wir haben eine Nextcloud (18.04 auf ubuntu 20.04 dezidiert) aufgesetzt und im grünen Netz (lmn v6.2) die LDAP-Abfrage erfolgreich getestet. Im Forum wird für den Zugriff von außen dringend von einem Einsatz in GRÜN abgeraten. Eine DMZ haben wir (noch) nicht, daher wollen wir es mit ROT versuchen. Mit den diversen Einträgen im Wiki komme ich nicht weiter, weil mir die Erfahrung/Übersicht fehlt.
Ich würde nun die Nextcloud in ROT mit einer festen IP versorgen und ein oder mehrere Regeln im ipFire erstellen. Aber da hakt’s:
Wie bewerkstellige ich, dass eine Anfrage von außen (dyndns.org) auf dem Nextcloud-Server und LDAP von dort beim Server landet? Momentan landet man von außen auf der „It works“ Seite des ipfires oder Servers (https://xyz.dyndns.org).
der slapd.
Editiere /etc/ldap/slapd.conf
in dieser Form:
#Limits Access:
access to attrs=sambaLMPassword,sambaNTPassword,sambaPwdLastSet,sambaPwdMustChange,sambaAcctFlags,userPassword
by anonymous peername.ip=10.16.1.254 auth
by anonymous peername.ip=ip.der.next.cloud auth
by anonymous peername.ip=10.16.1.1 auth
by anonymous peername.ip=127.0.0.1 auth
by anonymous ssf=56 auth
by self peername.ip=127.0.0.1 write
by self ssf=56 write
by * none
Danach slpd neustarten per
/etc/init.d/slpad restart
die LDAP-Regel haben wir schon für moodle. Eintrag in der slapd.conf werde ich dann vornehmen. Aber über welche URL kommt man dann von außen auf die Nextcloud?
die LDAP-Regel haben wir schon für moodle. Eintrag in der slapd.conf
werde ich dann vornehmen. Aber über welche URL kommt man dann von außen
auf die Nextcloud?
… das kommt doch drauf an, wo ihr sie habt: ich weiß das nciht.
ich glaube wir missverstehen uns. Meine Annahme: Die Nextcloud hängt mit dem (virtualisierten) ipFire als dezidierte Maschine in ROT. Sie soll dann sowohl aus GRÜN und BLAU als auch von zuhause aus via dyndns erreichbar sein.
wenn ich dich richtig verstanden habe, ist deine Situation folgende:
Du hast eine Nextcloud mit fester IP und einen DNS-Eintrag und damit einen FQDN, der auf diese IP-Adresse zeigt.
Du hast (wie von Holger beschrieben) eine Regel auf deinem IPFire angelegt, die eine Anfrage an die rote IP deines IPFire auf Port 636 an den Server (und dessen LDAP) weiterreicht.
Als erstes sollte wie von Holger beschrieben die IP-Adresse der Nextcloud in die slapd.conf eingetragen werden. Sonst kannst du dich nämlich über die Nextcloud nicht gegen den LDAP authentifizieren. Wenn das erledigt ist, solltest du dich doch bereits über die URL, unter der die Nextcloud zu erreichen ist, von außen an deiner Nextcloud anmelden können, vorausgesetzt du hast auch das LDAP-Plugin der Nextcloud richtig eingerichtet. Wie das geht, ist im Wiki hinreichend beschrieben.
Damit du die Nextcloud auch aus dem grünen und blauen Netz erreichen kannst, musst du gegebenfalls einen Eintrag in der Hosts-Datei sowie in der bind9-config setzen. Auch das wurde bereits mehrfach beschrieben.
die Nextcloud hat eine feste IP in ROT. Einen DNS-Eintrag haben wir nicht, da wir einen Provider mit dynamischen IPs haben. Von „außen“ kommen wir also per dyndns ins rote Netz, oder vielmehr auf den IpFire.
Du hast (wie von Holger beschrieben) eine Regel auf deinem IPFire angelegt, die eine Anfrage an die rote IP deines IPFire auf Port 636 an den Server (und dessen LDAP) weiterreicht.
Das ist korrekt. Dann würde ich noch die rote IP der Nextcloud in die slapd.conf eintragen und LDAP sollte tun (in GRÜN tut es ja schon).
