Server (Mavericks) neu aufsetzen - DNS

theonesaint · 19.02.14

Hallo zusammen,

ich habe mich dazu entschlossen mir endlich einen MacMini zuzulegen auf dem ich OS X Server laufen lasse um sowohl vom Netzwerk als auch von extern drauf zuzugreifen zu können.

Ich habe das erste Setup hinter mir und leider hänge ich seit gestern an den DNS Einstellungen. Über den Terminal Command sudo changeip -checkhostname kommt leider der lt. Internet-Recherche altbekannte Fehler "DNS Hostname not available, please repair DNS and try again".

Zur Info, ich habe eine feste IP über hide.me für meinen VPN-Zugang auf den ich mich mit dem Mini einwähle. Der Mini hängt an einer Airport Express (Ethernet) auf der ich eine fixe interne IP mit 10.0.1.2 vergeben habe (10.0.1.1 ist der Router).

Ich habe jetzt alles versucht zu ändern bzw. aneinander anzupassen:

DNS Einträge am MacMini Ethernet-Adapter
DNS Einträge am VPN-Netzwerk (aufgrund eines DNS-Leaks habe ich meine DNS hier ursprünglich verändert, z.B. jene von google)
DNS Einträge an der Airport Express

Dann auch noch direkt in der Server-App rumgespielt, und ich glaube mittlerweile ist es das Beste ich setze das OS nochmal neu auf als auch die Server-App um von vorne zu beginnen.

Jetzt stelle ich mir die Frage wie ich das am besten mache um gleich von Anfang an die richtigen DNS-Einstellungen zu haben.

OS X neu aufsetzen
VPN-Dienst konfigurieren und einwählen (ohne DNS-Leak Reparatur, also nichts an irgendwelchen DNS etwas rumpfuschen)
Server.app installieren
Dann in der Server.app Zugriff-> Hostname-> Bearbeiten wählen um dann "Domain-Name" auszuwählen

Hier schon eine Frage: Was gebe ich bei Hostname ein wenn mein Computername z.B. theoserver ist. Bei Hostname steht zur Erklärung "z.B. server.example.com" eingeben. Ich habe via hide.me lediglich eine feste IP-Nummer bekommen, keinen Domain-Namen. Die Nummer ist analog 109.1ab.2cd.3ef. Oder muss ich hier auch theoserver eingeben und es wird erkannt, daß ich die IP 109.1ab.2cd.3ef habe?

5. Hoffen daß nun die DNS-Einträge von alleine korrekt im DNS-Dienst ermittelt werden.

Wäre für jeden Tipp dankbar, so langsam raufe ich mir schon die Haare aus mit dem ganzen DNS Geändere.

Ach ja, zur Info. Wenn ich nicht über VPN sondern nur normal über das Ethernet online bin bekomme ich den o.g. DSN-Fehler nicht, also nur wenn ich mich über VPN einwähle, was ich aber doch muss um die feste IP zu haben.

Wäre super wenn mir jemand helfen könnte.

lg

Theo

Marcel Bresink · 20.02.14

theonesaint schrieb:
Ich habe via hide.me lediglich eine feste IP-Nummer bekommen, keinen Domain-Namen.

Und genau das ist es ja, was die Warnmeldung von OS X Server Dir sagt: Der Server hat keinen Namen. Da viele Netzdienste einen Namen voraussetzen, lässt sich der Server so nicht betreiben. Punkt. Das System verhält sich also absolut richtig. Ein Neuaufsetzen ergibt keinen Sinn.

