Horde 3 und 5 - Fragen

Jean-Francois · 28. September 2017 um 12:59

Liebe Gemeinde,

nun läuft Linuxmuster in unsere Schule seit wenige Wochen ganz zuverlässig.
Ich bin sehr zufrieden damit.
Zeit den nächsten Schritt zu unternehmen…

Da es mit owncloud/nextcloud leider,leider nicht möglich ist auf die Home-Verzeichnisse zuzugreifen, probiere ich die anderen Möglichkeiten aus.
OpenVPN funktionniert.
Horde leider nicht.

Mein Router leitet der Port 443 auf die IP-Adresse von Ipfire weiter (192.168.1.92).
Ipfire seinerseits leitet die Anfragen auf 443 auf die Adresse vom Server 10.16.1.1 weiter
In der Config-datei von Horde /etc/horde/apache.conf war “allow from all” von Anfang an auskommentiert.
Unter https://server/horde3 funktioniert das.
unter https://XXX.XXX.com/horde3 allerdings nicht. Seite nicht erreichbar.
Wenn ich im Router den port 443 auf einen anderen Server leite (owncloud, außerhalb von Linuxmuster!!) funktioniert das. Das Problem befindet sich also entweder bei Ipfire oder beim Server selber.

Jemand eine Ahnung?

Zweite Frage: Horde 3 ist gruselig. Es gibt eine Anleitung um Horde 5 zu installieren.
https://www.linuxmuster.net/wiki/anwenderwiki:webapps:horde:installhorde5ubuntu
Leider ist offenbar ein Teil nicht mehr zugänglich:
"fixme-Hinweis: pear.phpunit.de ist nicht mehr erreichbar, siehe diese Info."
Hat jemand kürzlich den Upgrade gemacht? Funktioniert das trotzdem nach wie vor?

Vielen Dank,

Jean-Francois

zefanja · 28. September 2017 um 13:14

Wie meinst du das? Ich habe das erst diese Woche bei uns eingerichtet. Man kann das Home-Verzeichnis in Nextcloud einbinden.

vG

Jean-Francois · 28. September 2017 um 13:44

Hallo,

Nicht dein ernst!! Ich dachte es ist nicht möglich wegen Rechte-Vergabe usw…
Wenn Du es geschafft hast, bist Du mein Held!!

Hast Du Linuxmuster virtualisiert? (xen?)
Hast Du Owncloud virtualisiert auf dem gleichen Server oder als Zusatzmachine??
Wie geht das??

Grüße, Jean-Francois

zefanja · 28. September 2017 um 21:54

Hallo,

ich bin im wesentlichen diesen Anleitungen gefolgt:

Bei uns läuft alles virtualisiert. Nextcloud läuft in einer eigenen VM.

vG

Jean-Francois · 2. Oktober 2017 um 15:55

Hallo zefanja,

Vielen Dank für die links.
Ich kann gutes vermelden:

Ubuntu server ließ sich ohne Probleme als Virtuelle Maschine unter Xen installieren (IP 10.16.1.8).
Nextcloud wurde installiert und ist im Intranet aus dem grünen Netz unter 10.16.1.8 erreichbar.
Ldap funktioniert (Anmelde-Daten werden vom Server 10.16.1.1 geholt)
Einbinden von /home Ordner über smb cif funktioniert.

Das was nicht funktioniert ist der Zugriff von Außen.
Ich habe in meiner Fritzbox eine Portfreigabe: TCP port 80 -> Computer:ipfire -> Port 80.
Die Portfreigabe funktionierte mit dem alten server (Ubuntu mit Owncloud).
Die Portfreigabe zu SSH (Port 2222) funktioniert auch.

Das Problem liegt glaube ich bei Ipfire (bzw. bei mir:grinning:).
Welche Freigabe muss ich genau machen um einen Zugang von Außen zu ermöglichen?
Ich glaube mir fehlt nur ein mini Baustein damit es läuft.

Vielen Dank,

Jean-Francois

Michael · 2. Oktober 2017 um 17:48

Das, was du vor hast, wurde schon öfter diskutiert – ich hatte auch schon mehrfach die Idee, sowohl OC/NC mit Home-Laufwerken UND Freigabe nach außen erreichbar zu machen. Letztlich bin ich davon abgerückt und zwar ganz einfach deshalb, weil es so nicht vorgesehen ist!

Du bohrst ein Loch in die Firewall und umgehst alle Sicherheitsmaßnahmen, um einen Rechner, der sich im innersten Netz (grün) befindet nach außen zu bringen. Darüber sollte man mehrfach nachdenken, ob man das wirklich so haben willl! Vorgesehen ist es nicht, denn wenn jemand irgendwie über NC auf den Rechner gelangt, ist er im grünen Netz, wo es nur absolut vertrauenswürdige, registrierte Rechner gibt.

