16
Netzwerk Proxy verschleiern Mac Book Air
Hallo zusammen,
ich arbeite aktuell daran einen apple Mdm server einzurichten. Aufgrund der Tatsache das wir eine Schule sind wollen wir den Apple School Manager verwenden. Wir haben nun das Problem das der School Manager Admin (im Browser) immer wieder abschmiert. Unser erster verdacht war die Firewall dann sind wir mit Apple in Kontakt getreten und haben versucht das Problem zu lokalisieren und evtl Ports an der Firewall freizugeben. Apple hat dann irgendwann nachdem sie die Ports nicht finden konnten die wir freischalten müssten gesagt ja das liegt nicht an der Firewall sondern am Proxy der Apple School Manager lässt keine geproxyten Verbindungen zu soweit so gut. Mein Problem ist jetzt aber ohne proxy komme ich nicht ins Internet ist so blockiert in unserem Schulnetzwerk das ist auch nicht änderbar kann ich es irgendwie verschleiern das ich einen Proxy nutze? Oder meint ihr eher das die FW schuld ist?
ich arbeite aktuell daran einen apple Mdm server einzurichten. Aufgrund der Tatsache das wir eine Schule sind wollen wir den Apple School Manager verwenden. Wir haben nun das Problem das der School Manager Admin (im Browser) immer wieder abschmiert. Unser erster verdacht war die Firewall dann sind wir mit Apple in Kontakt getreten und haben versucht das Problem zu lokalisieren und evtl Ports an der Firewall freizugeben. Apple hat dann irgendwann nachdem sie die Ports nicht finden konnten die wir freischalten müssten gesagt ja das liegt nicht an der Firewall sondern am Proxy der Apple School Manager lässt keine geproxyten Verbindungen zu soweit so gut. Mein Problem ist jetzt aber ohne proxy komme ich nicht ins Internet ist so blockiert in unserem Schulnetzwerk das ist auch nicht änderbar kann ich es irgendwie verschleiern das ich einen Proxy nutze? Oder meint ihr eher das die FW schuld ist?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 341876
Url: https://administrator.de/contentid/341876
Ausgedruckt am: 24.11.2024 um 20:11 Uhr
16 Kommentare
Neuester Kommentar
Moin,
was spricht denn dagegen für den Zugriff auf den Manager den Proxy im Webbrowser zu deaktivieren und ihn für's Internet wieder zu aktivieren?
Zumindest könntest Du so den Proxy als Fehlerquelle eingrenzen.
Oder steh' ich auf'm Schlauch? Oder braucht das Ding eine Internetverbindung im lokalen Netz?
Gruss
was spricht denn dagegen für den Zugriff auf den Manager den Proxy im Webbrowser zu deaktivieren und ihn für's Internet wieder zu aktivieren?
Zumindest könntest Du so den Proxy als Fehlerquelle eingrenzen.
Oder steh' ich auf'm Schlauch? Oder braucht das Ding eine Internetverbindung im lokalen Netz?
Gruss
Zitat von @sabines:
Moin,
was spricht denn dagegen für den Zugriff auf den Manager den Proxy im Webbrowser zu deaktivieren und ihn für's Internet wieder zu aktivieren?
Moin,
was spricht denn dagegen für den Zugriff auf den Manager den Proxy im Webbrowser zu deaktivieren und ihn für's Internet wieder zu aktivieren?
Der Admin ist ein Online Admin school.apple.com tut mir leid hab ich mich wohl nicht ganz klar ausgedrückt
Zumindest könntest Du so den Proxy als Fehlerquelle eingrenzen.
Oder steh' ich auf'm Schlauch? Oder braucht das Ding eine Internetverbindung im lokalen Netz?
Oder steh' ich auf'm Schlauch? Oder braucht das Ding eine Internetverbindung im lokalen Netz?
Gruß Simon
Hallo,
Du meinst also, der Admin kommt von extern aus dem Internet durch eure Firewall, über einen Proxy auf den Webserver eures Management-Systems.
Aus Sicht der Netzwerksicherheit ganz schlechte Lösung!
Schon mal an ein VPN für den externen Admin gedacht?! Dann agiert er quasi von "innen" und geht nicht über einen Proxy. Und sicherer ist das auch noch.