Wenn Du Serverdienste trotzdem in dieser ungewöhnlichen Netzkonfiguration verwenden willst, bleibt Dir nichts anderes, als selber einen DNS-Server für Dein privates Netz einzurichten. OS X Server kann diese Aufgabe auch übernehmen. Das erfordert in diesem speziellen Fall aber einige Grundlagenkenntnisse, da der Server ja offenbar zwischen zwei komplett unterschiedlichen Netzumgebungen hin- und her schalten soll.

theonesaint · 21.02.14

OK, danke schonmal, so ganz langsam arbeite ich mich in den Server rein (bin ein Noob beim Server, wie Ihr vielleicht schon erraten habt

Ich habe trotzdem nochmal neu aufgesetzt, dauert ja nicht lange bei nem grundsätzlich frischen System. Ich habe den Server jetzt ohne VPN-Verbindung zu hide.me online gebracht und zwar mit dyn.com. Ich denke mal die Einrichtung, daß der Server mit einem VPN von z.B. hide.me verbunden ist (wegen Sicherheit) spare ich mir für Lektion 25 auf.

Und jetzt funktioniert´s auch automatisch mit den DNS-Servern.

Ich hätte jetzt aber noch eine generelle Verständnisfrage, und zwar zum VPN den der Server zur Verfügung stellt (der auch funktioniert da ich mich einwählen kann):

Ich dachte ein VPN ist dazu da, mir meine Server-Umgebung remote bereitzustellen, so als wäre ich direkt im lokalen Netzwerk (inkl. sicherer Verbindung).

Ich bin nun also remote via meiner Server-VPN auf meinem Server (als Server-Admin eingeloggt), muss dort jedoch mittels afp meine Server verbinden, was bedeutet, ich muss die Dateifreigabe aktivieren und für die freigegebenen Ordner afp aktivieren.

Nur ist doch so der Sicherheitsgedanke, der hinter VPN steckt, verloren?

Im Grunde ist nun mein Server/Shares mittels afp über meine öffentliche dyndns erreichbar und somit hackbar sofern man Benutzername und Passwort hackt. Wozu brauche ich dann eigentlich noch VPN und wähle mich wenn ich remote bin nicht gleich über afp ein?

Ist der einzige Sinn eines VPN die Verschlüsselung der Kommunikation zwischen remote und lokal. Im Gegensatz mich mittels afp einzuwählen, in der die Kommunikation nicht verschlüsselt ist?

Das würde ich ja verstehen wenn die remote-location z.B. ein öffentlicher Hotspot ist in dem mein Einwahlpunkt unsicher ist. Wenn meine remote-location jedoch mein Büro ist (mein eigenes, bin Selbstständig) und somit vertrauenswürdig ist kann ich doch gleich mit afp auf den Server zugreifen.

Wie gesagt, bin ein ziemlicher Noob bzgl. Server, aber ich arbeite mich langsam rein.

Thx

Theo

Wuchtbrumme · 22.02.14

ein VPN hat mit einem Server erst einmal nichts zu tun, es ist vielmehr ein Sicherheitskonstrukt und Konzept fürs Netzwerk. Mittels Controlplane kannst Du u.a. Freigaben parametrisch automatisieren. Die Möglichkeit von draußen auf irgendwas in Deinem lokalen Netz zu kommen würde ich abschalten, sonst unterminierst Du das VPN-Sicherheitskonzept wie Du schon erkannt hast.

Marcel Bresink · 22.02.14

theonesaint schrieb:
Im Grunde ist nun mein Server/Shares mittels afp über meine öffentliche dyndns erreichbar

Nein, denn der Server ist ja wohl hoffentlich durch eine Firewall oder zumindest ein NAT-Gateway durch Zugriffe aus dem Internet geschützt.

theonesaint schrieb:
Ist der einzige Sinn eines VPN die Verschlüsselung der Kommunikation zwischen remote und lokal.

Nein, die VPN-Serverfunktion ermöglicht Dir, den Schutz Deines Routers von außen nach innen über einen abgesicherten Mechanismus zu durchbrechen.

soramac · 22.02.14

oder den Schutz im einen öffentlichen Wlan, z.B. ein Kaffee, das keiner deine Daten mitliest.

theonesaint · 26.02.14

Wuchtbrumme schrieb:
Die Möglichkeit von draußen auf irgendwas in Deinem lokalen Netz zu kommen würde ich abschalten, sonst unterminierst Du das VPN-Sicherheitskonzept wie Du schon erkannt hast.

