Beratung und Support Technische Plattform Support-Netz-Portal paedml stabil und zuverlässig vernetzen Anleitung Fernzugriff Stand 06.02.2015 paedml Novell Version: 3.3.4
Impressum Herausgeber Landesmedienzentrum Baden-Württemberg (LMZ) Support-Netz Rotenbergstraße 111 70190 Stuttgart Autoren der Zentralen Expertengruppe Netze (ZEN), Support-Netz, LMZ Hubert Bechthold Stefan Falk Ulrich Frei Carl Heinz Gutjahr Friedrich Heckmann Uwe Labs Alfred Wackler Endredaktion Doreen Edel Bildnachweis Titelbilder: Thinkstock Weitere Informationen www.support-netz.de www.lmz-bw.de Änderungen und Irrtümer vorbehalten. Veröffentlicht: 2015 Landesmedienzentrum Baden-Württemberg
Inhaltsverzeichnis 1. Einführung... 4 1.1 Begriffsklärung: Ferndiagnose, Fernwartung und Fernzugriff... 4 1.2 Voraussetzungen... 5 1.2.1 Voraussetzungen für die Ferndiagnose... 5 1.2.2 Voraussetzungen für die Fernwartung... 5 1.3 Internetanbindung... 5 1.3.1 Statische IP-Adresse... 6 1.3.2 Dynamische IP-Adresse... 6 1.3.3 Allgemeines zu Dynamischem DNS... 8 1.3.4 Einrichtung eines DynDNS-Accounts... 8 1.3.5 Einrichtung eines DynDNS-Hostnames... 11 2. Einrichten des Fernzugriffs für die Hotline... 14 2.1 Remoteadmin für die Diagnose und Wartung des Servers einrichten... 14 2.2 Firewall-Regeln anpassen... 15 2.2.1 Regeln für SSH einrichten... 15 3. Weitere Vorgehensweise... 17 4. Anhang... 18 4.1 Links... 18
1. Einführung 1.1 Begriffsklärung: Ferndiagnose, Fernwartung und Fernzugriff Im Rahmen der neuen paedml Leistungspakete bietet das Support-Netz am Landesmedienzentrum Baden-Württemberg die Dienstleistungen Ferndiagnose (paedml Standard-Paket) sowie Fernwartung (paedml Plus-Paket) an. Damit Sie diese Dienste in Anspruch nehmen können, müssen zuerst die technisch notwendigen Voraussetzungen auf Ihrem System geschaffen werden. Dies ist in beiden Fällen ein entsprechend eingerichtetes Benutzerkonto für den Fernzugriff durch die Hotline des Landesmedienzentrums (LMZ). Die vorliegende Anleitung führt schrittweise durch den Installationsprozess und richtet sich an EDV-Fachbetriebe sowie erfahrene Netzwerkberater. Die vorgenannten Begriffe Ferndiagnose, Fernwartung sowie Fernzugriff sind in diesem Kontext wie folgt definiert: Ein Fernzugriff bezeichnet das durch den Kunden autorisierte Aufschalten eines Hotline-Mitarbeiters des LMZ auf ein Kundensystem mittels einer abgesicherten Netzwerkverbindung über das Internet. Die Ferndiagnose bezeichnet einen ausschließlich lesenden Zugriff durch die LMZ-Hotline auf das Kundensystem zum Zwecke einer Fehleranalyse. Die Ferndiagnose ist hierbei immer problembezogen, das heißt sie wird vom Kunden durch eine Störungsmeldung initiiert und dann von der Hotline bei Bedarf zur Diagnose des Problems durchgeführt. Für die Ferndiagnose ist ein eingerichteter Fernzugriff Voraussetzung. Wie die Einrichtung erfolgt wird in Kapitel 2 dieser Anleitung erläutert. Die Ferndiagnose ist ein optionaler Bestandteil des paedml Standard-Paketes und kann über das paedml Anmeldeformular dazugebucht werden. Die Fernwartung stellt den schreibenden oder verändernden Zugriff auf das Kundensystem durch die Hotline des LMZ dar. Für die Fernwartung ist ein eingerichteter Fernzugriff Voraussetzung. Die Fernwartung kann nur von Kunden in Anspruch genommen werden, die das paedml Plus-Paket gebucht haben. paedml Novell / Version: 3.3.4 / Anleitung / Stand 06.02.2015 Seite 4
