FitzGerald Posted August 28, 2016 Share Posted August 28, 2016 Hallo! Ich versuche gerade über einen Openvpn client (recording service und openvpn server laufen auf dem selben Rechner). Die automatisch generierten Firewall Regeln habe ich angepasst (wie hier beschrieben) Im Server log kommt folgende Meldung: 28.08.16 TDVBWebserver AuthGetType 10.x.x.x user access from other nets forbidden, aborted Die Verwendete Version ist: 1.33.1.0 (beta) Der Versuch in die Config Datei \svcuserdata.xml den Openvpn client als Trustedhost hat auch nicht geklappt. <section name="TrustedDevices"> <entry name="0">10.x.x.x</entry> </section> Hat jemand eine Idee Woran es liegen kann? Danke schon mal für eure Hilfe! PS: Andere Services auf dem Server sind vom Client aus erreichbar. Link to comment
FitzGerald Posted August 28, 2016 Author Share Posted August 28, 2016 (edited) Nach weiterer Recherche habe ich die Antwort gefunden: Das Format für die svcuserdata.xml hat sich geändert, siehe hier. <section name="TrustedDevices"><entry name="TrustedIPs">[iP List]</entry><entry name="LocalIPs">[iP List]</entry></section> Edited August 28, 2016 by FitzGerald Link to comment
Tjod Posted August 28, 2016 Share Posted August 28, 2016 Noch ein Hinweis dazu ich würde generell dazu raten das VPN über LocalIPs hinzuzufügen. Dann gelten die gleichen regle wie sonst auch für das Lokale Netz. TrustedIPs wird nur benötigt wenn einige IPs aus dem LAN kein Passwort brauchen sollen aber andere schon. Bei 127.0.0.1 ist das unproblematisch, aber sonst muss man im LAN sicherstellendes keiner sich selber eine andere IP zuweisen kann (mit den Standard Routern ist es meist nicht möglich eine IP fest mit einem Port zu verbinden). Oder das Passwort schützt nur noch gegen nicht so versierte Nutzer im LAN. Wenn ein Passwort für das Webinterface gesetzt ist und Zugriffe aus dem "Internet" (alles außer das Lokale Subnetz) erlaubt ist kann man aus dem VPN auch so das Webinterface erreichen. Aber LocalIPs gibt es genau für so was wie die VPN Geschichte. Der RS kann nicht wissen ob ein anderes Subnetzt ein VPN oder z.B. Provider NAT ist. Darum muss das vom Nutzer manuell gesetzt werden. Bei RS 1.33 hat sich einiges in der Hinsicht geändert. Damit das RS Webinterface nicht unbeabsichtigt aus dem Internet ohne Passwort zu erreichen ist. Link to comment
FitzGerald Posted August 29, 2016 Author Share Posted August 29, 2016 Danke für die rasche Antwort. [..] ich würde generell dazu raten das VPN über LocalIPs hinzuzufügen. [...] Ja, das habe ich so eingerichtet. Wenn ein Passwort für das Webinterface gesetzt ist und Zugriffe aus dem "Internet" (alles außer das Lokale Subnetz) erlaubt ist kann man aus dem VPN auch so das Webinterface erreichen. Aber LocalIPs gibt es genau für so was wie die VPN Geschichte. Der RS kann nicht wissen ob ein anderes Subnetzt ein VPN oder z.B. Provider NAT ist. Darum muss das vom Nutzer manuell gesetzt werden. Mein Setup sieht nicht vor, direkt aus dem Internet erreichbar zu sein. UPNP habe ich am Router deaktiviert, offen ist nur der Port für OpenVpn. Muss ich sonst noch etwas bezüglich des RS beachten? Link to comment
Tjod Posted August 30, 2016 Share Posted August 30, 2016 Nein, der RS richtet selber im Router keine Port weiterleiten ein (UPnP ist im RS nur für den Mulitmediastreamin Teil zu entsprechenden Clients vorhanden). Und auch in der Windows Firewall werden nur regeln erstellt wenn der entsprechende Punkt ausgewählt wird. Und die Regeln erlauben nach Möglichkeit nur die Zugriffe die wirklich nötig sind. (Also z.B. nur den zugriff aus dem selben Subnetz) Link to comment
FitzGerald Posted August 30, 2016 Author Share Posted August 30, 2016 Danke für die Info! Link to comment
Recommended Posts