Hallo zusammen,

kann mir jemand einen Tipp geben wie man eine VPN Verbindung zu einem Server aufbauen kann? Auf dem Server läuft El Capitan mit der MACOS Version 10.11.6
Ich möchte mich mit einem MACBook Pro (OS Ventura) verbinden.
Im Fenster der Serversoftware unter Dienste ist unter dem Punkt VPN der VPN Hostname als macro-srv.localdomain eingetragen.
Viele Grüße, Norbert

Hallo Norbert,

reden wir hier von Server und Client innerhalb eines lokalen Netzwerkes?

Und ein Zugriff per Filesharing Protokoll wie afp oder smb?

Wenn ja, warum sollte man dazu einen Tunnel benötigen?

Der Tunnel an sich soll ja auf einer Strecke von einem zum anderen Rechner den öffentlichen Teil der Strecke, also außerhalb der eigenen Router an beiden Enden der Strecke, für Sicherheit sorgen. Das fällt in einem lokalen Netzwerk aber komplett weg. VPN steht ja für virtuelles privates Netzwerk, wobei die beiden Enden des Tunnels im lokalen, sicheren Netzwerk liegen, und die Tunnelstrecke das Internet überbrückt.


MfG

Thomas

---

Und wenn dir geholfen wurde, hilf uns, dies auch weiterhin zu können.
http://www.hilfdirselbst.ch/info/

---

Hallo Thomas,
vielleicht habe ich mich nicht verständlich ausgedrückt. Hintergrund ist der, dass ich auf den Server von zu Hause (Homoffice) aus zugreifen möchte. Die Server/Client Umgebung funktioniert im Büro. Jetzt möchte ich quasi mittels VPN den Zugriff auf den Server einrichten und mir fehlt ehrlich gesagt das Wissen.
Viele Grüße, Norbert

Ah, jetzt wird's klarer. Und das ist im Prinzip die übliche Roadwarrior Konstellation den Aussendienstler aber auch Servicetechniker in der Regel verwenden.

Dabei baut der Rechner außerhalb des Firmennetzwerks einen Tunnel in das Firmennetzwerk auf. Würde in deinem Fall bedeuten, du Konfigurierst einen Tunnel für deinen Heimrechner zum Router deines Firmennetzwerks (direkt zum Server ginge im Prinzip auch aber dafür müsste der Server deutlich weiter exponiert werden, als er das sein sollte).

Was für Router verwendest du daheim und im Firmennetzwerk? Fritz!Boxen besitzen seit Ewigkeiten ein VPN Konfigurrationstool und seit einiger Zeit auch die wireguard Technik, die deutlich stabiler und perfomanter ist, als vorherige Tunnel per IPsec.

Erster Schritt muss nun sein, den Router des Firmennetzwerks, der ja dauernd eine Verbindung zum Internet darstellt, auch übers Internet auffinden zu können.
Klassisch geht sowas, falls keine feste IP V4 Adresse für den Firmenrouter vorliegt über einen DynDNS Dienst, der dafür sorgt, die täglich wechselnden IP Adresse des Routers nachverfolgen zu können.

Noch zur Frage ob man den Tunnel vom Heimrechner direkt zum Server aufbaut oder nur bis in den Router in der Firma: Im letzten Fall kann man auch andere Rechner oder auch Ressourcen wie Drucker von daheim ansprechen, da man per Tunnel quasi so im Firmennetz herauskommt, als befände man sich im lokalen Netz der Firma.


MfG

Thomas

---

Und wenn dir geholfen wurde, hilf uns, dies auch weiterhin zu können.
http://www.hilfdirselbst.ch/info/

---

Hallo Thomas,

der Router im Firmennetzwerk ist eine Fritzbox 7430.
Der Router der dann im Homeoffice steht ist mir nicht bekannt.
Das wird im Januar in Griechenland sein und weiß ich nicht was das für ein Rootertyp ist und wahrscheinlich kann ich auch gar nicht auf de Rooter als Admin zugreifen.

