OS X Server 10.4 und ip-forwarding

Dieses Thema im Forum "Mac OS X Server, Serverdienste" wurde erstellt von hazweioo, 04.09.2006.

  1. hazweioo

    hazweioo Thread Starter MacUser Mitglied

    Beiträge:
    88
    Zustimmungen:
    0
    MacUser seit:
    09.11.2004
    Hallo,

    irgendwie bin ich ein wenig ratlos. Ich bin dabei auf einem OS X Server 10.4
    ein OpenVPN Dienst einzurichten, dazu muss ich die ankommenden Pakete
    vom VPN ins lokale Netz und umgekehrt routen, also muss ich ip-forwarding
    aktivieren.

    Es gibt dazu unter dem Servermanager unter dem Punkt NAT die Moeglichkeit
    dieses wohl zu tun, aber ich bin etwas unsicher ob dies auch wirklich das tut
    was es soll, denn Apple meint dazu:

    Jetzt schreiben die aber:

    "...and the firewall service must be enabled for the gateway to function..."

    Warum muss die Firewall laufen? Ehrlich gesagt will ich in den Einstellungen
    nicht auch noch rumwuseln muessen. Besteht die Moeglichkeit einfach
    das "nakte" ip-forwarding zu aktivieren ohne grossen Aufstand? Oder komme
    ich nicht um die Firewall drumrum? Der Server Selber braucht die Firewall nicht
    da er hinter einem Router mit entsprechender Funktion steht.

    Wuerde es evtl. reichen mit dem Kommando:

    "sudo sysctl -w net.inet.ip.forwarding=1"

    das Forwarding einzuschalten?

    Waere wirklich klasse wenn mir da jemand weiterhelfen koennte (o:
    Danke.

    ahoi till
     
  2. MaxS

    MaxS MacUser Mitglied

    Beiträge:
    81
    Zustimmungen:
    1
    MacUser seit:
    05.04.2006
    Eine Idee wäre es, den Gateway Setup Assistent zu verwenden. Der realisisert dir genau all diese Schritte (DHCP, NAT, Forwarding, VPN Server aufsetzen).

    Die Firewall muss laufen, weil NAT ein Sub-Dienst der Firewall ist, bzw. Firewall Funktionalität nutzt. In der Tat läuft auch immer automatisch die Firewall wenn NAT aktiviert ist, selbst wenn scheinbar die Firewall (Server Admin) nicht läuft. Im Server Admin wird die Firewall nur als aktiv gekennzeichnet, wenn Du Filterregeln aktiv hast (also es wird Netzwerkverkehr blockiert), nicht, wenn nur die Firewall für die NAT Dienste läuft.
    Wenn Du NAT nicht brauchst, reicht es dieses Kommando abzusetzen und danach die Firewall einzuschalten. Wenn NAT aktiviert wird, wird automatisch das forwarding mit aktiviert. Es muss allerdings immer die Firewall aktiviert sein (wie gesagt, NAT macht das auch automatisch), selbst wenn nicht gefiltert wird (also any-to-any wird erlaubt).

    Wenn es jetzt darum geht VPN aufzusetzen, empfehle ich dringend mit den Voreinstellungen des Gateway Setup Assistenten zu beginnen, dann funktioniert zumindest erstmal alles und du kannst dann nachträglich die Dienst fein-tunen.

    viel Erfolg! Maximilian.
     
  3. hazweioo

    hazweioo Thread Starter MacUser Mitglied

    Beiträge:
    88
    Zustimmungen:
    0
    MacUser seit:
    09.11.2004
    Ahoi,

    Naja neee is keine so gute Idee, erstens macht der ja nich was ich will und
    verzottelt mir das Netzwerk und NAT brauche ich nicht, sonder Routing (o:

    Also wenn der ip-forwarding Dienst ne Subdienst von der Firewall sein soll
    werde ich mich dann mal schlau machen wie ich dann diese Firewall
    ohne ominoesen Regeln naemlich any to any betreiben kann. Danke aber
    erstmal fuer den Tip.

    salut Till
     
  4. minerva

    minerva MacUser Mitglied

    Beiträge:
    1.109
    Zustimmungen:
    0
    MacUser seit:
    02.01.2004
    @MaxS : freu mich Deine Seite online zu sehen ;)

    @hazweioo : warum openvpn?
     
