Tag 26: Mobiler Zugriff mit Lights-Out Mobile
Wir sind fast fertig mit unserer Schritt-für-Schritt-Serie über die neuen Features von Lights-Out 2. Thema ist heute mobiler Zugriff. Wir verwenden die App Lights-Out Mobile und verbinden unser Smartphone oder unser Tablet mit unserem Server.
Lights-Out Mobile
Dies ist eine App für alle wichtigen mobilen Ökosysteme, nämlich Android, iOS, Windows Phone 8/10 und Windows 8/10 Apps. Wir werden heute nicht die App vorstellen, sondern nur zeigen, wie Sie eine Verbindung zu Lights-Out 2 herstellen können.
Mobiler Zugriff innerhalb Ihres lokalen Netzwerks (LAN)
Dies ist der einfache Teil. Wenn Sie sich in einem vertrauenswürdigen Netzwerk bewegen, dann können Sie sich direkt mit der IP-Adresse oder dem Namen des Servers verbinden. Erinnern Sie sich noch an die Ports, die Lights-Out verwendet?
| Port | DNS Name | SSL Bindung | Verwendung |
|---|---|---|---|
| 7782 | Server Netbiosname, Beispiel "SERVER" | Keine Bindung | interner Zugriff (LAN), unsicher |
| 7783 | Server Netbiosname, Beispiel "SERVER" | SERVER | interner Zugriff (LAN) |
| 7784 | Externer Domänenname oder Dynamischer-DNS Name, zum Beispiel "server.remotewebaccess.com", "server.homeserver.com" oder "server.ddns.org" | server.ddns.org | externer Zugriff (WAN) |
Die Tabelle sagt uns, dass wir Port 7782 verwenden müssen. Geben Sie folglich diese URL ein: server:7782 oder 192.168.x.y:7782, um auf den Server zuzugreifen:
und schon klappt es!
Wenn Sie dem Gerät (oder genauer gesagt, dem Besitzer) vertrauen, können Sie schließlich die Serveraktionen aktivieren. Doppelklicken Sie auf das Gerät, um die Eigenschaften anzuzeigen und aktivieren Sie dann die Serveraktionen (1):
Sie können außerdem für jedes Gerät festlegen (2), dass es in Lights-Out Mobile nicht aufgeführt wird.
Mobiler Zugriff von außerhalb des lokalen Netzwerks (WAN)
Der Zugriff von außen erfordert etwas mehr Arbeit. Sie müssen einen Port in Ihrem Router konfigurieren und Sie müssen eine funktionierende SSL-Kette haben. Schauen wir uns jeden Punkt an.
Routerkonfiguration
Die Tabelle oben sagt uns wieder, dass wir Port 7784 in unserem Router weiterleiten müssen. Sie können einen anderen externen Port verwenden, aber um es einfach zu halten, leiten wir den internen Port 7784 an den externen Port 7784 für TCP weiter.
SSL-Kette
Lights-Out Mobile erzwingt SSL, wenn Sie eine Verbindung zu einem Domänennamen herstellen (anstelle eines einzelnen NetBIOS-Namens oder einer IP-Adresse). Daher müssen Sie eine funktionierende SSL-Kette haben. Wenn Sie einen Windows Home Server oder Windows Essentials Server ausführen, konfigurieren Sie einfach den Remotezugriff, um Ihr kostenloses GoDaddy-Zertifikat zu erhalten. GoDaddy verwendet ein vertrauenswürdiges Root-Zertifikat, das von Ihrem mobilen Betriebssystem erkannt wird.
Aber was ist, wenn wir selbst signierte Zertifikate verwenden? Es funktioniert dann, wenn Sie Ihren dynamischen DNS-Namen in Ihr Zertifikat aufgenommen haben. Wenn Sie diesen Schritt verpasst haben, gehen Sie zurück und erstellen Sie das Serverzertifikat neu.
Jetzt kommt der heikle Teil. Wir müssen unser Root-Zertifikat auf unser mobiles Gerät bringen. Das hängt vom Betriebssystem ab, aber wir starten immer mit der Download-Seite von Lights-Out (also http://server:7782), um das Zertifikat auf das jeweilige Gerät herunterzuladen.
Windows
Hinweis: Sie müssen das Zertifikat nur installieren, wenn Sie die Lights-Out Client-Software nicht nutzen! Ansonsten ist es schon installiert.
Klicken Sie mit der rechten Maustaste auf die graue Schaltfläche „Root-CA-Zertifikat“, wählen Sie „Ziel speichern unter“ und speichern Sie dann „root-ca.cer“ in Ihrem Download-Ordner.
Doppelklicken Sie auf „root-ca.cer“, dann klicken Sie auf „Zertifikat installieren“, wählen Sie „Lokaler Computer“ und klicken Sie auf „Weiter“.
