Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum>Netzwerke>Sierra-Server im Internet verfügbar machen

Sierra-Server im Internet verfügbar machen

virk
virk13.12.1711:45
Bei uns läuft ein Sierra-Server (10.12.6). Dieser ist eingestellt auf "DHCP mit manueller Adresse". Die IP ist 192.168.1.2. Der Zugang zum Internet läuft über eine Fritzbox 7340, die 192.168.1.1 als IP hat. Die Fritzbox selbst hat im Internet eine feste IP.
Verschiedene Dienste (webserver, Kontakte, fileserver (ggf.)) des servers sind über eingestellte Weiterleitungen in der Fritzbox verfügbar gemacht. Das ist wahrscheinlich etwas unelegant gelöst, oder?
Gäbe es einen anderen, besseren Ansatz, um verschiedene Dienste auch im Internet verfügbar zu machen? Insbesondere interessiert mich gerade, wie ich den Kalenderdienst des servers sowohl intern im Netz als auch im Internet verfügbar mache. Eigentlich sollte das ja wohl so funktionieren, dass ich bei den clients "nur" einen "macOS server"-account einrichte, über den dann alle Dienste laufen könnten. Zur Zeit habe ich für die Kontakte einen CardDAV-account und für den Kalender wird es dann wohl der CalDAV-account werden.
„Gaststättenbetrieb sucht für Restaurant und Biergarten Servierer:innen und außen.“
0

Kommentare

gfhfkgfhfk13.12.1711:50
Ein paar Frage dazu:
  • Muss es im Internet verfügbar sein, oder geht nicht ein VPN?
  • Wenn Internet, weshalb gibt es keine DMZ bei Euch?
  • Könnt Ihr mehrere IPs bekommen?
+1
virk
virk13.12.1712:14
@gfhfkgfhfk:
• "Muss" gibt es nicht, aber z.B. unser Firmenwiki rufe ich von überall auf der Welt mit der gleichen URL auf (Identifiziere mich mit username und password). VPN habe ich zwischen Fritzbox und meinem Rechner für ein paar Tests seit längerem eingerichtet. VPN ginge, finde ich aber ein wenig lästig; ich möchte z.B., dass neue Termine im Kalender erscheinen, auch ohne dass ich dafür was tun muss, sprich, diese Termin abholen muss durch das Aufbauen einer VPN-Verbindung.
• DMZ habe ich bislang nicht nötig gehabt, es lief und läuft ja alles. Es kann allerdings sein, dass es darauf hinausläuft und ich ausschließlich den server für seine Sicherheit sorgen lassen muss. Dazu bin ich jedoch noch nicht kundig genug.
• Wir sitzen hier in NL. Da ist das mit den festen IPs (bei xs4all.nl) seit ewig schon "normal". Ob wir mehrere bekommen können, weiß ich gerade nicht. Was könnte der Vorteil sein?

(Falls das wichtig ist: Hier steht bereits eine neue Fritzbox 7581, die "demnächst" in Betrieb geht)
„Gaststättenbetrieb sucht für Restaurant und Biergarten Servierer:innen und außen.“
0
maculi
maculi13.12.1712:29
Fritzboxen sind als eierlegene Wollmilchsau zwar nicht schlecht, aber eine echte Firewall können sie nicht ersetzen. Gerade dann, wenn es um die Erreichbarkeit von aussen geht stellt sich die Frage, ob man wirklich an der falschen Stelle sparen muss. Denn: "Es gibt zwei Arten von Unternehmen: Die einen sind gehackt worden. Die anderen wissen es nur noch nicht."

Ich würde deshalb eine strikte Trennung machen zwischen den Inhalten, die von aussen zugänglich sein sollen und dem Rest, und das eine in eine DMZ stellen, das andere ausschließlich von intern erreichbar machen. Da allerdings auch der Fileserver von aussen genutzt wird, wäre mir eine Fritzbox dann doch zu klein. Eine richtige Firewall, die ein leistungsfähiges und sicheres VPN bietet, und darüber den Zugang realisieren ist das einzige, was halbwegs Sicherheit verspricht (denn absolute Sicherheit gibt es nicht). Ist zwar nicht ganz so bequem, aber je nachdem, welcher Aspekt wie wichtig ist eventuell doch das kleinere Übel.
0
Stresstest13.12.1712:29
Also grundsätzlich kann man das natürlich so machen.
Wenn man vorher nicht immer VPN aufbauen möchte, dann bleibt nur die einzelnen Ports zu öffnen. Komplett in die DMZ schieben würde ICH persönlich nicht. Lieber einmal alle Ports raus suchen und in der Fritzbox öffnen, damit die Dienste im Netz erreichbar sind.