Jürgen
Du meinst also, der Admin kommt von extern aus dem Internet durch eure Firewall, über einen Proxy auf den Webserver eures Management-Systems.
Aus Sicht der Netzwerksicherheit ganz schlechte Lösung!
Schon mal an ein VPN für den externen Admin gedacht?! Dann agiert er quasi von "innen" und geht nicht über einen Proxy. Und sicherer ist das auch noch.
Jürgen
Moin,
der MDM Server ist aber lokal im LAN?
Und über das Internet Webinterface greift Apple dann darauf zu?
Hab' ich das jetzt richtig verstanden?
Vermutlich wirst Du nicht umhin kommen, den Proxy testweise zu deaktivieren, ich kenne kein System bei dem das nicht funktioniert.
Ebenso gibt es sicher eine Möglichkeit bspw. für eine VM Ausnahmen im Proxy zu definieren.
Das gleiche gilt auch für die FW, ich habe hier eine standardmäßig deaktivierte Regel die für eine bestimmte lokale IP alles durchlässt.
Wenn irgendwas nicht läuft aktiviere ich diese und schließe damit die FW als Fehler in 90% der Regel aus.
Das kann man dann auch wunderbar dem Hersteller Support um die Ohren knallen.
Letzte Möglichkeit:
Per Wireshark das Netz abhören, so kannst Du prüfen ob und ggfs. wo intern das Problem liegt.
Gruss
der MDM Server ist aber lokal im LAN?
Und über das Internet Webinterface greift Apple dann darauf zu?
Hab' ich das jetzt richtig verstanden?
Vermutlich wirst Du nicht umhin kommen, den Proxy testweise zu deaktivieren, ich kenne kein System bei dem das nicht funktioniert.
Ebenso gibt es sicher eine Möglichkeit bspw. für eine VM Ausnahmen im Proxy zu definieren.
Das gleiche gilt auch für die FW, ich habe hier eine standardmäßig deaktivierte Regel die für eine bestimmte lokale IP alles durchlässt.
Wenn irgendwas nicht läuft aktiviere ich diese und schließe damit die FW als Fehler in 90% der Regel aus.
Das kann man dann auch wunderbar dem Hersteller Support um die Ohren knallen.
Letzte Möglichkeit:
Per Wireshark das Netz abhören, so kannst Du prüfen ob und ggfs. wo intern das Problem liegt.
Gruss
Zitat von @chiefteddy:
Hallo,
Du meinst also, der Admin kommt von extern aus dem Internet durch eure Firewall, über einen Proxy auf den Webserver eures Management-Systems.
Hallo,
Du meinst also, der Admin kommt von extern aus dem Internet durch eure Firewall, über einen Proxy auf den Webserver eures Management-Systems.
Nein ich weise die iPads bei Apple dem Mdm zu. Dort wurde eine Token datei generiert wodurch sich unser. MDM server bei apple registriert. Rest läuft intern
Aus Sicht der Netzwerksicherheit ganz schlechte Lösung!
Das wäre mir bewusst
Schon mal an ein VPN für den externen Admin gedacht?! Dann agiert er quasi von "innen" und geht nicht über einen Proxy. Und sicherer ist das auch noch
Gruß Simon
Zitat von @sabines:
Moin,
der MDM Server ist aber lokal im LAN?
Und über das Internet Webinterface greift Apple dann darauf zu?
Moin,
der MDM Server ist aber lokal im LAN?
Und über das Internet Webinterface greift Apple dann darauf zu?
So in etwa genauer stehts in dem Kommentar weiter oben.
Hab' ich das jetzt richtig verstanden?
Ja
Vermutlich wirst Du nicht umhin kommen, den Proxy testweise zu deaktivieren, ich kenne kein System bei dem das nicht funktioniert.
Muss ich aber da ich ihn nicht Deaktivieren kann Firewall wird extern vom LRA betreut
Ebenso gibt es sicher eine Möglichkeit bspw. für eine VM Ausnahmen im Proxy zu definieren.
selbes Problem
Das gleiche gilt auch für die FW, ich habe hier eine standardmäßig deaktivierte Regel die für eine bestimmte lokale IP alles durchlässt.
same Problem
Wenn irgendwas nicht läuft aktiviere ich diese und schließe damit die FW als Fehler in 90% der Regel aus.
