Mac OS X Server - Verwalten des Diensts "VPN"

179

Kapitel 9

Anpassen der Dienste

Dienst "VPN"

Der Dienst "VPN" (Virtual Private Network) ermöglicht es Benutzern, von ihrem
Heimcomputer oder einem anderen entfernten Standort über das Internet die
Verbindung zu Ihrem lokalen Netzwerk herzustellen. Über die sichere VPN-Verbindung
können Benutzer auf Dienste wie Dateifreigabe, Adressbuch, Mail, iChat, iCal und
Web zugreifen.

Der Dienst "VPN" verwendet das Protokoll "L2TP" in Verbindung mit einem als "Shared
Secret" bezeichneten Schlüssel, um die Vertraulichkeit und Authentizität sowie die
Integrität der Kommunikation zu gewährleisten.

Beim Konfigurieren Ihres Servers wird automatisch ein sicherer "Shared-Secret"-
Schlüssel generiert. Dieser Schlüssel wird jedoch nicht für die Identifizierung eines
Client-Computers für die VPN-Verbindung verwendet. Vielmehr stellt er sowohl für den
Server als auch für einen Client-Computer die Garantie dafür dar, dass es sich bei einem
Client-Computer bzw. dem Server am anderen Ende der Verbindung, der im Besitz des
"Shared Secret"-Schlüssels ist, um einen vertrauenswürdigen Partner handelt.

Sowohl der Servercomputer als auch die Client-Computer müssen den "Shared
Secret"-Schlüssel kennen. Ein Benutzercomputer mit Mac OS X 10.6 Snow Leopard
kann so eingerichtet werden, dass er den "Shared Secret"-Schlüssel automatisch vom
Server abruft und die Verbindung zum Dienst "VPN" des Servers herstellt. Weitere
diesbezügliche Informationen finden Sie unter „Automatisches Konfigurieren der Mac-
Computer von Benutzern“ auf Seite 129.

180

Kapitel 9

Anpassen der Dienste

Mac-Computer mit anderen OS-Installationen und Windows-Computer müssen
auf andere Weise für den Dienst "VPN" konfiguriert werden. Die Anleitungen
finden Sie unter „Einrichten einer VPN-Verbindung auf Benutzercomputern mittels
Konfigurationsdatei“ auf Seite 141 und „Manuelles Einrichten einer VPN-Verbindung auf
Benutzercomputern“ auf Seite 143.

Der Dienst "VPN" und die Firewall Ihres Servers können beide den Zugriff auf Dienste
von außerhalb Ihres lokalen Netzwerks zulassen. Der Unterschied besteht darin,
dass der Dienst "VPN" beim Zugriff eine Identifizierung anfordert, erfolgt der Zugriff
dagegen über die Firewall, ist keine Identifizierung erforderlich. Wenn der Dienst "VPN"
aktiviert ist, müssen Sie möglicherweise nicht alle Dienste über die Firewall im Internet
zugänglich machen. Sie können beispielsweise festlegen, dass die Firewall nur Ihre
Webdienste im Internet zugänglich macht, sodass Ihre Wikis und eigenen Websites
(abhängig von Ihren Einschränkungen für Identifizierung und Zugriff) öffentlich
verfügbar sind. Über eine VPN-Verbindung können die Benutzer Ihres Servers auf
andere Dienste wie Dateifreigabe, Adressbuch, iCal, iChat und Mail zugreifen.

Wenn Sie den Zugriff auf den Dienst "VPN" im Internet ermöglichen möchten und
einen Kabel-Router, DSL-Router oder einen anderen Netzwerk-Router verwenden:

Für Ihren Router muss die Portweiterleitung (Portzuordnung) für den Dienst "VPN"

Â

konfiguriert sein. Weitere Informationen finden Sie unter „Schützen eines kleinen
Netzwerks“ auf Seite 41.
Ihr Router sowie die Router der VPN-Benutzer müssen so konfiguriert sein, dass die

Â

zugewiesenen IP-Adressen keine Konflikte erzeugen. Weitere Informationen hierzu
finden Sie unter „Bereitstellung des Diensts "VPN" durch einen Internet-Router“
auf Seite 185.