1.2 Voraussetzungen 1.2.1 Voraussetzungen für die Ferndiagnose - Verwendung des Serverbetriebssystems Novell Open Enterprise Server (paedml Novell 3.2.3 und höher) - paedml-konforme Installation der Server - Konfigurierter Fernzugriff laut Kapitel 2 dieser Anleitung - Statische IP-Adresse oder im Falle einer dynamischen IP-Adresse einen konfigurierten DynDNS-Alias für Ihren Server - ständige Internetverbindung - externer Router - Buchung des paedml Standard-Paketes mit Option Ferndiagnose 1.2.2 Voraussetzungen für die Fernwartung - Verwendung des Serverbetriebssystems Novell Open Enterprise Server (paedml Novell 3.2.3 und höher) - paedml-konforme Installation des Servers - Konfigurierter Fernzugriff laut Kapitel 2 dieser Anleitung - Statische IP-Adresse oder im Falle einer dynamischen IP-Adresse einen konfigurierten DynDNS-Alias für Ihren Server - ständige Internetverbindung - externer Router - Buchung des paedml Plus-Paketes - vorhandene Backup-Lösung 1.3 Internetanbindung Die Einrichtung der technischen Voraussetzungen zur Durchführung eines Fernzugriffs ist grundsätzlich für die beiden nachfolgend genannten Internet-Anbindungsarten möglich: 1) Permanente Internetanbindung über Statische IP-Adresse (z.b. durch Provider BelWü ) => im Folgenden kurz Statische IP-Adresse genannt. 2) Permanente Internetanbindung über Dynamische IP-Adresse (z.b. Telekom DSL-Flatrate) => im Folgenden kurz Dynamische IP-Adresse genannt. paedml Novell / Version: 3.3.4 / Anleitung / Stand 06.02.2015 Seite 5
1.3.1 Statische IP-Adresse Ist Ihr paedml-firewall-server mit der externen Netzwerkkarte über eine statische IP-Adresse direkt an das Internet angebunden, so müssen Sie bei Ihrem ISP (Internet Service Provider) eingehende Verbindungen für TCP an Port 51222 für Ihre externe IP-Adresse (sogenannte Public IP ) freischalten lassen. Die Freischaltung des Protokolls beziehungsweise Ports ist erforderlich, um die Herstellung einer SSH- Verbindung zu Ihrem Server zu ermöglichen. Die nächsten drei Abschnitte zu den Themen dynamische IP-Adressen und DynDNS können Sie überspringen, wenn Ihre Firewall über eine statische IP-Adresse an das Internet angebunden ist. In diesem Falle fahren Sie bitte direkt mit der Bearbeitung des Kapitels 2 Einrichten des Fernzugriffs für die Hotline fort. 1.3.2 Dynamische IP-Adresse Ist Ihr paedml-server beispielsweise über eine Telekom-DSL-Flatrate mit dem Internet verbunden, so bekommt er in regelmäßigen Zeitabständen (spätestens über Nacht) zwangsweise dynamisch eine neue IP-Adresse von Ihrem Provider zugeteilt. Ihre paedml-installation könnte somit nicht konstant über eine gleichbleibende Adresse von außen angesprochen werden. Somit würde ein Fernzugriff durch die Hotline des LMZ nicht zuverlässig funktionieren, da diese vom Wechsel Ihrer IP-Adresse nichts mitbekommen würde. Dieser Umstand lässt sich durch Registrierung eines Dynamischen DNS-Namen (DynDNS-Alias) beheben. Der in der Anleitung beschriebene Service des DynDNS-Anbieters dyndns.org ist inzwischen kostenpflichtig. Die Einrichtung wird weiterhin exemplarisch am Beispiel von dyndns.org beschrieben. Sofern Sie kostenlose Anbieter bevorzugen, nehmen Sie bitte Kontakt mit Ihrem Dienstleister auf. Wir empfehlen ausdrücklich, den Internetzugang der Schule über BelWü herzustellen. Ein BelWü Anschluss bietet, neben einer festen IP-Adresse, noch weitere Vorzüge (vgl. http://www.belwue.de/produkte.html). Auch andere Internetprovider bieten die Möglichkeit, eine statische IP-Adresse zu erwerben. paedml Novell / Version: 3.3.4 / Anleitung / Stand 06.02.2015 Seite 6
Hinweise zur Konfiguration des Routers: Da Ihre Firewall mit der externen Netzwerkkarte in der Regel über einen DSL-Router an das Internet angebunden sein wird, müssen Sie an diesem Router eine Portfreigabe (Port-Forwarding) für eingehende Verbindungen über die Port 51222 TCP einrichten. Dies ist notwendig, um den Server über den Router erreichbar zu machen. Bei einem Linksys-Router sehen die Einstellungen für Portfreigaben wie folgt aus, wobei nur diejenige für 51222 einzurichten ist paedml Novell / Version: 3.3.4 / Anleitung / Stand 06.02.2015 Seite 7