Das kann man dann auch wunderbar dem Hersteller Support um die Ohren knallen.
Das kann man dann auch wunderbar dem Hersteller Support um die Ohren knallen.
Wird Apple bestimmt interessieren ;)
Letzte Möglichkeit:
Per Wireshark das Netz abhören, so kannst Du prüfen ob und ggfs. wo intern das Problem liegt.
Per Wireshark das Netz abhören, so kannst Du prüfen ob und ggfs. wo intern das Problem liegt.
Werd ich mal machen
Gruß Simon
Hallo,
wenn Du eh nichts an der Firewall und dem Proxy machen kannst/darfst, worüber reden wir denn hier??
Dann Beauftrage den Dienstleister, der die Sicherheit eures Internetzugangs managt, die von Dir gewünschte Funktionalität einzurichten. Das ist nämlich die Aufgabe eines DIENSTLEISTERS. Dann muß er Applel kontaktieren und die Parameter abfordern.
Wenn man als Dritter zwischen 2 Beteiligten "sitzt", hat man immer die "Arschkarte"!
Jürgen
wenn Du eh nichts an der Firewall und dem Proxy machen kannst/darfst, worüber reden wir denn hier??
Dann Beauftrage den Dienstleister, der die Sicherheit eures Internetzugangs managt, die von Dir gewünschte Funktionalität einzurichten. Das ist nämlich die Aufgabe eines DIENSTLEISTERS. Dann muß er Applel kontaktieren und die Parameter abfordern.
Wenn man als Dritter zwischen 2 Beteiligten "sitzt", hat man immer die "Arschkarte"!
Jürgen
1Zitat von @chiefteddy:
Hallo,
wenn Du eh nichts an der Firewall und dem Proxy machen kannst/darfst, worüber reden wir denn hier??
Hallo,
wenn Du eh nichts an der Firewall und dem Proxy machen kannst/darfst, worüber reden wir denn hier??
Genau gennomen reden wir darüber das irgendwie hinzubekommen das Landratsamt lässt uns nicht an die FW ran und verweist auf den externen der nach Brasilien ausgewandert ist das vereinfacht die sache natürlich nicht wirklich so war der Plan das ganze eher zuverschleiern das das über unsere FW und den Proxy geht
Dann Beauftrage den Dienstleister, der die Sicherheit eures Internetzugangs managt, die von Dir gewünschte Funktionalität einzurichten. Das ist nämlich die Aufgabe eines DIENSTLEISTERS. Dann muß er Applel kontaktieren und die Parameter abfordern.
Ja aber zu dem bekomm ich keinen Kontakt das ginge nur über unseren Offiziellen Systembetreuer welcher für mich absolut nicht greifbar ist.
Wenn man als Dritter zwischen 2 Beteiligten "sitzt", hat man immer die "Arschkarte"!
eigentlich zwischen 3 aber i know what you mean
Gruß Simon
so war der Plan das ganze eher zuverschleiern
Hallo,
verschleiern heißt in Deinem Fall VPN-Tunnel durch die Firewall. Aber auch das geht nur sinnvoll, wenn man die Fierwall entsprechend konfiguriert.
Jürgen
PS: Nimm´ es mir bitte nicht übel, aber vielleicht bist Du ein zu "kleines Licht" in dieser Gemengelage. Vielleicht sollte der Schulleiter mal beim Leiter des Schulamtes vorstellig werden und darauf hinweisen, das Frau Merkel eine "digitale Agende" für Deutschland verkündet hat. Und das Landesschulamt für die lokale Umsetzung dieser politischen Entscheidung im Schulbereich zuständig ist. Dh. der Schuladmin braucht wenigstens einen Zugang zum Sicherheits-DIENSTLEISTER!!
Moin,
Brasilien hin oder her.
Das ist doch ziemlich sicher eine Cisco FW, ich glaube kaum, dass in diesem Umfeld kein Wartungsvertrag mit einem namhaften Systemhaus existiert.
Gruss
Brasilien hin oder her.
Das ist doch ziemlich sicher eine Cisco FW, ich glaube kaum, dass in diesem Umfeld kein Wartungsvertrag mit einem namhaften Systemhaus existiert.