Bei der Fritzbox 7430 habe ich sehen können, dass die IPv6 Unterstützung aktiv ist. Bei der IPv6 Abbildung wir die native IPv6 Anbindung verwendet und IPv4-Anbindung über DS-Lite hergestellt. Die AFTR-Adresse wird über DHCPv6 automatisch ermittelt.Bei den Verbindungseinstellungen steht: DHCPv6 Rapid Comic verwenden.

Zur Verwendung des Tunnels: Ich möchte quasi in Griechenland auf die Daten des Servers zugreifen können. Das sind in der Regel Indesign-Dokumente und Bilder.

Meinst du, das lässt sich ohne „großen Aufwand“ realisieren?
Viele Grüße, Norbert

Das bekommen wir in der Konstellation sicher ans laufen.

Ist die Fritzbox auf aktuellstem Stand (FritzOS 7.31)? Wobei die Software dieser Fritzbox nicht mehr aktiv von AVM weiterentwickelt wird und nur noch secutiy Updates herausgegeben werden - da solltest du evtl. über einen Umstieg auf was aktuelleres nachdenken.

Hier ist alles auf neuerem Stand, von daher muss ich erstmal deine Möglichkeiten ausloten. Gibt es auf der Weboberfläche im Abschnitt
Internet -> Freigaben
einen oder zwei Reiter mit der Überschrift VPN (IPSec und WireGuard)?


MfG

Thomas

---

Und wenn dir geholfen wurde, hilf uns, dies auch weiterhin zu können.
http://www.hilfdirselbst.ch/info/

---

Hallo Thomas,

die Fritzbox ist auf dem neuesten Stand, nämlich Version 7.31
Nun, der Umstieg auf eine neue Fritzbox wird wohl erst mal nicht möglich sein. Ich müsste mit der jetzigen vorliebnehmen.
In der Tat, es gibt unter Internet/Freigaben den Reiter VPN.
Momentan sind keine VPN-Verbindungen eingerichtet.

Wenn ich VPN-Verbindung hinzufügen anklicke, erhalte ich folgende Liste:

Bitte wählen Sie die Art der VPN-Verbindung, die erstellt werden soll:

Fernzugang für einen Benutzer einrichten

Wählen Sie auf der folgenden Seite den gewünschten FRITZ!Box-Benutzer, öffnen Sie den Eintrag zum Bearbeiten und aktivieren Sie die Berechtigung für die VPN-Nutzung

Ihr Heimnetz mit einem anderen FRITZ!Box-Netzwerk verbinden (LAN-LAN-Kopplung)

Diese FRITZ!Box mit einem Firmen-VPN verbinden

Eine VPN-Konfiguration aus einer vorhandenen VPN Einstellungsdatei importieren

Wenn ich es richtig verstanden habe, muss ich wohl „Ihr Heimnetz mit einem anderen FRITZ!Box-Netzwerk verbinden (LAN-LAN-Kopplung)“ einrichten, oder?

Dann erscheint ein Fenster, wo etliche Eingaben eingetragen werden müssen. Des Weiteren erweiterte Einstellungen zum Netzwerkverkehr und so weiter …
Viele Grüße, Norbert

Antwort auf:

Momentan sind keine VPN-Verbindungen eingerichtet.

Gut.

Vorneweg sei die Frage erlaubt, ob im Firmennetzwerk das std. AVM Netz eingerichtet ist: 192.168.178.0 - 192.168.178.255?

Wenn ja, würde ich das unbedingt ändern, da du in dem Moment, wo du dich mit deinem Mobilrechner in einem ebensolchen WLAN/LAN befindest, du keinen VPN-Tunnel aufgebaut bekommst, da es zwangsläufig zu Adresskonflikten kommt (schon die beiden beteiligten Fritzboxen haben intern beide die 192.168.178.1)

Antwort auf:

Wenn ich VPN-Verbindung hinzufügen anklicke, erhalte ich folgende Liste:


Fernzugang für einen Benutzer einrichten

DAS wäre deine Option!

