Portál AbcLinuxu, 27. dubna 2024 01:25


Dotaz: Spojenie dvoch SMB sieti aby sa navzájom videli v "Miesta v sieti"

23.2.2008 17:45 Peter
Spojenie dvoch SMB sieti aby sa navzájom videli v "Miesta v sieti"
Přečteno: 1644×
Odpovědět | Admin
Dobrý deň vám prajem.

Mám server na ktorom okrem iného beží aj samba a openvpn. Jeho rozhrania sú: etho - internet (nezaujímavé), eth1 - 192.168.1.254 (na tomto rozhraní je sieť počítačov s ip 192.168.1.1-192.168.1.50) a tun0 - 192.168.254.1 (na ktorom sú externý pracovníci s openvpn). Spojazdnil som komplet vpn: 
mode server
dev tun0

client-config-dir ccd
keepalive 10 120
port 5000
proto tcp

client-to-client
comp-lzo
persist-key
persist-tun
tls-server

ifconfig-pool-persist ipp.txt
server 192.168.254.0 255.255.255.0

push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DNS 192.168.1.254"
push "dhcp-option WINS 192.168.1.254"
push "dhcp-option NBT 8"

ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem

log /var/log/openvpn
status /var/run/openvpn/vpn.status 10
ktorá funguje úplne bez problému. To znamená, že môžem pingať napríklad zo stroja 192.168.1.1 (ktorý je priamo na eth1 rozhraní napríklad na stroj 192.168.254.6 ktorý je pripojený cez VPN a naopak. Takisto keď na stroji pripojenom cez vpn (192.168.254.6) zadám do exploreru adresu \\pc1 (čo je vlastne \\192.168.1.1) tak sa bez problémov zobrazí a naopak keď dám na stroji ktorý je priamo za serverom (192.168.1.1) do exploreru adresu \\pc_mi1 (čo je vlastne 192.168.254.6) tak to opäť bez problému funguje.

Ale problém nastáva keď si chcem zobraziť "Miesta v sieti". Proste na stroji 192.168.1.1 vidím iba stroje zo subnetu 192.168.1.0/24 (a samozrejme samotný server - \\router) a na stroji 192.168.254.6 vidím iba sám seba.

WINS server samozrejme je nahodený a funguje - keď sa pozriem do /var/cache/samba/wins.dat tak tam vidím všetky stroje (to znamená, že tie so subnetu 192.168.1.0/24 ale aj tie z VPN).

Už ma bolí hlava od googlovania a jediné rozumné čo som našiel bolo http://nbfw.sourceforge.net/ ale toto je už bohužiaľ mŕtvy projekt. Bridge s VPN použiť nemôžem, lebo vzhľadom na to, ako sa ide rozširovať sieť by bolo nedostatok IP adries a musel by som opäť robiť routing čo by ma dostalo do toho istého problému.

Dúfam, že som sa vyjadril jasne a vopred veľmi pekne ďakujem za každé nakopnutie.
Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

nway avatar 23.2.2008 18:35 nway | skóre: 17 | Česká Lípa
Rozbalit Rozbalit vše Re: Spojenie dvoch SMB sieti aby sa navzájom videli v "Miesta v sieti
Odpovědět | | Sbalit | Link | Blokovat | Admin
Samba by měla běžet jako prohlížeč sítí: 
preferred master = auto
domain master = yes
local master = yes
a na klientech, zvláště MS musíš mít povolenou komunikaci, resp. vypnutý FW pro TAP Win32 rozhraní. Jinak se ti v okolních počítačích, chceš-li z XP Místa v síti neuvidí. To je pro případ OpenVPN GUI 2.0.
23.2.2008 18:45 Peter
Rozbalit Rozbalit vše Re: Spojenie dvoch SMB sieti aby sa navzájom videli v "Miesta v sieti
Toto všetko mám v poriadku - ako píšeš - ale aj napriek tomu to nefunguje.
nway avatar 23.2.2008 18:58 nway | skóre: 17 | Česká Lípa
Rozbalit Rozbalit vše Re: Spojenie dvoch SMB sieti aby sa navzájom videli v "Miesta v sieti
V tom případě budeš muset asi hodně hlouběji sledovat tok paketů aby jsi zjistil kde je problém. V každém případě *.log by tě měly vést. A firewal/iptables třeba řádně zkontrolovat. Až na to přijdeš, napiš to sem. Hodně zdaru.
nway avatar 23.2.2008 19:04 nway | skóre: 17 | Česká Lípa
Rozbalit Rozbalit vše Re: Spojenie dvoch SMB sieti aby sa navzájom videli v "Miesta v sieti
A možná pro tun0 by jsi mohl zkusit raději proto UDP. Přiznám se, že neznám přesnou souvislost rozhraní a protokolu, ale vetšinou se v návodech hovoří s tun o UDP. Já nyní používám tap0 a UDP. No uvidíš. Případně můžeš vystavit související konfigurace a třeba se chyba ukáže.
23.2.2008 20:00 Marv-CZ | skóre: 21
Rozbalit Rozbalit vše Re: Spojenie dvoch SMB sieti aby sa navzájom videli v "Miesta v sieti
Odpovědět | | Sbalit | Link | Blokovat | Admin