Wegen intern und extern erreichbar. Dazu baut man am bestellen einen Split-DNS ("Split-Horizon DNS") auf.
Heißt: Du hast eine Domain wie z.B "Firma.nl". Dann registrierst du dir eine Subdomain "serverintern.Firma.nl" und leitest die auf deine externe IP-Adresse des Anschlusses weiter. Die gleiche DNS Adresse "serverintern.Firma.nl" trägst du auch intern an deinem DNS ein und vergibst dort die interne IP-Adresse des Servers (192.168.1.2).
Somit werden Anfragen intern im Netzwerk mit der internen Adresse beantwortet und extern mit der externen. Damit kann du an den Clients wie Mac und iPhone immer die Adresse "serverintern.Firma.nl" verwenden und es funktioniert sowohl intern wie auch extern den Server darüber anzusprechen.

Grundsätzlich muss man sich aber auch im Klaren sein, dass der Server über das Internet evtl. angreifbar ist und auch angegriffen werden wird.
Sichere Passwörter für alle User sind dann Pflicht. Hilft nichts, wenn da ein "test" Benutzer mit Passwort "1234" noch herumhumpelt, der Zugriff auf die Dienste hat
+2
gfhfkgfhfk13.12.1712:49
virk
@gfhfkgfhfk:
• "Muss" gibt es nicht, aber z.B. unser Firmenwiki rufe ich von überall auf der Welt mit der gleichen URL auf (Identifiziere mich mit username und password). VPN habe ich zwischen Fritzbox und meinem Rechner für ein paar Tests seit längerem eingerichtet. VPN ginge, finde ich aber ein wenig lästig; ich möchte z.B., dass neue Termine im Kalender erscheinen, auch ohne dass ich dafür was tun muss, sprich, diese Termin abholen muss durch das Aufbauen einer VPN-Verbindung.
Wenn es kein Muss ist, dann darf der Webserver auf gar keinen Fall vom Internet aus erreichbar sein, und interne Server haben exponiert im Internet grundsätzlich rein gar nichts zu suchen. D.h. solange ihr nicht für Kunden einen eigenen Webserver betreiben müsst, ist ein VPN der notwendige Weg der zu gehen ist. Bei Kunden stellt sich die Frage, ob man nicht ein Extranet betreiben kann, das ist der vollkommen offenen Zugang auch vorzuziehen.
virk
• DMZ habe ich bislang nicht nötig gehabt, es lief und läuft ja alles. Es kann allerdings sein, dass es darauf hinausläuft und ich ausschließlich den server für seine Sicherheit sorgen lassen muss. Dazu bin ich jedoch noch nicht kundig genug.
• Wir sitzen hier in NL. Da ist das mit den festen IPs (bei xs4all.nl) seit ewig schon "normal". Ob wir mehrere bekommen können, weiß ich gerade nicht. Was könnte der Vorteil sein?
Eine DMZ ist Pflicht , wenn man einen Webserver betreibt, sonst kann man vom Webserver auf alle Firmen Computer zugreifen, wenn erstmal der Einbruch erfolgreich war. Deshalb NIEMALS das LAN über solche halsbrecherischen Konstrukte Angriffe aussetzen.

Die Fritzbox macht von Haus aus IP NAT, und wenn man mehrere IPs hat, dann kann man den Wevserver seine eigene IP geben und das NAT für ihn abschalten.
+3
gfhfkgfhfk13.12.1712:51
Stresstest
Grundsätzlich muss man sich aber auch im Klaren sein, dass der Server über das Internet evtl. angreifbar ist und auch angegriffen werden wird.
Er wird definitiv angegriffen werden!
+1
virk
virk13.12.1717:10
Danke Euch allen soweit! Habe ich alles bereits zweimal gelesen und das ein oder andere auch schon verstanden
„Gaststättenbetrieb sucht für Restaurant und Biergarten Servierer:innen und außen.“
0

Kommentieren

Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.