Mac Server og fildeling over VPN med Win-klienter
Anta et kontor med både Windows og Mac maskiner. Anta en filserver med fellesdokumenter (Excel, Word) som skal oppdateres fra klienter på nettverket, og over VPN fra klienter utenfor kontornettverket.
En mulig løsning er å sette opp en Mac med ServerApp. For et firma med rundt 10 ansatte kan en brukt MacMini gjøre jobben. Som serverprogramvare brukes Apples ServerApp, som koster $20.
Det følgende er testet på en MacMini Yosemite server, og klienter med Mac Lion, Mavericks og Yosemite, og Windows XP-64, 7 og 8.
Fildeling på LAN'et
Vi begynner med å lage en katalog Kontrakter på serveren, og legger noen Excel og Word dokumenter i katalogen. Katalogen shares ut. Vi definerer noen brukere - de skal helst være Sharing only brukere. Vi gir brukerne read og write rettigheter til Kontrakter:
- Jeg valgte å gi Owner (eier av katalogen) fulle UNIX-rettigheter (Filer: read, write. Kataloger: read, write, execute.)
- Group og Others har ingen rettigheter.
- Tilgangen for de virkelige brukerne justeres med ACL (Access Control Lists).
For at Word og Excel dokumenter skal kunne oppdateres må brukerne også ha Delete rettigheter på den delte katalogen. Dette gis ikke automatisk når skrive-rettigheter gis. Det må gjøres under Storage (Server-Servernavn-Storage: Edit Permissions under tannhjul-menyen. Husk også å Propagate Permissions.
Grunnen til dette er måten Mac ServerApp oppdaterer Word og Excel dokumenter. Når et dokument skrives til, lages det en kopi med et nytt navn. Det skrives til det nye dokumentet. Når man lagrer, oppdateres originalen med endringene. Deretter slettes kopien. Hvis man ikke har rettigheter til å slette, fungerer ikke dette systemet. Man ender ofte med en original som ikke er oppdatert, og oppdaterte filer med nye navn. Årsaken til det kompliserte oppdaterings-systemet er for å hindre datatap ved uventet nettverksbrudd.
Mac-klienter på kontornettverket
Vi kan nå kople oss til serveren med en Mac-klient. Åpne Finder og trykk Cmd-k. Dette åpner et vindu for å kople til en annen maskin. Skriv inn: smb://<ip-adresse til server> (eller: afp://<ip-adresse til server>). Logg inn med tildelt server bruker/passord.
Windows-klienter på kontornettverket
Vi kan nå kople oss til serveren med en Windows-klient. Trykk Win-r. Dette åpner Run-vinduet. Skriv inn: \\<ip-adresse til server> (eller: \\<ip-adresse til server>\<share-navn>. Logg inn med tildelt server bruker/passord.
På et tidspunkt installerte jeg ESET Nod32 AntiVirus på en HP EliteBook klient-maskin med Win7. Når jeg deretter åpnet dokumenter på serveren fikk jeg beskjed om at de var "Locked by another user" og det var ikke mulig å lagre endringer. Dette var en serverfeil forårsaket av ESET, fordi ingen dokumenter var faktisk låst av noen andre brukere
Jeg avinstallere ESET. Da jeg restartet maskinen fikk jeg BSOD (Blue Screen), og måtte gå tilbake til "last good configuration". Windows startet, ESET var tilbake men med feil i POP3 og HTTP scanner. Dokumenter på serveren fungerte, de var ikke låst av en annen bruker. Da jeg ikke var interessert i et system antivirus-feil, forsøkte jeg å reparere ESET. Det fungerte - men da ble igjen serverdokumenter låst. osv. Tilslutt installerte jeg Windows på nytt, installerte ikke ESET men Windows Defender, og alt fungerte som det skulle.
Konklusjon: ESET på min klientmaskin forårsaket en serverfeil. ESET var umulig å avinstallere.
Jeg har hatt en dialog med ESET på dette.
Fildeling over VPN
Konfigurer VPN-serveren på ServerApp.
- Configure VPN for: L2TP.
- Skriv inn Shared Secret (denne skal også skrives inn i klienten)
- Client addresses: 31 for L2TP. Disse skal ikke være i samme nettverk serveren. For eksempel - dersom kontornettverket er 192.168.0.0/24, kan man velge 192.168.10.0/24. Starting at: 192.168.10.69.
- DNS settings: angi en tilgjengelig DNS-server. For eksempel 8.8.4.4 (Googles fritt tilgjengelige DNS-server).
- Routes: jeg begynte med å ikke legge inn noe her. Da fungerte både VPN og fildeling, både med Mac og Windows klienter. Men på Windows-klienter forsvant internett-tilkopling så snart man var på VPN. Det virket som at browseren forsøkte å kople seg på VPN-nettverkets gateway. For å rette dette la jeg inn en route her: kontor-nettverket, med type Private. I vårt eksempel: 192.168.0.0/255.255.255.0 og Private. På Windows-klienten skal "Use default gateway on remote network" ikke være valgt (beskrevet lengre ned, se figur 4).
Når det ikke er oppgitt noen Private routes er default at all trafikk fra klienter mot adresser på kontor-nettverket (f.eks. filserveren) går over VPN. Når et Private segment er oppgitt endres dette, og default er nå at bare det som er eksplisitt spesifisert går gjennom VPN. Dette er ikke noe problem i vårt tilfelle, men kan være det med et større nettverk.
På kontornettverkets ruter må tre porter forwardes til serveren:
- UDP: 500 (IPSec: ISAKMP/IKE)
- UDP: 1701 (L2TP)
- UDP: 4500 (NAT Traversal)
Mac-klienter utenfor kontornettverket
Konfigurer en VPN-klient på Macen. Dette gjøres under System Preferences - Network. Trykk + under listen på venstre side for å konfigurere en ny forbindelse. Velg Interface: VPN, og VPN type: L2TP over IPSec. Lag et passende navn for forbindelsen. Configuration: Default. Server address: IP-adressen til WAN-siden av kontornettverkets ruter. Account name: bruker-navnet på serveren. Trykk Authentication settings-knappen og skriv inn Shared Secret og passordet på serveren.
For å teste forbindelsen må man befinne seg på internett utenfor kontornettverket. Man kopler til VPN-serveren og kontornettverket ved å trykke knappen Connect.
Med en VPN-forbindelse er det som å være en del av kontornettverket. Man kan kople til filserveren som beskrevet ovenfor.

