Zentyal - Remote administrieren

[weißnix]

Natürlich gibts Fallstricke:

1. Speedport Router
Machen kein NAT-Loopback, d.h. Zugriffe auf die WAN-Adresse sind aus dem LAN geblockt. Zum Testen unbedingt externen Anschluss benutzen.

2. Firewalls z.B. Firmennetzwerke
Wenn der Remoteport 1194 gesperrt ist, klappts nicht. Dafür haben wir aber beidseitig Zugriff (Der Angreifer sitzt im Netz  ; Worstcase für Admins)
Meine Variante: Ich leite im Router Port 110 auf 1194 um. Dadurch erreiche ich meinen Server auf meinserver:110. Den Remoteport soll unser Admin mal sperren. 
Diese Variante erfordert dasAnpassen des Ports im jeweiligen Clientfile (.ovpn mit beliebigem Editor)

3. Vorsicht mit der OPTION Redirect Gateway
Das gibt an Anschlüssen mit niedrigem Upload Probleme 

Im Allgemeinen komt man durch Auswertung aller Logdateien aber der Ursache auf die Spur. Hauptsächlich dafür hab ich webmin auf dem Server laufen. Außerdem hab ich so bequemen Zugriff aufs Dateisystem. (an Templates rumbasteln  )

Angehängt hab ich mal einen Screenshot der Serverconfig (vpn2.png) und von der GUI (vpn.png).

[majestyx]

standart install zentyal...
subscription zu "zentyal cloud" 4free = dynDNS like "myservername.zentyal.me"

dann hab ich ssh zugriff übern std.-port. und sogar httpS von überall aus?! - Firwall abschalten bei nem (mail) server der vom inet aus erreichbar ist ist ne sehr schlechte Idee.

Äh, nee: Server Admin mit 'nem Smartfon? #facepalm ....

https://media.ccc.de/browse/congress/2013/

[majestyx]

Zensur heißt nun "Zugangsberechtigung" ?! Like 1984 ... Ich hab selbst 2 Kinder, statt Sie geistig ein zu sperren rede! ich mit denen...
#WTF !!

[weißnix]

sry, majestix -- da komm ich jetzt nicht ganz mit.

1. Zensur: Es gibt heutzutage jede Menge Jugendliche, die ohne Internet (vermeintlich) nicht mehr leben können. Jedoch halte ich dezente Zugangsbeschränkungen bzgl. Zeiten und Inhalten für richtig. Bezüglich des redtube-desasters und der Yahoo
-Panne ist ein Contentfilter durchaus sinnvoll. Ich stehe vor allem auf zentrales AD-Blocking.
Ich freue mich, wenn Du der perfekte Vater bist. Das kann und will ich so für mich nicht in Anspruch nehmen.

2. Wann schrieb ich von Serveradministration über Handy?
Ich habe nur einen Port nach aussen offen. Über diesen läuft der VPN-Server. In erster Linie um von überall, also auch von ungesicherten Standorten, offenen WLans usw. meine Mails abzurufen.
Nebeneffekt des ganzen ist, das ich dadurch ein Look&Feel wie aus meinem heimischen Netzwerk habe. Warum darf das so nicht stehen bleiben.

Mir ist nicht ganz klar, wie ich diesen persönlichen Angiff verdient habe, aber das ist in manchen Foren wohl Standard... 

[weißnix]

standart install zentyal...
subscription zu "zentyal cloud" 4free = dynDNS like "myservername.zentyal.me"

dann hab ich ssh zugriff übern std.-port. und sogar httpS von überall aus?! -

Muß man da nicht Port 22 und 443 nach aussen aufmachen?

 

Firwall abschalten bei nem (mail) server der vom inet aus erreichbar ist ist ne sehr schlechte Idee.

Wer schaltet denn die Firewall ab?

[majestyx]

wenn die ports (https/ssh) per default geschlossen wären hättest du schon beim/nach dem setup ein problem die zentyal kiste im LAN zu erreichen?! mein zentyal-GUI rennt sogar auf nem anderen port. den default https brauch ich für meine user. im Z-GUI ist sogar 'ne option um den "https-port" NUR für das Z-GUI zu ändern. - dann muss allerdings auch eine Fw-Regel diesbezüglich existieren.

du kannst aber mal in den Fw-Regeln der Zentyal Install. mal gucken. Bei mir war mal bspw. der LDAP zugriff zwar als Regel vorkonfiguriert, aber "abgeschaltet" (verboten)

Fw abschalten, laß ich hier irgendwo am anfang des megapostings hier

[weißnix]

Die Sache mit dem LDAP-Port hatte ich schonmal unter Z2.0.
Unter den Firewallregeln find ich explizit nur die allow-Regeln von intern zu Zentyal. Von extern is da nicht viel. Muß ich mal gucken.
Aber ist ein guter Hinweis. Mir war so, als hätte ich da am Ende irgendeiner Regelkette sowas wie "deny all" gehabt. Das würde ich so deuten, das alles was nicht explizit erlaubt ist, auch nicht geht.

Vom "Perimeterrouter" zu Zentyal wird jedenfalls absichtlich nur OVPN weitergeleitet.

[majestyx]

achso, $client mit VPN aus zu statten und dann damit Admin zugriff via LAN find ich auch ganz nett. hab ich auch schon gemacht...
sicher ist nur: womit DU! dich auskennst und was dir am praktikabelsten ist. 

[kahi_de]

NEtzwerk - Dienste - neuen eintrag

name: rdp

hinzufügen

danach: Konfiguration

neuer Eintrag

TCP/UDP
any
ein port 3389

Hy ich bin Neuling,
Wenn man einen Fehler in diesen Einstellungen gemacht hat, kann man diese unter zentyal nicht löschen.

Gibt es eine *.conf oder einen andere Zugriff (SQL) auf meinen Eingabefehler, zum korregieren bzw. löschen.

[kahi_de]

Ich habe es durch Zufall gefunden. Vielleicht sollte man für einige Probleme eine Nacht darüber schlafen.

[stm999999999]

Vielleicht sollte man für einige Probleme eine Nacht darüber schlafen.

Auch wenn die Nächte dann manchmal unruhig werden, ja, manchmal hilft das :-)

[Torsten73]

Hi Jungs,
irgendwie etwas schwer dem Inhalt hier zu folgen mit den ganzen gelöschten Inhalten ...

Zum Thema:
Also im Zeitalter der schnellen Netze muß man nicht zwingend auf rdp oder vnc umsteigen. Es gibt unter Linux die Möglichkeit den Xserver zu tunneln. Ich verwende dafür unter Windows ein geniales Prog dass einen X-Server drin hat. Mobaxterm heißt es und ist kostenlos. Hat alles drin was es gibt, auch vnc und alle anderen Remote Protokolle.

Kombiniert mit meinem VPN Tunnel ist das einfach genial. Mann kann auch vom ssh Terminal aus x programme laufen lassen, z.B. den Webbrowser. Obwohl das hier kaum Sinn macht, da es ja auch bei aktivem VPN auch direkt am lokalen Browser geht. Aber wer mal gpartet braucht oder odere Tools die eine Gui auf dem Server haben macht das schon sich nützlich.

Oder wer sich mit VPN bzw OpenVPN nicht rumschlagen will, der nimmt eine Fritzbox mit OS 6, da ist ein IPSEC VPN drin enthalten, was noch dazu sehr simpel einzurichten ist. IPSec kann Zentyal zwar auch, muß dabei aber als Gateway fungieren mit 2 Lans. Und die BDSJM Module und Regeln in der Fritze sind einfacher Bedienbar als in Zentyal