A najdou stanice ten Win server? Zkus ho zadat natvrdo.

Já jsem podobný problém měl s notebooky připojenými přes Wi-Fi k Sambě. Např. pinknout se dalo, protože si to našlo přes DNS, ale v okolních počítačích nic nebylo ani to nešlo přidat do domény. Když jsem jim IP Win serveru vnutil na tvrdo, tak se vše rozjelo. Ono to nejspíš lze nějak zadat DHCP, aby jim to správně řeklo, ale už jsem to zatím dál neřešil.

23.2.2008 20:32 Peter
Rozbalit Rozbalit vše Re: Spojenie dvoch SMB sieti aby sa navzájom videli v "Miesta v sieti
No - adresa wins serveru je samozrejme prideľovaná pomocou DHCP. Mimochodom - funguje úplne všetko na čo si len človek spomenie. Jedine v "Miesta v sieti" sú záznamy jedine z toho ktorého subnetu a navzájom sa už tie subnety nevidia.
23.2.2008 20:48 Marv-CZ | skóre: 21
Rozbalit Rozbalit vše Re: Spojenie dvoch SMB sieti aby sa navzájom videli v "Miesta v sieti

Ještě jeden takový úplně hloupý dotaz: Zkoušel jsi to s úplně vypnutým FireWallem?

Jednou mi taky cosi nechodilo, přestože to ve FW bylo povolené a pak jsem v jakémsi hluboce zanořeném upřesnění našel, že to je povolené ale pro IP adresy, které se na tom stroji používali dřív a potom byly změněné.

23.2.2008 21:01 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Spojenie dvoch SMB sieti aby sa navzájom videli v "Miesta v sieti
Mas na te sambe i povolene prihlizeni ze siti OpenVPN ???

to znamena:

interfaces = eth0,tun0, atd ...

Dale openvpn rika toto: 
Routing disadvantages

    * Clients must use a WINS server (such as samba) to allow cross-VPN network browsing to work.
    * Routes must be set up linking each subnet.
    * Software that depends on broadcasts will not "see" machines on the other side of the VPN.
    * Works only with IPv4 in general, and IPv6 in cases where tun drivers on both ends of the connection support it explicitly.
Dale by ti mohlo pomoct toto: 
How can I connect Windows XP to a Linux-based Samba server using routing rather than bridging?

internal net: 192.168.1.0/24
samba server: 192.168.1.5
gateway 192.168.1.1
windows xp: dialup networking

server config on linux gateway:

dev tun0
ifconfig 192.168.5.6 192.168.5.5  <-- openvpn-net
port 12345
verb 1
local 123.123.123.12 <-- official server ip adress
user nobody
group nogroup
secret /etc/openvpn/key
tun-mtu 1500
daemon

open port 12345 on the firewall on server (gateway)

on windows xp:

Go to windows network panel.
Set the windows tap-device from application control to always connected.
Set the ipadress to 192.168.5.5 netmask 255.255.255.252.
Leave DNS and gateway empty.

openvpn config on Windows XP:

dev tun0
ifconfig 192.168.5.5 192.168.5.6  <-- openvpn-net
port 12345
ip-win32 manual
verb 1
remote 123.123.123.12 <-- official serveripadress
secret C:\programme\openvpn\config\key
tun-mtu 1500
ping 30

create a batchfile: 

route add 192.168.1.0 mask 255.255.255.0 192.168.5.6
ping 192.168.1.5
net use g: \\192.168.1.5\Daten /USER:user1  <-- your account on samba!!

After connecting to the internet, start the batch file
and enter the password for samba.

Viola, now you have the service Daten on drive g:.

Now you can set the service openvpn to start automatically
and only start the batch file 
after internet connection.

