Zentyal Forum, Linux Small Business Server
International => German => Topic started by: Nicklz on December 23, 2013, 12:10:47 am
-
Hey,
ich bin immer noch zentyal newbie und hoffe das mir hier jemand helfen kann:
Ich muss von extern auf meinen Server zugreifen können.
Was ich von extern bräuchte wäre: Zugriff auf die Zentyal-Admin-Oberfläche, den Dateibrowser und ein Terminal wäre ganz schick.
Ich kenn mich technisch nicht genug aus, habe nur gelesen das es RemoteDesktop (TightVNC oder VNC) und VPN gibt. Ein DYNDNS-Account hab ich. DSL-Bandbreite ist kein Problem.
Was ist die sicherste Variante, was muss am Server eingerichtet werden?
Danke für Eure Hilfe:
.. uns allen schon mal: schöne Weihnachten :D
Nicklz
-
ist Dein Zentyal dein Internet-Gateway? Oder steckt er hinter einem (Telekom,whatever) Router? Wenn letzteres, dann mußt Du da erstmal eine Portweiterleitung auf den Server einrichten:
443 für die Weboberfläche (https) und 3389 (rdp)
ich habe mir dann mittels
sudo apt-get install xrdp
sudo apt-get install Tightvncserver
die nötigen Ubuntu-Pakete installiert.
Dann noch in der Firewall das freigeben: siehe oben, wie sieht Dein Netzwerk aus? Das ist hier nämlich wichtig. Weiteres später ...
-
danke für die schnelle Antwort: :D
Der Server ist hinter einem Telekom-Router W722V, hat 2 Netzwerkkarten (1x Router zu Zentyal, 1x Zentyal zu LAN-Clients...... arbeitet dann wahrscheinlich als Gateway!? sorry, ich kenn mich da nicht genug aus. :P
443 für die Weboberfläche (https) und 3389 (rdp): .... die Ports muss ich im Router und im Server weiterleiten?
hab xrdp und Tightvncserver installiert. Firewall am Server erstmal ausgeschaltet. wie weiter?
Danke.
-
Der Server ist hinter einem Telekom-Router W722V, hat 2 Netzwerkkarten (1x Router zu Zentyal, 1x Zentyal zu LAN-Clients...... arbeitet dann wahrscheinlich als Gateway!?
Das ist richtig: Zentyal arbeitet als Gateway
443 für die Weboberfläche (https) und 3389 (rdp): .... die Ports muss ich im Router und im Server weiterleiten?
443 und 3389 sollen weitergeleitet werden im Router zum IP Adresse vom Zentyal server. Im Server die Firewall (External networks to Zentyal) solte Zentyal Administration freigeben werden. Für rdp sollte ein neuen service kreiert werden für port 3389 und auch diesen service im Firewall (External networks to Zentyal) freigeben.
-
Robb hat erstmal das weiter Vorgehen beschrieben, wie ich es auch gemacht habe. Wenn es noch Probleme oder Fragen gibt, einfach her damit :)
-
443 für die Weboberfläche (https) und 3389 (rdp): .... die Ports muss ich im Router und im Server weiterleiten?
443 und 3389 sollen weitergeleitet werden im Router zum IP Adresse vom Zentyal server. Im Server die Firewall (External networks to Zentyal) solte Zentyal Administration freigeben werden. Für rdp sollte ein neuen service kreiert werden für port 3389 und auch diesen service im Firewall (External networks to Zentyal) freigeben.
RDP: wie ist das mit dem Service für port 3389 gemeint? ..... sorry, für die Anfänger-Frage.
-
NEtzwerk - Dienste - neuen eintrag
name: rdp
hinzufügen
danach: Konfiguration
neuer Eintrag
TCP/UDP
any
ein port 3389
-
Hab alles beschrieben eingerichtet aber RDP will irgendwie nicht funktionieren..
RDP: beim Verbinden von MS Remotedesktop mit Zentyal bricht der Login mittendrin ab. Gibt es da ein Log.File oder so was?... Screenshot konnte ich nicht machen. hab xrdp nochmal neuinstalliert: auch keine Hilfe.
mit Zentyal 3.0 hats funktioniert. bei Zentyal 3.3 gehts jetzt nicht mehr.... hab ich was vergessen?.... kann jemand helfen.