Mein Problem ist, wie ich von außen die Nextcloud erreiche. Und dann eben auch mal (eilt ja gerade nicht) aus GRÜN und BLAU.
bist du dir sicher, dass du nicht ein paar Dinge verwechselst? Einmal sprichst du davon, dass deine Nextcloud eine feste IP hat, dann schreibst du, dass ihr von eurem Provider nur dynamische IPs habt. Das widerspricht sich…
Ich glaube aber langsam zu verstehen, wie die Situation bei euch ist. Den IPFire erreicht ihr per DYNDNS. Der Server (?!) vergibt wiederum eine IP an den Nextcloud-Server. Demnach steht der Nextcloud-Server aber nicht in ROT.
Du könntest nun einerseits eine Weiterleitung von Firewall (ROT):<beliebiger nicht belegter Port> -> <IP Nextcloud>:<beliebiger nicht belegter Port> einrichten. Dann ist die Nextcloud über <DYNDNS IPFire>:<beliebiger nicht belegter Port> erreichbar.
Oder du hast noch eine weitere (dynamische) IP-Adresse, die du durch einen weiteren DYNDNS erreichbar machst. Dann ist deine Nextcloud vorbei an deinem IPFire ebenfalls in ROT.
wir nähern uns langsam an.
Der Provider ist wie DSL, also nach außen haben wir eine dynamische IP. Im roten Netz vergeben wir intern feste IPs der Form 192.168.x.x an IpFire und Nextcloud.
Wenn ich von außen eingebe: https://dyndns-URL/horde3, komme ich z.B. auf das Horde Webfrontend unseres Server in GRÜN (standardmäßig in lmn6?). Ich dachte an etwas Vergleichbares mit …/nextcloud , die aber ja nicht in GRÜN stehen soll.
so langsam blicke ich immer mehr durch. Wenn ich dich richtig verstehe, zeigt der DYNDNS-Eintrag auf die IP-Adresse, unter der dein IPFire (ROT) zu erreichen ist. Du leitest per Firewall-Regel die Ports 80/443 an den pädagogischen Server weiter, sodass du dessen Webserver (und damit unter anderem Horde) erreichst, wenn du im Browser die DYNDNS-Adresse ansurfst.
Aber willst du den Webserver des pädagogischen Servers wirklich von außen erreichbar machen??? Insbesondere das Horde-Webfrontend ist ein beliebtes Angriffsziel. Ich halte das für ein (unnötiges) Sicherheitsrisiko, aber das ist meine Meinung.
Nun zur Nextcloud: Du könntest, wie bereits vorgeschlagen, einen Firewall-Eintrag Firewall (ROT):12345 -> <192.168.x.x (Nextcloud-IP)>:12345 anlegen. Dann erreichst du die Nextcloud unter DYNDNS:12345. Nicht gerade schön, aber so erreichst du wenigstens das gewollte.
sein Problem ist, dass er nur eine Leitung und nur eine IP von außen
hat: aber mehrere Server betreiben will.
Das geht: aber schön ist das nicht.
Entweder du richtest das im NAT ds DSL Routers ein: dass er Port 80,443
und 2222 auf den IPFire weiterleitet aber Port 8443 auf die Nextcloud.
Oder du steckst die Nextcloud in die DMZ des IPFire und richtest dort
die Weiterleitung ein.
so langsam blicke ich immer mehr durch. Wenn ich dich richtig verstehe, zeigt der DYNDNS-Eintrag auf die IP-Adresse, unter der dein IPFire (ROT) zu erreichen ist. Du leitest per Firewall-Regel die Ports 80/443 an den pädagogischen Server weiter, sodass du dessen Webserver (und damit unter anderem Horde) erreichst, wenn du im Browser die DYNDNS-Adresse ansurfst. Willst du den Webserver des pädagogischen Servers wirklich von außen erreichbar machen??? Ich halte das für ein Sicherheitsrisiko, aber das ist meine Meinung.
Port 80 nicht, 443 schon, das stimmt. Ein paar KuK nutzen Horde, um auf ihr Homeverzeichnis von zuhause aus zugreifen zu können. Tunnellösungen wären bestimmt besser, aber eben auch abschreckend umständlich. Wenn die Nextcloud läuft, würde ich das abschalten. Sollte man hier besser solange einen unüblichen Port nehmen und entsprechend auf server:443 weiterleiten?
Nun zur Nextcloud: Du könntest, wie bereits vorgeschlagen, einen Firewall-Eintrag Firewall (ROT):<12345> -> <192.168.x.x (Nextcloud-IP)>:<12345> anlegen. Dann erreichst du die Nextcloud unter DYNDNS:12345. Nicht gerade schön, aber so erreichst du wenigstens das gewollte.
Das ist es, was ich meinte. Danke! Die nächste Frage ist dann, ob Nextcloud Clients mit so etwas umgehen können.
