paedML® Novell - Landesmedienzentrum Baden

Beratung und Support
Technische Plattform
Support-Netz-Portal
paedML® – stabil und zuverlässig vernetzen
Anleitung
Fernzugriff
Stand 06.02.2015
paedML® Novell
Version: 3.3.4
Impressum
Herausgeber
Landesmedienzentrum Baden-Württemberg (LMZ)
Support-Netz
Rotenbergstraße 111
70190 Stuttgart
Autoren
der Zentralen Expertengruppe Netze (ZEN),
Support-Netz, LMZ
Hubert Bechthold
Stefan Falk
Ulrich Frei
Carl Heinz Gutjahr
Friedrich Heckmann
Uwe Labs
Alfred Wackler
Endredaktion
Doreen Edel
Bildnachweis Titelbilder:
Thinkstock
Weitere Informationen
www.support-netz.de
www.lmz-bw.de
Änderungen und Irrtümer vorbehalten.
Veröffentlicht: 2015
© Landesmedienzentrum Baden-Württemberg
Inhaltsverzeichnis
1.
Einführung............................................................................................ 4
1.1
1.2
1.2.1
1.2.2
1.3
1.3.1
1.3.2
1.3.3
1.3.4
1.3.5
Begriffsklärung: Ferndiagnose, Fernwartung und Fernzugriff ....................................... 4
Voraussetzungen ........................................................................................................... 5
Voraussetzungen für die Ferndiagnose ......................................................................... 5
Voraussetzungen für die Fernwartung ........................................................................... 5
Internetanbindung .......................................................................................................... 5
Statische IP-Adresse ..................................................................................................... 6
Dynamische IP-Adresse ................................................................................................ 6
Allgemeines zu Dynamischem DNS .............................................................................. 8
Einrichtung eines DynDNS-Accounts ............................................................................ 8
Einrichtung eines DynDNS-Hostnames ....................................................................... 11
2.
Einrichten des Fernzugriffs für die Hotline ..................................... 14
2.1
2.2
2.2.1
Remoteadmin für die Diagnose und Wartung des Servers einrichten......................... 14
Firewall-Regeln anpassen ........................................................................................... 15
Regeln für SSH einrichten ........................................................................................... 15
3.
Weitere Vorgehensweise .................................................................. 17
4.
Anhang ............................................................................................... 18
4.1
Links ............................................................................................................................. 18
1.
Einführung
1.1
Begriffsklärung: Ferndiagnose, Fernwartung und Fernzugriff
Im Rahmen der neuen paedML Leistungspakete bietet das Support-Netz am Landesmedienzentrum
Baden-Württemberg die Dienstleistungen Ferndiagnose (paedML Standard-Paket) sowie Fernwartung
(paedML Plus-Paket) an. Damit Sie diese Dienste in Anspruch nehmen können, müssen zuerst die
technisch notwendigen Voraussetzungen auf Ihrem System geschaffen werden. Dies ist in beiden
Fällen ein entsprechend eingerichtetes Benutzerkonto für den Fernzugriff durch die Hotline des
Landesmedienzentrums (LMZ). Die vorliegende Anleitung führt schrittweise durch den
Installationsprozess und richtet sich an EDV-Fachbetriebe sowie erfahrene Netzwerkberater.
Die vorgenannten Begriffe Ferndiagnose, Fernwartung sowie Fernzugriff sind in diesem Kontext wie
folgt definiert:
Ein Fernzugriff bezeichnet das durch den Kunden autorisierte Aufschalten eines Hotline-Mitarbeiters
des LMZ auf ein Kundensystem mittels einer abgesicherten Netzwerkverbindung über das Internet.
