Menu Content/Inhalt
Startseite arrow Anwenderdokumentation arrow Kochrezepte arrow Einen sicheren Fernzugriff einrichten
Einen sicheren Fernzugriff einrichten Drucken
Wenn man eine ausreichend schnelle Internet-Verbindung hat, kann man auch von zuhause oder anderen Orten aus auf den Elexis-Server zugreifen. Es gibt hierzu prinzipiell zwei empfehlenswerte Techniken: VPN (Virtual Private Network) und SSH (Secure Shell). Ich erkläre in diesem Artikel die Methode mit SSH.
Es muss darauf hingewiesen werden, dass diese Einrichtung nicht ganz trivial ist, und dass es hier um sicherheitsrelevante Dinge geht. Lassen Sie den Tunnel im Zweifelsfall lieber von einer Fachperson einrichten.
Disclaimer: Für allfällige Fehler in dieser Dokumentation oder Probleme, welche durch deren Umsetzung entstehen, kann keine Haftung übernommen werden. Lesen Sie selbst  die Dokumentation aller eingesetzten Programme und Verfahren genau durch.

Diese Anleitung geht von unserer "Standardinstallation" aus (Server unter einer Ubuntu-Linux-VM, Clients unter Windows). Als Serveradresse nehmen wir hier 192.168.0.9 an.

a) auf dem Server (z.B. von der VMWare Server konsole aus) folgendes eingeben:

sudo apt-get install ssh
mkdir ~/.ssh
ssh-keygen -t rsa
alle Vorgaben übernehmen.Passwort >4 Zeichen

cat .ssh/*.pub >>.ssh/authorized_keys

b) auf einem Windows-client:

putty.exe, puttygen.exe und pscp.exe werden benötigt (ist alles in putty.zip enthalten)
(Download bei http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html)

Auf einer cmd.exe - Konsole im putty-Verzeichnis eingeben:
pscp elexisadmin@ 192.168.0.9:~/.ssh/id_rsa id_rsa

puttygen starten,
conversions -> import key
id_rsa auswählen
das bei keygen angegebene Passwort eingeben
save private key
Dateinahme angeben, z.B. mykey.ppk

c) erste Verbindung

putty.exe starten
Hostname: 192.168.0.9 (oder was immer der Server ist)
unter ssh -> auth alle Häkchen löschen und den vorher konvertierten Schlüssel eingeben


"open klicken" -> die Verbindung wird hergestellt. Es öffnet sich ein Login-Fenster
"login as": elexisadmin
"passphrase for key" -> das vorher für den Schlüssel eingegebene Passwort


-> Login sollte gelingen, man ist auf einer Serverkonsole.

d) Sicherheit erhöhen

(Wir entfernen die Möglichkeit, einfach mit Name/Passwort einzuloggen und erlauben das Login nur noch mit unserem 1024-Bit-Schlüssel. Ausserdem verbiegen wir den Standard-Port irgendwo anders hin, um automatische Hacker-Tools in die Irre zu führen)

auf der Serverkonsole eingeben:
sudo pico /etc/ssh/sshd_config
(Das Administrator-Passwort des Servers wird verlangt)

Die Zeile
# PasswortAuthentication yes  
   andern in
PasswortAuthentication no

(Also nicht vergessen, das # am Anfang der Zeile wegzunehmen)

# Port 22
  ändern in
Port irgendeinen freien Port zwischen 10000 und 65530, z.B. Port 24504 (Die gewählte Zahl merken für den nächsten Schritt!)

ctrl-O drücken, mit Eingabetaste Dateiname bestätigen, dann ctrl-X drücken

Dann server neu starten, z.B. mit
sudo reboot
(Putty wird die Verbindung verlieren und eine Fehlermeldung ausgeben -> Terminalfenster einfach schliessen)

e) Definitiven Login erstellen

Putty wieder starten
Für Hostname wieder 192.168.0.9, für Port die vorher gewählte Zahl einsetzen
unter SSH-Auth wieder den vorher gewählten Schlüssel eingeben
unter Session-Saved Sessions einen Namen für diese Einstellungen eingeben und "Save" klicken
Mit "Open" die Verbindung herstellen

Username wieder elexisadmin, passwort wieder das Schlüssel-Passwort

f) Firewall tunneln

Auf dem Router/Firewall den vorher gewählten Port freigeben und eine forward-Regel erstellen, die Zugriffe auf diesen Port an 192.168.0.9 weiterleitet.

g) Praxisserver im Internet bekannt machen

Entweder fixe IP verwenden oder bei einem Dienst wie www.dyndns.com einen Namen reservieren.
(Im zweiten Fall auf dem Server einen dyndns client einrichten: apt-get install ddclient)


h) Zugriff von Extern vorbereiten

putty.exe und den Schlüssel (mykey.ppk) mit nach Hause nehmen.


i) Putty zuhause einrichten

die IP-Adresse oder den dyndns-Namen des Servers eingeben, als Port wieder den vorher gewählten Port.
Einen Verbindungsnamen eingeben und "Save" Klicken.
Auf der Seite SSH->Auth wieder den Schlüssel einlesen
Auf der Seite SSH->Tunnels einen neuen Tunnel erstellen:
Für Source-Port 3306 und für Destination 192.168.0.9:3306 eingeben (bei mysql)
resp. 5432 und 192.168.0.9:5432 für PostgreSQL.
Dann "Add" Klicken


Dann wieder zur Seite "Session" zurück und nochmal "Save" klicken, um die Verbindungseinstellungen zu speichern.


j) Fernzugriff verwenden:

Putty starten, die gespeicherte Verbindung mor "Load" einlesen und "Open" klicken. Einloggen mit dem Benutzernamen und dem Schlüssel-Passwort.
Dann Elexis starten, Verbindung herstellen (als Serveradresse jetzt "localhost" eingeben).

Alle Datenbankzugriffe von Elexis werden jetzt vom lokalen Computer durch den SSH-Tunnel verschlüsselt auf den Praxisserver umgeleitet. Ausser der geringeren Geschwindigkeit sollte es keinen Unterschied zur Arbeit im lokalen Netz geben.
 
< zurück   weiter >
[ Zurück ]