|
14. VPN Zugriff auf Macintosh OS X Server >=10.4.514.1 HintergrundMacintosh OS X Server verfügt über eine integrierte VPN Lösung, bei der L2TP ( Layer 2 Tunneling Protocol ) mittels IPsec gesichert wird. ( OS X Client-Versionen besitzen keine VPN Server-Fähigkeiten. ) 14.2 ÜbersichtDie hier Skizzierte Lösung ist dann sinnvoll, wenn mobile Endgeräte per «L2TP over IPSec» auf einen Mac OS X Server im LAN zugreifen sollen. ( Zugriff via Windows Clients werden an dieser Stelle nicht berücksichtigt. )
14.3 Port Forwarding RegelnDa sich der VPN Server hinter einem NAT-Router befindet, muss für «L2TP over IPSec» ein Port Forwarding ( NAT-T ) auf die folgenden UDP Ports der OS X Maschine eingerichtet werden ( «IPsec Passthrough» bei kommerziellen Heim-Routern. ):
14.4 Client RegelnDie Security Einstellungen des Netzes, in dem der VPN Client angesiedelt ist, müssen zulassen, dass der Client neue ausgehende Verbindungen zum Zielserver und zu den Ports 500, 4500 und 1701 aufbauen kann. 14.5 Macintosh KonfigurationFür Details zur OS X Server- und -Client Konfiguration siehe beispielsweise: OS X VPN OS X VPN NAT-T 14.6 Notizen zu NAT-TraversalNAT-T bedeutet, dass der IPSec-Traffic vom VPN Server in ein UDP-Paket gepackt wird, dessen Header nicht durch das ESP ( Encapsulated Security Payload ) verändert wird. Diese Art des UDP-Tunnelns erlaubt es, dass Quellport und -adresse durch das NAT-Gerät geändert werden und keine Änderungen am ESP-Paket durchgeführt werden müssen. Wenn ein solches Paket nun am VPN Server ankommt, wird der UDP-Header entfernt und das IPSec-Paket kann ganz normal bearbeitet werden. Der VPN Server führt eine Prüfung durch ob es sich bei ankommenden Packeten um IPsec oder IPsec NAT Traversal (Überquerungs) Paket handelt. Die benötigten Parameter für IPsec NAT Traversal werden zwischen Client und Server durch das NAT Traversal Protokoll ausgehandelt. Siehe: NAT-Traversal 14.7 Notizen zu L2TP over IPsecDas L2TP Paket, bestehend aus Payload und L2TP-Header, wird in ein UDP Paket verpackt. Point-to-Point Protokoll Sessions werden üblicherweise in mit Hilfe eines L2TP Tunnels aufgebaut. Da L2TP weder die Vertraulichkeit noch eine starke Authentisierung sicherstellt, wird IPsec verwendet, um die Authentizität, die Vertraulichkeit und die Integrität der übermittelten Daten zu gewährleisten. Siehe: L2TP over IPsec
|