Die Ferndiagnose bezeichnet einen ausschließlich lesenden Zugriff durch die LMZ-Hotline auf das
Kundensystem zum Zwecke einer Fehleranalyse. Die Ferndiagnose ist hierbei immer problembezogen,
das heißt sie wird vom Kunden durch eine Störungsmeldung initiiert und dann von der Hotline bei Bedarf
zur Diagnose des Problems durchgeführt. Für die Ferndiagnose ist ein eingerichteter Fernzugriff
Voraussetzung. Wie die Einrichtung erfolgt wird in Kapitel 2 dieser Anleitung erläutert. Die Ferndiagnose
ist ein optionaler Bestandteil des paedML Standard-Paketes und kann über das paedML
Anmeldeformular dazugebucht werden.
Die Fernwartung stellt den schreibenden oder verändernden Zugriff auf das Kundensystem durch die
Hotline des LMZ dar. Für die Fernwartung ist ein eingerichteter Fernzugriff Voraussetzung. Die
Fernwartung kann nur von Kunden in Anspruch genommen werden, die das paedML Plus-Paket
gebucht haben.
paedML® Novell / Version: 3.3.4 / Anleitung / Stand 06.02.2015
Seite 4
1.2
Voraussetzungen
1.2.1
Voraussetzungen für die Ferndiagnose
-
-
Verwendung des Serverbetriebssystems Novell Open Enterprise Server (paedML Novell
3.2.3 und höher)
paedML-konforme Installation der Server
Konfigurierter Fernzugriff laut Kapitel 2 dieser Anleitung
Statische IP-Adresse oder im Falle einer dynamischen IP-Adresse einen
konfigurierten DynDNS-Alias für Ihren Server
ständige Internetverbindung
externer Router
Buchung des paedML Standard-Paketes mit Option Ferndiagnose
1.2.2
Voraussetzungen für die Fernwartung
-
-
Verwendung des Serverbetriebssystems Novell Open Enterprise Server (paedML Novell
3.2.3 und höher)
paedML-konforme Installation des Servers
Konfigurierter Fernzugriff laut Kapitel 2 dieser Anleitung
Statische IP-Adresse oder im Falle einer dynamischen IP-Adresse einen
konfigurierten DynDNS-Alias für Ihren Server
ständige Internetverbindung
externer Router
Buchung des paedML Plus-Paketes
vorhandene Backup-Lösung
1.3
Internetanbindung
Die Einrichtung der technischen Voraussetzungen zur Durchführung eines Fernzugriffs ist grundsätzlich
für die beiden nachfolgend genannten Internet-Anbindungsarten möglich:
1) Permanente Internetanbindung über Statische IP-Adresse (z.B. durch Provider „BelWü“)
=> im Folgenden kurz „Statische IP-Adresse“ genannt.
2) Permanente Internetanbindung über Dynamische IP-Adresse (z.B. Telekom DSL-Flatrate)
=> im Folgenden kurz „Dynamische IP-Adresse“ genannt.
paedML® Novell / Version: 3.3.4 / Anleitung / Stand 06.02.2015
Seite 5
1.3.1
Statische IP-Adresse
Ist Ihr paedML-Firewall-Server mit der externen Netzwerkkarte über eine statische IP-Adresse direkt an
das Internet angebunden, so müssen Sie bei Ihrem ISP (Internet Service Provider) eingehende
Verbindungen für TCP an Port 51222 für Ihre externe IP-Adresse (sogenannte „Public IP“) freischalten
lassen.
Die Freischaltung des Protokolls beziehungsweise Ports ist erforderlich, um die Herstellung einer SSHVerbindung zu Ihrem Server zu ermöglichen.
Die nächsten drei Abschnitte zu den Themen dynamische IP-Adressen und DynDNS können Sie
überspringen, wenn Ihre Firewall über eine statische IP-Adresse an das Internet angebunden ist. In
diesem Falle fahren Sie bitte direkt mit der Bearbeitung des Kapitels 2 “Einrichten des Fernzugriffs für
die Hotline“ fort.
