1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Speedport 700, Apple ARD, T-Online und externer Zugriff

Dieses Thema im Forum "WLAN, Airport & TimeCapsule" wurde erstellt von bürgermeister, 07.04.07.

  1. bürgermeister

    bürgermeister Jonagold

    Dabei seit:
    17.02.07
    Beiträge:
    21
    Nun habe ich versucht, irgendwie aus allen Beiträgen über VPN, ARD, dynDNS & Co. schlau zu werden. Leider erfolglos. Scheint (zumindest für mich) ein sehr schwieriges Gebit zu sein. Aber vielleicht hat ja jemand ein ähnliches Problem gelöst. Der Speedport 700 (unter T-Online DSL) und Apple Remote Desktop sind hoffentlich oft eingesetzt. Und vielleicht hat ja jemand von euch eine verständliche Anleitung, wie ich von meinem MacBook zuhause auf meinen Mac mini (Server"chen") im Büro zugreifen kann ...
     
  2. peterbergheim

    Dabei seit:
    25.10.06
    Beiträge:
    53
    Du brauchst eine feste IP

    für Deinen Mini im Büro,ist über DynDS machbar.Dann musst Du auf dem Mini die nötigen Freigaben machen.
    Auf Deinem zuHause Rechner gehst Du im Finder auf: mit Server verbinden und gibst die IP des Mini ein und drückst auf verbinden.Dann kommt ein Anmeldefenster wo Du dich einloggen kannst entweder als Gast oder als registrierter Benutzer mit Deinem Zugangspasswort Deines Mini Accounts und dem Usernamen und drin bist Du.Schreib mal ob Du erfolgreich warst.Peter
     
  3. bürgermeister

    bürgermeister Jonagold

    Dabei seit:
    17.02.07
    Beiträge:
    21
    Schon einmal Danke.
    Bei meinem Mac mini habe ich nun in den Systemeinstellungen den entfernten Zugriff und Apple Remote Desktop amgekreuzt. (ARD läuft ja lokal schon einwandfrei).
    Nun habe ich vom Mac mini aus bei DynDNS eine Domain "name".dyndns.org und eine IP-Adresse bekommen.
    Jetzt weiß ich aber nicht mehr weiter ...
     
  4. Appleboy

    Appleboy Neuer Berner Rosenapfel

    Dabei seit:
    04.12.05
    Beiträge:
    1.976
    Hallo,

    im Büro muss der Port für ARD freigeschaltet werden. Mit Portfreischaltungen in Firmennetzwerken wäre ich aber vorsichtig. Wenn Ihr einen Admin habt, frage ihn mal, ob die Geschäftsleitung Portfreischaltungen zulässt.

    Viele Grüße

    Timo
     
  5. bürgermeister

    bürgermeister Jonagold

    Dabei seit:
    17.02.07
    Beiträge:
    21
    Hallo und danke für die Info.
    Die Geschäftsleitung und der Admin bin beides ich selbst.
    In meiner kleinen 6-Mann-Agentur bekomme ich es gerade noch so ohne Admin hin.
    (Beim Thema externer Zugriff bin ich mir allerdings nicht mehr ganz so sicher).
    Na ja - sieht du ein Sicherheitsrisiko?
    Mein Speedport-Router hat immerhin die DynDNS-Funktionalität eingebaut (mit Menü), das sollte doch dann auch recht gesichert ablufen können, oder?

    Was mich gerade ganz „kirre“ macht, ist das ich im Konfigurations-Menü vom DynDNS-Tool nicht genau weiß, was ich eintagen soll. Wenn ich das habe, bin ich guter Dinge, das es mit dem entfernten Zugriff klappen sollte ... oder?
     
  6. Chamäleo

    Chamäleo Transparent von Croncels

    Dabei seit:
    09.10.05
    Beiträge:
    310
    Naja, meines wissens brauchst du dyndns nur wenn du eine dynamische ip adresse hast, sprich wenn die sich ändert sobald du vom netz gehst und dich dann wieder einwählst.
    solltest du sowas haben mußt du dich bei dyndns " http://www.dyndns.com/ " registrieren und dann diese daten im router eingeben. vorausgesetzt ist natürlich das es um den firmen-router geht. zu hause brauchst du das nicht machen.

    also:

    1.) bei dyndns registrieren
    2.) daten von dyndns im router eintragen
    3.) ard ports im router freischalten
    4.) in der systemsteuerung ard frei geben
    5.) ard zu hause installieren
    6.) verbinden

    so in etwa sollte das vereinfacht gehen. ;)
     
  7. LadeSchale

    LadeSchale Gast

    Hallo.