Richard Lechner
Ja pouzivam taky routing (protoze je lepsi) a nemam problem mezi obema pobackami firmy, co jsou ve spolecne domene ...
Never give up ! Stay ATARI !
23.2.2008 21:24 Peter
Rozbalit Rozbalit vše Re: Spojenie dvoch SMB sieti aby sa navzájom videli v "Miesta v sieti
Přílohy:
Ale toto je všetko OK (keď som to správne pochopil) ja z VPN stanice môžem bez problému vstupovať ja na \\router\abc (čo je na servery na eth1 - 192.168.1.254) tak aj napríklad na \\pc7\xyz (čo je stanica za serverovým rozhraním eth1 - 192.168.1.7) len ich proste na tej VPN stanici nevidím v "Miesta v sieti". A toto je ten hlavný problém. Už mám normálne asi podozreniem že WINS nefunguje tak ako má. Ako by sa to dalo overiť? Všetko som to skúšal pri vypnutom firwalle jak na servery tak aj na dotyčných staniciach.

Prikladám konfiguračné súbory.
23.2.2008 21:31 Marv-CZ | skóre: 21
Rozbalit Rozbalit vše Re: Spojenie dvoch SMB sieti aby sa navzájom videli v "Miesta v sieti

Ono ta chyba nemusí být jen ve tvých konfiguracích. S tím procházením "Míst v síti" bývají občas problémy i ve Win-only sítích. Ještě prosím tě napiš, co máš na těch stanicích za systém. Je to na všech stejné nebo se to liší?

23.2.2008 21:39 Marv-CZ | skóre: 21
Rozbalit Rozbalit vše Re: Spojenie dvoch SMB sieti aby sa navzájom videli v "Miesta v sieti

A ještě jedna úplná stupidita. Máš na tom noťasu správně nastavenou workgroupu? Pokud je jiná, tak by se to chovalo přesně tak jak tobě.

23.2.2008 22:31 Peter
Rozbalit Rozbalit vše Re: Spojenie dvoch SMB sieti aby sa navzájom videli v "Miesta v sieti
Samozrejme, že workgroup je nastavený všade rovnako. A v sieti sú jedine Windows XP Home + Professional. Na servery je CentOS 5.1 samozrejme plne aktualizovaný.

Ono by to ale fakt asi chcel aby tie konfiguráky prešiel niekto erudovanejší - lebo už si to ináč (okrem toho, že zasa sprostý windows :-D) neviem vysvetliť.
23.2.2008 23:38 Marv-CZ | skóre: 21
Rozbalit Rozbalit vše Re: Spojenie dvoch SMB sieti aby sa navzájom videli v "Miesta v sieti

Vyzkoušej do smb.conf zadat 

remote browse sync = 192.168.254.6
jestli to vnutí tomu notebooku násilím.

Vyzkoušej taky 

remote announce = 192.168.1.255 192.168.254.255

24.2.2008 01:19 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Spojenie dvoch SMB sieti aby sa navzájom videli v "Miesta v sieti
WINS server muze byt jen jeden ...

musi byt dany direktivitou: 
wins support = yes
HLAVNE NE: 
wins server = 1.2.3.4
Jestli maka zjistis v logu ...

Dalsi reseni by bylo pouzit DNS sluzbu (tak to delam ja) a nstavit v sambe: 
dns proxy = yes
Never give up ! Stay ATARI !
24.2.2008 15:59 Marv-CZ | skóre: 21
Rozbalit Rozbalit vše Re: Spojenie dvoch SMB sieti aby sa navzájom videli v "Miesta v sieti

Toto má správně. Podívej se o pár příspěvků výš, jsou tam přiložené jeho konfiguráky.

24.2.2008 16:12 pavel
Rozbalit Rozbalit vše Re: Spojenie dvoch SMB sieti aby sa navzájom videli v "Miesta v sieti
interfaces=127.0.0.1 192.168.1. 192.168.254.
24.2.2008 16:14 Peter
Rozbalit Rozbalit vše Re: Spojenie dvoch SMB sieti aby sa navzájom videli v "Miesta v sieti
???
24.2.2008 16:40 Marv-CZ | skóre: 21
Rozbalit Rozbalit vše Re: Spojenie dvoch SMB sieti aby sa navzájom videli v "Miesta v sieti

Zkoušel jsi ten "remote browse sync" a "remote announce"?