Das ist ja eben meine Frage: Um aber auf Ordner zugreifen zu können muss ich in der Dateifreigabe für die jeweiligen Ordner afp oder smb freigeben.

Marcel Bresink schrieb:
Nein, denn der Server ist ja wohl hoffentlich durch eine Firewall oder zumindest ein NAT-Gateway durch Zugriffe aus dem Internet geschützt.

Ja, ist er, einmal durch die davor geschaltete AP Extreme, einmal durch die adaptive Firewall.

Aber trotzdem: Mit afp/smb-Freigabe gebe ich Ports in der AP Extreme frei, was bedeutet sie sind offen und somit von aussen erreichbar. Natürlich braucht man Benutzername und Kennwort um sich anzumelden, aber ich finde das ist eine Lücke/offener Port der ich dachte nicht da sein müsste mit VPN.

Die Ordner sind eben auch ohne VPN-Verbindung von aussen erreichbar, also unter meiner dyn-dns Adresse (z.B. beispielserver.dyndns.com, das ist mein dynamischer DNS-Dienst der meine dynamische IP updated).

Ich gebe also afp://beispielserver.dyndns.com ein und werde dann nach Benutzername und Kennwort gefragt. Das wollte ich eigentlich unterbinden, und auf Ordner nur mittels VPN zugreifen, also dann z.B. afp://10.0.1.2, das ist die interne IP meines OS X Servers.

Wuchtbrumme · 26.02.14

ich weiß es gar nicht genau, weil ich sowas kategorisch ausschalte, aber wenn UPNP in der AE aktiv ist, könnte es sein, dass sich das so wie beschrieben verhält. Lösung: UPNP in der AE ausschalten, evtl. hat es auch ein extra Menü für Portforwarding und Freigaben automatisch einrichten osä. Das willst Du natürlich nicht. Dann ist es so wie Du möchtest, dass Du nur per VPN reinkommst.

theonesaint · 26.02.14

Wuchtbrumme schrieb:
ich weiß es gar nicht genau, weil ich sowas kategorisch ausschalte, aber wenn UPNP in der AE aktiv ist, könnte es sein, dass sich das so wie beschrieben verhält. Lösung: UPNP in der AE ausschalten, evtl. hat es auch ein extra Menü für Portforwarding und Freigaben automatisch einrichten osä. Das willst Du natürlich nicht. Dann ist es so wie Du möchtest, dass Du nur per VPN reinkommst.

Mit UPNP in der AE meinst Du NAT-Port-Mapping oder?

OK, jetzt habe ich´s. Und zwar schaltet Server sobald man die Dateifreigabe aktiviert hat automatisch auch die AE Ports für Dateifreigabe frei (AE ist ja über die Server.app steuerbar). Ich dachte das gehört so.

Hab jetzt einfach in der Diensteverwaltung der AE die Dateifreigabe deaktiviert (über die Server.app), was eben die Ports der Dateifreigabe in der AE auch wieder schliesst. Offen sind jetzt nur die VPN Ports. Die freigegebenen Ordner müssen jedoch afp/smb aktiviert haben.

Jetzt ist über die öffentlich Domain mit afp nichts mehr zu erreichen, nur wenn ich über VPN eingewählt bin mit der internen IP.

Thx an alle

Theo

Suche

Suche

Server (Mavericks) neu aufsetzen - DNS

theonesaint

Fießers Erstling

Marcel Bresink

Geflammter Kardinal

theonesaint

Fießers Erstling

Wuchtbrumme

Golden Noble

Marcel Bresink

Geflammter Kardinal

soramac

deaktivierter Benutzer

theonesaint

Fießers Erstling

Wuchtbrumme

Golden Noble

theonesaint

Fießers Erstling

Wir schützen Ihre Privatsphäre

Informationen auf einem Gerät speichern und/oder abrufen

Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen (Optionale Cookies)

Datenübermittlung an Partner in anderen Staaten (Drittanbieter-Cookies)