1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Wie kann ich auf OS-X-Server über VPN von außen zugreifen?

Dieses Thema im Forum "macOS & OS X Server" wurde erstellt von monatele, 01.02.16.

  1. monatele

    monatele Erdapfel

    Dabei seit:
    01.02.16
    Beiträge:
    2
    Hallo zusammen,

    ich stehe da gerade vor einem Problem und bevor ich mir als mittelmäßig begabter Hobby-IT-ler hier einen Mist zusammenkonfiguriere, frage ich lieber mal.

    Folgende Herausforderung:
    Verwende in unserem Netz einen MacMini als OS-X-Server. Innerhalb des Netzes klappt alles prima.
    Bin ich jedoch außerhalb des lokalen Netzwerks, so gelingt es mir zwar per VPN von meinem MacBook
    mich über unsere FritzBox 7490 ins Netz einzuwählen, aber weder komme auf den auf den OS-X-Servern
    noch sehe ich den MacMini im Netz.

    Jetzt Frage ich mich, ob ich hierzu am eine zusätzliche oder eine andere VPN-Verbindung auf dem OS-X-Server
    konfigurieren muss und/oder ob hierzu Portfreigaben in der FritzBox eingetragen werden müssen. Falls ja, welche?

    Dasselbe Problem habe ich nicht nur auf Reisen, sondern auch an unserem 2. Standort. Die beiden, in unterschiedlichen Ortsteilen stehenden Büros sind beide mit FritzBox 7490 ausgestattet und permanent über eine VPN-Verbindung verbunden (1x feste IP, 1 x No-IP). Trotz bestehender VPN-Verbindung ist auch hier kein Zugriff auf den Mac-Server möglich.

    Bin für jeden Tipp dankbar, denn ich sehe gerade den Wald vor lauter Bäumen nicht.

    Liebe Grüße

    Michael
     
  2. soramac

    soramac deaktivierter Benutzer

    Dabei seit:
    08.08.12
    Beiträge:
    2.367
    Versucht du die Ordner / Festplatten drauf zugreifen oder komplette entferne Anmeldung?
     
  3. monatele

    monatele Erdapfel

    Dabei seit:
    01.02.16
    Beiträge:
    2
    Hi soromac, eigentlich beides. Überwiegend geht es zwar darum auf Ordner und Dateien zuzugreifen. Aber auf dem Server laufen auch Applikationen die ich gerne unterwegs nutzen möchte. Zugriff auf den Drucker am entfernten Standort wäre z.B. auch nicht schlecht, so dass ich Dokumente auf dem entfernten Printer drucken kann.
    Ich hatte VPN halt immer so verstanden, dass man dann so mit dem Netz verbunden ist, als wenn man Vor-Ort wäre. Ergo müsste ich auch die Drucker sehen und nutzen können.
     
  4. nomos

    nomos Brettacher

    Dabei seit:
    22.12.03
    Beiträge:
    7.488
    Nur wenn die Fritzbox die angebotenen Dienste, zB Bonjour der Drucker und des Servers, weiterleiten könnte bei einer VPN Verbindung. Und das kann sie meine ich nicht.

    Du müsstest also die IP des jeweiligen Gerätes wissen.
     
  5. Scotch

    Scotch Tiefenblüte

    Dabei seit:
    02.12.08
    Beiträge:
    6.379
    Bonjour funktioniert über VPN nicht so ohne weiteres. Einfachste Lösung: Geräte über IP-Adresse ansprechen. Etwas eleganter: IP-Adressen in /etc/hosts auf dem Client eintragen, dann kann man auch die Servernamen verwenden.
     
    nomos gefällt das.
  6. Wuchtbrumme

    Wuchtbrumme Filippas Apfel

    Dabei seit:
    03.05.10
    Beiträge:
    8.858
    Die Verwendung von Fritz!Box-VPN und OS X VPN-Server sind quasi exklusiv, sprich: entweder oder, jedenfalls in den Standard-Konfigurationen (IPsec). Außerdem müssten ggfls. die Ports geöffnet und weitergeleitet werden (die Fritz!Box mag dazu auch neu gestartet werden). Nicht vergessen darfst Du unterschiedliche Ranges (IP-Subnetze, also z.B. 192.168.176.0/24 u. 192.168.177.0/24) an den Standorten, was dann relevant werden würde, wenn Du die Standorte untereinander verbinden wollen würdest. Die Fritz!Box hat darüber hinaus in der Standard-Konfiguration bisher immer Regeln gegen umfassenden Zugriff gehabt - mittlerweile wurde aber der Prozess verändert, mag also nicht mehr so sein, prüfen würde ich das aber auch.