Antwort auf:

Wenn ich es richtig verstanden habe, muss ich wohl „Ihr Heimnetz mit einem anderen FRITZ!Box-Netzwerk verbinden (LAN-LAN-Kopplung)“ einrichten, oder?

nein, das ginge ja dann immer nur von einem dedizierten, entfernten Netzwerk in deine Firma, so wie ich dich verstanden habe, weißt du noch garnicht wie und wo du im Urlaub online gehst. Das wäre nur eine Option wenn der Tunnel immer nur von daheim in die Firma gegraben werden soll.

Antwort auf:

Dann erscheint ein Fenster, wo etliche Eingaben eingetragen werden müssen. Des Weiteren erweiterte Einstellungen zum Netzwerkverkehr und so weiter …

erstmal kehrt marsch bei der Konfigurationstypauswahl, dann schauen wir weiter.


MfG

Thomas

---

Und wenn dir geholfen wurde, hilf uns, dies auch weiterhin zu können.
http://www.hilfdirselbst.ch/info/

---

Guten Morgen Thomas,

//Vorneweg sei die Frage erlaubt, ob im Firmennetzwerk das std. AVM Netz eingerichtet ist: 192.168.178.0 - 192.168.178.255? //
Ich verstehe nicht was mit std. AVM gemeint ist?
Viele Grüße, Norbert

Alle fritzboxen setzen im Lieferzustand das interne IPv4 Netzwerk auf den Adressbereich 192.168.178.0 bis 192.168.178.254 mit der Fritzbox selber als interne Router/Gateway/DNS Adresse 192.168.178.1.

Das wird in dem Moment zum Problem, wo man von außen aus einem anderen lokalen Netzwerk kommend in dieses bestehende Netzwerk per Tunnel hineinkommt. Der Tunnel verbindet ja per Definition 2 lokale Netzwerke zu einem, und bereits in einem Netzwerk darf jede Adresse nur einmal vorkommen, weil sonst Geräte nicht mehr eindeutig zuzuordnen wären.
Langer rede Kurzer Sinn: Der Default Adressraum aller Fritzboxen ist solange kein Problem, wie man nicht zwei Frritzbox-geroutete Netzwerk zusammenzuschalten.

Und da man als bewegliches Ende des Tunnels schlecht allerorten verlangen kann, den Netzwerkadressbereich des (W)LANs, in dem man zu Gast ist umzustellen, muss man sich darum kümmern, das interne eigene Netzwerk VPN-tauglich umzustellen.


MfG

Thomas

---

Und wenn dir geholfen wurde, hilf uns, dies auch weiterhin zu können.
http://www.hilfdirselbst.ch/info/

---

Guten Morgen Thomas,

//das interne eigene Netzwerk VPN-tauglich umzustellen.//
Soll heißen, ich muss beim Server in der Serversoftware unter VPN den Adressraum ändern?

Ich habe in der FritzBox nun einen Fernzugang für einen Benutzer eingerichtet. Dafür gibt es jetzt einen Gruppenname, einen IPSec-Schlüssel, einen Nutzername und das zugehörige Passwort.

Ist da soweit korrekt um eine Konfiguration aufzubauen?
Viele Grüße, Norbert

Antwort auf:

//das interne eigene Netzwerk VPN-tauglich umzustellen.//
Soll heißen, ich muss beim Server in der Serversoftware unter VPN den Adressraum ändern?

Nein, ALLE Geräte im Netzwerk deiner Firma müssen von 192.168.178.xxx auf irgendeine andere für die lokale Nutzung freigegebene 'private' IPv4 Adressen umgestellt werden (z.B. 192.168.0-255.xxx oder 10.0.0.xxx - 10.255.255.xxx). Nebst den dazugehörigen Settings für Gateway, sprich Router und DNS Server.
Danach teilen sich wieder alle Geräte und die Fritzbox die ersten drei Ziffern der IP-Adresse und haben nur im letzten Block eine individuelle Ziffer von 1 - 254

Du fängst dabei mit der Fritzbox laut Hilfe an:

Zitat

Anleitung: IPv4-Einstellungen ändern
Öffnen Sie die FRITZ!Box-Benutzeroberfläche.
Klicken Sie im Menü auf HeimnetzNetzwerk und auf den Tab Netzwerkeinstellungen.
Scrollen Sie nach unten. Falls der Bereich IP-Adressen nicht zu sehen ist, dann klicken Sie auf weitere Einstellungen.
Klicken Sie auf IPv4-Einstellungen.
Nehmen Sie auf der Seite IPv4-Adressen die gewünschten Änderungen vor.
Klicken Sie auf Übernehmen und bestätigen Sie die Ausführung zusätzlich an der FRITZ!Box, wenn Sie dazu aufgefordert werden.

