1908001

Private Cloud im Eigenbau – Web-Zugriff auf OS X Server

25.03.2014 | 10:00 Uhr |

Um auch unterwegs Kontakte und Termine mit dem privaten Server abzugleichen, muss der Mac mit OS X Server aus dem Internet erreichbar sein. Zweiter Teil unseres Workshops zu OS X Server.

Für die Erreichbarkeit des Servers muss man das lokale Netzwerk zumindest teilweise nach außen öffnen. Damit Angreifern oder Neugierigen nicht Tür und Tor geöffnet werden, sollte man dabei immer die Sicherheit im Auge behalten. Die Schnittstelle zur Außenwelt ist der Router, daher werden wir uns in dieser Folge die meiste Zeit mit dessen Konfiguration befassen.

Wir nutzen im Workshop eine der weit verbreiteten Fritzboxen von AVM, die benötigten Funktionen gehören bei den meisten Router-Herstellern mittlerweile zum Standard. Der Router leitet die Anfragen direkt an den Server weiter. Man sollte dabei grundsätzlich nicht mehr Zugriffsmöglichkeiten schaffen, als wirklich nötig sind. Man aktiviert also immer nur das, was man wirklich braucht. Dazu gehört auch, dass man für die Benutzerkonten des Servers keine trivialen Passwörter benutzt.

Zugang zum Server

Es gibt prinzipiell zwei Ansätze, um den Server von außen erreichbar zu machen. Wir beginnen mit dem einfacheren Weg, dem direkten Zugriff auf den Server. Dabei sorgen wir zunächst dafür, dass der Router unter einem festen Namen aus dem Internet erreichbar ist und konfigurieren ihn dann so, dass die entsprechenden Anfragen an den Server im lokalen Netz weitergeleitet werden. Der Server wird also für die gewünschten Dienste nach außen sichtbar.

Noch ein paar kleine Anpassungen an den Clients und die Verbindung über das Internet klappt. Der zweite Weg führt über einen VPN-Tunnel. Der Vorteil dabei ist, dass nach außen nur der VPN-Dienst sichtbar ist und das mobile Gerät wie im lokalen Netz nutzbar ist. Mit dem Zugang über einen VPN-Tunnel werden wir uns in einer späteren Folge beschäftigen.

1. Dynamische DNS-Dienste

1.1 Server-Name registrieren

Die Kommunikation im Internet basiert auf IP-Adressen. Die Server-Namen dahinter sind eigentlich nicht nötig, aber für uns ansprechender. Ein DNS-Server liefert bei Anfragen die zu einem Namen gehörende IP-Nummer. Bei der Anmeldung beim Internet-Provider erhält auch Ihr Router eine IP-Nummer zugeteilt, über die er und ein dahinter liegender Server im Internet zu erreichen sind. Das Problem ist: Selbst wenn man seinen Router ständig eingeschaltet und online hält, ändert sich die­se Nummer regelmäßig, da die Provider üblicherweise einmal am Tag die Verbindung trennen.

Der Router meldet sich zwar automatisch gleich wieder an, erhält dabei aber eine neue IP-Adresse. Die Folge: iPhones, die auf einen Server für Kontakte zugreifen wollen, müssen ständig die IP-Nummer des Servers anpassen, damit sie ihn erreichen. Für Abhilfe sorgt ein dynamischer DNS-Dienst. Bei diesem reserviert man sich einen festen Namen und meldet dazu dann bei jeder Änderung die jeweils aktuelle IP-Adresse. Versucht ein Gerät im Internet auf den Server-Namen zuzugreifen, liefert der DNS-Server die zuletzt gemeldete Adresse.

Dadurch ist auch ein privater Rechner mit wechselnder IP-Adresse unter einem festen Namen zu erreichen. Viele Anbieter für dynamische DNS-Dienste bieten eine kostenlose Testphase, danach wird eine monatliche Gebühr fällig, zum Beispiel Dyn und No-IP. Ein Anbieter, der derzeit noch dauerhaft freie Registrierungen anbietet und ebenfalls in der Fritzbox vorkonfiguriert ist, ist die deutsche Firma Selfhost.de. Als Beispiel für den Workshop haben wir auf deren Website mit dem Paket „Selfhost-free“ die kostenlose Subdomain „maz.selfhost.eu“ als Host-Namen registriert.