  5. hazweioo

    hazweioo Thread Starter MacUser Mitglied

    Beiträge:
    88
    Zustimmungen:
    0
    MacUser seit:
    09.11.2004
    Ahoi

    OpenVPN aus dem Grund weil ich es fuer flexibler halte fuer meine
    Beduerfnisse. Man kann auch das TCP Protokoll nutzen zBsp. was man
    teilweise brauche um Clients die hinter einer Firewall sitzen ohne grosses
    tam tam in ein VPN zu bekommen und weil man fuer so ziemlich jedes
    OS einen Client hat dafuer (o:

    ahoi Till
     
  6. MaxS

    MaxS MacUser Mitglied

    Beiträge:
    81
    Zustimmungen:
    1
    MacUser seit:
    05.04.2006
    ????
    Also ich bin jetzt kein super VPN Profi aber folgendes dachte ich gilt immer:
    • Der VPN Server von OS X Server setzt auf L2TP, PPTP, IPSec u.a. Für welches proprietäre OS gibt es für diese weit verbreiteten Standards denn keinen Client???
    • In einem VPN muss doch immer TCP eingesetzt werden, sonst geht doch keinen TCP/IP Verbindung, oder wie ist der Kommentar zu TCP hier zu verstehen?? Da steh' ich glaube ich auf dem Schlauch.
    • Wenn eine Firewall wieder zwischen VPN Netz und echtem Hausnetz hängt, benötigt man evtl. wieder NAT, oder?
    • Für das Subnetz, welches ein VPN aufmacht benötigt man eine separate DHCP Zone. Das wird im Server Admin alles gleich mitkonfiguriert, also sehr bequem

    Und überhaupt: wenn Du den OS X Server eigenen VPN Server noch nicht mal zum laufen bekommen hast so wie du dir das vorstellst, woher kommt dann die Idee, dass es mit OpenVPN einfacher und besser wird??? Es fehlt ja dann der Vergleich!

    Ergo: wozu benutzt Du überhaupt den Server? OpenVPN mit Routing kannst Du auch auf jedem anderen Mac auch haben ....

    viele Grüße, Maximilian
     
  7. hazweioo

    hazweioo Thread Starter MacUser Mitglied

    Beiträge:
    88
    Zustimmungen:
    0
    MacUser seit:
    09.11.2004
    Sehr geehrter Maximilian alias MaxS...

    Dafuer haengst du dich aber ganz schoen weit aus dem Fenster, ich habe
    mich mit der Materie nun einige Zeit auseinander gesetzt und wuerde
    solch einen Text wie du ihn hier hinstellst so nicht schreiben wenn ich kein
    Profi waere und selbst wenn ich einer waere kann man das auch freundlicher
    machen! Entschuldige bitte, es klingt fuer mich ein bisschen nach
    "Ich kenne mich zwar nicht aus aber alles was Apple bereitstellt muss
    das beste sein und warum benutzt dieser Noob OpenVPN, anstatt gefaelligst
    das zu nutzen was an Boardmitteln zur Verfuegung steht!?"!

    Vielleicht war mein Text etwas verwirrend aber ich weiss schon was ich
    warum mache! Das bitte ich zu respektieren!

    Mag sein das dem so ist, aber meist sind die zum Teil kostenpflichtig und
    haben mir nicht gefallen. OpenVPN kann man recht schnell auf alle
    Betriebssysteme bringen und es bedient sich auch ueberall gleich.

    Und auch wenn du es nicht glaubst bei diesen Clients muss oft auch noch
    hand an die Konfiguration angelegt werden damit ein Client von Hesteller A
    mit dem Server von Hersteller B funktioniert obwohl das ja sooooo ein Toller
    Standard ist! Und in einem heterogenen Netz ist OpenVPN da recht gut
    zu nutzen weil die Konfig Daten ueberall die gleichen sind. Egal unter welchem
    OS.

    Die L2TP, PPTP, IPSec Varianten setzten fest definierte TCP/UDP Ports
    vorraus ueber die ein Tunnel aufgebaut wird. Du hast nicht die Moeglichkeit
    (soweit mir bekannt) zBsp. eine IPSec Verbindung ueber den TCP Port 80
    zBsp. aufzubauen, diese Moeglichkeit besteht aber unter OpenVPN.

    Ob und wie sinnvoll sowas ist mag auf einem anderen Blatt stehen, aber
    es gibt nunmal bestimmte Situationen wo man einfach flexibel so etwas
    aufbauen muss um Zugriff auf ein VPN zu bekommen weil es anders einfach
    nicht geht.

