Wer unterwegs oder von zu Hause auf seine Serverdaten zugreifen möchte ohne die notwendigen Sicherheitsaspekte dazu nicht aus den Augen zu verlieren kommt um einen VPN-Zugang nicht herum.
OS X Server bietet mit ein paar wenigen Mausklicks die Möglichkeit einen solchen VPN-Zugang bereitzustellen. Neben dem unsicheren PPTP-Verfahren ist auch das L2TP/IPSec-Verfahren unterstützt.
Clientseitig sind folgende Schritte notwendig um einen Zugang zu einem VPN-Server zu erhalten:
Programm „Internet-Verbindung“ starten, dort neue VPN-Verbindung erstellen
Im anschliessenden Dialog L2TP über IPsec als Protokoll-Art auswählen
Danach steht die eigentliche Konfiguration an:
Die Beschreibung ist wahlfrei, als Server-Adresse ist der DynDNS-Namen oder eine fixe IP mit der der Server vom Internet aus ansprechbar ist einzutragen. Unter Account die Benutzerkennung desjenigen, der die Verbindung aufbaut. Als Benutzer-Identifizierung wird Kennwort vorgeschlagen, das dem User zugewiesene Passwort für seinen Zugriff auf die Dienste des OS X Servers gilt auch hier, da auch der VPN-Zugang über den zentralen Authentifizierungsdienst des OS X Servers läuft.
Alternativ können auch vom Server erstellte Zertifikate, der servereigene Kerberos-Dienst oder eine RSA-SecurID zur Benutzeridentifizierung verwendet werden.
Die Rechneridentifizierung läuft wahweise über ein Kennwort (Shared Secret) oder ebenfalls über ein Serverzertifikat.
Wird der Haken bei „VPN bei Bedarf aktivieren“ gesetzt, erscheint folgendes Fenster, in dem nochmals der Domainname von DynDNS einzutragen ist. Damit wird sichergestellt, das bei Aufruf dieser Domain der VPN-Tunnel automatisch etabliert wird.
Nach Bestätigen mit den Buttons „Fertig“ und „Ok“ und dann erscheint folgende fertige Konfiguration.
Wenn nun eine Internetverbindung besteht (egal ob GPRS, Modem, ISDN, DSL) kann via „Verbinden“ die Einwahl zum Server ausgelöst werden.
Mit dem Haken bei „VPN-Status“ wird ein kleines schwarzes „Ticket“ in der Menüleiste eingeblendet, über das ebenfalls die Einwahl ausgelöst werden kann.
Steht die VPN-Verbindung zum Server sind alle Dienste verfügbar als wäre man im lokalen Netz eingloggt. Lediglich die zumeist geringere Geschwindigkeit im Vergleich zum lokalen Ethernet deutet noch auf die Ferneinwahl hin.
Ich verstehe nicht ganz, warum man bei der Option »VPN bei Bedarf aktivieren« den öffentlichen FQDN einsetzen soll. Bei mir funktioniert das, wenn ich dort den privaten Namen eingebe, also z. B. host.mydomain.privat, so dieser aufgelöst werden kann.
So hat diese Funktion auch einen Sinn, denn ich will ja ins entfernte (private) LAN und nicht nur in den öffentlichen Teil. Oder liege ich da falsch?