Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SMB Sharing via NAT (Masquerading) und VPN

Frage Linux Samba

Mitglied: linuxleuser

linuxleuser (Level 1) - Jetzt verbinden

07.12.2005, aktualisiert 21.12.2005, 7752 Aufrufe, 2 Kommentare

Wie erreicht man aus einem "maskierten" Netzwerk einen SMB-Server und baut eine Verbindung zu einer Freigabe auf?

Hallo zusammen!

Folgendes Szenario macht Probleme.

Zunächst nocht ganz einfach:
-Privtes Heimnetz (192.168.0.0/24) mit Windows und Linux Clients.
-Linux (2.4.10er Kernel) Server mit Samba und DSL Verbindung.
-Linux-Server hat die iptables Firewall laufen mit der die DSL-Verbindung via MASQUERADING frei gegeben wird (zusätzlich läuft Squid als Proxy-Server)

Auch noch logisch:
-Der Server baut eine VPN-Verbingung zu einem Fernnetzwerk auf. Dieses Netz hat echte IP's (nicht privat).
-Die Internetverbindung läuft weiter direkt über DSL (nicht Durch den VPN-Tunnel).

Das Problem kommt näher:
-Eine Route vom Heimnetz zum Netzwerk hinter dem VPN ist im Kernelrouter eingetragen.
-Diese bringt logischerweise nicht viel da die Pakete mit privaten (192.168.*.*) IP's von einem Router in einem "echten" Netz nicht weitergeleitet werden
(ist zwar kein muss aber sinnvoll und in diesem Fall auch so).

Und jetzt wird's tricky:
-Um dieses Problem loszuwerden habe ich eine weitere "MASQUERADING" Rule in die iptables Firewall eingesetzt,
die den Traffic zum virtuellen Netzwerkport (der VPN-Schnittstelle) ebenfals Maskiert.
-Funktioniert! --> Jubel!

Und jetzt das Problem:
-Der eigentliche Sinn und zweck der Sache war es eine SMB Freigabe (bzw. drei) die auf einem Server (müsste win2k3Server sein)
in dem Netzwerk hinter dem VPN-Tunnel liegt als Netzlaufwerk zu verbinden.
-Der Server ist erreichbar und Verlangt eine Identiifizierung.
-Allerdings schlägt diese jedesmal fehl (Beim Laden ist ein fehler aufgetreten, Zugriff verweigert!) --> Heul!

Ich kann mir dies nur so erklären, das bei der Identifikation der SMB Server und der Client auf einer höheren OSI-Schicht im SMB Protokoll eine neue Verbindung aushandeln.
Das iptables "SNAT-DNAT/PAT" arbeitet ja nur auf der Schicht 3+4. Für FTP usw. gibt es für dieses Problem extra Kernelmodule die das "NAT" in den Oberen Schichten übernimmt.
Für SMB scheint es leider keines zu geben.

Wenn die VPN-Client Software auf einem der Clientrechner (192.168.0.*) läuft funktioniert die Verbindung (klar dann hat der Client ja auch ein eigenes virtuelles Interface mit der "richtigen" IP.
Das hilft mir jedoch nicht wirklich weiter, da ich die 3 Freigaben von 3 verschiedenen Clients Nutzen will und mehere VPN-Verbindungen über die gleiche IP (die zum DSL Interface des Servers) nicht zulässig sind (der VPN-Server schreibt den Port vor) und desshalb immer nur eine Verbindung bestehen könnte.

Schonmal vielen herzlichen Dank en jeden der dashier überhaupt bis zum Ende durchliest.
Wenn jemand eine Idee hat wie man dieses Problem lösen könnte, egal wie doof sie klingen mag, bitte postet sie hier!
Mit freundlichen Grüßen linuxleuser
Mitglied: wiri
20.12.2005 um 19:05 Uhr
Hallo zusammen!

Folgendes Szenario macht Probleme.

Zunächst nocht ganz einfach:
-Privtes Heimnetz (192.168.0.0/24) mit
Windows und Linux Clients.
-Linux (2.4.10er Kernel) Server mit Samba
und DSL Verbindung.
-Linux-Server hat die iptables Firewall
laufen mit der die DSL-Verbindung via
MASQUERADING frei gegeben wird
(zusätzlich läuft Squid als
Proxy-Server)

Auch noch logisch:
-Der Server baut eine VPN-Verbingung zu
einem Fernnetzwerk auf. Dieses Netz hat
echte IP's (nicht privat).
-Die Internetverbindung läuft weiter
direkt über DSL (nicht Durch den
VPN-Tunnel).

Das Problem kommt näher:
-Eine Route vom Heimnetz zum Netzwerk hinter
dem VPN ist im Kernelrouter eingetragen.
-Diese bringt logischerweise nicht viel da
die Pakete mit privaten (192.168.*.*) IP's
von einem Router in einem "echten"
Netz nicht weitergeleitet werden
(ist zwar kein muss aber sinnvoll und in
diesem Fall auch so).

Und jetzt wird's tricky:
-Um dieses Problem loszuwerden habe ich eine
weitere "MASQUERADING" Rule in die
iptables Firewall eingesetzt,
die den Traffic zum virtuellen
Netzwerkport (der VPN-Schnittstelle)
ebenfals Maskiert.
-Funktioniert! --> Jubel!

Und jetzt das Problem:
-Der eigentliche Sinn und zweck der Sache
war es eine SMB Freigabe (bzw. drei) die auf
einem Server (müsste win2k3Server sein
ich nehme mal an das w2k3 ADintegriert ist,
dann braucht w2k3 EAP als authentifizierungsprotoll
dieses muß bis zum tunnelanfang am Client ankommen und die Authentifizierung entgegenzunehmen.
in dem Netzwerk hinter dem VPN-Tunnel
liegt als Netzlaufwerk zu verbinden.
-Der Server ist erreichbar und Verlangt eine
Identiifizierung.
ja genau , EAP


cu willi
Bitte warten ..
Mitglied: linuxleuser
21.12.2005 um 18:41 Uhr
Hallo willi,
ich verstehe nicht ganz warum die Verschlüsselung des Passworts oder das Verfahren dazu
einen Ausschlag geben sollen, die Daten werden ja übermittelt, egal ob verschlüsselt (innerhalb der 5. und 6. Schicht) oder nicht.

Ich habe mittlerweile folgendes in Erfahrung gebracht: Der Server ist nicht wie angenommen ein win2k3 Server sondern ein Linux 2.6.x mit Samba 3.x Server.

Es gab wohl ein Config-Problem am Server, denn heute mittag hat es ohne das ich irgendwas geändert
habe einfach funktioniert, und dort wo der Server steht gab es in den letzten tagen auch Probleme mit den Fileservern. Ich nehme an das die zuständigen Administratoren dort das Problem in den Griff gekriegt haben.

Aber trotzdem vielen Dank für die Mühe.
Ich wüsste trotzdem gern genauer was du mit dem EAP-Problem gemeint hast und wie die Authentifizierung bei SMB funktioniert. (Aus reiner Neugier) Vieleicht hast du ja Zeit das hier mal zu posten.
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Router & Routing
gelöst Netgear FVS338 - NAT VPN (9)

Frage von Multitask zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (14)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...