1.3.2
Dynamische IP-Adresse
Ist Ihr paedML-Server beispielsweise über eine Telekom-DSL-Flatrate mit dem Internet verbunden, so
bekommt er in regelmäßigen Zeitabständen (spätestens über Nacht) zwangsweise dynamisch eine neue
IP-Adresse von Ihrem Provider zugeteilt. Ihre paedML-Installation könnte somit nicht konstant über eine
gleichbleibende Adresse von außen angesprochen werden. Somit würde ein Fernzugriff durch die
Hotline des LMZ nicht zuverlässig funktionieren, da diese vom Wechsel Ihrer IP-Adresse nichts
“mitbekommen“ würde.
Dieser Umstand lässt sich durch Registrierung eines Dynamischen DNS-Namen (DynDNS-Alias)
beheben.
Der in der Anleitung beschriebene Service des DynDNS-Anbieters „dyndns.org“
ist inzwischen kostenpflichtig. Die Einrichtung wird weiterhin exemplarisch am
Beispiel von dyndns.org beschrieben. Sofern Sie kostenlose Anbieter
bevorzugen, nehmen Sie bitte Kontakt mit Ihrem Dienstleister auf.
Wir empfehlen ausdrücklich, den Internetzugang der Schule über BelWü
herzustellen. Ein BelWü Anschluss bietet, neben einer festen IP-Adresse, noch
weitere Vorzüge (vgl. http://www.belwue.de/produkte.html).
Auch andere Internetprovider bieten die Möglichkeit, eine statische IP-Adresse
zu erwerben.
paedML® Novell / Version: 3.3.4 / Anleitung / Stand 06.02.2015
Seite 6
Hinweise zur Konfiguration des Routers:
Da Ihre Firewall mit der externen Netzwerkkarte in der Regel über einen DSL-Router an das Internet
angebunden sein wird, müssen Sie an diesem Router eine Portfreigabe (Port-Forwarding) für
eingehende Verbindungen über die Port 51222 TCP einrichten. Dies ist notwendig, um den Server über
den Router erreichbar zu machen. Bei einem Linksys-Router sehen die Einstellungen für Portfreigaben
wie folgt aus, wobei nur diejenige für 51222 einzurichten ist
paedML® Novell / Version: 3.3.4 / Anleitung / Stand 06.02.2015
Seite 7
1.3.3
Allgemeines zu Dynamischem DNS
Über diese Technologie ist es möglich, einen Rechner trotz dynamisch wechselnder IP-Adressen über
einen gleichbleibenden Klartextnamen (DynDNS-Alias) über das Internet erreichbar zu halten. Streng
technisch gesprochen handelt es sich hierbei um die Einrichtung einer DNS-Zone mit sehr kurzer TTL
(Time To Live)-Zeit, weitere Infos hierzu finden Sie unter http://de.wikipedia.org/wiki/DynDNS bei
Wikipedia.
Heutzutage gibt es einige Anbieter im Netz, bei denen man sich kostenlos einen dynamischen DNSNamen für seinen Rechner reservieren lassen kann. Einer der bekanntesten Anbieter eines solchen
Dienstes ist derzeit DynDNS.org. Hier kann man sich beispielsweise für seinen Server einen
dynamischen DNS-Namen wie „Mein-paedML-Server.dyndns.org“ einrichten. Damit die Maschine auch
tatsächlich trotz IP-Wechsel über diesen Namen konstant erreichbar bleibt, muss die Zuordnung dieses
DNS-Namens zu der aktuellen dynamischen IP-Adresse ständig aktuell gehalten werden. Um dies zu
erreichen, muss auf dem betreffenden Server ein Update-Client (sogenannter DynDNS-Client) installiert
werden, der im Falle eines IP-Wechsels die aktuelle IP-Adresse an DynDNS.org übermittelt. Weitere
Details zur Einrichtung eines dynamischen DNS-Namens am Beispiel DynDNS.org finden Sie in den
beiden nachfolgenden Abschnitten.