    Einstieg von hier

    Du brauchst dafür auf dem MacMini den DynDNSUpdater, wo du deine Daten entsprechend einträgst und den Client deine externe Adresse abfragen lässt.
    Desweiteren muss der Mini die ganze Zeit eingeschaltet bleiben.
    Du solltest nicht die vom SpeedPort angebotene Funktion zum Eintragen von DynDNS-Daten benutzen, es sei denn er ist hier mit aufgeführt -> Link.

    Als zweites solltest du einen zweiten Benutzer auf dem MacMini anlegen dem du ein schweres Passwort zuweist (mind. 12Stellen, Groß/Klein und Zahlen). Warum?
    Dein Mini wird demnächst weltweit für jeden! sichtbar sein und es ist ein Leichtes schwache Passwörter zu knacken.
    Keine Bange, ein gutes Passwort ist die halbe Miete.

    Ist der Benutzer eingerichtet, gehst du in Systemeinstellung -> Sharing -> Dienste
    und aktivierst dort ARD und gibst nur diesem einen Benutzer den Zugriff auf den ARD-Dienst, konfigurierst was der machen darf und lässt VNC für Gäste deaktiviert (da du ja mit ARD zugreifen willst).

    Im nächsten Schritt müssen am Speedport die passenden Ports umgeleitet werden, für ARD sind das 3283 und 5900. Diese müssen an die IP des MacMini weitergeleitet werden. Wenn der Speedport noch zusätzlich eine FireWall hat muss natürlich entsprechender Verkehr auf diesen Ports erlaubt sein.

    Das wärs soweit, damit steht der Rechner im Netz.
    Jetzt muss nur noch der Rechner der zugreifen soll wissen wo er den Mini finden kann, dazu muss in ARD nach der Netzwerkadresse gesucht werden. In diesem Fall nach der DynDNS-Adresse, wenn alles gut geht zeigt ARD dann auch einen Client dort an den man Benutzername und Passwort zuweisen kann um ihn zu steuern.

    Das ist der eine Weg für einen Remote Zugriff, hierbei sind Tastatur und Maussteuerung verschlüsselt, die Bilddaten unverschlüsselt.
    Wenn der gesamte Verkehr verschlüsselt sein soll muss tiefer in die Trickkiste gegriffen werden. Dafür ist ein Tunnel über ssh von Nöten. Nur rate ich niemanden den ssh-Zugriff ohne vorherige (manuelle) Konfiguration auf das Internet los zu lassen. Die Konfiguration von ssh geht hier jetzt aber zu weit und setzt schon ein wenig Erfahrung im Terminal voraus, damit man versteht was man da macht.

    Ein einfacherer Weg wäre zweifelsohne einen VPN-fähigen Router anzuschaffen, entweder der kompatibel zum von OSX angebotenen VPN-Client (weiß ich derzeit keinen, Belkin? Hat jemand Erfahrung mit OSX kompatiblen VPN-Routern?) ist oder aber von VPN-Tracker unterstützt wird.
    Mit VPN kann man sich dann die Portweiterleitung von irgendwelchen Diensten ins Internet sparen, da man sich mit VPN direkt ins eigene Netz einklinkt und komplett verschlüsselt die Daten tunnelt.
     
    #7 LadeSchale, 08.04.07
    Zuletzt von einem Moderator bearbeitet: 08.04.07
    Skeeve gefällt das.
  8. bürgermeister

    bürgermeister Jonagold

    Dabei seit:
    17.02.07
    Beiträge:
    21
    Danke für deine ausführlich(st)e Anleitungen. Ich habe auch mittlerweile Zugriff auf meinen Server. Allerdings beschleicht mich schon ein sehr mulmiges Gefühl, wenn ich alle meine Daten so "öffentlich" im Internet vor mir sehe. Ein Zugang per ftp auf meine Kundendaten (eine Kopie meiner eigentlichen Serverdaten) wäre mir wohl doch lieber. Hast du da einen Vorschlag?
    Ich stelle mir eine Lösung via "Apfel + K" mit Server verbinden vor.
    Ich hätte noch eine nagelneue AirPort Extreme und eine Festplatte "rumliegen" ...
     
  9. LadeSchale

    LadeSchale Gast

    Naja, per ftp ist genauso alles im Netz :-D. Die Stärke des Passwortes machts.
    Die Platte an der Extreme kann man, so weit ich weiß, momentan noch nicht einfach so im Internet freigeben.