Fig. 1 Konfigurering av Mac OS-X VPN klient.

Fig. 2 Konfigurering av Mac OS-X VPN klient.
Windows-klienter utenfor kontornettverket
Konfigurer en VPN-klient på PCen. Det varierer litt hvordan man finner frem på XP, Win7 og Win8, men selve konfigurasjonen er lik.
XP: trykk Win-r for å åpne Run-vinduet. Skriv inn: ncpa.cpl. Network Connections vinduet åpnes. File - New Connection. Connect to the network at my workplace. Virtual Private Network connection. Lag et passende navn for forbindelsen. Do not dial the initial connection. Skriv inn IP-adressen til WAN-siden av ruteren på kontornettverket. Det åpnes et vindu for å kople seg på. Trykk Cancel. Gå tilbake til Network Connections vinduet. Nå er den nye forbindelsen listet. Høyreklikk og velg Properties. Gå til Security-tabben. Under Security options, velg Advanced (custom settings) og trykk knappen Settings. Data encryption: Require encryption (disconnect if server declines). Logon security: Allow these protocols: Microsoft CHAP Version 2 (MS-CHAP v2). OK. Trykk knappen IPSec Settings. Velg Use preshared key for authentication og skriv inn Shared Secret og trykk OK. Gå til Networking-tabben. Type of VPN: L2TP IPSec VPN. I listen marker Internet Protocol (TCP/IP). Trykk Properties. Trykk Advanced. "Use default gateway on remote network" skal ikke være valgt. OK, OK, OK.

Fig. 3 Konfigurering av Windows XP VPN klient.

Fig. 4 Konfigurering av Windows XP VPN klient. "Use default gateway on remote network" skal ikke være valgt. På OS-X serveren (ServerApp) må det legges inn en route til kontornettverket i VPN-konfigurasjonen (se ovenfor).
Før vi kan teste forbindelsen må det gjøres 3 registry-endringer.
- For at VPN-forbindelsen skal fungere i et oppsett der både klient og server befinner seg bak NAT-rutere, må det legges til et innslag i registry.
Innslag: AssumeUDPEncapsulationContextOnSendRule
Type: D-WORD (32-bit).
Verdi: 2 (hex eller decimal)
Stien varierer litt mellom XP og Win7/8:- WinXP: HKEY_LOCAL_MACHINE - System - CurrentControlSet - Services - IPSec
- Vista: samme som XP tror jeg, men har ikke testet.
- Win7/8: HKEY_LOCAL_MACHINE - System - CurrentControlSet - Services - PolicyAgent
- Innslag: LmCompatibilityLevel
Type: D-WORD (32-bit).
Verdi: 3 (hex eller decimal)
Sti:- HKEY_LOCAL_MACHINE - System - CurrentControlSet - Control - Lsa
- Innslag: NtlmMinClientSec
Type: D-WORD (32-bit).
Verdi: 0 (hex eller decimal). Dersom innslaget ikke eksisterer, er det også ok.
Samme sti som ovenfor:- HKEY_LOCAL_MACHINE - System - CurrentControlSet - Control - Lsa
Da er vi klare til å kople oss på serveren. Tilbake i Network Connections-vinduet: høyreklikk forbindelsen og velg Connect. Det åpnes et vindu for å kople seg på. Skriv inn bruker og passord på serveren. Trykk Connect. Kryss fingrene.
Dersom det ikke fungerer: dobbeltsjekk konfigurasjonen. Restart klient, server, rutere.
Når det fungerer, er det som å være på nettverket. Kople til filserver som beskrevet ovenfor.
Referanser
- How to configure an L2TP/IPsec server behind a NAT-T device in Windows Vista and in Windows Server 2008
http://support.microsoft.com/kb/926179
- OS X Server: How to connect to VPN service from Windows
http://support.apple.com/en-us/HT202384
- You Cannot Connect to the Internet After You Connect to a VPN Server
http://support.microsoft.com/kb/317025