24.2.2008 16:55 Peter
Rozbalit Rozbalit vše Re: Spojenie dvoch SMB sieti aby sa navzájom videli v "Miesta v sieti
Samozrejme - ale bohužiaľ žiadna zmena.
24.2.2008 17:00 Rockfire | skóre: 14 | blog: blg
Rozbalit Rozbalit vše Re: Spojenie dvoch SMB sieti aby sa navzájom videli v "Miesta v sieti
Odpovědět | | Sbalit | Link | Blokovat | Admin
zkus pouzit v smb.conf wins proxy = yes
24.2.2008 17:12 Pater
Rozbalit Rozbalit vše Re: Spojenie dvoch SMB sieti aby sa navzájom videli v "Miesta v sieti
Toto je tiež OK
24.2.2008 17:40 Marv-CZ | skóre: 21
Rozbalit Rozbalit vše Re: Spojenie dvoch SMB sieti aby sa navzájom videli v "Miesta v sieti
Odpovědět | | Sbalit | Link | Blokovat | Admin

Zkus použít TAP místo TUN pro VPN.

24.2.2008 17:50 Pater
Rozbalit Rozbalit vše Re: Spojenie dvoch SMB sieti aby sa navzájom videli v "Miesta v sieti
A aký je medzi tým vlastne rozdiel? Nie je náhodou tap na bridge a tun na route? Lebo v tomto prípade je to pre mňa nepoužitelné.
24.2.2008 17:57 Marv-CZ | skóre: 21
Rozbalit Rozbalit vše Re: Spojenie dvoch SMB sieti aby sa navzájom videli v "Miesta v sieti

TUN by měl to měl simulovat na úrovni IP packetů, TAP na úrovni Ethernetových rámců.

Na VPN nejsem zrovna odborník. Ale podle toho, že nepomohlo ani to vynucení přes "remote browse sync" a "remote announce" usuzuji, že nefunguje UDP broadcast. Zkoušel jsem o tom zagooglit a v diskuzích doporučují toto.

24.2.2008 20:02 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Spojenie dvoch SMB sieti aby sa navzájom videli v "Miesta v sieti
Dokumentace, dokumentace !!!! 
What is the difference between bridging and routing?

Bridging and routing are two methods of linking systems via a VPN.
Bridging advantages

    * Broadcasts traverse the VPN -- this allows software that depends on LAN broadcasts such as Windows NetBIOS file sharing and network neighborhood browsing to work.
    * No route statements to configure.
    * Works with any protocol that can function over ethernet, including IPv4, IPv6, Netware IPX, AppleTalk, etc.
    * Relatively easy-to-configure solution for road warriors.

Bridging disadvantages

    * Less efficient than routing, and does not scale well.

Routing advantages

    * Efficiency and scalability.
    * Allows better tuning of MTU for efficiency.

Routing disadvantages

    * Clients must use a WINS server (such as samba) to allow cross-VPN network browsing to work.
    * Routes must be set up linking each subnet.
    * Software that depends on broadcasts will not "see" machines on the other side of the VPN.
    * Works only with IPv4 in general, and IPv6 in cases where tun drivers on both ends of the connection support it explicitly.


What are the fundamental differences between bridging and routing in terms of configuration?

When a client connects via bridging to a remote network, it is assigned an IP address that is part of the remote physical ethernet subnet and is then able to interact with other
machines on the remote subnet as if it were connected locally. Bridging setups require a special OS-specific tool to bridge a physical ethernet adapter with a virtual TAP style device.
On Linux, for example, brtcl is this tool. On Windows XP or higher, select your TAP-Win32 adapter and your ethernet adapter in Control Panel -> Network Connections, 
then right click and select Bridge Connections.

When a client connects via routing, it uses its own separate subnet, and routes are set up on both the client machine and remote gateway so that data packets will seamlessly traverse the VPN.
 The "client" is not necessarily a single machine. It could be a subnet of several machines.

Bridging and routing are functionally very similar, with the major difference being that a routed VPN will not pass IP broadcasts while a bridged VPN will.

When you are bridging, you must always use --dev tap on both ends of the connection. If you are routing you can use either --dev tap or --dev tun, but you must use the
same on both ends of the connection. --dev tun tends to be slightly more efficient for the routing case.
Never give up ! Stay ATARI !
24.2.2008 20:38 Peter
Rozbalit Rozbalit vše Re: Spojenie dvoch SMB sieti aby sa navzájom videli v "Miesta v sieti
No - OK - toto som už čítal - ale to nerieši môj problém. Bridge kvôly budúcej členitosti siete použiť nemôžem (to by len bolo odďaľovanie nevyhnutného) - takže tadialto cesta nevedie. Ďalej - ja viem, že kde sa aké TUN/TAP používa - je to v manuály - ja len absolútne netuším samotný rozdiel medzi nimy dvoma - proste či je to fakt len to, čo napísal kolega vyššie o tých UDP a ethernetových rámcoch. Mimochodom - keď som skúsil tap na routrovanej sieti, tak to celé zhavarovalo - takže jedine tun.

