OPSI-Depots ohne VPN

[Kloppi]

Hallo Liebe Leute

Wir testen aktuell OPSI aus und stehen nun vor einem etwas delikaten Problem.

Es sollen von der Zentrale aus, die in dem Fall den Configserver darstellt, mehrere Außenstellen versorgt werden.
Die Außenstellen sind aber vollständig autark und abgekopellt von der Zentrale. Sprich keine VPN zwischen Zentrale und Außenstelle.

Also müssten die Depotserver über's WAN kommunizieren können.

Hier kommen bei mir aber doch einige Fragen auf. Zum einen...geht das überhaupt? Oder blockt der Server direkte Kommunikationsversuche übers WAN?
Wie sieht das Sicherheitstechnisch aus? Wenn ich das der Doku richtig entnommen habe, läuft die Kommunikation über HTTPS und die Server wären auch über zusätzliche Zertifikate etc. absicherbar.

Hat da zufällig jemand schon erfahrung mit so einer Konstellation?

MFG Kloppi

[Jan.Schmidt]

Hi,

ich würde das anders machen...

1 entwicklungsserver, da baust du die pakete
1 webserver, da schreibt der entwicklungsserver die pakete hin
je 1 depotserver in der aussenstelle, der saugt sich täglich die aktuellen pakete vom webserver, installiert diese und sagt seinen clients, hey update zum installieren da.

So ähnlich mache ich das auch, nur ohne externen Webserver dazwischen, aber das DFN macht genau das schon sehr lange und erfolgreich.
Alles andere eher nein - denk dran, der Rechner startet, der opsiclient verbindet sich zum server und installiert updates, das geht - selbst wenn du alle Sicherheitsbedenken wegläßt - schon allein zeittechnisch nicht sauber.

[Kloppi]

Oh ich bin Dumm. Vor lauter Geschreibe das wichtigste vergessen.
Natürlich sollen in die Außenstellen jeweils Depotserver eingerichtet werden. *Hand ins Gesicht klatsch*

Also quasi Zentrale (configserver) -> Verteilt an Depotserver in Außenstelle -> Betankt Clients -> Meldet an Depotserver erfolg zurück -> meldet das alles an Zentrale

Vielleicht stehe ich auch einfach nur Krass auf dem Schlauch (sehr wahrscheinlich).
Ich suche jetzt einen Weg wie ich im bestfall von uns aus (Zentrale) via Console oder Configed-Interface zum Beispiel auch einen Opsi-Client via Push installieren kann oder mir Inventardaten holen kann.
Also dumm gesagt, dass der Configserver diverse Befehle an das Depot weitergibt und diese die dann ausführt.

Leider unerlässlich, da die Außenstellen teilweise weit weg sind und eben mal hinfahren und schauen nicht ist. Leider sind die User auch auf dem Level, dass sie von nem Computer sprechen und sich nach langem Gespräch rausstellt, dass sie eigentlich den Monitor meinen *seufz*

[Jan.Schmidt]

Tja....

da ich überall vpn mache/habe\nutze bin ich voreingenommen.

Einen opsi client - wenn du damit den client auf einem bestehenden Rechner meinst, den kannste ja noch automatisch verteilen.
Aber wenn du damit via pxe eine Karre mit OS installieren meinst, ja nee - das eher nicht wirklich.

Von Listen oder Inventardaten saugen - ja nee datt jeht nüschdd..

Da würde ich doch eher auf das "niveau" *lach* vom User Pandel umsteigen und an deiner Stelle mal nach pivpn gurgeln und deinem Chef das als "vpn für die Hartgeldfreier" Lösung vorschlagen Nicht schön, aber alles andere ist schmutzig
Oder sehr viel besser mal in die Tasche greifen und ein paar Draytek Vigor organisieren. Wobei der DrayTek Vigor 2926 mal grade das 3fache eines rpis kostet aber genau für sowas gemacht ist und dir da auch keiner mit Bastelbudenlösung kommt.