1.3.4
Einrichtung eines DynDNS-Accounts
Um bei DynDNS.org einen DNS-Namen für Ihren Server registrieren zu können, müssen Sie sich
zunächst über die Website des Anbieters einen sogenannten Account anlegen. Öffnen Sie einen
Browser und geben Sie die nachstehend genannte Adresse in die Adresszeile ein:
https://www.dyndns.com/account/create.html
Im nachfolgend gezeigten Formular müssen Sie sich mit dem gewünschten Username und einer
gültigen E-Mail-Adresse registrieren. Die Angabe, wie Sie zu DynDNS gekommen sind, ist freiwillig und
kann weggelassen werden:
paedML® Novell / Version: 3.3.4 / Anleitung / Stand 06.02.2015
Seite 8
Scrollen Sie nun im Formular weiter nach unten, setzen Sie den Haken bei I agree to the AUP, hiermit
nehmen Sie die AGB des Anbieters an. Des Weiteren setzen Sie bitte den Haken bei I will only create
one (1) free account, hiermit versichern Sie, dass Sie nur einen kostenlosen Account für Ihre Zwecke
nutzen werden. Dies ist wichtig, da der Anbieter nur einen kostenfreien Account pro Person gestattet.
Im Missbrauchsfalle behält es sich der Anbieter laut seinen AGB vor, alle in Frage kommenden
Accounts ggf. zu löschen:
paedML® Novell / Version: 3.3.4 / Anleitung / Stand 06.02.2015
Seite 9
Scrollen Sie nun im Formular weiter nach unten, optional können Sie sich von DynDNS.org einen
Newsletter sowie sonstige Informationen an Ihre oben angegebene E-Mail-Adresse schicken lassen,
setzen Sie im Bedarfsfalle die Haken entsprechend. Ansonsten können Sie den Registrierungsprozess
direkt durch Klicken des Buttons Create Account anstoßen:
Im Normalfall erhalten Sie nun in den nächsten Minuten eine Bestätigungs-E-Mail von DynDNS.org an
die oben angegebene E-Mail-Adresse. Diese E-Mail enthält einen Link zur Login-Seite über die Sie sich
binnen der nächsten 48 Stunden einloggen müssen, da ansonsten der soeben eingerichtete Account
verfällt. Bitte klicken Sie den oberen der beiden Links (https), um sich bei DynDNS einzuloggen um
Ihren Account zu bestätigen:
paedML® Novell / Version: 3.3.4 / Anleitung / Stand 06.02.2015
Seite 10
Wie Sie sich nach dem Login einen dynamischen DNS-Namen einrichten, beschreibt der folgende
Abschnitt.
1.3.5
Einrichtung eines DynDNS-Hostnames
Bitte loggen Sie sich mit Ihren Zugangsdaten auf der DynDNS-Website ein:
Zur Einrichtungen eines dynamischen DNS-Namens für Ihren Server klicken Sie bitte in der linken
Spalte My Services den Menüpunkt Add Host Services:
Im ersten Eingabefeld der nachfolgenden Seite können Sie einen Namen für Ihren Server frei wählen.
Dieser wird dann, durch einen Punkt getrennt, einer sogenannten Second-Level-Domain (z.B.
„dyndns.org“) des Anbieters vorangestellt, welche Sie im zweiten Eingabefeld (Dropdown-Box)
auswählen können. Beim Radio-Button „Service Type“ lassen Sie bitte die Option „Host with IP address“
ausgewählt.
paedML® Novell / Version: 3.3.4 / Anleitung / Stand 06.02.2015
Seite 11
Das Feld „IP Address“ befüllen Sie bitte vorerst durch Klicken des direkt darunter stehenden Links „Use
auto detect IP address …“, diese Information wird später durch den auf Ihrem Server zu installierenden
DynDNS-Client mit den tatsächlichen dynamischen IP-Adressen Ihres Servers aktualisiert. Klicken Sie
abschließend den Button „Create Host“, um Ihren DynDNS-Namen anzulegen:
Allen Kunden, die bei uns registriert sind, ist eine eindeutige Installations-ID
zugeordnet. Wir empfehlen Ihnen daher diese ID als Servernamen zu verwenden.