Ich habe es hier anders gelöst: Unsere NC läuft jetzt in der DMZ (orange). Anmeldung per LDAP funktioniert aber ich habe die Home-Laufwerke nicht eingebunden. Dafür kommt man von allen (Sub-)Netzen problemlos auf die Nextcloud und sie ist auch von außen erreichbar. Für mich ist diese Lösung letztlich besser, da man sich kein ungeahntes Sicherheitsloch ins Haus holt.

baumhof · 2. Oktober 2017 um 17:58

Hallo Jean-Francois

Das was nicht funktioniert ist der Zugriff von Außen.
Ich habe in meiner Fritzbox eine Portfreigabe: TCP port 80 →
Computer:ipfire → Port 80.
Die Portfreigabe funktionierte mit dem alten server (Ubuntu mit Owncloud).
Die Portfreigabe zu SSH (Port 2222) funktioniert auch.

Das Problem liegt glaube ich bei Ipfire (bzw. bei mir:grinning:).
Welche Freigabe muss ich genau machen um einen Zugang von Außen zu
ermöglichen?
Ich glaube mir fehlt nur ein mini Baustein damit es läuft.

du mußt im IPFire eine Firewallregel erstellen die so geht:
Quelle: Rot
Ziel: IP 10.16.1.8
Port 443

„Einstellung übernehmen“ nicht vergessen.

Aber: normalerweise gehört ein von außen erreichbarer Webserver nie ins
interne Netz …

LG

Holger

crazy-to-bike · 2. Oktober 2017 um 18:05

Hallo Jean-Francois,

baumhof · 2. Oktober 2017 um 18:07

Hallo,

Ich habe es hier anders gelöst: Unsere NC läuft jetzt in der DMZ
(orange). Anmeldung per LDAP funktioniert aber ich habe die
Home-Laufwerke nicht eingebunden. Dafür kommt man von allen
(Sub-)Netzen problemlos auf die Nextcloud und sie ist auch von außen
erreichbar. Für mich ist diese Lösung letztlich besser, da man sich kein
ungeahntes Sicherheitsloch ins Haus holt.

ich kann schon verstehen, warum er das so haben will: aber er sollte die
NC wirklich nach Rot oder Orange stellen und dann halt zwei Löcher in
die Firewall zum Server bohren: LDAP und SMB.
Wird die owncloud gehackt sind die Homes deswegen trotzdem nicht
zugänglich: wenn die NC verschlüsselt ist.

LG

Holger

Jean-Francois · 2. Oktober 2017 um 20:16

Hallo Zusammen,

vielen Dank für die Antworten.

Heißt das Abends zu Hause die Dateien auf der Cloud schieben, Morgens in der Schule in der Cloud anmelden und Dateien runterladen auf Home. Mittags die geänderten Dateien auf die Cloud hochladen und Nachmittags zu Hause wieder von Der Cloud aufs PC?
Das kann doch nicht Stand der Technik sein?? Da arbeite ich lieber mit USB-Stick…
Technisch möglich ist es scheinbar (Horde).

Mir ist nicht ganz klar welcher Gefahr ich tatsächlich ausgesetzt bin?
Wen einer über Nextcloud ins Grüne Netz eindringt, was kann er einrichten?
Die Daten im Grünen Netz sind die Daten die ohnehin auch in der Cloud sind. Darum kann es also nicht gehen.
Geht es darum, dass der Eindringlinge aus unseren Netz Unheil in Internet verbreiten kann?

Grüße,

Michael · 2. Oktober 2017 um 22:07

Bei uns gibt es den Tausch von Home_auf_Server <-> NextCloud einfach nicht. Man kann aber an jedem (Ubuntu)-Client einfach auf den WebDAVS-Link klicken und kommt dann an seine Cloud-Dateien. Nur umgekehrt geht es nicht … es stört aber im Moment niemanden.
Verstehen kann ich den Wunsch allerdings auch gut, dass man alles unter einem Login hat. Allerdings soll das mit dem eingebundenen SMB-Share ja nicht allzu schnell sein – oder kannst du gegenteiliges berichten?

baumhof · 2. Oktober 2017 um 22:53

Hallo Jean-Francois,

Heißt das Abends zu Hause die Dateien auf der Cloud schieben,

… das geht automatisch im Hintergrund.

Morgens in
der Schule in der Cloud anmelden und Dateien runterladen auf Home.

… wenn man merkt, dass was fehlt.

Mittags die geänderten Dateien auf die Cloud hochladen

… wenn man was verändert hat…

und Nachmittags
zu Hause wieder von Der Cloud aufs PC?

… das geht wiederrum automatisch im Hintergrund.

Damit die mitleren beiden Schritte auch automatisch gehen, haben manche
auf den Clients in der Schule einfach den owncloud CLient installiert:
dann gehen auch die beiden Schritte automatisch.

Das kann doch nicht Stand der Technik sein?? Da arbeite ich lieber mit
USB-Stick…

… ich verstehe schon, was du meinst.
Es wäre ganz schön das so zu haben.