Entweder du richtest das im NAT ds DSL Routers ein: dass er Port 80,443
und 2222 auf den IPFire weiterleitet aber Port 8443 auf die Nextcloud.
Oder du steckst die Nextcloud in die DMZ des IPFire und richtest dort
die Weiterleitung ein.
Eine DMZ haben wir (noch) nicht. Da bräuchte ich noch eine weitere Netzwerkkarte im IpFire, richtig?
Da hatte ich mich gefragt, ob das vor einem Wechsel auf lmn7 Sinn macht. Den würden wir für kommendes SJ anpeilen. Bis dahin die „quick & dirty nextcloud“ in ROT, das war zumindest der Plan.
Weswegen seid ihr den nicht bei BelWü?
Wäre das nciht was für euch?
Da bekommt man mehrere externe IP Adressen über ein und die selbe Leitung …
Sind schon bei Bewlue, aber nur mit moodle etc. Wir haben hier eine Richtfunk-Internetanbindung (skytron), da kein Kabel/LWL und nur Schnarch-DSL. Ich frage mal nach, ob das mit Belwue geht, das mit mehreren IPs erscheint mir die sinnvollere Variante.
die Clients können auch mit Nicht-Standardports umgehen.
Problematisch ist tendenziell immer wenn man den gleichen DNS-Eintrag
von Intern und Extern nehmen will. Ansonsten gibt es da aber keine
Schwierigkeiten.
das freut mich! Björn hat es ja schon beantwortet: Für die Clients ist der Port kein Problem. Wenn überhaupt, dann ist es für die KuK problematisch.
Warum leitest du nicht einfach Port 443 an die Nextcloud weiter, wenn du die Weiterleitung an den Webserver des pädagogischen Server ohnehin abschalten möchtest? Oder du nimmst für diese Weiterleitung temporär beispielsweise den Port 8443 und hast für die Nextcloud Port 443 frei. Dann müssen die KuK später nichts umstellen…
Und wie Holger bereits vorgeschlagen hat: Auch ich würde dir BelWü wärmstens empfehlen. Dem sollte auch die Anbindung per Richtfunk nicht im Wege stehen.
zwischenzeitlich hatten wir Hilfe eines Profis vor Ort und haben:
a) die doppelte Portweiterleitung 443 TCP auf die IP der Nextcloud UND die IP des ipFire erkannt und korrigieren lassen,
b) dem Apache des Hosts den „gekaperten“ Port 443 weggenommen und dem Apache der Nextcloud zugewiesen,
c) ewig mit dem Einrichten von LDAPS probiert und schließlich nur LDAP von ROT nach GRÜN realisieren können.
Die Nextcloud läuft nun, ist aus dem WWW via dyndns erreichbar. Aus den Schulnetzen komme ich nur per IP (https://192.168…) drauf. Hat da jemand einen heißen Tipp, an welcher Stelle ich (vermutlich) dem ipFire sage, dass er die URL meineschule.dyndns.org auf die IP in ROT routet?
Die Nextcloud läuft nun, ist aus dem WWW via dyndns erreichbar. Aus den
Schulnetzen komme ich nur per IP (https://192.168…) drauf. Hat da jemand
einen heißen Tipp, an welcher Stelle ich (vermutlich) dem ipFire sage,
dass er die URL meineschule.dyndns.orghttp://meineschule.dyndns.org
auf die IP in ROT routet?
Also denkt der server, dass er für alles unterhalb von meineschule.dyndns.org zuständig ist und fragt erst garnicht beim DNS
nach sondern sagt dem Client der die Nextcloud unter meineschule.dyndns.org aufruft: „ich bin das und ich hab deine blöde
Seite nicht … kapier das mal!“
Also mußt du dem bind auf dem Server beibringen, dass er nextcloud.meineschule.dyndns.org
auf IP.der.next.cloud auflößt.
Das ist vielleicht im wiki, aber bestimmt irgendwo in der Liste beschrieben.
Ich war nie ein Fan von „interne und externe Domain gleich“. Das sehen
andere anders
Die Nextcloud läuft nun, ist aus dem WWW via dyndns erreichbar. Aus den
Schulnetzen komme ich nur per IP (https://192.168…) drauf. Hat da jemand
einen heißen Tipp, an welcher Stelle ich (vermutlich) dem ipFire sage,
dass er die URL meineschule.dyndns.orghttp://meineschule.dyndns.org
auf die IP in ROT routet?
der Tread ist noch besser:
Allerdings ist das die Lösung für die 6.2 …
Aber vielleicht hilft dir das trotzdem.