Auf diese Art und Weise können unsere Hotline-Mitarbeiter Ihren Server bei einem
Störungsfall leichter identifizieren, wodurch Ihnen schneller geholfen werden kann.
Die Installations-ID Ihrer paedML – sofern Sie sie nicht kennen – können Sie per E-Mail anfordern.
Schreiben Sie dazu eine E-Mail an [email protected] mit mindestens folgenden Angaben:






Name der Schule
Anschrift der Schule
Name der Kontaktperson (Netzwerkberater)
E-Mail-Adresse oder die Telefonnummer der Kontaktperson
Öffentliche IP-Adresse des Servers beziehungsweise der Firewall
Falls keine öffentliche IP-Adresse verfügbar, der Klartextnamen bei DynDNS
Auf der nachfolgenden Seite wird der soeben erzeugte Hostname angezeigt:
paedML® Novell / Version: 3.3.4 / Anleitung / Stand 06.02.2015
Seite 12
Sie können sich nun von der DynDNS-Website ausloggen (Link im Fenster ganz oben rechts Log Out).
Die Installation und die Konfiguration des DynDNS-Update-Clients (DynDNSUpdater) werden im Kapitel 3 Abschnitt 3.3 der Installationsanleitung zur
Fernüberwachung behandelt. Falls Sie zur Ferndiagnose beziehungsweise - Wartung
auf einen DynDNS-Alias angewiesen sind, installieren Sie bitte den DynDNS-Updater
nach der Installationsanleitung zur Fernüberwachung.
paedML® Novell / Version: 3.3.4 / Anleitung / Stand 06.02.2015
Seite 13
2.
Einrichten des Fernzugriffs für die Hotline
In diesem Kapitel wird beschrieben, wie Sie den Benutzer remoteadmin und die notwendige FirewallRegel einrichten. Damit ermöglichen Sie dem Benutzer remoteadmin, das heißt unseren HotlineMitarbeitern, die Störungsursache aus der Ferne zu finden und gegebenenfalls zu beheben.
Folgende Schritte sind daher notwendig:
1.
2.
Einrichten des Benutzers remoteadmin im Linuxsystem
Firewall-Regel für die Verbindungsart über das Netzwerkprotokoll Secure Shell (SSH)
2.1
Remoteadmin für die Diagnose und Wartung des Servers
einrichten
Hierbei wird ein Linux -Benutzerkonto eingerichtet.
Führen Sie bitte die nachfolgenden Schritte aus
Wichtiger Hinweis:
Linux beziehungsweise Linux-basierte Systeme unterscheiden zwischen Großund Kleinschreibung. Achten daher bitte auf die Schreibweise in unseren
Beispielen.
1.
2.
3.
Melden Sie sich nun als Benutzer root am GServer03 an.
Falls Ihr GServer03 in Runlevel 5 startet, damit Sie sich grafisch anmelden können, müssen Sie
noch ein Terminalfenster starten.
Erstellen Sie zuerst einen temporären Ordner, zum Beispiel /root/Fernzugriff:
mkdir /root/Fernzugriff
4.
Kopieren Sie die Archivdatei paedML_Nov_334_Fernzugriff.tgz nach /root/Fernzugriff:
cp /Pfad_zur_Archivdatei/paedML_Nov_334_Fernzugriff.tgz
/root/Fernzugriff
5.
Wechseln Sie in den Ordner /root/Fernzugriff:
cd /root/Fernzugriff
6.
Entpacken Sie die Datei:
tar zxvf paedML_Nov_334_Fernzugriff.tgz
7.
Wechseln Sie in den Unterordner remoteadmin/Install_Dir:
cd remoteadmin/Install_Dir
8.
Führen Sie das Skript setup.sh aus:
./setup.sh
9.
