Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum>Software>OS X Server Frage: wenn ich unter Zugang z. Server 'Lokales Netzwerk' wähle...

OS X Server Frage: wenn ich unter Zugang z. Server 'Lokales Netzwerk' wähle...

fadenschein08.09.1517:55
Wenn ich unter Zugang z. Server 'Lokales Netzwerk' wähle, bin ich dann tatsächlich auf lokalen Zugriff beschränkt, oder

Kann ich prinzipiell über eine VPN Verbindung, die mein Router zur Verfügung steht, auch auf den Server zugreifen?

Mir ist klar, dass OS X Server auch einen eigenen VPN Dienst anbietet, und dass ich bei 'Zugang zu Ihrem Server' dann die Option 'Lokales Netzwerk und VPN' wählen müsste. Den OS X eigenen VPN Server will ich aber gar nicht benutzen.

Ich weiß - die Frage ist sehr allgemein und es gibt viele Wenns und Abers und eigentlich sollte man als Laie nicht an Servern rumbasteln, aber ich traue mich trotzdem zu fragen...

Danke also, wer mir trotzdem einen Tipp gibt,
Fadenschein.

OS X 10.10.5 Yosemite Server
0

Kommentare

MacRudi08.09.1517:59
Du kannst auch auf alle Server in allen per VPN verbundenen anderen Netzen zugreifen (per IP-Adresse).
0
fadenschein08.09.1518:12
Danke
0
MikeMuc08.09.1518:19
Ich dachte "Lokales Netzwerk" heißt lediglich das der Mac dann im lokalen Netzwerk sucht und dir dann die Rechner anzeigt die AFP / SMB per Bonjour anbieten anzeigt (also das was du auch in der Seitenleiste im Finder sehen kannst). Ob dir per VPN verbundene Geräte mit angezeigt werden hängt von anderen Dingen ab. Normalerweise ist Bonjour wirklich nur lokal. Wenn du von "außen" auf deinen Server zugreifen willst dann wirst du den eher / besser direkt mit AFP://interneip ansprechen. Egal ob das VPN vom Router oder Server zur Verfügung gestellt wird.
0
MacRudi08.09.1519:36
Was ich mich schon seit längerer Zeit frage: welche Dienste/Protokolle laufen eigentlich alle, die einem einen Rechner im Netz im Finder anzeigen? Und: gibt es eine Möglich- keit, dass zwei meinetwegen Macs als Server in zwei verbundenen VPN sich die Rechner des jeweils anderen Standorts austauschen und zur Auswahl anbieten?
0
fadenschein08.09.1521:10
@MikeMuc
Danke für den weiteren Hinweis

@MacRudi
Weiß ich natürlich nicht, aber vielleicht kann jemand anderes helfen...
0
MikeMuc09.09.1500:12
Hmm, irgendwie hatte ich auf die Fragen von MacRudi schon geantwortet. Scheint aber nicht durchgekommen zu sen oder ich hab die Antwort nur geträumt.
Dienste werden beim Mac mit Bonjour bekanntgegeben. Bei Windows glaube ich mit NetBios, vielleicht auch was aktuellerem. Beide Protokolle "enden" normalerweise am Router und werden nicht nach außen gerouted. Es gibt zwar Wide-Area-Bonjour aber das muß extra konfiguriert werden. Eventuell gibt es auch anders Lösungen. Da werden echte Netzwerker sicher genaueres zu schreiben können.
0
dreyfus09.09.1500:55
Lokales Netzwerk wird durch die IP Adresse und Subnetzmaske bestimmt. Vergibt der VPN Router Adressen im selben Netz, dann sind die verbundenen Geräte lokal. Vergibt der Router für VPN Adressen in einem anderen Subnetz oder VLAN (bspw. in größeren Firmen ist es üblich VPN Clients erstmal in ein Wartungsnetzwerk zu schicken, um bspw. den Status der Softwareupdates und die Aktulität des Virenscanners zu prüfen, andere schränken bestimmte Freigaben auf tatsächliche lokale Zugriffe ein uswusf.), dann nicht.
0
MikeMuc09.09.1508:08
@drayfus
Das heißt du siehst, sofern du dich per VPN einwählen die gleichen Rechner in der Seitenleiste wie wenn du vor Ort im gleichen Netz bist. Ist mir nich nicht passiert. Ist aber nur meine persönliche Erfahrung.
Es wird eben nicht alles durch ein VPN geroutet. Es hängt nicht nur vom Netzerkbereich ab sondern auch von den Protokollen.
0
dreyfus09.09.1508:51
MikeMuc: Das mag, je nach Hardware und/oder Software, unterschiedlich sein, da fast alle Router ja auch als Firewall etc. arbeiten können. Das VPN Protokoll an sich ist nur ein Tunnel, der die Verbindung in das Netz verschlüsselt, alles anderen Einschränkungen (RADIUS Authentifizierung, Firewall, Schutzfilter und was es noch alles gibt) sind kein Grundbestandteil von VPN, aber fast immer in irgendeiner Form implementiert.