181

Kapitel 9

Anpassen der Dienste

Wenn Sie den Zugriff auf den Dienst "VPN" von außerhalb Ihres lokalen Netzwerks
erlauben möchten und Ihr lokales Netzwerk über eine separate Firewall verfügt, bitten
Sie den Administrator der Firewall, die Firewall für die Ports und Protokolle zu öffnen,
die der Dienst nutzt. Eine Liste der Ports finden Sie unter „Dienste und Ports“
auf Seite 217.

Ändern des "Shared Secret"-Schlüssels für VPN

In der Servereinstellung "VPN" können Sie den "Shared Secret"-Schlüssel ändern,
den Server und Client-Computer bei einer VPN-Verbindung für die gegenseitige
Identifizierung verwenden. Grundsätzlich kann die VPN-Sicherheit durch das
regelmäßige Ändern des Schlüssels erhöht werden. Diese Vorgehensweise ist
aber unpraktisch, da der "Shared Secret"-Schlüssel jedes Mal auch auf allen Client-
Computern geändert werden muss, von denen aus eine VPN-Verbindung zum
Server hergestellt wird.

Gehen Sie wie folgt vor, um den "Shared Secret"-Schlüssel für VPN zu ändern:

1

Öffnen Sie die Servereinstellung "VPN" und klicken Sie auf "Bearbeiten".

2

Wählen Sie "Schlüssel" ("Shared Secret") anzeigen" aus, damit Sie den aktuellen

Schlüssel lesen können. Geben Sie danach einen neuen Schlüssel ein und klicken
Sie auf "OK".
Ein "Shared Secret"-Schlüssel muss mindestens acht Zeichen lang sein. Es wird jedoch
empfohlen, mindestens 12 Zeichen für den Schlüssel zu verwenden und Buchstaben,
Ziffern und Symbole/Sonderzeichen zu mischen. Leerzeichen sind im "Shared Secret"-
Schlüssel nicht zulässig. Der anfangs standardmäßig generierte Schlüssel umfasst 32
nach dem Zufallsprinzip ausgewählte Zeichen.

182

Kapitel 9

Anpassen der Dienste

Sie können sich beim Festlegen des neuen "Shared Secret"-Schlüssels vom
Kennwortassistenten unterstützen lassen. Wechseln Sie dazu vorübergehend
zur Servereinstellung "Benutzer", klicken Sie danach zunächst auf "Account",
anschließend auf "Kennwort zurücksetzen" und schließlich auf das Schlüsselsymbol
rechts neben dem Feld "Neues Kennwort". Klicken Sie nun auf "Abbrechen" und
kehren Sie zur Servereinstellung "VPN" zurück. Bei dieser Vorgehensweise bleibt der
Kennwortassistent geöffnet, sodass Sie ihn nun zum Generieren eines neuen "Shared
Secret"-Schlüssels verwenden können, indem Sie den vorgeschlagenen Wert in das
Feld "Schlüssel ("Shared Secret")" kopieren.

Eine Änderung des "Shared Secret"-Schlüssels auf dem Servercomputer muss stets von
allen VPN-Benutzern in ihren jeweiligen VPN-Konfigurationen nachvollzogen werden.
Wie Sie dazu vorgehen müssen, erfahren Sie unter „Manuelles Einrichten einer VPN-
Verbindung auf Benutzercomputern“ auf Seite 143.

Erstellen einer VPN-Konfigurationsdatei

Sie können mit dem Programm "Servereinstellungen" eine spezielle Datei erzeugen,
mit deren Hilfe Mac-Benutzer automatisch eine VPN-Konfiguration erstellen können.
Auf der Basis dieser VPN-Konfiguration kann der Benutzer des Mac-Computers über
das Internet eine VPN-Verbindung zum Server und dessen Netzwerk herstellen. Die
Konfigurationsdatei kann unter Mac OS X Version 10.3 (oder neuer) eingesetzt werden.

Gehen Sie wie folgt vor, um eine VPN-Konfigurationsdatei zu generieren:

1

Öffnen Sie die Servereinstellung "VPN", klicken Sie auf "Sichern unter", navigieren

Sie zum gewünschten Speicherort für die VPN-Konfigurationsdatei und klicken
Sie auf "Sichern".

183

Kapitel 9

Anpassen der Dienste

2

Verteilen Sie die gespeicherte Konfigurationsdatei an die Benutzer, die auf ihren Mac-

Computern eine VPN-Verbindung konfigurieren wollen.

