Skip to Content
Last modified by Tobias Wintrich on 2023/11/24 10:05
From version 35.1
edited by Tobias Wintrich
on 2023/11/24 10:05
Change comment: There is no comment for this version
To version 6.1
edited by Patrick Theil
on 2022/11/25 14:38
Change comment: There is no comment for this version

Summary

Details

Page properties
Title
... ... @@ -1,1 +1,1 @@
1 -TCMS - TCMS über das Internet verfügbar machen - Installation in der DMZ
1 +TCMS - TCMS übers Internet verfügbar machen
Author
... ... @@ -1,1 +1,1 @@
1 -XWiki.twintrich
1 +XWiki.ptheil
Content
... ... @@ -1,73 +1,73 @@
1 1  {{info}}
2 2  Vorraussetzungen:
3 3  
4 -**Firmware und Software:**
4 +**Firmware und Software (empfohlen):**
5 5  
6 -**RangeeOS:**
6 +**RangeeOS**
7 7  
8 -**Firmware:** x64 -11.00 Build: 276
8 +Firmware: x64 -11.00 Build: 276
9 +TCMS Version: tcms_1.7-x64-11.00 Build: 70
10 +{{/info}}
9 9  
10 -**RangeeTCMS:**
11 11  
12 -**Firmware:** x64 -11.00 Build: 276
13 -**TCMS Version:** tcms_1.7-x64-11.00 Build: 70
14 -{{/info}}
13 +~1. Alternative TCMS Adresse propagieren:
15 15  
15 +Die Thin Clients verwenden im Auslieferungszustand den Namen defaulttcms um sich am TCMS zu registrieren. Diese Einstellung wird im TC bei der ersten TCMS Registrierung automatisch geändert.
16 16  
17 -Die Thin Clients verwenden im Auslieferungszustand den Port 443 (https) um sich am TCMS zu registrieren. Da Port 443 auch der Standardport für das Admininterface des TCMS ist, ist eine Freigabe dieses Ports per NAT oder Reverse Proxy nicht die optimale Lösung. Um den TCMS nur für den Clientzugriff im Internet freizugeben, können Sie im TCMS einen zusätzlichen, exklusiven Port definieren.
17 +Sie nnen eine abweichende TCMS Adresse (öffentlicher Name oder die IP Adresse) für alle Clients in den Basiseinstellungen des TCMS einstellen:
18 18  
19 -= Konfiguration auf TCMS Seite =
19 +Öffnen Sie die TCMS Oberfläche (Https:~/~/IP-Adresse/tcms) und gehen Sie unter Bearbeiten -> Einstellungen -> Basiseinstellungen. Hier kann ein abweichende Adresse eingegeben werden.
20 20  
21 -== Setzen des zusätzlichen API Ports ==
21 +2. Alternative TCMS Port propagieren:
22 22  
23 -Um dies umzusetzen, können sie einen zusätzlichen API-Port nutzen. Über diesen API-Port ist das Webinterface des TCMS nicht erreichbar, er ermöglicht aber die Kommunikation zwischen TCMS und den Thin Clients. Die Einstellungen für den zusätzlichen API-Port finden sie in der TCMS-Oberfläche unter {{status title="Bearbeiten"/}} → {{status title="Einstellungen"/}} → {{status title="Basiseinstellungen"/}} → {{status title="Zusätzlicher API-Port"/}}.
23 +Die Thin Clients verwenden im Auslieferungszustand den Port 443 (https), um sich am TCMS zu registrieren. Weil der Port 443 ein Standardport für Internetbrowser ist, sst sich bei Portweiterleitung die Thin Client / TCMS Kommunikation nicht eindeutig festlegen. Dazu sollter die Kommunikation zweichen TCMS und TC eine abweichende Portnummer verwendet werden, die eine eineindeutige Zugeordnung und Weiterleitung ermöglicht.
24 24  
25 -{{warning}}
26 -Nach Ändern oder Aktivieren des zusätzlichen API Ports oder des Repository über diesen Port ist ein kompletter Neustart der TCMS erforderlich!