    Wo hast du das aufgeschnappt? Der Client auf dem du einen Tunnel zu einem
    VPN Server aufbaust, sitzt ja erstmal in einem Netzwerk welches diesem
    Client Zugriff auf das Internet geben sollte damit der Client ueber
    das Internet zugrif auf den VPN Server bekommt. Und da kommt es vor
    das dieses Lan in welchem der Client ist eine Firwall den Zugriff auf das
    Internet regelt die nicht alle TCP/UDP Ports durchlaesst.
    Diese laesst dann zBsp. nur TCP Verbindungen fuer die Ports 25, 80,
    8080 und 443 durch. Da kannst du dann keine IPSec Verbindung aufbauen die
    soweit mir bekannt den UDP Port 4500 nutzt, du kommst also mit dem
    VPN Client nicht auf den VPN Server! Evtl. magst du den Admin kennen
    der dir den Port oeffnen kann, aber das ist eben leider nicht immer der Fall.

    Nun mit OpenVPN kannst du einen Tunnel auch ueber den TCP Port 443
    aufbauen da dieser in den meisten Faellen in jeder Firewall nutzbar ist, denn
    eigentlich wird er ja genutzt um zBsp. ein SSL Verbindungen fuers
    Onlinebanking bereitzustellen.

    Diese Moeglichkeiten hast du mit diesen etablierten VPN Loesungen
    einfach nicht. Die setzen Standard Ports meist vorraus.

    Das macht OpenVPN ebenso einfach!

    Wer hat gesagt dass ich das nicht zur genuege ausprobiert haette?
    Also es tut mir leid, du sagst das du kein Profi bist, schreibst hier aber sehr
    hochnaesig dein Halbwissen, ich finde das recht frech! Aussedem habe ich
    diesen Beitrag nicht erstellt um ueber Sinn oder Unsinn von OpenVPN mit
    Leuten zu diskutieren die keinen Schimmer haben wieso man sich fuer solche
    Loesungen entscheidet bzw. entscheiden muss. Ja mir waere es auch lieber
    eine "bunte-klick-hier-und-alles-funktioniert-wie-du-willst" Applikation zu
    nutzen, es geht aber leider nicht immer wie man will, auch nicht unter OS X!

    Bitte denke mal ueber das was du von dir gibst, vor allem auch ueber den Stil
    nach bevor du anderen Leuten Belehrungen verabreichst was deiner Meinung
    nach angeblich besser fuer sie waere!

    Und bevor du dich mit deinen Behauptungen hier das naechste mal hinstellst
    mach du dich erstmal Kundig, denn ich glaub du bist der jenige der sich nicht
    damit beschaeftigt hat. Wie schreibst du so schoen:

    "Es fehlt ja dann der Vergleich!"

    ahoi Till
     
  8. slowfranklin

    slowfranklin MacUser Mitglied

    Beiträge:
    233
    Zustimmungen:
    5
    MacUser seit:
    28.11.2005
    Als Referenz für Einsteiger ins Thema immer wieder gut:
    heise.de

    -Ralph
     
  9. MaxS

    MaxS MacUser Mitglied

    Beiträge:
    81
    Zustimmungen:
    1
    MacUser seit:
    05.04.2006
    Lieber hazweioo alias Till :)

    Jetzt komm' mal wieder runter und denk lieber selber mal über den Stil und die Wirkung deiner Postings nach! Was soll ich denn davon halten?

    Schlaf mal drüber und überleg, ob dich hier wirklich einer "hochnäsig" mit "Halbwissen" angepflaumt hat oder ob du das nicht vielleicht einfach in den falschen Hals bekommen hast und ein bisschen überreagierst.

    Du hast halt in einem Server-Forum geschrieben dass du Routing aktiviert bekommen willst und VPN aufsetzen willst. Und mit beidem kenn ich mich schon aus, keine Sorge.

    Es ist doch nur natürlich, dass wenn du im Server Forum nach VPN frägst, man zuerst an den eingebauten VPN Server denkt. Gut, du willst unbedingt OpenVPN einsetzen, dafür braucht's halt dann auch keinen OS X Server und darum ging's mir.

    Du darfst dir dann ein bisschen Nachfragen schon gefallen lassen, was denn jetzt konkret damit nicht geht. Es gibt leider genügend pseudo UNIX/Linux User/Admins die irgendetwas unter Mac OS X versuchen nachzubauen was eigentlich schon da ist. Schön, dass du da offensichtlich nicht dazu gehörst!

    Also bitte, keiner weiss alles. Verärgen wollte ich hier keinen, sondern es war die Suche nach Verständnis für deine Problemstellung, die ja nun ein bisschen klarer wurde, denn nur dann kann man auch am besten helfen.

    Ich hoffe du hast das Routing jetzt hinbekommen.

    Viele Grüße, Maximilian
     
  10. MaxS

    MaxS MacUser Mitglied

    Beiträge:
    81
    Zustimmungen:
    1
    MacUser seit:
    05.04.2006
    Ja, wirklich sehr gut! Nur zu empfehlen.

    viele Grüße, Maximilian.
     
Die Seite wird geladen...