Mir ist nicht ganz klar welcher Gefahr ich tatsächlich ausgesetzt bin?
Wen einer über Nextcloud ins Grüne Netz eindringt, was kann er einrichten?

er kann jeden Client im Netz direkt angreifen: auch den Server und das
von innen, wo der Server weitaus mehr Dienste anbietet als nach außen.

Die Daten im Grünen Netz sind die Daten die ohnehin auch in der Cloud
sind. Darum kann es also nicht gehen.

doch: an die in der nextcloud kommt er nicht, weil nicht mal der admin
die Dateien der Nutzer in der nextcloud anschauen kann, wenn sie
verschlüsselt sind. Und aus Rot oder der DMZ bietet der Server viel
weniger Angriffsfläche als aus Grün.
Außerdem kann er keine anderen Clients oder Server in Grün angreifen
oder NEtzwerktraffic mitschneiden.

Geht es darum, dass der Eindringlinge aus unseren Netz Unheil in
Internet verbreiten kann?

das könnte er auch, wenn er nicht nach Grün gelangt sondern nur nach Rot
oder Orange: darum geht es nicht.

Viele Grüße

Holger

Jean-Francois · 3. Oktober 2017 um 07:58

Hallo,

ich lerne immer mehr. Wie schön!
Vielen Dank dafür.

Was muss ich machen um Nexcloud von Grün auf Orange zu schieben?
Die Samba Share deaktiviere ich. Und dann?
Wie kriege ich dann die LDAP durch die Firewall?

Andere Frage: wenn ich den owncloud-client auf alle Laptops installiere, mich auf Laptop 1 einloge (LDAP) und dort meine Owncloud-Daten eingebe, wird mein Ordner immer synchronisiert, egal welches Laptop ich dann später nehmen? Anders gefragt: wird die Owncloud-Client-konfiguration auf dem Laptop gespeichert oder Zentral auf dem Server?

Gleiche Frage mit Webdav.
Das wäre nämlich eine gangbare Alternative. Die Daten sind zwar nicht auf dem Linuxmuster-Server (sondern Nextcloud-Server) aber ohne zusätzlichen einloggen aus jedem PC der Schule erreichbar. Darauf kommt es mir an.

Fragen über Fragen… Sorry.

Jean-Francois

baumhof · 3. Oktober 2017 um 09:44

Hallo Jean-Francois,

Was muss ich machen um Nexcloud von Grün auf Orange zu schieben?
Die Samba Share deaktiviere ich. Und dann?
Wie kriege ich dann die LDAP durch die Firewall?

„Netztwerkkabel“ umhängen und im IPFire eine Weiterleitung von Orange
nach Grün (zum Server) für LDAPs und smb machen („Pinnhole“ hieß das
früher).

Andere Frage: wenn ich den owncloud-client auf alle Laptops installiere,
mich auf Laptop 1 einloge (LDAP) und dort meine Owncloud-Daten eingebe,
wird mein Ordner immer synchronisiert, egal welches Laptop ich dann
später nehmen? Anders gefragt: wird die Owncloud-Client-konfiguration
auf dem Laptop gespeichert oder Zentral auf dem Server?

das kommt darauf an wie der synccleint eingestellt ist: also wo der
lokale Ordner liegt.
Der sollte natürlich im Home auf dem Server liegen.
Dann wird das Home beim Anmelden an Laptop A per syncclient auf den
aktuellen Stand gesynct.
Meldet man sich danach an Laptop B an, so braucht nichts mehr gesynct zu
werden.

Gleiche Frage mit Webdav.

nein: eine andere Frage.
WebDav aktualisert nicht sondern blendet einfach die Owncloud Sachen in
einem Verzeichnis auf dem Client ein… mit allen damit verbundenen Vor
und Nachteilen.
z.B. wird Videobearbeitung in diesem für den Nutzer einfachen
Verzeichnis zu Videobearbeitung auf einem entfernten Server: das wird
schnell zum Flaschen hals und die Nutzer kapieren nicht, was da los ist.

Das wäre nämlich eine gangbare Alternative. Die Daten sind zwar nicht
auf dem Linuxmuster-Server (sondern Nextcloud-Server) aber ohne
zusätzlichen einloggen aus jedem PC der Schule erreichbar. Darauf kommt
es mir an.

… nicht nur. Du mußt auch an die Performance denken.

LG

Holger

Jean-Francois · 3. Oktober 2017 um 10:35

Hallo Holger,

vielen Dank für die Erläuterungen.
Das mit dem “Netztwerkkabel” umhängen ist mir noch nicht klar.

Ich habe Linuxmuster auf XEN installiert. Bisher habe ich aber kein ORANGE Netzwerkkarte gesehen. Wo und wie soll ich sie hinfügen/konfigurieren? Bei XEN? Bekommt sie eine IP vom Router?
Oder ist Orange eine Virtuelle Karte von IPfire? Wird sie serienmäßig bei der Installation von Linuxmuster angelegt? Wie konfiguriere ich sie?

Jean-Francois