    Wenn Du dann "drin bist", gibt es wie die geneigten Herren Vorposter ganz richtig anmerkten noch das Problem, dass Bonjour per Standard LAN-only ist. Das kann man umkonfigurieren, aber glaube mir, das willst Du nicht. Bleibt also eine Namensauflösung per DNS//etc/hosts (damit klappt dann immer noch nicht alles, z.B. von mobilen Geräten, die nur Bonjour-Browser in der App vorsehen) oder per IP-Adresse.

    Wenn Du nicht groß herumkonfigurieren möchtest, dann ist VPN über OS X Server die deutlich einfachere Variante.

    Empfehlen tut sich die Benutzung eines dynDNS-Dienstes (muss nicht dynDNS sein, aber irgendwas, was man in der Fritz!Box auswählen kann, macht die Sache doch viel leichter). Ersatzweise gibt es auch Skripte, die man auf einem Mac laufen lassen kann, die die externe IP bestimmen und auf eine Webseite speichern können (z.B. www.meinedomain.de/dieseURListetwasversteckt.html).
     
    #6 Wuchtbrumme, 01.02.16
    Zuletzt bearbeitet: 01.02.16
  7. Scotch

    Scotch Tiefenblüte

    Dabei seit:
    02.12.08
    Beiträge:
    6.379
    Es geht um eine reine Client-Netz-Anbindung. Die FW der FB zu durchlöchern und einen OS X Server im LAN als VPN-Server zu nutzen ist dafür absolut indiskutabel - sowohl aus Sicherheitsgründen, als auch ob der deutlich aufwändigeren Konfiguration.
     
    nomos gefällt das.
  8. soramac

    soramac deaktivierter Benutzer

    Dabei seit:
    08.08.12
    Beiträge:
    2.367
  9. Wuchtbrumme

    Wuchtbrumme Filippas Apfel

    Dabei seit:
    03.05.10
    Beiträge:
    8.858
    Dein Post ist mal indiskutabel: harte Worte. Absolut pauschal. Die meisten, die so schreiben, wollen damit verdecken, dass sie keine Ahnung haben. Dazu zitierst Du an der Stelle auch gerade noch meine Einschränkung ("falls ... wollen würdest...")?.

    Die VPN-Lösung auf dem OS X Server ist die einfachste Variante (allerdings nur, wenn der OS X Server ansonsten schon läuft und korrekt eingerichtet ist, wovon ich anhand der Fragestellung ausgehe). BTDT.

    Über Sicherheitsaspekte kann man jetzt philosophieren. Ich mag die Fritz!Box, aber es ist trotzdem so, dass es eine kleine Bude ist. Bei beiden Unternehmen sind Lücken schon "unbehandelt" verblieben, dennoch räume ich Apple mehr Potenz ein. Irgendwas zu konstruieren mit "FW zu durchlöchern blabla" ist Schmarrn, denn selbst wenn Du die VPN-Funktion auf der FB aktivierst wird da "durchlöchert", soviel verstehst Du hoffentlich von Netzwerken und Paketfiltern. Falls Du jetzt kommst, dass da ein anderes Gerät angesprungen werden kann - jo mei, wenn das Sicherheitsbedürfnis so groß ist, dann sollte man das sowieso "etwas größer und vernünftiger" dimensionieren (aber frei nach Dir: davon hat der TE nicht gesprochen).

    Du darfst aber gerne Deine Meinung haben, dafür leben wir ja in einem pluralistischen Land. Ich wäre nur sehr verbunden, wenn Du Deine "Meinung" nicht für bare Münze - und alles andere als Blödsinn - darstellen würdest.
    Es gibt nämlich sowas wie eine Umgangskultur.
     
    #9 Wuchtbrumme, 02.02.16
    Zuletzt bearbeitet: 02.02.16
  10. Scotch

    Scotch Tiefenblüte

    Dabei seit:
    02.12.08
    Beiträge:
    6.379
    Nein, denn das erfordert bei allen mir bekannten Routern die Freischaltung von UPnP für die Routerkonfiguration und das ist eine Sicherheitslücke allerersten Ranges.

    Das ist bei sicherheitsrelevanten Themen auch absolut angebracht.

