542
Zum einen wollte ich den Zugriff auf den Profimanager (MDM) nur per VPN verfügbar machen.

Das ist nicht sinnvoll, bzw. Du müsstest erst erklären, was mit "Zugriff" genau gemeint ist. Sinn des Profilmanagers ist es doch, eine Fernkonfiguration und zur Not auch eine ferne Sicherheitslöschung jederzeit möglich zu machen, egal ob sich die Geräte gerade innerhalb oder außerhalb des lokalen Netzes befinden. Zumindest der Zugriff auf Port 443 (https) muss deshalb auch ohne VPN möglich sein.

Aktuell geht das nur wenn ich den Aktiv mache für Alle dann kann ich ohne weiteres den Per Internet aufrufen (ohne VPN)

Dann musst Du die Firewall der Fritzbox explizit umgangen haben, indem Du eine Portweiterleitung definiert hast.
 
  • Like
Reaktionen: ottomane

Ijon Tichy

Clairgeau
Registriert
21.11.06
Beiträge
3.684
Ich habe das dumpfe Gefühl, dass hier einige Unklarheit herrscht - zumindest bei mir.

Der Zugriff über VPN erfolgt ja wohl über die Fritzbox, nicht über das VPN des Servers (das hatte ich übersehen, sorry). Ein Zugriff nur über VPN auf MDM macht für mich auch keinen Sinn - warum sollte man den lokalen Zugriff verbieten wollen? Kannst du uns das erklären?

Zum anderen kann man den Zugriff natürlich über Benutzergruppen erlauben, aber dann hängt das natürlich vom Benutzer ab, der sich anmeldet. Ob der sich über VPN angemeldet hat oder aus dem lokalen, ist dabei wurscht. Theoretisch wäre es wahrscheinlich möglich, die MDM-Verwendung nur von den IP-Adressen zu erlauben, die beim Zugang über VPN von der Fritzbox vergeben werden. Dazu weiß ich aber zu wenig über das MDM. Oder aber meintest du den Zugriff auf die Devices nur im VPN?
 

ottomane

Golden Noble
Registriert
24.08.12
Beiträge
16.375
Zum einen wollte ich den Zugriff auf den Profimanager (MDM) nur per VPN verfügbar machen. Also das ich auch von unterwegs von meinem MacBook oder meinem iPad darauf zugreifen kann. Aktuell geht das nur wenn ich den Aktiv mache für Alle dann kann ich ohne weiteres den Per Internet aufrufen (ohne VPN) oder halt deaktivieren dann habe ich nur lokal vom Server aus zugriff.

Ich glaube fast, dass die Lösung einfacher ist als gedacht: Die überflüssige pauschale Portweiterleitung (Exposed Host?) in der FritBox abschalten und der MDM ist nur noch über VPN erreichbar.

Auf die Dienste CardDav und CalDav bekomme ich ohne Probleme Zugriff, und das sollte ohne VPN auch so sein.

Hierfür muss dann natürlich eine Portweiterleitung bestehen. Aber das dürften andere Ports sein und wenn ich mich recht entsinne, kann man bei der FritzBox einzelne Ports (hier die für CardDAV und CalDAV) weiterleiten.
 

Ijon Tichy

Clairgeau
Registriert
21.11.06
Beiträge
3.684
Hm, klingt gut, ich verstehe wohl nur nicht, was mit „Aktiv machen für alle“ gemeint war?
 

ottomane

Golden Noble
Registriert
24.08.12
Beiträge
16.375
Tja, verstehe ich auch nicht so ganz. Die Beschreibung ist verwirrend.