A samozrejme,že som čítal tú pasáž cross-VPN network browsingu a WINS a práve o to mi ide. Proste ručne (\\pc_xyz) sa dostanem kde chcem odkiaľ chcem - či už z reálneho subnetu do VPN tak aj naopak. Jediný problém je, že v "Miesta v sieti" v reálnom subnete (192.168.1.0) vidím jedine pc z tohto subnetu a ani jeden VPN-kový a vo VPN-kovom pc vidím tam len sám seba.

Takže fakt sa mi zdá, že je tu niečo so sambou a hlavne s WINS a nie s tým, že VPN je routrované a nie bridgované. Aj keď taký nblookup odpovedá na všetky otázky správne (asi chce byť miliónár :-D). A práve kvôly tomu som na bode mrazu. Už som hádam prekutral celý google ale neviem sa pohnúť.
24.2.2008 20:51 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Spojenie dvoch SMB sieti aby sa navzájom videli v "Miesta v sieti
No jak uz jsem ti psal, tka si taky myslim, ze chyba NENI v nastaveni VPN, ale bud samby (coz tedy vypada, ze taky ne)tak pak jedine win nebo firewall, ale na tom centosu NEMAS zadny firewall ne ? K cemu taky ...
Never give up ! Stay ATARI !
24.2.2008 21:54 Peter
Rozbalit Rozbalit vše Re: Spojenie dvoch SMB sieti aby sa navzájom videli v "Miesta v sieti
Je tam firewall - ale teraz som ho pre testovacie účely vypol. Akože ja viem, že problém by aj teoreticky mohol byť v tom win - ale to si zasa nemyslím - úplne čistá inštalácia.
24.2.2008 20:38 Mirek
Rozbalit Rozbalit vše Re: Spojenie dvoch SMB sieti aby sa navzájom videli v "Miesta v sieti
Odpovědět | | Sbalit | Link | Blokovat | Admin
na PC s win musi byt spustena sluzba "Computer browse", jinak to nejede, je to problem win, ne nastaveni Samby.
24.2.2008 21:32 Peter
Rozbalit Rozbalit vše Re: Spojenie dvoch SMB sieti aby sa navzájom videli v "Miesta v sieti
Je to spustene.
nway avatar 24.2.2008 22:09 nway | skóre: 17 | Česká Lípa
Rozbalit Rozbalit vše Re: Spojenie dvoch SMB sieti aby sa navzájom videli v "Miesta v sieti
Odpovědět | | Sbalit | Link | Blokovat | Admin
No jelikož máš jako stanice XPčka, tak mě napadlo upravit nastavení jejich firewallu pro SMB a NetBIOS takto:
Síťová připojení > Vlastnosti > Upřesnit > Nastavení > Výjimky > (Sdílení souborů a tiskáren) > Upravit > Změnit obor > a do Vlastní seznam: zapsat dotčené sítě. Třeba to pomůže. A ještě dotaz. Funguje ti ping přes ty sítě (LAN a VPN) podle jmen stanic? Mě např. ano. Jo a ještě mám v rc.local toto: 
ip route add multicast 255.255.255.255 dev eth1
Provozuji Debian Etch.
24.2.2008 22:53 Peter
Rozbalit Rozbalit vše Re: Spojenie dvoch SMB sieti aby sa navzájom videli v "Miesta v sieti
Odpovědět | | Sbalit | Link | Blokovat | Admin
Přílohy:
Akože - HALELUJA - už síce absolútne netuším, že čo som zrobil (nejako sa mi mozok prepol do single mode) - preto prikladám konečné konfiguráky ale jedno viem, že na tej VPN stanici som musel na reálne rozhranie (to s ktorým sa pripájam do siete - nie to VPN) nastaviť takisto WINS server na 192.168.254.1

Ešte raz veľmi pekne ďakujem za váš čas a cenné rady.
24.2.2008 23:26 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Spojenie dvoch SMB sieti aby sa navzájom videli v "Miesta v sieti
No hlavne, ze to maka ...

Ja jsem nejak spatne pochopil ten firewall, myslel jsem,ze ho mas na tom stroji a ne na routeru ... :-) Na tom stroji se sambou mi pripadal zbytecny ...

Proc je na tom firewallu povoleno UDP na FORWARD na tom celem rozsahu poru od 1024-65000 ??
Never give up ! Stay ATARI !
25.2.2008 06:57 Peter
Rozbalit Rozbalit vše Re: Spojenie dvoch SMB sieti aby sa navzájom videli v "Miesta v sieti
To je kvôly debilnému Skype. Bez tohto rozsahu to nefunguje.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.