Es sollte reichen, wenn du die 178 einfach auf irgendwas anderes von 1-254 änderst. Und das ist auch nur nötig, wenn da bei der IPv4-Adresse aktuell 192.168.178.x steht!
Weiterhin ist in den folgenden Absätzen eben auch der DHCP Server-Adressbereich umzustellen und der lokale DNS Server wie oben zu ändern.

Im Anschluss musst du sämtlichen Geräten in deinem Firmennetzwerk eine neue IP Adresse in diesem neuen Adressraum zuweisen, im Normalfall reicht es dort dann eben auch, wenn du aus der 178 an der dritten Stelle irgendwas, gemeinsames anderes machst. Erst wenn dein lokales Firmennetzwerk wieder ordentlich läuft, kannst du an die Konfiguration deines VPNs gehen.

Antwort auf:

Ich habe in der FritzBox nun einen Fernzugang für einen Benutzer eingerichtet. Dafür gibt es jetzt einen Gruppenname, einen IPSec-Schlüssel, einen Nutzername und das zugehörige Passwort.

Das kannst du alles getrost wieder entsorgen, denn da steht ja jetzt auch überall noch der falsche Adressbereich drin.

Eins nach dem anderen!


MfG

Thomas

---

Und wenn dir geholfen wurde, hilf uns, dies auch weiterhin zu können.
http://www.hilfdirselbst.ch/info/

---

Nachtrag – WICHTIG!

Falls sich in deinem Firmennetzwerk Geräte wie Smarthomedevices oder ähnliches befinden, die einzig eine übers WLAN zu erreichende Web-Konfigurationsoberfläche besitzen, wird das ganze anspruchsvoll, weil die ja in dem Moment, in dem du die Fritzbox umstellst, die Verbindung zur Aussenwelt verlieren. Da muss man dann zur Umkonfiguration evtl. auf deren generische, feste interne IPAdressen zurückgreifen, und sich eben einen Konfigurationsrechner passend dazu hinbiegen.


MfG

Thomas

---

Und wenn dir geholfen wurde, hilf uns, dies auch weiterhin zu können.
http://www.hilfdirselbst.ch/info/

---

Hallo Thomas,
ich möchte mich zuerst mal für deinen Einsatz bedanken. Als Greenhorn überfordert mich das schlichtweg, zumal mir das Firmennetzwerk nicht gehört.

Es war eine Idee, aber das ist mir zu kompliziert.Ich glaube da brauchen wir einen IT-Fachmann, der so etwas einrichtet. Außerdem läuft auf dem Server eine alte Serversoftware von Apple, die nicht mehr unterstützt wird.

Herzlichen Dank nochmals.
Viele Grüße, Norbert

Das hab ich von Anfang an fast vermutet.

Die Software des Apple Servers sollte aber überhaupt kein Hinderungsgrund sein, eher das Alter und die Softwareversion der Fritzbox - die ist schliesslich das Tor zur gefährlichen, bösen Welt.

Wenn du daheim keine Fritzbox verwendest, bzw. daheim den IP-Adressbereich der heimischen Fritzbox ändern könntest, könntest du dir zu mindestens ein VPN fürs Homeoffice einrichten um schon mal etwas Erfahrungen zu sammeln.

Dieser Zugang funktioniert aber dann mit ziemlicher Sicherheit nicht von beliebigen Endpunkten aus – siehe IP-Adressbereich-Konflikte weiter oben.


MfG

Thomas

---

Und wenn dir geholfen wurde, hilf uns, dies auch weiterhin zu können.
http://www.hilfdirselbst.ch/info/

---