>Thanx@all
-
du hast nur xrdp installiert? Ich mußte noch Tightvncserver installieren müssen.
Um Firewallprobleme auszuschließen: Mal remmina installiert und direkt vom Server auf den Server per rdp gehen?
-
Hallo zusammen,
ich betreibe schon seit einiger Zeit einen Zentyal-Server, der mittlerweile in meinem Heimnetz auch als Gateway fungiert.
Für alle Remote-Zugriffe habe ich ds VPN-Modul konfiguriert.
Das hat folgende Vorteile, vor dem bisher gelesenen:
1. Es ist nur eine Portweiterleitung im vorgeschalteten Router-Modem nötig
2. Die VPN-Verbindung ist verschlüsselt
3. Innerhab dieses VPN finden bei mir ALLE Remotezugriffe statt also
-Administration
-Samba-Shares
-Mailverkehr
Für mich war das bisher die beste (vllt auch sicherste) Variante.
Gruß
weißnix
-
Ergänzend:
Auf dem Remote Client benötigt man einen
Openvpn-Client. Die Installation war bisher weder bei mir in der Firma noch auf meinen (Android) Handys problematisch.
Damit kann ich dann p. ssh, webmin oder zentyal-admin konfigurieren und erreiche ausserdem alle anderen Clients in meinem heimischen Netzwerk.
Mit dieser Lösung Tunnele ich auch problemlos aus unserem (etwas wahllos) "gefirewalltem" Firmennetz heraus 8) .
-
Hab tightvncserver bei zentyal 3.3 vergessen: ist jetzt installiert, MS Remotedesktop funktioniert. Danke stm999999999. ;)
Wie funktioniert das mit VPN? ... hört sich sicherer an. könntest Du mal eine kurze Anleitung posten.
Danke.
-
Ich gehe hier mal von meiner Konfig aus:
Im Modul CA
1. VPN-Serverzertifikat generieren (vpn)
2. Für jeden Client ein eigenes Zertifikat erstellen (vpn.client1;vpn.client2;...)
Im Modul VPN-Server
1. neuen Eintrag in Serverliste erzeugen (home)
2. Konfiguration bearbeiten:
Protokoll TCP
Port 1194
VPN-Adresse 192.168.160.0/24
Serverzertifikat: vpn
VPN-Benutzerzugriff über Zert.: vpn
x TUN
x NAT
Network-IF angeben!
das wars hier
Änderungen übernehmen
Benutzerdateien runterladen
Typ: Windows (werden als zip angeboten)
Zertifikat des benutzers: hier dann jeweils vpn.client.. auswählen
wahlweise Installationspaket
Adresse des Servers: Dein DynDNS URL
Für Android nehme ich OpenVPN connect
Im wesentlichen sind das die Schritte.
Viel Spass
PS: ZUgriff auf Web-IF dann von remote ganz normal https://deinzentyal
auf webmin-if https://deinzentyal:10000
Bei etablierter VPN-Verbindung befindest Du Dich in deinem Netz und kannst alles machen, als wärest Du zuhause ;)
Für mich gibt es da keinen Unterschied, denn mein Server wird "Headless" also ohne Monitor/Tatsatur betrieben.
-
Die Client-Zertifikate sind per Computer und nicht per User, richtig?
Und bei VPN Clients / Liste der Clients muß nix gemacht werden?
und ein letztes: Kann es sein, daß openvpn auf Win7 mit Admin-Rechten gestartet werden muß?
-
Die Client-Zertifikate sind per Computer und nicht per User, richtig?
und ein letztes: Kann es sein, daß openvpn auf Win7 mit Admin-Rechten gestartet werden muß?
Ja und Ja
Pro Remote Client wird ein Zertifikat benötigt. Dadurch ist jeder Client im Protokoll und auf der GUI einzeln identifizierbar. Wer darauf verzichtet wählt bei Benutzerzugriff über Zertifikat: deaktiviert.