27 -{{/warning}}
25 +Diese Einstellung kann am TC bei der ersten TCMS Registrierung automatisch geändert werden.
28 28  
29 -(% class="wikigeneratedid" %)
30 -[[TCMS Basiseinstellungen>>image:1674722912396-905.png||data-xwiki-image-style-border="true" height="378" id="I1674722912396-905.png" width="650"]]
27 +Sie können einen abweichende TCMS Port für alle Clients in den Basiseinstellungen des TCMS einstellen:
31 31  
32 -== TCMS Repository über API Port freigeben ==
29 +Öffnen Sie die TCMS Oberfläche (Https:~/~/IP-Adresse/tcms) und gehen Sie unter Bearbeiten -> Einstellungen -> Basiseinstellungen. Hier kann ein abweichende Portnummer eingegeben werden.
33 33  
34 -(% id="cke_bm_70227S" style="display:none" %) (%%)Es ist ihnen auch möglich, den Zugriff auf das TCMS Repository über den Zusätzlichen API-Port zuzulassen. So können die Clients ihre Updates vom TCMS über den API-Port beziehen. Dazu aktivieren sie in der TCMS-Oberfläche unter {{status title="Bearbeiten"/}} → {{status title="Einstellungen"/}} → {{status title="Basiseinstellungen"/}} die Einstellung "**Repository Zugriff über den zusätzlichen API-Port zulassen**".
31 +3. Abweichende TCMS Adresse und Port für Firmwareupdate und Softweareupdate aktivieren:
35 35  
36 -(% class="wikigeneratedid" %)
37 -[[TCMS Basiseinstellungen>>image:1674722965890-156.png||data-xwiki-image-style-border="true" height="376" id="I1674722965890-156.png" width="650"]]
33 +Die Thin Clients verwenden im Auslieferungszustand den Port 443 (https), um Updates vom TCMS zu laden. Diese Einstellung kann bei der ersten Registrierung geändert werden.
38 38  
39 -= Konfiguration auf Thin Client Seite =
35 +Sie nnen einen abweichende TCMS Port für alle Clients in den Basiseinstellungen des TCMS einstellen:
40 40  
41 -== TCMS Konfiguration ==
37 +Öffnen Sie die TCMS Oberfläche (Https:~/~/IP-Adresse/tcms) und gehen Sie unter Bearbeiten -> Einstellungen -> Basiseinstellungen. Hier kann die Updatefunktion für die darüber definierte Adresse und Portnummer aktiviert werden.
42 42  
43 -Auf den Thin Clients hinterlegen sie den API-Port unter {{status title="Kommbox"/}} → {{status title="Remote-Administration"/}} → {{status title="TCMS-Einstellungen"/}}.
44 44  
45 -Wenn die Option "Per DHCP beziehen" aktiviert ist, müssen Sie lediglich den per DHCP verteilten String entsprechend um die Portangabe erweitern. Siehe hierzu [[Hinzufügen von Clients via DHCP-Server>>doc:Handbuecher.TCMS11\.00.Kapitel 6 - Arbeiten mit dem TCMS.6\.A\. Hinzufügen von Clients.6\.A\.C\. Hinzufügen von Clients via DHCP-Server.WebHome]].
46 46  
47 -Wenn Sie die TCMS Einstellungen Manuell konfiguriert haben, tragen Sie den Server in der Form #TCMS_Hostname_oder_IP-Adresse#:#Zusätzlicher_API_Port# ein.
41 +Wenn sie den TCMS-Server von außerhalb ihres lokalen Netzes erreichbar machen wollen gibt es 2 Optionen.
48 48  
49 -(% class="wikigeneratedid" %)
50 -[[ThinClient TCMS-Einstellungen>>image:1674722946782-852.png||data-xwiki-image-style-border="true" height="223" id="I1674722946782-852.png" width="650"]]
43 +**Option 1:** Die Verwendung eines Port Forwarding von Port 443 auf den TCMS-Server.