1.3.3 Allgemeines zu Dynamischem DNS Über diese Technologie ist es möglich, einen Rechner trotz dynamisch wechselnder IP-Adressen über einen gleichbleibenden Klartextnamen (DynDNS-Alias) über das Internet erreichbar zu halten. Streng technisch gesprochen handelt es sich hierbei um die Einrichtung einer DNS-Zone mit sehr kurzer TTL (Time To Live)-Zeit, weitere Infos hierzu finden Sie unter http://de.wikipedia.org/wiki/dyndns bei Wikipedia. Heutzutage gibt es einige Anbieter im Netz, bei denen man sich kostenlos einen dynamischen DNS- Namen für seinen Rechner reservieren lassen kann. Einer der bekanntesten Anbieter eines solchen Dienstes ist derzeit DynDNS.org. Hier kann man sich beispielsweise für seinen Server einen dynamischen DNS-Namen wie Mein-paedML-Server.dyndns.org einrichten. Damit die Maschine auch tatsächlich trotz IP-Wechsel über diesen Namen konstant erreichbar bleibt, muss die Zuordnung dieses DNS-Namens zu der aktuellen dynamischen IP-Adresse ständig aktuell gehalten werden. Um dies zu erreichen, muss auf dem betreffenden Server ein Update-Client (sogenannter DynDNS-Client) installiert werden, der im Falle eines IP-Wechsels die aktuelle IP-Adresse an DynDNS.org übermittelt. Weitere Details zur Einrichtung eines dynamischen DNS-Namens am Beispiel DynDNS.org finden Sie in den beiden nachfolgenden Abschnitten. 1.3.4 Einrichtung eines DynDNS-Accounts Um bei DynDNS.org einen DNS-Namen für Ihren Server registrieren zu können, müssen Sie sich zunächst über die Website des Anbieters einen sogenannten Account anlegen. Öffnen Sie einen Browser und geben Sie die nachstehend genannte Adresse in die Adresszeile ein: https://www.dyndns.com/account/create.html Im nachfolgend gezeigten Formular müssen Sie sich mit dem gewünschten Username und einer gültigen E-Mail-Adresse registrieren. Die Angabe, wie Sie zu DynDNS gekommen sind, ist freiwillig und kann weggelassen werden: paedml Novell / Version: 3.3.4 / Anleitung / Stand 06.02.2015 Seite 8
Scrollen Sie nun im Formular weiter nach unten, setzen Sie den Haken bei I agree to the AUP, hiermit nehmen Sie die AGB des Anbieters an. Des Weiteren setzen Sie bitte den Haken bei I will only create one (1) free account, hiermit versichern Sie, dass Sie nur einen kostenlosen Account für Ihre Zwecke nutzen werden. Dies ist wichtig, da der Anbieter nur einen kostenfreien Account pro Person gestattet. Im Missbrauchsfalle behält es sich der Anbieter laut seinen AGB vor, alle in Frage kommenden Accounts ggf. zu löschen: paedml Novell / Version: 3.3.4 / Anleitung / Stand 06.02.2015 Seite 9
Scrollen Sie nun im Formular weiter nach unten, optional können Sie sich von DynDNS.org einen Newsletter sowie sonstige Informationen an Ihre oben angegebene E-Mail-Adresse schicken lassen, setzen Sie im Bedarfsfalle die Haken entsprechend. Ansonsten können Sie den Registrierungsprozess direkt durch Klicken des Buttons Create Account anstoßen: Im Normalfall erhalten Sie nun in den nächsten Minuten eine Bestätigungs-E-Mail von DynDNS.org an die oben angegebene E-Mail-Adresse. Diese E-Mail enthält einen Link zur Login-Seite über die Sie sich binnen der nächsten 48 Stunden einloggen müssen, da ansonsten der soeben eingerichtete Account verfällt. Bitte klicken Sie den oberen der beiden Links (https), um sich bei DynDNS einzuloggen um Ihren Account zu bestätigen: paedml Novell / Version: 3.3.4 / Anleitung / Stand 06.02.2015 Seite 10