Klicken Sie auf (1), um den Speicher auszuwählen, und klicken Sie dann auf (2), um den Speicher zu durchsuchen. Ein Dialog erscheint, wählen Sie „Vertrauenswürdige Stammzertifizierungsstellen“. Klicken Sie auf „OK“, „Weiter“ und dann auf „Fertig“.
iOS
Öffnen Sie mit Safari wiederum die Download-Seite (s.o.) und tippen Sie auf „root-ca.cer“. Die Einstellungen öffnen sich und zeigen das Zertifikat an. Klicken Sie auf „Installieren“.
Klicken Sie erneut auf „Installieren“ und geben Sie Ihren Passcode ein.
Bestätigen Sie erneut und installieren Sie das Zertifikat.
Wenn alles gut ging, zeigen die Einstellungen Ihr Zertifikat unter Profile an:
Schließlich geben Sie eine URL wie https://server.ddns.org:7784 in Lights-Out Mobile ein.
Zusammenfassung
Heute haben wir gelernt, wie man mobile Geräte mit unserem Server verbindet, weshalb wir SSL-Zertifikate für den WAN-Zugang benötigen und wie wir Zertifikate auf einem Gerät installieren können.
Morgen werden wir alle Teile zusammensetzen und uns einige Konfigurationsbeispiele ansehen.
Hier finden Sie die komplette Liste aller Beiträge zu unserer Schritt-für-Schritt-Serie.
Dezember 15, 2016 @ 11:59 am
Habe alles so gemacht, nur das Iphone findet dern Server nicht. Intern und über VPN geht es
Dezember 15, 2016 @ 12:02 pm
Hallo Thomas, mach bitte ein Ticket auf. Dann kümmere ich mich darum.
Dezember 15, 2016 @ 12:58 pm
Hallo Martin,
das Problem ist das ich eine Testversion (noch in den 30 Tagen) laufen habe.
Ich kann also keine Lizensnummer hinterlegen. Die Mobile Version ist gekauft.
Soweit alles Läuft werde ich eine Lizens Kaufen. Dazu müsste es aber erst Funktionieren.
Dezember 15, 2016 @ 1:13 pm
Dann schreib in dem Fall bei Lizenz einfach Testversion rein. Ich kenne ja den Grund.
Dezember 18, 2016 @ 5:50 pm
Das Problem bei Thomas war übrigens eine falsche DynDNS Adresse. Nachdem die richtige im Zertifikat und in der App drin war hat es funktioniert.
Dezember 18, 2016 @ 5:02 pm
Ich hab Lights-Out erst vor kurzem entdeckt und bis gerade das gleiche Problem (Windows 7 als „Server“, iPhone/IOS). Bin jetzt diesen Anweisungen gefolgt (vielen Dank: sehr sehr hilfreich!!) und danach hat es lokal dann ebenfalls geklappt, aber remote nicht.
Bei mir hat die Firewall zwar den IIS-Aufruf von draußen durchgelassen, aber den Lights-Out-Request nicht. FW angepasst und danach ging die Verbindung iPhone – Server. Vielleicht hilft diese Erkenntnis auch anderen.
Allerdings wird der Server über den Remote-Zugang nicht aus dem Standby geweckt. Der „Kampf“ geht also weiter…
Dezember 18, 2016 @ 5:37 pm
Danke für den Hinweis. Das Installationsprogramm öffnet die Ports 7782-7784 für Privat- und Firmennetzwerke. Was für ein Netzwerkstandort ist bei dir eingestellt? Bzw. welche FW-Regel musste bearbeitet werden?
Wecken von außen klappt nur, wenn der Router das Weiterleiten auf die Broadcastadresse erlaubt. Leider lassen gerade die Fritz!Boxen so etwas nicht zu. Als Workaround kann der Raspberry Pi dienen (siehe Downloads).
Dezember 18, 2016 @ 10:21 pm
Danke für die Rück-Info.
Am LAN hängen drei Windows-Rechner, auf allen ist Bitdefender TS 2017 eingerichtet. Zur Frage nach den Einstellungen: In einem BD-Forum hatte jemand (ein BD-Moderator?) für eine ähnliche Situation die Empfehlung gegeben, im FW den Netzwerkttyp auf „trusted“ zu setzen (statt Home/Office). Das hat mir zum Schluss geholfen – wenngleich man nirgendwo nachlesen kann, was genau diese Einstellung sonst noch bewirken mag.