Kurz nach dem Beginn des Setup-Vorgangs wird ein Zufallspasswort eingeblendet. Schreiben Sie
es bitte auf und geben es an die Hotline weiter
10. Löschen Sie den Installationsordner über
rm -r /root/Fernzugriff
paedML® Novell / Version: 3.3.4 / Anleitung / Stand 06.02.2015
Seite 14
2.2
Firewall-Regeln anpassen
Mit der Aufnahme des Benutzers remoteadmin haben wir nun die ersten Voraussetzungen für einen
Fernzugriff erfüllt. In diesem Abschnitt werden wir die restlichen Voraussetzungen ergänzen, indem wir
Ihre Firewall um die für SSH notwendige Regel erweitern.
2.2.1 Regeln für SSH einrichten
1.
Starten Sie den WebAdmin der Astaro und melden sich als Admin an.
2.
Wählen Sie aus dem Menü Network Security das Untermenü NAT aus.
3.
Klicken Sie auf die Registerkarte DNAT/SNAT.
4.
Suchen Sie dort nach der Regel mit dem Namen DNAT [ASG-51222] und aktivieren Sie sie.
5.
Klicken Sie nun auf den Link Packet Filter unter dem Menü Network security.
6.
Suchen Sie nach der Regel für das Netzwerkprotokoll SSH und aktivieren sie sie (die zweite Regel
aus der Abbildung.)
paedML® Novell / Version: 3.3.4 / Anleitung / Stand 06.02.2015
Seite 15
Existiert die dargestellte Regel nicht, definieren Sie eine neue Regel mit den Werten aus der
nachfolgenden Abbildung. Speichern Sie sie mit Save und aktiveren Sie diese abschließend.
paedML® Novell / Version: 3.3.4 / Anleitung / Stand 06.02.2015
Seite 16
3.
Weitere Vorgehensweise
Nach erfolgreicher Abarbeitung der vorangegangenen Abschnitte sind auf Ihrem System die
technischen Voraussetzungen zur Inanspruchnahme der Ferndiagnose bzw. der Fernwartung
geschaffen.
Nehmen Sie bitte nun mit der Novell-Hotline am Landesmedienzentrum Kontakt auf. Bitte halten Sie
hierzu die folgenden Informationen bereit:


Die Einwahladresse des Servers, das heißt die öffentliche IP-Adresse der externen Netzwerkkarte
oder den entsprechenden DynDNS-Alias, falls die Schule keine feste IP-Adresse hat
Den Namen des festen "ersten" Ansprechpartners in Ihrem Hause für technische Rückfragen der
Novell-Hotline
Zusammen mit der Hotline wird dann der zuvor eingerichtete Fernzugriff getestet und Ihre Daten im
Ticketsystem des Support-Netzes werden ergänzt. Des Weiteren wird die Hotline das Kennwort des
Benutzers „RemoteAdmin“ ändern.
paedML® Novell / Version: 3.3.4 / Anleitung / Stand 06.02.2015
Seite 17
4.
Anhang
4.1
Links







Installationsanleitung für Astaro Security Gateway für die paedML Novell,
http://www.lmz-bw.de/technische-unterstuetzung/kundenportal/novell/dokumentation.html
Wissensdatenbank (Knowledge Base) der Astaro AG,
http://www.astaro.com/kb
DynDNS.org, http://www.dyndns.com/
Dokumentation zu DynDNS, http://www.dyndns.com/support
DynDNS auf Wikipedia, http://de.wikipedia.org/wiki/Dyn-dns
RDP auf Wikipedia, http://de.wikipedia.org/wiki/Remote_Desktop_Protocol
Remote-Zugriff von außen, ein HowTo von Stefan Falk
http://www.lmz-bw.de/technische-unterstuetzung/kundenportal/novell/howtos/remote-zugriff-vonaussen.html
paedML® Novell / Version: 3.3.4 / Anleitung / Stand 06.02.2015
Seite 18
Landesmedienzentrum Baden-Württemberg (LMZ)
Support Netz
Rotenbergstraße 111
70190 Stuttgart
© Landesmedienzentrum Baden-Württemberg, 2015