1.2 Daten für DNS-Update abfragen

Nach der Registrierung des Server-Namens erhalten Sie die Login-Daten, mit denen Sie die IP-Adresse für diesen aktualisieren können. Je nach Anbieter gibt es nur ein Kundenkonto oder separate Zugangsdaten für die Aktualisierung des Host-Namen. Bei Selfhost meldet man sich erst mit den per E-Mail zugeschickten Kundendaten an und kann dann in der Account-Konfiguration die Daten für den Host-Namen sehen. Die IP-Nummer lässt sich hier zwar manuell aktualisieren, aber das wäre auf Dauer mühsam und kaum für den Betrieb eines Servers geeignet. Deshalb verfügen viele Router über eine Funktion, die das erledigt.

1.3 DNS-Update am Router einrichten

Für eine automatische Meldung der IP-Nummer müssen die Update-Daten im Router eingetragen werden. Melden Sie sich zuerst an Ihrem Router an und öffnen Sie den Bereich für dynamisches DNS. Bei der Fritzbox ist dieser unter „Internet > Freigaben > Dynamic DNS“ zu finden. Hier finden Sie ein Menü mit diversen DNS-Anbietern inklusive Selfhost vor. Darunter können Sie den registrierten Server-Namen und die Zugangsdaten von der Konfigurationsseite eintragen.

Mit „Übernehmen“ wird die Einstellung an der Fritzbox aktiviert. Von nun an meldet die Fritzbox jede Änderung der IP-Adresse sofort an Selfhost. Wer im Internet den Namen seiner Subdomain – also in unserem Falle „maz.selfhost.eu“ – eingibt, landet dadurch immer auf seiner Fritzbox.

2. Weiterleitung im lokalen Netz

2.1 Adressvergabe per DHCP

Die Fritzbox muss die Anfragen für den Server an den zugehörigen Mac im lokalen Netzwerk weiterleiten. Dafür empfehlen wir, dem Server eine feste lokale IP-Adresse zuzuordnen. Das interne Netz arbeitet nach dem gleichen Prinzip wie das Internet. Auch hier hat jedes Gerät eine eigene IP-Nummer.

Der Unterschied ist, dass diese lokalen Nummern für den internen Gebrauch gedacht sind. Das Heimnetz versteckt sich hinter der öffentlichen IP-Adresse des Routers, der die Datentransfers den internen Nummern zuordnet. Im Privatbereich ist es üblich, dass der Router per DHCP die IP-Nummern aus einem dafür vorgesehenen Nummernblock verteilt, zum Beispiel 192.168.1.x oder 10.0.1.x.

Den Geräten werden anstelle des x die Nummern 1 bis 254 zugeteilt, wobei die 1 gewöhnlich der Router erhält. Die meisten Router führen eine Liste mit aktiven oder schon einmal angemeldeten Geräten. In der Fritzbox-Oberfläche finden Sie diese unter „Heimnetz > Netzwerk > Geräte und Benutzer“.

2.2 Feste IP-Nummer wählen

Die Übersicht der Fritzbox zeigt auch die Namen der Geräte. Um dafür zu sorgen, dass die Fritzbox dem Server eine feste IP-Adresse per DHCP zuteilt, suchen Sie seinen Eintrag in der Liste und klicken rechts neben den Daten auf den Knopf zum Bearbeiten. Nun aktivieren Sie unter Name und zuletzt zugeteilter IP-Adresse die Option „Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen“.

Bestätigen Sie mit „OK“, um zur Liste zurückzukehren. Andere Router identifizieren die Geräte über die eindeutige MAC-Adresse der Schnittstelle, die man zur Not auch im ausgeschalteten Zustand auf dem Typenschild jedes Mac findet, und erlauben dazu die Eingabe einer IP-Nummer. Achten Sie unbedingt darauf, dass die ersten drei Zahlen mit denen der IP-Adresse des Routers übereinstimmen und die letzte Zahl einmalig im lokalen Netz ist.

Das ist auch der Grund, weshalb man die IP-Konfiguration am besten zentral auf dem Router durchführt. Der sollte nämlich verhindern oder zumindest warnen, dass nicht zum Netz passende oder doppelte IP-Nummern eingegeben werden.

2.3 Anfragen weiterleiten

Bisher kommen Anfragen aus dem Internet nur bis zum Router. Damit dieser sie gezielt zum Server im lokalen Netz durchreicht, legen wir eine Portweiterleitung auf die IP-Adresse des Servers an. Anfragen auf anderen Ports sollte die Firewall des Routers aus Sicherheitsgründen blockieren. Die Kommunikation mit den Server-Diensten für Kontakte und Kalender erfolgt über den Standard-Port für das Webprotokoll HTTP (Port 80) oder über die verschlüsselte Variante SHTTP (Port 443), die vorzuziehen ist.