51 51  
52 -== Repository über zusätzlichen API Port ==
45 +Dazu müssen sie eine Port-Freigabe mit folgenden Daten anlegen:
53 53  
54 -(% class="wikigeneratedid" %)
55 -In den Updateserver-Einstellungen können Sie, wenn auf TCMS Seite entsprechend konfiguriert, auch Updates über den zusätzlichen API Port durchführen.
47 + Protokoll:              **TCP**
56 56  
57 -(% class="wikigeneratedid" %)
58 -Diese Finden sie unter {{status title="Kommbox"/}} → {{status title="Software-Aktualisierung"/}} → {{status title="Updateserver-Einstellungen"/}}.
49 + Quell Port:                            **443**
59 59  
60 -(% class="wikigeneratedid" %)
61 -Folgende Einstellung müssen gesetzt werden:
51 + Ziel Port:                               **443**
62 62  
63 -* **Protokoll**: HTTPS
64 -* **Server**: IP oder Hostname des TCMS : API Port
65 -* **HTTP-Zertifikat verifizieren**: Sollte Ihr TCMS kein überprüfbares Zertifikat hinterlegt haben, muss diese Option aktiviert werden
53 + IP-Adresse:           Lokale IP-Adresse des TCMS
66 66  
67 -[[Überschrift>>image:repository_update.png||data-xwiki-image-style-border="true" height="370" width="650"]]
55 +Auf den Clients tragen sie unter den TCMS-Einstellungen der Kommbox bei Server die öffentliche IPv4 Adresse ihres Netzwerks ein.
68 68  
69 -= Empfehlung: Sicherheitsguide =
70 70  
71 -Wenn Sie Ihren TCMS im Internet betreiben möchten, empfehlen wir auf alle Fälle einen Blick in unseren Sicherheitsguide zur zusätzlichen Absicherung Ihrer Clients zu werfen:
58 +[[image:1665122796182-647.png||height="239" width="634"]]
72 72  
73 -[[RangeeOS - Sicherheitsguide>>doc:HowTos.RangeeOS - Sicherheitsguide.WebHome]]
60 +**Option 2:** Die Verwendung eines Reverse Proxys
61 +
62 +Voraussetzung hierfür sind ein registrierter Domainname sowie ein vorhandener Reverse Proxy Server und funktionierende Portweiterleitungen auf dessen Port 443. Im Reverse Proxy muss anschließend ein Eintrag mit dem Domainname und der lokalen IP-Adresse des TCMS hinterlegt werden.
63 +
64 +Auch bei dieser Option tragen sie unter den TCMS-Einstellungen der Clients die öffentliche IPv4 Adresse ihres Netzwerks ein.
65 +
66 +[[image:image-20221007080616-2.png]]
67 +
68 +
69 +Mit Option 2 ist es optional auch möglich, nur die Registrierung der Clients beim TCMS zu erlauben, gleichzeitig aber den Zugriff aufs Admin Interface zu verbieten. Hierbei sind folgende Einstiegspunkte zuzulassen (Static URL Hardening):
70 +
71 +* /api/xmlrpc/v1/
72 +* /api/xmlrpc/v1/*
73 +* /
1674722912396-905.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.ptheil
Size
... ... @@ -1,1 +1,0 @@
1 -129.7 KB
Content
1674722946782-852.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.ptheil
Size
... ... @@ -1,1 +1,0 @@
1 -68.3 KB
Content
1674722965890-156.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.ptheil
Size
... ... @@ -1,1 +1,0 @@
1 -130.3 KB
Content
1674722984528-950.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.ptheil
Size
... ... @@ -1,1 +1,0 @@
1 -68.9 KB
Content
1674722998480-893.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.ptheil
Size
... ... @@ -1,1 +1,0 @@
1 -68.9 KB
Content
image-20230126124222-1.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.ptheil
Size
... ... @@ -1,1 +1,0 @@
1 -16.6 KB
Content
repository_update.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.twintrich
Size
... ... @@ -1,1 +1,0 @@
1 -51.8 KB
Content
tcms.jpg
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.ptheil
Size
... ... @@ -1,1 +1,0 @@
1 -42.9 KB
Content