Papierloses Büro: Dokumente über mehrere Standorte synchronisieren
){kind=small}
Ralph
Einstellungen von Zerotier
Zerotier
Schauen wir uns an, wie die beiden Server miteinander verbunden werden können. Prinzipiell setzt das später eingesetzte Tool Syncthing auf eine vollständig verschlüsselte Kommunikation zur Übertragung der Daten. Also könnten wir den Port für Syncthing (22000) an beiden DSL-Routern weiterleiten und schon würden sich unsere Syncthing-Instanzen finden. Allerdings hängen wir dann mit einem vollständig offenen Port im Internet. Wenn wir auf geöffnete Ports verzichten wollen, könnte Syncthing auch noch über Relay-Server arbeiten. Dann wird keine Peer-to-Peer Kommunikation zwischen unseren beiden Servern aufgebaut, sondern die Kommunikation läuft über Relay-Server des Syncthing-Projektes. Allerdings mit deutlich reduzierter Performance.
Aber Syncthing wird nicht der einzige Netzwerkdienst und -Port bleiben, der benötigt wird. Syncthing bringt ein Webinterface mit, welches für die Konfiguration benötigt wird, später soll die gesamte Infrastruktur per Icinga 2 überwacht werden, und per SSH soll man sich zu Wartungszwecken auch anmelden können. Alle Dienste würden sich so absichern lassen, dass man sie direkt am Internet betreiben könnte - aber ein mulmiges Gefühl bleibt. Prüft man zum Beispiel das auth.log, wenn Port 22 (SSH) am Router freigeschaltet ist, sieht man nach wenigen Minuten massig Login-Versuche.
Lange Rede, kurzer Sinn: Eine VPN-Lösung muss her. Nach dem Tipp eines Kollegen bin ich auf Zerotier gestoßen. Die meisten klassischen VPN-Lösungen sind nicht ganz trivial in der Konfiguration und in der Wartung. Es wird eine statische IP-Adresse benötigt oder man muss sich mindestens mit Lösungen wie Dyndns herumschlagen, welche meist zudem niciht kostenfrei sind. Deshalb Zerotier:
- Es ist kostenlos
- Es handelt sich um ein Open-Source-Projekt
- Es benötigt keine statische IP-Adresse
- Es kann plattformübergreifend für MacOS, Android, Windows und natürlich Linux genutzt werden
- Die Installation und Konfiguration ist in wenigen Minuten erledigt
- Es kann ohne Portfreischaltungen mit voller Performance genutzt werden
- Es nutzt eine vollständig verschlüsselte peer-to-peer Kommunikation
){kind=small}
Ralph
Client-Liste von Zerotier
Also einen Account auf zerotier.com erstellen und ein eigenes Network anlegen. Die Network ID sollte man für sich behalten. Über diese kann man später dem Netzwerk beitreten. Zudem ist es wichtig, dass bei Access Control ausgewählt ist. Einem Public Network kann jeder beitreten, der die NetworkID kennt. Bei einem Private Network muss dies über die Webseite bestätigt werden.
Zerotier kümmert sich netterweise auch um die Vergabe der IP-Adressen. Nachdem die Software installiert ist, erhält man ein weiteres Netzwerkinterface auf allen Rechnern und diesem kann entweder manuell eine IP-Adresse geben werden, oder man lässt diese durch Zerotier verwalten. Der Einfachkeit halber würde ich die Arbeit Zerotier überlassen. Mit und der entsprechend ausgewählten Network-Range kann die Vergabe der Adressen aktiviert werden. Man sollte aufpassen, dass sich die Adress-Ranges nicht mit den Ranges innerhalb der LANs überschneiden, sonst wird es beim Routing unschön.
Am unteren Ende der Webseite sind alle Clients aufgelistet, welche versucht haben, sich mit dem Netzwerk zu verbinden. Dort kann dann auch gesteuert werden, ob wir diese zulassen wollen oder nicht. Am Anfang ist die Liste natürlich noch leer, da wir noch keine Verbindungsversuche hatten.
Über die Checkbox können die Clients autorisiert werden.