Zum Konfigurieren seines Mac-Computers muss ein Benutzer nur die von Ihnen
generierte VPN-Konfigurationsdatei öffnen. Zusammen mit der Datei wird (abhängig
von der verwendeten Mac OS X-Version) automatisch auch die Systemeinstellung
"Netzwerk" oder das Fenster "Internet-Verbindung" geöffnet. Anschließend werden
- mit Ausnahme des Namens und des Kennworts eines auf dem Server definierten
Benutzer-Accounts - alle für die VPN-Verbindung benötigten Informationen aus der
Datei importiert. Wird bei der Verwendung des Fensters "Internet-Verbindung" der
Benutzer nach dem gewünschten Ziel für die importierten Daten gefragt, muss er "VPN
(L2TP)" wählen. Er darf in diesem Fall keine andere Option wählen, auch nicht
"VPN (PPTP)".

Nachdem der Import der Daten in die Systemeinstellung "Netzwerk" bzw. das
Fenster "Internet-Verbindung" beendet wurde, wird der Benutzer aufgefordert, den
Benutzernamen und wahlweise das Kennwort eines Benutzer-Accounts auf dem Server
einzugeben. Diese Angaben können beim Beenden des Programms als integraler
Bestandteil der VPN-Konfiguration gesichert werden. Entscheidet sich der Benutzer
dafür, sowohl den Benutzernamen als auch das Kennwort als Teil der VPN-Konfiguration
zu sichern, hat jede Person, die den betreffenden Computer verwendet, die Möglichkeit,
sich über die VPN-Konfiguration automatisch an Ihrem Server anzumelden.

Aus Gründen der Sicherheit ist es ratsam, dass Benutzer nur ihren Benutzernamen,
nicht aber das Kennwort eingeben, bevor sie das jeweilige Programm
(Systemeinstellung "Netzwerk" bzw. Fenster "Internet-Verbindung") beenden. Wird das
Kennwort nicht im Zuge der VPN-Konfiguration eingegeben, müssen Benutzer jedes
Mal, wenn sie die VPN-Verbindung zu Ihrem Server herstellen, ihr Kennwort eingeben.

184

Kapitel 9

Anpassen der Dienste

Unter „Einrichten einer VPN-Verbindung auf Benutzercomputern mittels
Konfigurationsdatei“ auf Seite 141 finden Sie Anleitungen zur Verwendung der VPN-
Konfigurationsdatei. Diese Informationen sollten Sie den Benutzern zukommen lassen.

Ändern des IP-Adressbereichs für VPN

Im Programm "Servereinstellungen" können Sie den Bereich von IP-Adressen festlegen,
den Ihr Server für Client-Computer reservieren soll, die eine VPN-Verbindung zu Ihrem
Computer herstellen. Sie können den IP-Adressbereich zum Beispiel vergrößern, damit
mehr IP-Adressen für mehr VPN-Verbindungen zur Verfügung stehen.

Wichtig:

Bei diesen Adressen handelt es sich um Adressen innerhalb des Netzwerks,

dem Ihr Server angehört. Aus diesem Grund dürfen diese Adressen für kein anderes
Gerät und keinen anderen Computer innerhalb dieses Netzwerks verwendet werden.
Der für VPN reservierte IP-Adressbereich darf keine statischen IP-Adressen umfassen,
die innerhalb des Netzwerks verwendet werden, und nicht mit dem Bereich von IP-
Adressen überlappen, die vom DHCP-Server zugeordnet werden.

Gehen Sie wie folgt vor, um den IP-Adressbereich für VPN zu ändern:

1

Öffnen Sie die Servereinstellung "VPN" und ändern Sie die erste und/oder die letzte

IP-Adresse des Adressbereichs.
Der Adressbereich muss mindestens so groß sein, dass er die maximale Anzahl an
entfernten Computern reflektiert, zu denen Ihr Server gleichzeitig VPN-Verbindungen
unterhalten kann. Der Dienst "VPN" ordnet eine IP-Adresse nur für die Dauer einer VPN-
Verbindung zu. Beim Trennen der VPN-Verbindung des entfernten Computers wird die
IP-Adresse automatisch wieder freigegeben.