Gruss
Nein Sophos
ich glaube kaum, dass in diesem Umfeld kein Wartungsvertrag mit einem namhaften Systemhaus existiert.
haben wir auch endet an der Firewall ab da nur noch über das LRA soweit meine Information
Gruß Simon
Zitat von @chiefteddy:
verschleiern heißt in Deinem Fall VPN-Tunnel durch die Firewall. Aber auch das geht nur sinnvoll, wenn man die Fierwall entsprechend konfiguriert.
so war der Plan das ganze eher zuverschleiern
verschleiern heißt in Deinem Fall VPN-Tunnel durch die Firewall. Aber auch das geht nur sinnvoll, wenn man die Fierwall entsprechend konfiguriert.
War auch mein erster gedanke aber wohin den einen VPN tunnel? zu mir nachhause? Irgendwo endet meine zuständigkeit als übereifriger Schüler finde ich.
Jürgen
PS: Nimm´ es mir bitte nicht übel, aber vielleicht bist Du ein zu "kleines Licht"
PS: Nimm´ es mir bitte nicht übel, aber vielleicht bist Du ein zu "kleines Licht"
Hobby mässiger Zeitvertreib nach dem Unterricht ja kleines Licht triffts glaube ich gut
in dieser Gemengelage. Vielleicht sollte der Schulleiter mal beim Leiter des Schulamtes vorstellig werden und darauf hinweisen, das Frau Merkel eine "digitale Agende" für Deutschland verkündet hat. Und das Landesschulamt für die lokale Umsetzung dieser politischen Entscheidung im Schulbereich zuständig ist. Dh. der Schuladmin braucht wenigstens einen Zugang zum Sicherheits-DIENSTLEISTER!!
Den hat der Schuladmin auch aber 1. der bin ich nicht 2. Ist der aufgrund von abwesenheit auch nicht greifbar für micht :/
Gruß Simon
übereifriger Schüler
Hallo,
das hatte ich mir fast gedacht. Ich meine das nicht "böse"; ich kenne nur in meiner Stadt auch einige Schulen, wo die Administration des Schulnetzes von Schülern realisiert wird. Das Engagement ist durchaus lobenswert. Es ist aber nun mal leider so, das ein Schulnetz mit meheren Computerkabinetten, die vernetzten PCs in der Schulverwaltung usw. in professionelle Hände gehören. Das kann nicht der Informatik-Lehrer und einige "IT-Kidies" nebenbei administrieren!
In Baden Würtenberg gibt die Landesmedienzentrale den Schulen bei der Administration eine gute Unterstützung.
https://www.lmz-bw.de/technische-unterstuetzung/netzwerkloesung/paedmlr- ...
Versuche doch mal über diesen Weg in deinem Bundesland Unterstützung zu bekommen.
Jürgen
Moin,
dann sollte deine Schule da mal schnell tätig werden. Für gewöhnlich sollten Schüler ja auch die Schule mal verlassen weil die (hoffentlich) irgendwann den Abschluss mal schaffen. Dann ist eine solche Lösung durch Schüler aufgebaut generell schlecht.
Was das ganze mit "Verschleiern" angeht - verwerfe diese Idee am besten schneller als du die entwickelt hast. DAS ist einer der Gründe warum Schüler nicht an sowas gehören. Ok, du hast das am Laufen. Und wer trägt die Haftung? Entweder die Haftung dafür das es stabil läuft? Und jetzt nehmen wir den Fall an du hast da was gebaut und ich komme morgen an die Schule und kann die Verbindung nutzen um illegal Daten zu laden, einen Angriff zu starten oder sonstwas - wer haftet dann?
Es ist sicher gut wenn Schüler da mal helfen - aber die Entscheidungen muss halt jemand treffen der eben auch dafür verantwortlich ist. Und derjenige kann eben auch nen Dienstleister mal treten...
dann sollte deine Schule da mal schnell tätig werden. Für gewöhnlich sollten Schüler ja auch die Schule mal verlassen weil die (hoffentlich) irgendwann den Abschluss mal schaffen. Dann ist eine solche Lösung durch Schüler aufgebaut generell schlecht.