    Sichere VPN Verbindungen auf einem OS X Server erfordern korrekt konfigurierte iptables sowie die Benutzerverwaltung via lDAP oder OD. Wir scheinen sehr unterschiedliche Vorstellungen von "einfach" zu haben. Einfach nur ohne Sinn und Verstand den VPN-Server über das GUI zu konfigurieren mag einfach sein, aber dann sind wir wieder bei den harten Worten: Ohne saubere serverseitig authentifizierte Profile unter Sicherheitsaspekten vollkommen undiskutabel.

    Das stützt sich jetzt genau worauf? Auf das sofortige fixen von Sicherheitslücken? Das regelmässige und selbstständige offenlegen von Sicherheitslücken (schon mal Apple Release "Notes" zu Sicherheitslücken gelesen)? Das agieren ohne Druck von der Öffentlichkeit auf langjährige Sicherheitslücken? Aufwachen!

    ich schon - du auch?! Das "Loch" endet in diesem Fall am NAT-GW, bei aktuellen Modellen sogar bereits am NAT64. Ist ein ziemlicher Unterschied gegenüber einem offenen Port im LAN.

    Dann schreib' halt keinen Blödsinn.
     
    dadudeness gefällt das.
  11. nomos

    nomos Brettacher

    Dabei seit:
    22.12.03
    Beiträge:
    7.488
    Nun beruhigt euch mal und habt euch wieder lieb!

    :-D
     
  12. Wuchtbrumme

    Wuchtbrumme Filippas Apfel

    Dabei seit:
    03.05.10
    Beiträge:
    8.858
    den verzapfst Du doch und wie. Du windest Dich wie ein Aal: Am Anfang ging es noch darum, was am Einfachsten ist. Die Fritz!Box kommt per Default mit UPnP on. Das heißt, mit dem OS X Server beschränkt sich der Konfigurationsaufwand auf das Umlegen des Schalters. Nichts anderes habe ich geantwortet.

    Jetzt ist Dir wohl klargeworden, dass UPnP noch eine Rolle spielt und man das besser nicht haben will.
    Darauf können wir uns gerne einigen. Genauso, wie ein ausgewachsener Server eine Konfigurationsaufgabe für "Kerle" ist.
    Aber darum ging es nicht.

    Wenn man es richtig machen würde, würde man ohnehin sagen, lass die Finger von. Ist das praxisgerecht? Sicher nicht.
     
  13. Scotch

    Scotch Tiefenblüte

    Dabei seit:
    02.12.08
    Beiträge:
    6.379
    Auch diese Aussage ist wieder falsch. Eine FB kommt - je nach Provider - vielleicht mit UPnP AV und UPnP Dienststatus übertragen eingeschaltet, ganz sicher aber nicht mit eingeschaltetem UPnP für die Routerkonfiguration. Die dafür notwendige Option steht auch nicht ohne Grund bei der Konfiguration der Router-Sicherheitsfunktionen (und nicht etwa bei Mediaserver, NAS, Smarthome oder den normalen Netzwerkeinstellungen).

    Es drängt sich der Eindruck auf, dass du nicht einmal eine FB hast bzw. keine mit aktuellem OS.

    Das hier mag standardmässig eingeschaltet sein (und läuft im LAN hinter dem NAT(64)):

    Bildschirmfoto 2016-02-02 um 18.20.48.png

    Das ist allerdings die relevante Einstellung:

    Bildschirmfoto 2016-02-02 um 18.21.37.png

    Und das ist garantiert nicht standardmässig eingeschaltet und da steht - oh Wunder - (wenn auch deutlich abgeschwächt) meine Warnung.

    Und jetzt ist Schluss mit Nachhilfe.
     
  14. Wuchtbrumme

    Wuchtbrumme Filippas Apfel

    Dabei seit:
    03.05.10
    Beiträge:
    8.858
    Für mich ist das hier Freizeit. Es ist auch nicht das erste Mal, dass Du mich - oder andere - meinst, belehren zu müssen und auf wirklich übelste Art anferzt. Von daher: willkommen in meinem Killfile - ich kasper doch in meiner freien Zeit nicht noch mit Problemfällen rum.
     
    #14 Wuchtbrumme, 02.02.16
    Zuletzt bearbeitet: 02.02.16
  15. soramac

    soramac deaktivierter Benutzer

    Dabei seit:
    08.08.12
    Beiträge:
    2.367
    Find ich nicht.
     

Diese Seite empfehlen