Dann genügt irgendein Zentyal-Zertifikat (hab ich nicht getetestet). Bei der Einzelzertifikatvariante wird jeder Doppelloginversuch pro Zertifikat abgewiesen.
Das mit den Adminrechten unter Windows hab ich glatt unterschlagen. Hier hat man außerdem die Wahl, OVPN als Dienst zu installieren.
Das ermöglicht den Autoconnect im Hintergrund.
Und bei VPN Clients / Liste der Clients muß nix gemacht werden?
Die VPN-Client (Zentyal-GUI) ist für die Login's gedacht, wo Zentyal den Client darstellt. Also z.B. Zentyal-Zentyal Tunnel.
-
Natürlich gibts Fallstricke:
1. Speedport Router
Machen kein NAT-Loopback, d.h. Zugriffe auf die WAN-Adresse sind aus dem LAN geblockt. Zum Testen unbedingt externen Anschluss benutzen.
2. Firewalls z.B. Firmennetzwerke
Wenn der Remoteport 1194 gesperrt ist, klappts nicht. Dafür haben wir aber beidseitig Zugriff (Der Angreifer sitzt im Netz 8); Worstcase für Admins)
Meine Variante: Ich leite im Router Port 110 auf 1194 um. Dadurch erreiche ich meinen Server auf meinserver:110. Den Remoteport soll unser Admin mal sperren. ;D
Diese Variante erfordert dasAnpassen des Ports im jeweiligen Clientfile (.ovpn mit beliebigem Editor)
3. Vorsicht mit der OPTION Redirect Gateway
Das gibt an Anschlüssen mit niedrigem Upload Probleme :(
Im Allgemeinen komt man durch Auswertung aller Logdateien aber der Ursache auf die Spur. Hauptsächlich dafür hab ich webmin auf dem Server laufen. Außerdem hab ich so bequemen Zugriff aufs Dateisystem. (an Templates rumbasteln ::) )
Angehängt hab ich mal einen Screenshot der Serverconfig (vpn2.png) und von der GUI (vpn.png).
-
standart install zentyal...
subscription zu "zentyal cloud" 4free = dynDNS like "myservername.zentyal.me"
dann hab ich ssh zugriff übern std.-port. und sogar httpS von überall aus?! - Firwall abschalten bei nem (mail) server der vom inet aus erreichbar ist ist ne sehr schlechte Idee.
Äh, nee: Server Admin mit 'nem Smartfon? #facepalm ....
https://media.ccc.de/browse/congress/2013/
-
Zensur heißt nun "Zugangsberechtigung" ?! Like 1984 ... Ich hab selbst 2 Kinder, statt Sie geistig ein zu sperren rede! ich mit denen...
#WTF !!
-
sry, majestix -- da komm ich jetzt nicht ganz mit.
1. Zensur: Es gibt heutzutage jede Menge Jugendliche, die ohne Internet (vermeintlich) nicht mehr leben können. Jedoch halte ich dezente Zugangsbeschränkungen bzgl. Zeiten und Inhalten für richtig. Bezüglich des redtube-desasters und der Yahoo
-Panne ist ein Contentfilter durchaus sinnvoll. Ich stehe vor allem auf zentrales AD-Blocking.
Ich freue mich, wenn Du der perfekte Vater bist. Das kann und will ich so für mich nicht in Anspruch nehmen.
2. Wann schrieb ich von Serveradministration über Handy?
Ich habe nur einen Port nach aussen offen. Über diesen läuft der VPN-Server. In erster Linie um von überall, also auch von ungesicherten Standorten, offenen WLans usw. meine Mails abzurufen.
Nebeneffekt des ganzen ist, das ich dadurch ein Look&Feel wie aus meinem heimischen Netzwerk habe. Warum darf das so nicht stehen bleiben.
Mir ist nicht ganz klar, wie ich diesen persönlichen Angiff verdient habe, aber das ist in manchen Foren wohl Standard...
-
standart install zentyal...
subscription zu "zentyal cloud" 4free = dynDNS like "myservername.zentyal.me"
dann hab ich ssh zugriff übern std.-port. und sogar httpS von überall aus?! -
Muß man da nicht Port 22 und 443 nach aussen aufmachen?