Wie Sie sich nach dem Login einen dynamischen DNS-Namen einrichten, beschreibt der folgende Abschnitt. 1.3.5 Einrichtung eines DynDNS-Hostnames Bitte loggen Sie sich mit Ihren Zugangsdaten auf der DynDNS-Website ein: Zur Einrichtungen eines dynamischen DNS-Namens für Ihren Server klicken Sie bitte in der linken Spalte My Services den Menüpunkt Add Host Services: Im ersten Eingabefeld der nachfolgenden Seite können Sie einen Namen für Ihren Server frei wählen. Dieser wird dann, durch einen Punkt getrennt, einer sogenannten Second-Level-Domain (z.b. dyndns.org ) des Anbieters vorangestellt, welche Sie im zweiten Eingabefeld (Dropdown-Box) auswählen können. Beim Radio-Button Service Type lassen Sie bitte die Option Host with IP address ausgewählt. paedml Novell / Version: 3.3.4 / Anleitung / Stand 06.02.2015 Seite 11
Das Feld IP Address befüllen Sie bitte vorerst durch Klicken des direkt darunter stehenden Links Use auto detect IP address, diese Information wird später durch den auf Ihrem Server zu installierenden DynDNS-Client mit den tatsächlichen dynamischen IP-Adressen Ihres Servers aktualisiert. Klicken Sie abschließend den Button Create Host, um Ihren DynDNS-Namen anzulegen: Allen Kunden, die bei uns registriert sind, ist eine eindeutige Installations-ID zugeordnet. Wir empfehlen Ihnen daher diese ID als Servernamen zu verwenden. Auf diese Art und Weise können unsere Hotline-Mitarbeiter Ihren Server bei einem Störungsfall leichter identifizieren, wodurch Ihnen schneller geholfen werden kann. Die Installations-ID Ihrer paedml sofern Sie sie nicht kennen können Sie per E-Mail anfordern. Schreiben Sie dazu eine E-Mail an hotline@lmz-bw.de mit mindestens folgenden Angaben: Name der Schule Anschrift der Schule Name der Kontaktperson (Netzwerkberater) E-Mail-Adresse oder die Telefonnummer der Kontaktperson Öffentliche IP-Adresse des Servers beziehungsweise der Firewall Falls keine öffentliche IP-Adresse verfügbar, der Klartextnamen bei DynDNS Auf der nachfolgenden Seite wird der soeben erzeugte Hostname angezeigt: paedml Novell / Version: 3.3.4 / Anleitung / Stand 06.02.2015 Seite 12
Sie können sich nun von der DynDNS-Website ausloggen (Link im Fenster ganz oben rechts Log Out). Die Installation und die Konfiguration des DynDNS-Update-Clients (DynDNS- Updater) werden im Kapitel 3 Abschnitt 3.3 der Installationsanleitung zur Fernüberwachung behandelt. Falls Sie zur Ferndiagnose beziehungsweise - Wartung auf einen DynDNS-Alias angewiesen sind, installieren Sie bitte den DynDNS-Updater nach der Installationsanleitung zur Fernüberwachung. paedml Novell / Version: 3.3.4 / Anleitung / Stand 06.02.2015 Seite 13
2. Einrichten des Fernzugriffs für die Hotline In diesem Kapitel wird beschrieben, wie Sie den Benutzer remoteadmin und die notwendige Firewall- Regel einrichten. Damit ermöglichen Sie dem Benutzer remoteadmin, das heißt unseren Hotline- Mitarbeitern, die Störungsursache aus der Ferne zu finden und gegebenenfalls zu beheben. Folgende Schritte sind daher notwendig: 1. Einrichten des Benutzers remoteadmin im Linuxsystem 2. Firewall-Regel für die Verbindungsart über das Netzwerkprotokoll Secure Shell (SSH) 2.1 Remoteadmin für die Diagnose und Wartung des Servers einrichten Hierbei wird ein Linux -Benutzerkonto eingerichtet. Führen Sie bitte die nachfolgenden Schritte aus Wichtiger Hinweis: Linux beziehungsweise Linux-basierte Systeme unterscheiden zwischen Großund Kleinschreibung. Achten daher bitte auf die Schreibweise in unseren Beispielen. 1. Melden Sie sich nun als Benutzer root am GServer03 an. 2. Falls Ihr GServer03 in Runlevel 5 startet, damit Sie sich grafisch anmelden können, müssen Sie noch ein Terminalfenster starten. 