gerhard32
Anmeldungsdatum: 25. Oktober 2008
Beiträge: Zähle...
|
Hallo, wir haben eine Rootserver gemietet und würden auch gerne Samba benutzen. Wie kann ich Samba über eine Openevpn umleiten, da ich nur die wichtigsten Ports offen lassen will.
Danke Moderiert von Elektronenblitz63: In das passende Forum verschoben. Bitte beachte die Themen-Stickies "Welche Themen gehören hier her und welche nicht?" bei der Wahl des richtigen Forums. Danke.
|
gerhard32
(Themenstarter)
Anmeldungsdatum: 25. Oktober 2008
Beiträge: 18
|
Hallo, wir wollen einen Webserver einsetzen. Nun möchte ich auch über VPN auf ein paar Samba Freigaben zugreifen, wobei alles über VPN laufen soll. Der Webserver hat eine Fixe öffentliche IP. wie kann ich Samba beibringen, auf dem VPN Port zu lauschen, bzw. wie sollte die smb.conf und die server.conf (Openvpn) angepasst werden.
Samba Port wurde mittels UFW geschlossen.
Danke. Moderiert von tomtomtom: Aus dem wieder vollkommmen falschen Forenbereich an bestehenden Thread zum selben Thema angefügt. Bitte beachte Richtig fragen.
|
mrgoogle
Anmeldungsdatum: 15. April 2014
Beiträge: Zähle...
|
Um Samba auf einer bestimtmen IP Adresse laufen zu lassen (in deinem Fall, die IP Adresse des openvpn Tunnel interfaces) einfach der Anleitung hier folgen: http://oreilly.com/openbook/samba/book/ch04_06.html Wichtig sind dabei die Angaben: [global]
interfaces = x.x.x.x/y.y.y.y
bind interfaces only = yes Dann läuft Samba auch nur auf dem gewünschten Interface. Habe das ähnlich gemacht, nur dass ich anstatt Samba einen rsync Server nutze. Bearbeitet von xabbuh: code-Blöcke hinzugefügt
|
gerhard32
(Themenstarter)
Anmeldungsdatum: 25. Oktober 2008
Beiträge: 18
|
Hallo, geht leider auch nicht. Im Anhang meine smb.conf.
und meine server.conf. Vpn Tunel steht sicher, da ich mit Openvpn Verbindung durch http://10.8.0.1 meine Webseite auf dem Server sehe. Danke
- smb.conf (235 Bytes)
- Download smb.conf
- server.conf (418 Bytes)
- Download server.conf
|
mrgoogle
Anmeldungsdatum: 15. April 2014
Beiträge: 6
|
gerhard32 schrieb: Hallo, geht leider auch nicht. Im Anhang meine smb.conf.
und meine server.conf. Vpn Tunel steht sicher, da ich mit Openvpn Verbindung durch http://10.8.0.1 meine Webseite auf dem Server sehe. Danke
Änder mal hosts allow = 10.8.0.1 localhost in hosts allow = 10.8.0. localhost (also die 1 bei der ip einfach mal weg)
Im Grunde erlaubst du ja nur ihn selbst über localhost und über seine openvpn ip.
|
gerhard32
(Themenstarter)
Anmeldungsdatum: 25. Oktober 2008
Beiträge: 18
|
Geht auch nicht. Samba log meldet:
"standard input is not a socket, assuming -D option"
Ich sollte ja die Freigaben unter \\10.8.0.1 (Windows) erreichen oder?
Webseite erreiche ich unter http://10.8.0.1 Danke
|
mrgoogle
Anmeldungsdatum: 15. April 2014
Beiträge: 6
|
Hab gerade in einem anderem Forum gelesen, dass Samba wohl nur per TAP bei openvpn läuft, da das tun device kein broadcast interface ist... hmm blöd gelaufen... Also Lösung wäre, das openvpn per tap anstatt per tun aufzubauen. Link zum anderem Forum: http://ubuntuforums.org/showthread.php?t=1737493&page=2
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17442
|
Samba benötigt keine Broadcasts, das zu Grunde liegende CIFS verträgt aber z.B. kein NAT und Verbindungen mit hohen Paketlaufzeiten sind was böses und machen es unerträglich langsam. mfg Stefan Betz
|
mrgoogle
Anmeldungsdatum: 15. April 2014
Beiträge: 6
|
encbladexp schrieb: Samba benötigt keine Broadcasts, das zu Grunde liegende CIFS verträgt aber z.B. kein NAT und Verbindungen mit hohen Paketlaufzeiten sind was böses und machen es unerträglich langsam. mfg Stefan Betz
Dass es kein broadcast benötigt ist richtig, aber anscheinend will es sich nicht explizit auf dieses interface binden lassen.