Nur, da wir nicht wissen, um was für einen Router es geht und welche zusätzlichen Funktionen aktiviert sind... kann man da nur herumraten. Mit einer reinen VPN Verbindung ohne zusätzliche Portsperren, Netzwerkschutzserver etc. ist der Rechner lokal und taucht auch in der Seitenleiste auf.
0
MikeMuc09.09.1509:05
Dann einigen wir uns so:
Macht der Macserver das VPN so ist die Wahrscheinlichkeit höher das er auch auf der anderen Seite des VPNs zu sehen ist. Drucker mit eigenem Server eher nicht.
Geht das VPN über einen Router dann ist eher nix zu sehen (SoHo-Router etc).
0
dreyfus09.09.1509:19
MikeMuc: Ja. Eine Sache habe ich aber vergessen, die der Vollständigkeit halber hier hingehört: Das Auffinden über Bonjour funktioniert mit "normalem" VPN nicht, da Bonjour ein Multicast-Protokoll ist, das standardmäßig nicht über VPN geroutet wird... das Auffinden anderer Rechner (und die Anzeige in der Seitenleiste) geschieht hier nur über DNS. (Es muss also in der VPN Konfiguration ein gültiger lokaler DNS Server angegeben sein und/oder über DHCP zugewiesen werden.) Will man Bonjour über eine VPN Verbindung ermöglichen, braucht man ein sog. Bridged VPN (anstatt dem regulären Routing Modus).
0
fadenschein09.09.1510:46
dreyfus
Will man Bonjour über eine VPN Verbindung ermöglichen, braucht man ein sog. Bridged VPN (anstatt dem regulären Routing Modus).

Sehr interessanter Hinweis - vielen Dank. Tatsächlich funktioniert Bonjour bei mir via VPN über Router nicht. Ich habe bislang keinen Heilungsversuch unternommen, weil ich den Komfortnachteil verkraftbar finde und außerdem bislang keine Idee hatte, wie man es lösen könnte.
0
MikeMuc09.09.1511:09
@ drayfus . Ja, das schrieb ich doch schon in meinem ersten Post das Bonjour etc. "normalerweise" eben nicht durchs VPN gehen. Wer das also will ist nicht mehr bei "Karo einfach" und muß sich mehr mit der Materie auseinandersetzen.

Manchmal reicht es ja schon wenn man den DNS auf der andren Seite entsprechend einrichtet damit zB. Drucker funktionieren sofern die über ihre IP eingerichtet wurden und es Sin macht auf entfernten Druckern auszudrucken. Oder der Server über seinen Namen gefunden wird.

Könnte zB. eine Fritzbox überhaupt ein "bridged VPN"?
0
dreyfus10.09.1503:58
MikeMuc
Manchmal reicht es ja schon wenn man den DNS auf der andren Seite entsprechend einrichtet damit zB. Drucker funktionieren sofern die über ihre IP eingerichtet wurden und es Sin macht auf entfernten Druckern auszudrucken. Oder der Server über seinen Namen gefunden wird.

Könnte zB. eine Fritzbox überhaupt ein "bridged VPN"?

DNS sollte dafür eigentlich immer reichen, da alle Betriebssysteme das eigentlich hinbekommen, auch ohne Bonjour. Bonjour erleichtert (bzw. eliminiert) ja nur die Notwendigkeit, viel zu konfigurieren. Ein VPN ohne zusätzliche Einschränkungen stellt, wie gesagt, eine Verbindung her, die (von der Bandbreite vielleicht abgesehen) mit einer lokalen unter den meisten Aspekten identisch ist. Multicasts und DHCP Requests ohne spezielles Gateway gehören zu den Ausnahmen.

Ich kenne mich leider nicht besonders mit Fritzboxen aus (und würde die für etwas Unternehmenskritisches auch nie verwenden)... angeblich lassen sich aber dort LAN Ports in den Bridge Modus schalten. Danach sollte die Box selbst eigentlich nur noch als Modem arbeiten und das an den Port angeschlossene Gerät (also der VPN Router oder Sever mit entsprechender Software) sollte die eigentliche VPN Funktionalität bereitstellen. (Bitte diese Aussage mit Vorsicht geniessen. Wie gesagt, Firtzboxen sind absolut nichts, wozu ich viel sagen kann.)

Echte dedizierte VPN Router können das eigentlich immer, Windows Server (über die Routing und RAS Rolle) können das von Hause aus, OpenVPN kann das (bspw. kostengünstig auf Linux Servern), SoftEther VPN kann das (sogar mit Authentifizierung über ActiveDirectory wenn nötig, also oft nötig)... Das sind nur so die Lösungen, mit denen ich schon gearbeitet habe. Ist sicher nicht vollständig.
0
blubblablax
blubblablax10.09.1508:01
MikeMuc
Könnte zB. eine Fritzbox überhaupt ein "bridged VPN"?
Die FritzBox bietet von Haus aus nur Layer3-VPN auf IPSec-Basis an (kompatibel zu den alten Cisco VPN Clients).

Um eine Layer2-Bridge als VPN aufzusetzen müsste für die Fritzbox ein eigenes Image kompiliert werden (Stichwort Freetz). Ohne tiefgreifendes Linux-Wissen geht das allerdings schnell auch mal gegen den Baum.

Alternativ böte sich an (wie Dreyfus schon schrieb), eine Software-Lösung wie OpenVPN auf einem Gerät hinter dem Router aufzusetzen (z.B. Linux-NAS - neuere bieten auch an, VMs darauf zu starten, oder bequemerweise ein ausrangierter Mac mit entsprechender Software). Die SSL-VPNs brauchen dann auf dem Router nur eine Port-Weiterleitung (443) zum internen Gerät.
„|-o-| <o> |-o-| ...The force is strong with this one...“
0

Kommentieren

Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.