[10.13 High Sierra] Server nur per VPN verfügbar machen

Dieses Thema im Forum "macOS & OS X" wurde erstellt von Forces, 01.05.18.

  1. Forces

    Forces Zabergäurenette

    Dabei seit:
    05.11.10
    Beiträge:
    613
    Hi @All,

    ich habe meinen Server nun fast so am laufen wie ich es gerne wollte.
    Nun wollte ich noch einige kleinere Sachen ändern bzw. konfigurieren.

    Zum einen wollte ich den Zugriff auf den Profimanager (MDM) nur per VPN verfügbar machen. Also das ich auch von unterwegs von meinem MacBook oder meinem iPad darauf zugreifen kann. Aktuell geht das nur wenn ich den Aktiv mache für Alle dann kann ich ohne weiteres den Per Internet aufrufen (ohne VPN) oder halt deaktivieren dann habe ich nur lokal vom Server aus zugriff.
    Das VPN wird von meiner FritzBox (7490) bereitgestellt, eine DynDNS Adresse ist aktiv und läuft soweit.
    Auf die Dienste CardDav und CalDav bekomme ich ohne Probleme Zugriff, und das sollte ohne VPN auch so sein.
    Nun ist die Frage wie muss ich das im Server so einstellen das ich auf den Profilmanager nur per VPN oder lokal vom Netzwerk aus Zugriff bekomme.

    Ähnliches habe ich vor mit einer Virtuellen Maschine auf der ich Linux mit OwnCloud / NextCloud laufen lassen wollte. Unter MacOS klappt das wohl nicht so reibungslos (OwnCloud / NextCloud) dies zum laufen zu bringen. Auch hier wollte ich den Zugriff so beschränken das dies nur mittels VPN geht.

    Über eine Rückmeldung wäre ich sehr dankbar.
     
  2. trexx

    trexx Melrose

    Dabei seit:
    01.04.13
    Beiträge:
    2.486
    Ich meine, solche Firewall Regeln kann die Fritzbox nicht. Da müsst schon etwas professionelleres her.
     
  3. Ijon Tichy

    Ijon Tichy Saurer Kupferschmied

    Dabei seit:
    21.11.06
    Beiträge:
    1.704
    Leg eine Gruppe an und erlaube Zugriff nur für deren Mitglieder. Dann noch OpenDirectory aktivieren und alle anderen Anwendungen sollen die Authentifizierung über den LDAP machen.
     
  4. Forces

    Forces Zabergäurenette

    Dabei seit:
    05.11.10
    Beiträge:
    613
    wie jetzt? Also ich lege nur Gruppen an sage dem Server Anmeldung nur für Mitglieder und was dann? o_O
     
  5. Marcel Bresink

    Marcel Bresink Altgelds Küchenapfel

    Dabei seit:
    28.05.04
    Beiträge:
    4.098
    Das ist nicht sinnvoll, bzw. Du müsstest erst erklären, was mit "Zugriff" genau gemeint ist. Sinn des Profilmanagers ist es doch, eine Fernkonfiguration und zur Not auch eine ferne Sicherheitslöschung jederzeit möglich zu machen, egal ob sich die Geräte gerade innerhalb oder außerhalb des lokalen Netzes befinden. Zumindest der Zugriff auf Port 443 (https) muss deshalb auch ohne VPN möglich sein.

    Dann musst Du die Firewall der Fritzbox explizit umgangen haben, indem Du eine Portweiterleitung definiert hast.
     
    ottomane gefällt das.
  6. Ijon Tichy

    Ijon Tichy Saurer Kupferschmied

    Dabei seit:
    21.11.06
    Beiträge:
    1.704
    Ich habe das dumpfe Gefühl, dass hier einige Unklarheit herrscht - zumindest bei mir.

    Der Zugriff über VPN erfolgt ja wohl über die Fritzbox, nicht über das VPN des Servers (das hatte ich übersehen, sorry). Ein Zugriff nur über VPN auf MDM macht für mich auch keinen Sinn - warum sollte man den lokalen Zugriff verbieten wollen? Kannst du uns das erklären?

    Zum anderen kann man den Zugriff natürlich über Benutzergruppen erlauben, aber dann hängt das natürlich vom Benutzer ab, der sich anmeldet. Ob der sich über VPN angemeldet hat oder aus dem lokalen, ist dabei wurscht. Theoretisch wäre es wahrscheinlich möglich, die MDM-Verwendung nur von den IP-Adressen zu erlauben, die beim Zugang über VPN von der Fritzbox vergeben werden. Dazu weiß ich aber zu wenig über das MDM. Oder aber meintest du den Zugriff auf die Devices nur im VPN?
     
  7. ottomane

    ottomane Königlicher Kurzstiel

    Dabei seit:
    24.08.12
    Beiträge:
    10.144
    Ich glaube fast, dass die Lösung einfacher ist als gedacht: Die überflüssige pauschale Portweiterleitung (Exposed Host?) in der FritBox abschalten und der MDM ist nur noch über VPN erreichbar.

    Hierfür muss dann natürlich eine Portweiterleitung bestehen. Aber das dürften andere Ports sein und wenn ich mich recht entsinne, kann man bei der FritzBox einzelne Ports (hier die für CardDAV und CalDAV) weiterleiten.
     
  8. Ijon Tichy

    Ijon Tichy Saurer Kupferschmied

    Dabei seit:
    21.11.06
    Beiträge:
    1.704
    Hm, klingt gut, ich verstehe wohl nur nicht, was mit „Aktiv machen für alle“ gemeint war?
     
  9. ottomane

    ottomane Königlicher Kurzstiel

    Dabei seit:
    24.08.12
    Beiträge:
    10.144
    Tja, verstehe ich auch nicht so ganz. Die Beschreibung ist verwirrend.