Man kann ja auch Samba einfach übers Internet übertragen, aber das ist ja nicht im Sinne der Sicherheit/Anfrage des Nutzers. Hohe Paketlaufzeiten sind kein Problem (lahm ist ja besser, als geht gar nicht,... schon selber vor paar Jahren mal getestet. Sicherheit gibts dann eben nur über die Authentifzierung und weiter nicht). Mehrere Verbindungen über NAT gehen, sind aber nicht schön und man bekommt natürlich Probleme weil im Grunde nur immer die letzte Connection genutzt wird und die vorhere verfällt.
Ich geh aber davon aus, dass der Benutzer jetzt erstmal nur mit einer Kiste darauf zugreifen will um ggf. Daten einfach über die Openvpn connection drauf zu schieben. Wenn er über mehrere gehen will/soll sollte man wirklich lieber tap (bridging) anstatt tun machen. Noch zur Frage... Ja gerhard, du solltest die Maschine dann einfach per \\10.9.0.1 erreichen.
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17442
|
Gut, interfaces in der smb.conf fressen auch wirklich interfaces, also z.b. interfaces = tun0. Für einfaches Dateien kopieren kann man übrigens auch SCP/SSH nehmen, das ist schon Standard und man spart sich sogar das VPN um es sicher zu bekommen. Die smb.conf am besten immer nach jeder Änderung mittels "testparm" testen, dann sieht man ob Samba was zum jammern findet und wie Samba die Datei genau interpretiert. Wurde schon ein smbclient local, also am Server direkt probiert? Nicht das wir uns hier schon ein Problem bauen. mfg Stefan Betz
|
mrgoogle
Anmeldungsdatum: 15. April 2014
Beiträge: 6
|
encbladexp schrieb: Gut, interfaces in der smb.conf fressen auch wirklich interfaces, also z.b. interfaces = tun0. Für einfaches Dateien kopieren kann man übrigens auch SCP/SSH nehmen, das ist schon Standard und man spart sich sogar das VPN um es sicher zu bekommen. Die smb.conf am besten immer nach jeder Änderung mittels "testparm" testen, dann sieht man ob Samba was zum jammern findet und wie Samba die Datei genau interpretiert. Wurde schon ein smbclient local, also am Server direkt probiert? Nicht das wir uns hier schon ein Problem bauen. mfg Stefan Betz
anscheinend frisst aber samba eben keine tun devices sondern nur tap... werd das mal bei Zeiten nachstellen...
Wundert mich ehrlich gesagt auch etwas, finde aber sehr viele andere Foren in dennen auch das Problem besteht. grüße
|
Lookbehind
Anmeldungsdatum: 28. Januar 2010
Beiträge: 1070
|
Also ich kann meinen Samba über tun erreichen. Ich habe eher den Verdacht, dass die Ports gesperrt sind. Der TE erwähnte ja, dass dort mit UFW gearbeitet wurde. Vielleicht etwas zu gründlich?
|
gerhard32
(Themenstarter)
Anmeldungsdatum: 25. Oktober 2008
Beiträge: 18
|
Ja, aber VPN Port ist offen. Sobald die VPN-Verbindung steht, kann ich 10.8.0.1 pingen. Auch der Webserver ist mit http://10.8.0.1
erreichbar.
|
Lookbehind
Anmeldungsdatum: 28. Januar 2010
Beiträge: 1070
|
Und die Ports für Samba? Wenn du die genrell dicht gemacht hast, dann sind die auch dicht, wenn du per VPN darauf verbinden möchtest. Die Idee wäre also, die Samba-Ports für VPN auf zu machen, und für alles andere zu.
|
gerhard32
(Themenstarter)
Anmeldungsdatum: 25. Oktober 2008
Beiträge: 18
|
|