    Wenn du per ftp auf den MacMini zugreifen möchtest, lass die Finger vom eingebauten ftp-Server und installier lieber PureFTP als Server auf dem Mini. Damit kannst du entsprechenden Ordner einrichten der über das Netz zugänglich ist und per Benutzeranmeldung absichern.
    Nimm dir ein wenig Zeit und schau vorher in Ruhe die Doku dazu an.

    Wenn du auf den Mini dann per ftp zugreifen möchtest, kannst du das über den Finder mit ftp://meine.IP.org mit "nur"-Lesezugriff oder mittels eines ftp-Clients (CyberDuck, CaptainFTP,...) auch mit Schreibzugriff.


    Andere Lösung wäre, die iDisk von .mac zum Datentausch zu nutzen. Hier kannst du per Backup oder Syncfunktion deine Kundendaten regelmäßig auf der iDisk sichern und von überall wieder darauf zugreifen, natürlich nur mit deinen Anmeldedaten.
    Analog zu .mac gibt es noch macbay, die einen vergleichbaren Dienst anbieten.
    Beide Dienste sind sehr gut auf die Mac-Platform abgestimmt und sind im Jahresabo zu bekommen. Du ersparst dir dabei den Konfigurations- und Wartungsaufwand, der halt zwangsweise bei Eigenlösungen ansteht.
     
  10. bürgermeister

    bürgermeister Jonagold

    Dabei seit:
    17.02.07
    Beiträge:
    21
    Danke. Ich habe .mac und bin eigentlich auch ganz zufrieden damit. Nur ist halt der Speciherplatz für meine Zwecke etwas begrenzt. Und richtig schnell finde ich .mac auch nicht gerade.
    Aber zum Thema Sicherheit: Gerade tendiere ich zu einem neuen Router. Die von Draytek bieten wohl eine komfortable VPN-Möglichkeit. Und diese "Tunnels" ins Firmennetz sind doch mit Abstand das Sicherste, was man so einrichten kann, oder?
     
  11. bürgermeister

    bürgermeister Jonagold

    Dabei seit:
    17.02.07
    Beiträge:
    21
    Mit dem neuen AirPort Extreme kann man auch irgendwas "tunneln". Da steht was von IPv6. Wenn das ähnlich sicher wie die VPN-Variante über einen Draytek-Router ist, wäre mir das natürlich noch viel lieber.
     
  12. LadeSchale

    LadeSchale Gast

    Meinst du den Punkt unter Kompatibilität, IPv6 (6zu4 und manuelle Tunnel)?
    Das bedeutet lediglich das der Router kompatibel zum Internet Protokoll v6 ist und man ihn in eine IPv6-Umgebung implementieren kann. 6zu4 heißt dann das man zwei IPv6 Netze über das derzeit bestehende IPv4 hinweg verbinden kann (tunneln). Ein Sicherheitsfeature ist das aber nicht.
    Der Vollständigkeit wegen noch, das unter Kompatibilität angesprochene Passthrough (IPSec, PPTP und L2TP) bedeutet, dass man mit einem Client hinter diesem Router, also aus dem internen Netz, eine VPN-Verbindung zu einem VPN-Server, welcher im Internet direkt erreichbar ist, aufbauen kann. Die Extreme in dem Falle also nicht im Wege steht, wenn man aus ihrem Netz heraus auf ein VPN im Internet (z.B. der mögliche Draytek) zugreifen möchte.
     
  13. bürgermeister

    bürgermeister Jonagold

    Dabei seit:
    17.02.07
    Beiträge:
    21
    Dann bin ich haute (u.a. wegen dir) wohl um einiges schlauer geworden. Jedenfalls hatmich alles dazu gebracht, die AirPort Extreme nochmal auszuprobieren. Und mit den super Übertragungsraten (mit der Ethernet-Verbindung zwischen AirPort und Mac mini) bin ich schon einmal rund 3-4 mal schneller als seither. UNnd das ist eine mehr als gute Nachricht. Danke.
    Den Zugriff von "aussen" kann ich nun immer noch per langem Passwort und dyndns machen. Hast du mir da einen Tipp bzgl. der Sicherheit?
    Also wie lange zum Beispiel ein Passwort sein muss (und wie "konstruiert") und ist es besser/weniger gefährlich FTP-Zugriff, Personal File-Sharing oder Apple Remote Desktop freizugeben.

    Nochmal: bin super happy bzgl. der Übertragungsraten.
    Ah: der Drucker bremst übrigens alles aus, deshalb habe ich ihn nun am Mac mini direkt angeschlossen und gebe ihn dort als gemeinsamer Drucker frei.
    Ein weiterer Vorteil dabei ist, dass der Drucker so auch konfiguriert werden kann (was unter Airport Extreme nicht geht.)
     