185

Kapitel 9

Anpassen der Dienste

2

Wenn Sie eine AirPort-Basisstation (oder einen anderen Internet-Router (Gateway))

verwenden, die den Dienst "DHCP" bereitstellt, müssen Sie unter Umständen deren IP-
Adressbereich anpassen, um ein Überschneiden der für DHCP und für VPN reservierten
Adressbereiche zu vermeiden.
Verwenden Sie zum Konfigurieren einer AirPort-Basisstation das AirPort-
Dienstprogramm (im Ordner "/Programme/Dienstprogramme/"). Die Anleitung
zum Ändern der Einstellungen für Ihren Internet-Router finden Sie in der
zugehörigen Dokumentation.

Die IP-Adresse, die der Dienst "VPN" für die VPN-Verbindung einem entfernten
Computer zuweist, ersetzt nicht die IP-Adresse, die der Computer bereits für den Zugriff
auf das Internet verwendet. Der entfernte Computer behält diese IP-Adresse und auch
alle anderen für ihn verwendeten IP-Adressen bei. Die für VPN verwendete Adresse
wird diesem aktuellen Adressenbestand lediglich hinzugefügt.

Bereitstellung des Diensts "VPN" durch einen Internet-Router

Wenn Ihr Server den Dienst "VPN" über eine AirPort Extreme-Basisstation, eine
Time Capsule oder einen für die Freigabe der Internetverbindung konfigurierten
Netzwerk-Router bereitstellt und Benutzercomputer VPN-Verbindungen über eigene
Basisstationen oder private Router herstellen müssen, muss sich Ihr Server in einem
anderen IP-Teilnetz befinden als die privaten Computer der VPN-Benutzer. Sie umgehen
diesen Konflikt, indem Sie sicherstellen, dass die IP-Adresse Ihres Servers nicht mit
denselben drei Ziffernblöcken - etwa 10.0.1 oder 192.168.1 - wie IP-Adressen in privaten
Netzwerken der VPN-Benutzer beginnt.

186

Kapitel 9

Anpassen der Dienste

Bitten Sie Benutzer, ihre Netzwerkadressen zu ändern:
Sie können VPN-Benutzer bitten, die IP-Adressen in ihren privaten Netzwerken

m

oder anderen lokalen Netzwerken so zu ändern, dass sie nicht mit denselben drei
Ziffernblöcken beginnen wie die IP-Adressen in Ihrem lokalen Netzwerk.
Beginnen Ihre lokalen IP-Adressen beispielsweise mit 192.168.1, bitten Sie VPN-Benutzer,
in ihren privaten Netzwerken IP-Adressen zu verwenden, die mit 192.168.2 beginnen.
Private Netzwerke können Adressen verwenden, die mit 192.168.0 bis 192.168.254, 10.0.0
bis 10.254.254 und 172.16.0 bis 172.31.254 beginnen. In allen oben genannten Fällen
müssen Sie "255.255.255.0" als Teilnetzmaske angeben.

Ändern Sie Ihre lokale Netzwerkadresse:
Anstatt VPN-Benutzer zu bitten, ihre privaten Netzwerkadressen zu ändern, können
Sie auch die IP-Adressen aller Geräte im lokalen Netzwerk Ihres Servers ändern. Hierzu
gehören Ihre AirPort-Basisstation oder ein anderer Router, Ihr Server und
andere Computer.
Ändern Sie Ihre lokalen IP-Adressen, sodass sich Ihr IP-Teilnetz von den gängigsten

m

Standardeinstellungen von Basisstationen und anderer Router unterscheidet: 10.0.1,
192.168.0 und 192.168.1.
Sie können einfach eine andere Zahl zwischen 2 und 254 für die dritte Zifferneinheit
Ihrer lokalen IP-Adressen auswählen. Beginnen Ihre lokalen IP-Adressen beispielsweise
mit 192.168.1, ändern Sie diese in 192.168.58 oder 192.168.177. Beginnen Ihre lokalen
IP-Adressen mit 10.0.1, ändern Sie sie so, dass sie mit 10.0.29 oder 10.0.103 beginnen.
Außerdem können Sie auch die Adressen "172.16.0" bis "172.31.255" verwenden. In allen
oben genannten Fällen müssen Sie "255.255.255.0" als Teilnetzmaske angeben.