Webdav nur über VPN zulassen

Michael-Forum

Aktives Mitglied
Thread Starter
Dabei seit
15.06.2007
Beiträge
103
Reaktionspunkte
0
Folgendes Szenario kriege ich irgendwie nicht gelöst :
LionServer hinter einer Fritzbox
Auf dem Server aktiviert : VPN und WebdDav
Diverse (notwendige) Ports in der Fritzbox geöffnet.
Fileverzeichnis eingerichtet und Nutzer entsprechend berechtigt

Was geht und was nicht :
- VPN Tunnel zum Server funktioniert (Server weisst mir eine korrekte interne IP-Adresse zu)
- Zugriff über GoodReader (Webdav) funktioniert aus dem Internet auf das Verzeichnis - leider aber auch ohne VPN
- Versuche ich nun im LAN über Goodreader auf das Webdav-Verzeichnis zuzugreifen, lässt er mich noch die Nutzerkennung eingeben und sagt dann keine Berechtigung

Nun die konkreten Fragen :
1.) Warum erhalte ich im LAN keine Zugriff auf das Webdav?
2.) Wie bringe ich dem Server bei, dass ich nur über VPN zugriff auf das Verzeichnis haben will? Reicht es den Port 80 zu sperren?

Vielen Dank
 
Ich gehe mal davon aus, dass Du den Server in der Fritzbox komplett freigegeben hast?
—> Ändern; nur die für VPN notwendigen Ports freigeben.

Warum es lokal nicht geht? Keine Ahnung. Wie sind die Einstellungen?
Eines was ich mir vorstellen könnte: die Antwortzeiten sind zu lang.
 
Beschäftige Dich bitte mit der ipfw. Die Konfiguration selbiger wird alle Deine Probleme lösen.

Nachtrag:

Und zur Vereinfachung mit ipfw empfehle ich, wie eigentlich immer :), 'WaterRoof' für den Mac.
 
Vielen Dank für die Tipps.
WaterRoof ist schon ein mächtiges Tool bei dem man aber auch einiges verbiegen kann.
Habe es letztendlich auch einfach hinbekommen... habe die Ports 80 und 443 aus der Portliste geschmissen und schon muss ich über VPN gehen um auf den Server zu kommen. Zugriff mittels WebDav klappt nun auch Intra wie auch Internet.
 
Wenn Du eh lediglich via VPN auf deine Daten zugreifen wirst, ist WebDAV als Dienst eher eine suboptimale Wahl.
Hier sind im VPN sodann typische Dienste wie AFP oder SMB die bessere Wahl. Sprich, eben so wie Du lokal auch auf Deine Daten zugreifen würdest.

Wenn es Dir um Kompatibilität mit Clients geht, die nur auf entfernte Daten via WebDAV zugreifen können, dann machs direkt via WebDAV ohne den Umweg mit VPN.
Du kannst gerade mit Lion wunderbar die Nutzerrechte neben den AFP und SMB Diensten auch auf WebDAV übertragen. Da per Default der Standart WebDAV Zugang (Port 80) via Digest erfolgt, ist es auch was das angeht sicher. Noch sicherer wäre via Https (Port 443), aber ... das verlangt auf deiner Serverseite nach einem beglaubigten Zertifikat, damit z.B. a) im Browser nicht immer die Warnung hochkommt und vor allem b) das Ganze auch mit allen App-Clients funktioniert, die eine Verbindung via nicht beglaubigtem Zertifikat nicht zulassen.

Da Du eh die Kombi aus Lion-Server und Fritzbox nutzt, hier meine Tips:

1. In der Fritzbox DynDNS einrichten und lediglich eine Portfreigaben auf Port 80 einrichten. Diesen intern auf den Lion Server Weiterleiten.
Beim Lion Server ist die Firewall ausgeschaltet. Von aussen hast Du dann von wo auch immer via WebDAV Zugriff auf Deine Daten.

2. Wenn du gerne dennoch VPN nutzen willst, lass das auch die FritzBox machen, sprich nicht den OSX-Server. Sodann kannst Du mit der lokalen IP des Lion-Servers via Port 80 auf die Daten Zugreifen (per AFP, SMB oder wenns sein muss auch hier über WebDAV)

3. Wenn Du es ein wenig sicherer haben möchtest, dann kannst Du auch die Fritzbox in der Portfreigabe so einrichten, dass Du einen anderen externen Port als 80 dem WebDAV Dienst zuordnest. Das wäre z.B. 6080, sodann müssten alle externen Clients via http://meinServer.dyndns.com:6080/webdav/ auf die Freigabe zugreifen. Du wirst merken, dass es von aussen weniger Attacken o.ä. auf diesen Port gibt, als auf Port 80! Jedoch müssen die genutzten externen WebDAV Clients diese individuelle Portvergabe unterstützen.

4. Noch sicherer gehst via dem o.g. individuellen Port und https. Hier musst Du es aber in den Apache-Einstellungen des Lion Servers so einstellen, dass ein strikter SSL-Zugang erforderlich ist. (ist eine minimale Einstellung in einer Config Datei.). Sodann noch ein eigenes Zertifikat mit OSX-Lion erstellen.

Grüße aus K nach K!
 
Zurück
Oben Unten