  14. LadeSchale

    LadeSchale Gast

    Hach ja, das hängt leider auch immer von der Geschwindigkeit des eigenen Breitbandanschlusses ab. Die Spassbremse ist da eigentlich der permanent lahme Upload :-D . Wenn du die Möglichkeit hast den Upload auf knapp 1000k (1Mbit) heben zu lassen würdest du z.B. 100MByte in knapp ner viertel Stunde versenden können.

    Ja, wobei es bei den VPN-Tunneln auch wieder sichere und weniger sichere Typen gibt :-D. PPTP wäre z.B. nicht so toll ist dafür aber sehr kompatibel, besser wäre da dann L2TP over IPsec, kann aber so seine Tücken bei der Konfiguration mit sich bringen.
    Wenn es denn aber steht ist es schon mit die sicherste Methode um nicht jeden potentiell an den eigenen Daten teilhaben zu lassen.
     
  15. LadeSchale

    LadeSchale Gast

    Am einfachsten geht es mit einem Passwortgenerator.
    Zum einen gibt es den unter Systemeinstellungen -> Benutzer wenn man auf Kennwort ändern klickt (der Generator versteckt sich hinter einem kleinen schwarzen Schlüssel).
    Zum anderen kann man sich z.B. das Programm Schlüsselbund (Programme -> Dienstprogramme) auch zu nutze machen.
    Ist es geöffnet wählt man aus der Menueleiste Ablage -> Neues Kennwort aus, in dem nun erscheinenden Fenster klickt man auf das schwarze Schlüsselsymbol.
    Daraufhin geht noch ein Fensterchen auf wo man sich nach verschiedenen Kriterien ein Passwort erstellen kann. Dieses kann man dann mit Copy/Paste für beliebige Zwecke dort herausholen.
    Siehe auch Bild im Anhang.
    Mal der Sicherheit nach geordnet:

    FTP mit ordentlich konfigurierten FTP-Server (Bsp: mittels PureFTP) ist von den dreien am Sichersten.
    Man kann den Zugriff vom Internet auf einen Ordner beschränken. Ein möglicher Eindringling wird es schwer haben den Rechner zu kompromittieren, da er spontan erstmal nur an die Daten innerhalb dieses Ordners rankommt.
    Gut gewählte Anmeldedaten machen es einem Angreifer schwer und man kann in der Log-Datei sich über mögliche Angriffsversuche informieren.
    Weiterhin kann man über SFTP auch sichere Verbindungen herstellen.

    ARD ist proprietär und lässt sich spontan auch nur mit ARD nutzen (solange VNC nicht aktiv ist), das grenzt den Angreiferkreis auf Appleuser ein.
    Im einfachsten Fall sind Tastatureingaben verschlüsselt.
    Gelangt ein Angreifer auf das System, kann er hier schön viel kaputt machen, da er in diesem Fall wie lokal am Rechner ist könnte er ggf. (abhängig der angemeldeten Userrechte) Exploits ausführen um sich Rootrechte zu verschaffen.
    Sicherer kann man das Ganze mit einem ssh-Tunnel machen, was jedoch einiges know-how oder Geduld voraussetzt um wirklich eine sichere Verbindung zu erlangen.
    ARD ist eigentlich für die Fernsteuerung, am häufigsten für administrative Aufgaben konzipiert.

    Personal File Sharing würde ich tunlichst vermeiden im Internet, das funktioniert nämlich dort erstmal genauso einfach wie im lokalen Netz. Da OS X standardmäßig Gastverbindungen erlaubt kann sich ein Angreifer schon mal ohne Name und Passwort in den Briefkastenordner einklinken, von dort aus könnte er dann zufälligerweise auf den eigentlichen Benutzernamen stossen.
    Mittels der Software SharePoints kann man sich das ganze Szenario jedoch halbwegs auf das Niveau von FTP runterregeln, Gastzugriffe deaktivieren und nur einen Ordner für einen bestimmten Benutzer freigeben.
    Es gibt auch Möglichkeiten AFP über SSH zu tunneln, setzt aber natürlich eine ordentliche SSH Konfiguration voraus.


    Allen dreien gemein bleibt jedoch auch die mögliche Angreifbarkeit des Dienstes selbst, also sich durch z.B. abschießen des Dienstes selbst die Möglichkeit verschaffen Programmcode auszuführen usw., naja nichts ist perfekt :-D
     

    Anhänge:

Diese Seite empfehlen