Was das ganze mit "Verschleiern" angeht - verwerfe diese Idee am besten schneller als du die entwickelt hast. DAS ist einer der Gründe warum Schüler nicht an sowas gehören. Ok, du hast das am Laufen. Und wer trägt die Haftung? Entweder die Haftung dafür das es stabil läuft? Und jetzt nehmen wir den Fall an du hast da was gebaut und ich komme morgen an die Schule und kann die Verbindung nutzen um illegal Daten zu laden, einen Angriff zu starten oder sonstwas - wer haftet dann?
Es ist sicher gut wenn Schüler da mal helfen - aber die Entscheidungen muss halt jemand treffen der eben auch dafür verantwortlich ist. Und derjenige kann eben auch nen Dienstleister mal treten...
das hatte ich mir fast gedacht. Ich meine das nicht "böse"; ich kenne nur in meiner Stadt auch einige Schulen, wo die Administration des Schulnetzes von Schülern realisiert wird.
Wird es nicht ich helf wo ich kann wir haben für die eigentlichen pcs auch einen ansprechpartner nur für die iPads nicht
Das Engagement ist durchaus lobenswert. Es ist aber nun mal leider so, das ein Schulnetz mit meheren Computerkabinetten, die vernetzten PCs in der Schulverwaltung usw. in professionelle Hände gehören. Das kann nicht der Informatik-Lehrer und einige "IT-Kidies" nebenbei administrieren!
Man hilft halt wo man kann wenn ich keine Ahnung hab was ich machen muss lass ichs auch
In Baden Würtenberg gibt die Landesmedienzentrale den Schulen bei der Administration eine gute Unterstützung.
https://www.lmz-bw.de/technische-unterstuetzung/netzwerkloesung/paedmlr- ...
Versuche doch mal über diesen Weg in deinem Bundesland Unterstützung zu bekommen.
https://www.lmz-bw.de/technische-unterstuetzung/netzwerkloesung/paedmlr- ...
Versuche doch mal über diesen Weg in deinem Bundesland Unterstützung zu bekommen.
Werd ich nicht mehr ändern in meiner einen woche wo ich noch an der schule bin auf so eine Idee muss schon jemand kommen der da noch länger ist.
Gruß Simon
Zitat von @maretz:
Moin,
dann sollte deine Schule da mal schnell tätig werden. Für gewöhnlich sollten Schüler ja auch die Schule mal verlassen weil die (hoffentlich) irgendwann den Abschluss mal schaffen. Dann ist eine solche Lösung durch Schüler aufgebaut generell schlecht.
Moin,
dann sollte deine Schule da mal schnell tätig werden. Für gewöhnlich sollten Schüler ja auch die Schule mal verlassen weil die (hoffentlich) irgendwann den Abschluss mal schaffen. Dann ist eine solche Lösung durch Schüler aufgebaut generell schlecht.
Richtig gennerell gilt in meiner schule aber das Moto schaff es oder wir lassen es so und für es so lassen bin ich nicht bereit bzw bin ich zu stolz
Was das ganze mit "Verschleiern" angeht - verwerfe diese Idee am besten schneller als du die entwickelt hast. DAS ist einer der Gründe warum Schüler nicht an sowas gehören. Ok, du hast das am Laufen. Und wer trägt die Haftung? Entweder die Haftung dafür das es stabil läuft? Und jetzt nehmen wir den Fall an du hast da was gebaut und ich komme morgen an die Schule und kann die Verbindung nutzen um illegal Daten zu laden, einen Angriff zu starten oder sonstwas - wer haftet dann?
Da hast du meinen Plan nicht ganz verstanden ich wollte nicht den Proxy umgehen sonder lediglich etwas basteln das die information das wir den Proxy nutzen nicht mehr an die besagte Seite weitergegeben wird das ich mir mit allem anderen eine Sicherheitslücke bauen würde ist mir bewusst.
Es ist sicher gut wenn Schüler da mal helfen - aber die Entscheidungen muss halt jemand treffen der eben auch dafür verantwortlich ist. Und derjenige kann eben auch nen Dienstleister mal treten...
Hab mir damit eine gewisse Grunderfahrung für meine Ausbildung als Fachinformatiker für Systemintegration aufgebaut. Ich hab geholfen weil die Zeit von anderen nicht da war so ein Dienstleister kostet eine menge geld die wie ich finde lieber in hardware investiert werden sollte anstatt in einen überteuerten dienstleister ich helf einfach wo ich kann.
Gruß Simon