Zur Konfiguration: Einer 3 PCs im LAN ist als „File-Server“ eingerichtet (Win 7 Pro, also kein „richtiger“ Server), und darauf liegt auch Lights-Out. Die beiden anderen PCs sind „Workstations“ mit Win 10 bzw. 7 Home. Nach draußen geht es über einen Telekom Router Speedport W921, der gleichzeitig auch ein HW-FW ist. An dem hab ich für die drei Ports eine Weiterleitung auf den Server eingerichtet (vermutlich reicht 7784 allein aus?). Ob und was dieses Speedport-Ding sonst noch durchlässt oder eben nicht, weiß im Detail vermutlich nur der chinesische Hersteller.
Mit „Weiterleiten auf die Broadcastadresse“ meinst du vermutlich Weiterleiten von Port 7784 auf den „Server“?
Das Wecken von innerhalb des LANs funktioniert jedenfalls, sowohl von den PCs als auch vom iPhone (kommt über WLAN am Router ins LAN).
Übrigens: Je nach Einstellung der Netzwerkkarte am „Server“ kann man der Server auch von draußen aufwecken (WOL). Das hatte schon „vor Lights-Out“ funktioniert. Da ich aber nicht will, dass jeder Blip oder Scan von irgendwo draußen den Rechner hochfährt, hab ich in der NIC inzwischen das „Pattern Match“ deaktiviert, und sie soll nur auf das Magic Packet reagieren. Tut sie ja offenbar auch innerhalb des LANs, aber offenbar kommt von draußen nichts durch? Kannst du daraus was ableiten?
Dezember 19, 2016 @ 4:28 pm
Nachsatz zum Post von gestern abend:
Stichwort „Broadcast“: das war der Showstopper. Ich hab jetzt Port 9 für UDP (nicht TCP) aufgemacht, und schon lässt sich der Server von Extern wecken – danke für den Hinweis. Gestern Abend hatte bei mir nichts geklingelt (war wohl doch schon zu spät).
Zusammengefasst: Am Router Port 7784 für TCP zum Server öffnen und Port 9 für UDP. In der SW-FW des Servers die entsprechende Kommunikation zulassen. Am iPhone Verbindung extern über //…:7784. Das wars.
Nur noch eins: lokal=intern komme ich über Port 7783 vom iPhone (via WLAN an Router dort ins LAN = iPhone hat dann eine interne IP) nicht auf den Server, nur über 7782. Das ist mir im Augenblick aber egal…
Soweit die Erkenntnisse Stand 19.12.2016 16:22
Dezember 19, 2016 @ 5:31 pm
Danke für die Infos. Bei einer Firewall-Lösung im Anti-Virus müssen die Ports 7782-7783 fürs LAN und Port 7784 für extern geöffnet werden. Bei der Windows FW macht das, wie gesagt, der Installer.
Zum Wecken: Früher hat Ligts-Out den Port 9 fürs Magic Packet verwendet, das klappt aber bei den Fritz!Boxen seit Version 5.50 nicht mehr. Deshalb ist das ab Lights-Out 2.0 in der Konsole konfigurierbar und auf Port 7 voreingestellt. Lights-Out Mobile 1.x verwendet aber noch fest Port 9. Teste mal ob das Wecken nach 1-2h immer noch geht. Die meisten Router verwerfen die Zuordnung phys. MAC-Adresse zu IP-Adresse nach einiger Zeit. Und dann kann der Router das nicht mehr an den Server weiterleiten. Ein Profirouter kann das auf die Broadcastadresse senden, dann kommt das Magic Packet immer an. Für SoHo Router wäre der WOL-Proxy mit Raspberry Pi die Alternative.
Zugriff auf Port 7783 benötigt ein gültiges Zertifikat mit dem kurzen Netbiosnamen, im lokalen Heimnetz ist das aber nicht ganz so brisant.
Gruß
Martin
Dezember 19, 2016 @ 7:36 pm
Bislang funktioniert das Wecken von Extern noch. Die Lease Time im DHCP des Routers ist übrigens 1 Woche. Ich werde das aber beobachten, und mich melden, wenn sich was am Verhalten ändert.
Ihr seid sehr fix mit der Reaktion auf Anfragen – das gefällt mir, und das ist keineswegs überall so. Das Produkt selber tut was es soll und ist stabil (naja, sicherlich nicht selbsterklärend, aber es gibt ja dieses Forum). Und wenn dann auch noch gute Hinweise, Empfehlungen bzw. Lösungen angeboten werden – was will man mehr??!!
Jetzt wo alles läuft komme ich zur Frage: Irgendwo hab ich gelesen, dass für die Verbindung mit LO-mobile die „Free“-Variante auf dem Server nicht reicht. Welche Version brauch ich nach Ablauf der Testperiode?
Gruß und herzlichen Dank
Friedrich
Dezember 20, 2016 @ 9:56 am
Jede Lizenz ist geeignet, weitere Infos zur Auswahl finden sich hier /6534/tag-29-lizenzierung-editionen-und-funktionen/?lang=de und hier /6568/tag-30-service-und-wartung/?lang=de