Eine entsprechende Weiterleitung richtet man an der Fritzbox unter „Internet > Freigaben > Portfreigaben“ ein. Um die im vorherigen Schritt festgelegte Ziel-IP-Adresse einzugeben, muss man an der Fritzbox die Freigabe für „Andere Anwendungen“ wählen und als Computer die „manuelle Eingabe der IP-Adresse“. Für eine verschlüsselte Verbindung vom Client im Internet zum lokalen Server, tragen Sie als Portnummer einheitlich die 443 ein. Bestätigen Sie mit „OK“ und aktivieren Sie die Portfreigabe im nächsten Bildschirm mit „Übernehmen“. Unter „Internet > Freigabe > Fritzbox-Dienste“ können Sie übrigens die Freigabe der Weboberfläche im Internet überprüfen.

3. Konfiguration der Clients

3.1 Kontakte am iPhone

Nach der Router-Konfiguration müssen nun auch noch die Einstellungen der Clients angepasst werden. Gegenüber dem ersten Teil des Workshops, bei dem der Zugriff über das lokale Netz erfolgte, sind aber nur kleine Änderungen nötig. Im Prinzip kann man die vorhandenen Konten bearbeiten, aber wir empfehlen, die alten Zugangsdaten zu löschen und über „Einstellungen > Mail, Kontakte, Kalender > Account hinzufügen“ neue anzulegen.

Für den Zugriff auf den Adressbuch-Server wählen Sie als Typ „Andere“ und dann „CardDAV-Account“. Als Server tragen Sie dort den beim DNS-Dienst registrierten Server-Namen ein, in unserem Beispiel „maz.selfhost.eu“. Benutzername und Kennwort übernehmen Sie von Konto auf dem OS X Server. Dann tippen Sie auf „Weiter“. iOS überprüft die Daten und erkennt automatisch, dass eine verschlüsselte Verbindung möglich ist. Falls nicht, können Sie SSL-Nutzung und Portnummer 443 über die erweiterten Einstellungen des Accounts eingeben.

3.2 Termine am iPhone

Die Konfiguration des Kalenderzugriffs erfolgt entsprechend, nur dass Sie hier als Typ den CalDAV-Account wählen müssen. Anschließend geben Sie wieder den registrierten Server-Namen und das Benutzerkonto auf dem Server an und tippen oben rechts auf „Weiter“. Im nächsten Schritt können Sie noch Kalender und Erinnerungen einzeln für den Abgleich auswählen, da beide über das gleiche CalDAV-Konto verwaltet werden.

Danach schließen Sie die Konfiguration mit „Sichern“ ab. So konfiguriert, erlaubt das iPhone oder ein anderes iOS-Gerät den Zugriff auf Kontakte, Kalender und Erinnerungen auf dem privaten OS X Server, genau wie im ersten Teil des Workshops für das lokale Netz beschrieben.

3.3 Kontakte am Mac

Zum Schluss wiederholen wir auch noch kurz die Konfiguration unter OS X, obwohl sich für den Zugriff aus dem Internet ebenfalls nur der Servername ändert. Zum Nutzen des OS X Servers für Kontakte legt man ein neues Konto an. Dazu öffnen Sie in den Systemeinstellungen den Bereich „Internet­accounts“.

Dort klicken Sie ganz unten in der Liste auf „Andere Accounts hinzufügen“ und wählen dann als Typ einen CardDAV-Account aus. Nun tragen Sie wie am iPhone Benutzername und Kennwort des Server-Kontos und den registrierten Host-Namen ein. Mit „Erstellen“ wird das Konto schließlich erzeugt. Das der Zugriff nun nicht mehr rein lokal erfolgt, ist kein Problem. Ruft Kontakte den Server auf, fragt der Router beim DNS die IP-Nummer ab und erhält dann seine eigene zurück.

Die übertragenen Datenpakete machen sich also nicht wirklich auf den Weg durchs Internet. Der Performance-Verlust hält sich wegen der geringen Datenmengen ohnehin in Grenzen.

3.4 Kalender am Mac

Der Zugriff auf Kalender und Erinnerungen startet ebenfalls mit dem Anlegen eines neuen Kontos. In diesem Fall handelt es sich jedoch um einen CalDAV-Account. Wechseln Sie über das Typmenü auf „Manuell“ und tragen Sie dann wieder die Daten des OS-X-Server-Kontos ein, darunter den neuen Host-Namen.

Dann klicken Sie auf „Erstellen“. Damit auch Erinnerungen über den Server abgeglichen werden, dürfen Sie nicht vergessen in „Sys­temeinstellungen > Internetaccounts“ das CalDAV-konto auszuwählen und dann in der Liste auf der rechten Seite die Verwendung mit der App Erinnerungen zu aktivieren.

0 Kommentare zu diesem Artikel
1908001