Firwall abschalten bei nem (mail) server der vom inet aus erreichbar ist ist ne sehr schlechte Idee.
Wer schaltet denn die Firewall ab?
-
wenn die ports (https/ssh) per default geschlossen wären hättest du schon beim/nach dem setup ein problem die zentyal kiste im LAN zu erreichen?! mein zentyal-GUI rennt sogar auf nem anderen port. den default https brauch ich für meine user. im Z-GUI ist sogar 'ne option um den "https-port" NUR für das Z-GUI zu ändern. - dann muss allerdings auch eine Fw-Regel diesbezüglich existieren.
du kannst aber mal in den Fw-Regeln der Zentyal Install. mal gucken. Bei mir war mal bspw. der LDAP zugriff zwar als Regel vorkonfiguriert, aber "abgeschaltet" (verboten)
Fw abschalten, laß ich hier irgendwo am anfang des megapostings hier ;)
-
Die Sache mit dem LDAP-Port hatte ich schonmal unter Z2.0.
Unter den Firewallregeln find ich explizit nur die allow-Regeln von intern zu Zentyal. Von extern is da nicht viel. Muß ich mal gucken.
Aber ist ein guter Hinweis. Mir war so, als hätte ich da am Ende irgendeiner Regelkette sowas wie "deny all" gehabt. Das würde ich so deuten, das alles was nicht explizit erlaubt ist, auch nicht geht.
Vom "Perimeterrouter" zu Zentyal wird jedenfalls absichtlich nur OVPN weitergeleitet.
-
achso, $client mit VPN aus zu statten und dann damit Admin zugriff via LAN find ich auch ganz nett. hab ich auch schon gemacht...
sicher ist nur: womit DU! dich auskennst und was dir am praktikabelsten ist.
-
NEtzwerk - Dienste - neuen eintrag
name: rdp
hinzufügen
danach: Konfiguration
neuer Eintrag
TCP/UDP
any
ein port 3389
Hy ich bin Neuling,
Wenn man einen Fehler in diesen Einstellungen gemacht hat, kann man diese unter zentyal nicht löschen.
Gibt es eine *.conf oder einen andere Zugriff (SQL) auf meinen Eingabefehler, zum korregieren bzw. löschen.
-
Ich habe es durch Zufall gefunden. Vielleicht sollte man für einige Probleme eine Nacht darüber schlafen.
-
Vielleicht sollte man für einige Probleme eine Nacht darüber schlafen.
Auch wenn die Nächte dann manchmal unruhig werden, ja, manchmal hilft das :-)
-
Hi Jungs,
irgendwie etwas schwer dem Inhalt hier zu folgen mit den ganzen gelöschten Inhalten ...
Zum Thema:
Also im Zeitalter der schnellen Netze muß man nicht zwingend auf rdp oder vnc umsteigen. Es gibt unter Linux die Möglichkeit den Xserver zu tunneln. Ich verwende dafür unter Windows ein geniales Prog dass einen X-Server drin hat. Mobaxterm heißt es und ist kostenlos. Hat alles drin was es gibt, auch vnc und alle anderen Remote Protokolle.
Kombiniert mit meinem VPN Tunnel ist das einfach genial. Mann kann auch vom ssh Terminal aus x programme laufen lassen, z.B. den Webbrowser. Obwohl das hier kaum Sinn macht, da es ja auch bei aktivem VPN auch direkt am lokalen Browser geht. Aber wer mal gpartet braucht oder odere Tools die eine Gui auf dem Server haben macht das schon sich nützlich.
Oder wer sich mit VPN bzw OpenVPN nicht rumschlagen will, der nimmt eine Fritzbox mit OS 6, da ist ein IPSEC VPN drin enthalten, was noch dazu sehr simpel einzurichten ist. IPSec kann Zentyal zwar auch, muß dabei aber als Gateway fungieren mit 2 Lans. Und die BDSJM Module und Regeln in der Fritze sind einfacher Bedienbar als in Zentyal ;)