3. Erstellen Sie zuerst einen temporären Ordner, zum Beispiel /root/fernzugriff: mkdir /root/fernzugriff 4. Kopieren Sie die Archivdatei paedml_nov_334_fernzugriff.tgz nach /root/fernzugriff: cp /Pfad_zur_Archivdatei/paedML_Nov_334_Fernzugriff.tgz /root/fernzugriff 5. Wechseln Sie in den Ordner /root/fernzugriff: cd /root/fernzugriff 6. Entpacken Sie die Datei: tar zxvf paedml_nov_334_fernzugriff.tgz 7. Wechseln Sie in den Unterordner remoteadmin/install_dir: cd remoteadmin/install_dir 8. Führen Sie das Skript setup.sh aus:./setup.sh 9. Kurz nach dem Beginn des Setup-Vorgangs wird ein Zufallspasswort eingeblendet. Schreiben Sie es bitte auf und geben es an die Hotline weiter 10. Löschen Sie den Installationsordner über rm -r /root/fernzugriff paedml Novell / Version: 3.3.4 / Anleitung / Stand 06.02.2015 Seite 14
2.2 Firewall-Regeln anpassen Mit der Aufnahme des Benutzers remoteadmin haben wir nun die ersten Voraussetzungen für einen Fernzugriff erfüllt. In diesem Abschnitt werden wir die restlichen Voraussetzungen ergänzen, indem wir Ihre Firewall um die für SSH notwendige Regel erweitern. 2.2.1 Regeln für SSH einrichten 1. Starten Sie den WebAdmin der Astaro und melden sich als Admin an. 2. Wählen Sie aus dem Menü Network Security das Untermenü NAT aus. 3. Klicken Sie auf die Registerkarte DNAT/SNAT. 4. Suchen Sie dort nach der Regel mit dem Namen DNAT [ASG-51222] und aktivieren Sie sie. 5. Klicken Sie nun auf den Link Packet Filter unter dem Menü Network security. 6. Suchen Sie nach der Regel für das Netzwerkprotokoll SSH und aktivieren sie sie (die zweite Regel aus der Abbildung.) paedml Novell / Version: 3.3.4 / Anleitung / Stand 06.02.2015 Seite 15
Existiert die dargestellte Regel nicht, definieren Sie eine neue Regel mit den Werten aus der nachfolgenden Abbildung. Speichern Sie sie mit Save und aktiveren Sie diese abschließend. paedml Novell / Version: 3.3.4 / Anleitung / Stand 06.02.2015 Seite 16
3. Weitere Vorgehensweise Nach erfolgreicher Abarbeitung der vorangegangenen Abschnitte sind auf Ihrem System die technischen Voraussetzungen zur Inanspruchnahme der Ferndiagnose bzw. der Fernwartung geschaffen. Nehmen Sie bitte nun mit der Novell-Hotline am Landesmedienzentrum Kontakt auf. Bitte halten Sie hierzu die folgenden Informationen bereit: Die Einwahladresse des Servers, das heißt die öffentliche IP-Adresse der externen Netzwerkkarte oder den entsprechenden DynDNS-Alias, falls die Schule keine feste IP-Adresse hat Den Namen des festen "ersten" Ansprechpartners in Ihrem Hause für technische Rückfragen der Novell-Hotline Zusammen mit der Hotline wird dann der zuvor eingerichtete Fernzugriff getestet und Ihre Daten im Ticketsystem des Support-Netzes werden ergänzt. Des Weiteren wird die Hotline das Kennwort des Benutzers RemoteAdmin ändern. paedml Novell / Version: 3.3.4 / Anleitung / Stand 06.02.2015 Seite 17
4. Anhang 4.1 Links Installationsanleitung für Astaro Security Gateway für die paedml Novell, http://www.lmz-bw.de/technische-unterstuetzung/kundenportal/novell/dokumentation.html Wissensdatenbank (Knowledge Base) der Astaro AG, http://www.astaro.com/kb DynDNS.org, http://www.dyndns.com/ Dokumentation zu DynDNS, http://www.dyndns.com/support DynDNS auf Wikipedia, http://de.wikipedia.org/wiki/dyn-dns RDP auf Wikipedia, http://de.wikipedia.org/wiki/remote_desktop_protocol Remote-Zugriff von außen, ein HowTo von Stefan Falk http://www.lmz-bw.de/technische-unterstuetzung/kundenportal/novell/howtos/remote-zugriff-vonaussen.html paedml Novell / Version: 3.3.4 / Anleitung / Stand 06.02.2015 Seite 18
Landesmedienzentrum Baden-Württemberg (LMZ) Support Netz Rotenbergstraße 111 70190 Stuttgart Landesmedienzentrum Baden-Württemberg, 2015