Eigener VPN Server OS X Lion

VPN Server unter OS X Lion
Für dieses kompakte How To habe ich mir die Möglichkeit angesehen unter OS X Lion (mit der von Apple angebotenen Server GUI) ein eigenes VPN einzurichten.

Mögliche Einsatzzwecke
Im Gegensatz zu kommerziellen VPN-Anbietern, wie ich sie hier z.B. getestet habe, hat ein eigenes VPN einen anderen Einsatzzweck:
  • Administratoren brauchen oft Zugang zu einer gesamten Serverlanschaft um von außerhalb sinnvoll arbeiten zu können.
  • User brauchen oft Zugang zu einzelnen Services wie Kalenderservern, die aufgrund bestehender Unternehmenspolicies nicht öffentlich ins Netz gestellt werden sollen.
  • Wichtige Business-Leute (mit Krawatten und so) vereisen vielleicht in Länder, in denen der Umgang mit Zensur und staatlicher Internetüberwachung nicht besonders einladend ist.
Während der dritte hier angeführte Fall auch durch andere Lösungsdesigns beherrschbar wird (z.B. Hide My Ass!), sind die ersten beiden Fälle ausschließlich durch die Zwischenschaltung eines eigenen VPNs zu lösen. Ich persönlich bin der Meinung, dass das Setup eines eigenen VPNs in Unternehmen mit eigener Firewall sinnvoller Weise direkt dort erfolgen sollte. Das macht die Administrationsaufgaben übersichtlicher und skalierbarer. Die Geschmäcker und möglichen Lösungen sind sehr unterschiedlich. So können mittlerweile OS X (inklusiver iOS) und diverse Cisco Firewalls recht gut miteinander. Fortigate Appliances können über den Open Source Client IPSecuritas mit Macs verbunden werden. Meistens ist es sicher sinnvoller eine dieser Varianten zu wählen, wer aber beispielsweise den Zugang ins private Heim herstellen will, kann durchaus auch auf den L2TP Server von OS X (in diesem Fall Lion) zurückgreifen. Wer genau das will bekommt hier einen ersten Input und einen möglichst schnörkellosen Weg beschrieben, wie das zu bewerkstelligen ist.

Vorbereitung des Servers
Aus dem App Store sollte man bereits die Server Administrations GUI geladen haben. Tatsächlich ist nichts weiter zu tun als links im Menü den Punkt VPN zu wählen, einen Shared Secret zu wählen, eventuell DNS Server einzutragen und das Konfigurationsprofil auf den Rechner zu übertragen, mit dem der Zugriff von Außen erfolgen soll. Der Shared Secret sollte sehr kompliziert sein. Das bedeutet in der Realität dass er eine möglichst lange, möglichst zufällige Zeichenkette sein sollte. Besser als sich hier selber was auszudenken ist es sich dieses Passwort generieren zu lassen. Keine Angst, man muss dieses Passwort nicht jedes Mal neu eintippen. 50 Stellen mit Groß- und Kleinschreibung, Ziffern und Symbolen sind ein guter Anhaltspunkt. Wer keinen internen DNS Server betreibt und sichergehen möchte, dass die Namensauflösung korrekt funktioniert kann “präventiv” die OpenDNS IPs eintragen. Sobald die Settings fertig eingetragen sind, muss man nur noch das Konfiguratiosprofil sichern.

Portweiterleitung
Am Router müssen klarerweise noch die Ports eingetragen werden, die das Service nutzt und auf den VPN Server weitergeleitet werden. OS X verwendet hierzu folgende Ports:
  • Der TCP Port 1723 wird für das zu empfehlende L2TP/IPSec Protokoll anders als in manchen Foren behauptet wird nicht benötigt
  • UDP 500
  • UDP 1701
  • UDP 4500
Alle vier Ports müssen auf den VPN Server weiterleitet werden. Wer nicht genau weiß, wie das zu bewerkstelligen ist, sollte einfach “Portweiterleitung Routermodell” googlen. Auf einem DD-WRT Router findet man das entsprechende Menü unter “NAT/QoS”.

Inbetriebnahme und Test
Das am OS X VPN Server generierte Konfiguratonsprofil sollte bereits auf den Rechner übertragen worden sein, mit dem man zugreifen will. Die Installation ist durch einen simplen Doppelklick auf das Konfigurationsprofil zu bewerkstelligen. Die Verbindung funktioniert entweder über die Menüleiste des Finders, wenn dort der Status angezeigt wird, oder über die Systemeinstellungen Netzwerk, wo die VPN-Verbindung als eigenes Interface angezeigt wird. Um testen zu können sollte man ausserhalb des Zielnetzes sein. Sollte es zu Problemen kommen empfiehlt es sich im ersten Schritt

Fazit
Als Zusatzfeature einer bestehenden (und möglichst gut administrierten) Lion Server Installation, Mountain Lion ist wahrscheinlich das selbe in Grün, ist ein L2TP VPN recht flott eingerichtet. Mit der entsprechenden Router bzw. Firewall Konfigration erhält man einen verhältnismäßig sicheren Zugang zu eigenen Daten oder zum Internet über einen entfernten Einstiegspunkt. Allerdings: Die Server Administrations GUI ist nicht kostenlos und wer ausschließlich einen VPN Server betreiben will ist mit dem etwa 20€ teuren iVPN von MacServe wohl besser beraten. Dieser schicken Software werde ich einen meiner nächsten Beiträge widmen. Dort hat man die Möglichkeit zusätzliche Einstellungen in einer etwas intuitiveren GUI vorzunehmen. Puristen können natürlich generell auf die Shell zurückgreifen und die Config Files zu Fuß editieren. In beiden Fällen zahlt man ausschließlich die Benutzeroberfläche, was es braucht um einen VPN Server zum laufen zu bringen wird bei jedem Lion OS X System von Haus aus kostenlos mitgeliefert.