UCS on vServer(netcup) as 2nd Server via VPN Tunnel - Ideas

[Wir bevorzugen mittlerweile Englisch, deshalb übersetzt]
Hello, everybody,

I try to describe my intention because it was really hard for me to find a short and concise title for my problem:

I have a vServer at Netcup.
It should be connected as an external UCS to a UCS (ADC, Kopano, etc.) at a local location. A domain join is to be performed so that I can offer functions (e.g. Nextcloud, Kopano, etc., etc.) from the outside with the same logins as internally, without having everything in-house.
So I want to install UCS into the vServer, join the domain I have internally, but already do this join via a VPN tunnel, which I want to build via vpnc (+ monitoring script + automatic reconstruction of the tunnel).

In my construct it cracks at the point that I can only install and set up vpnc after a successful installation of a UCS. But a domain join is already too late and a domain setup is not what I need?

Background info:

Linux is not my specialty
SSH, Google & Common Sense are not foreign words
I only need short food for thought because I currently have a blockade in my head as to how I can solve my problem.

I would be grateful for help / comments regarding the “non-feasibility”.

Greeting

N.

Translated with www.DeepL.com/Translator

Hallo zusammen,

ich versuche mein Vorhaben zu schildern, weil es mir tatsächlich schwer fiel einen kurzen und knappen Titel für mein Problem zu finden:

Ich habe einen vServer bei Netcup.
Dieser soll als externer UCS angebunden werden an einen UCS (ADC, Kopano, etc.) an einem lokalem Standort. Dabei soll ein Domain-Join durchgeführt werden, damit ich Funktionen (z.B. Nextcloud, Kopano, etc., etc.) von außen mit den gleichen Logins anbieten kann, wie intern, ohne alles inhouse zu haben.
Also möchte ich in den vServer UCS installieren, der Domäne joinen, die ich intern habe, aber diesen join schon über einen VPN Tunnel durchführen, den ich via vpnc (+ monitoring skript + automatischen wiederaufbau des Tunnels) aufbauen will.

In meinem Konstrukt knackt es aber an der Stelle, dass ich vpnc erst nach einer erfolgreichen Installation eines UCS installieren u. einrichten kann. Da ist ein Domain-Join aber schon zu spät und eine Domain-Setup ist an sich nicht das, was ich benötige?

Background-Info:

  • Linux ist nicht mein Spezialgebiet
  • SSH, Google u. Gesunder Menschenverstand sind keine Fremdwörter
  • Ich benötige nur kurze Denkanstöße, weil ich aktuell eine Blockade im Kopf habe, wie ich mein Problem lösen kann.

Für Hilfe / Kommentare bzgl. der “Nicht-Machbarkeit” wäre ich dankbar.

Gruß

N.

Hallo N.

Du könntest einmal in diesem Thread schauen.
Mein Ausgangspunkt war der Blog-Eintrag, den es vor einiger Zeit bei univention gab.
Der Thread ist ein bisschen ‘zerfleddert’, da auch noch eine andere Konfiguration mittels ipsec diskutiert wurde. Als Ausgangspunkt vielleicht doch zu gebrauchen.
OPENvpn baut den Tunnel bei mir automatisch wieder auf, wenn sich auf der Seite des Masters die externe IP-Adresse ändert. Nach anfänglichen Schwierigkeiten das alles einzurichten, läuft es jetzt sehr stabil.

Gruß,
Bernd

Hallo Bernd,

vielen Dank für deine Antwort. Im von dir im ersten Beitrag verlinkten Blog Eintrag ist eine Option, die ich beim ersten überfliegen dieses Blog Eintrags tatsächlich übersehen habe. Ich schaue mir das mal näher an :wink:

OpenVPN ist erstmal keine Hilfe, da der Master leider im Bereich OpenVPN etwas “zerlegt” ist.

Falls es mich so nicht weiter bringt und ich weitere Rückfragen habe, melde ich mich hier erneut.

Moin
hast du dir einmal Wireguard als VPN Lösung angesehen?

Gruß Ben

Der Ansatz ist sehr interessant, aber da du den Master DC nicht in die DMZ stellen willst.
Wie erreichst du, dass nur Apps wie nextcloud & kopano auf netcup erreichbar sind?
Was ist der workaround ?

Könnte man dann nach außen auch die eigene subdomain für nextcloud a la share.domain.tld oder analag team.domain.tl für Mattermost einsetzen.

Das ganze würde mich auch sehr interessieren.

Die ldap-Synchronisierung (slave) oder -Anfrage (member) läuft über den Tunnel. Alle Ports auf der öffentlichen IP-Adresse, außer web- und mail-Ports, werden geschlossen. Hierzu gibt es schon einiges im Forum und auch im univention-wiki denke ich.

Jep, das geht (zumindest für nextcloud war ich erfolgreich) - allerdings muss man dafür ein bisschen basteln, d.h. eigene Templates erstellen. Ich habe das hier dokumentiert. Ggf. fehlt in der Doku ein letzter Schritt, der ist dann hier zu finden.
UND: man sollte darauf achten, dass die UCS-Domain NICHT domain.tld heißt, sondern eher so etwas wie intern.domain.tld … Auch hierzu finden sich Posts hier im Forum…

Hallo Bernd,

absolut auch meine Grundidee. Ich war zugegeben erst so baff von dem Post, weil ich dachte, dass da iwo jetzt nen tiefer Fallstrick drin ist ^^. Aber anscheinend denke ich ähnlich :wink:

Guten Tag,

kleines Update:

  • UCS Installation durchführen (Haken für Domain-Join später durchführen nicht vergessen),
  • via wget die Pakete vpnc-scripts u. vpnc laden, mit dpkg -i %PACKAGE% erst vpnc-scripts, dann vpnc installieren
  • vpnc config Datei erstellen (für Verbindungen mit Fritzboxen gibt es Tutorials zu Hauf…)
  • crontab anpassen mit sudo vpnc VPNC.conf für Reboot.

Wer Langeweile hat, kann noch ein Monitoring Script für VPNC basteln, welches bei nicht vorhandenem Prozess / Ping-Fehler zu einer internen IP VPNC wieder aufruft.

  • DNS Server im UCS bei netcup anpassen, Join ausführen.

Ich hab jetzt noch einige Probleme mit der Ausführung. Die Systemdiagnose mault mich aus allen Rohren an. Das steht jetzt auf der ToDo.

Mastodon