Avatar billede dgj Nybegynder
01. juli 2004 - 22:47 Der er 26 kommentarer og
3 løsninger

VPN Server + Samba

Jeg står med et lille problem, jeg vil gerne have sat en VPN-server op som er bag en firewall, og man skal kunne komme i kontakt med samba via vpn

1: Kan det lade sig gøre
2: Hvilke porte skal der åbnes
3: Hvilke pakker skal installeres (helst RPM)
4: Hvordan skal conf filerne se ud
5: Hvordan sætter man samba til at virke under VPN

-- Kan sq ikke lige finde på flere spørgsmål til dette lille/store spørgsmål
Avatar billede dgj Nybegynder
01. juli 2004 - 22:54 #1
Vil lige sige at det køre på et Kernel 2.6.6-435, Fedora Core 2, samba-3.0.2
Avatar billede strych9 Praktikant
02. juli 2004 - 00:06 #2
http://www.openswan.org/ - forudsat at du altså vil benytte Linux til at etablere VPN tunnelen. Du skriver ikke noget om typen af VPN.

Jeg er faktisk ikke klar over om Samba bruger de samme porte til SMB som Windows gør. Jeg finder det dog sandsyneligt, og dermed vil det være port 137-139.
Avatar billede strych9 Praktikant
02. juli 2004 - 00:06 #3
ah.. og port 445 i nyere windows versioner..
Avatar billede dgj Nybegynder
02. juli 2004 - 11:50 #4
Jeg er ligeglad med typen, den skal bare være sikker, og samba bruger 137-139,445,1024,
Avatar billede strych9 Praktikant
02. juli 2004 - 17:10 #5
ok, jeg kan hjælpe med 4 ud af dine 5 spørgsmål:
Ja det kan lade sig gøre. Portene har vi så fået fastslået. Den pakke du skal installere hedder slet og ret bare Samba, og hvis du bruger Fedora/Mandrake hvilket jeg kan forestille mig at du gør siden du ønsker rpm, så er der helt sikkert en til din distribution.
Angående conf filer bliver jeg nødt til at henvise dig til "the unofficial samba howto" som findes på http://www.samba.org/
Jeg tror det der forvirrer dig ikke så meget er Samba i sig selv, men VPN spørgsmålet: Samba ringer ikke på via VPN. Den benytter blot en VPN net infrastruktur præcist som alle andre services ville gøre det. Det vil sige at du feks kan bruge en router til router VPN forbindelse hvis routerne på de to net har faciliteter til det og lade dem sørge for at VPN forbindelsen bliver etableret og holdes åben. Det er nok at anbefale. Ellers kan du feks bruge openswan som en VPN server, og en winxp som vpn klient og lave end to end VPN..
Avatar billede brascoe Nybegynder
04. juli 2004 - 19:16 #6
Hvis du søger en hurtig og meget nem linux server der skal kunne kører router/firewall/Samba/VPN-PPTP bør du kigge på www.contribs.org Kan alt det du søger out-of-the-box.

/ Brascoe
Avatar billede bonehead Nybegynder
04. juli 2004 - 21:33 #7
Hvilke(t) OS skal du kunne koble op imod serveren med? Er det altid de samme maskiner du skal bruge til at lave forbindelsen?

Hvis linux og ja, helt klart freeswan eller openswan.
Hvis Windows og ja, muligvis freeswan eller openswan.
Hvis Windows/linux og nej, kig på PoPToP vpn serveren.

Din fedora-server skal have ip_forward slået til, og dine iptables skal give vpn subnettet adgang til de porte og det ip-range, som samba kører på.
Avatar billede dgj Nybegynder
10. juli 2004 - 16:22 #8
Jeg har en windows maskine der skal connecte op til en linux-vpn-server med samba
ip_forward ??? er det i samba
iptables ??? hvordan skal jeg give adgang til subnet

-------- Har webmin --------
Avatar billede strych9 Praktikant
11. juli 2004 - 13:20 #9
Allerførst synes jeg egentlig du skal koncentrere dig om at få Samba til at virke over internet uden VPN...
Avatar billede brascoe Nybegynder
11. juli 2004 - 16:24 #10
Det havde allerede virket hvis du havde installeret den SME Server fra www.contribs.org

Så skal du heller ikke rode med at åbne porte ud mod internet - At åbne SMB porte ud mod internet er sgu næsten det samme som at lade hoveddøren stå åben derhjemme!

Hvorfor er det egentligt at det er vigtigt at det er Samba du vil dele filerne over?

Hvis du skal dele filer og ikke er helt stiv i sikkerheden (virker sådan) så er det nemmeste og sikreste at bruge SSH - De fleste Distros kører default med SSH login (port 22) - Tjek med Putty http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html hvis du kan komme ind med Putty så kan du også godt komme ind med WinSCP http://winscp.sourceforge.net/eng/download.php

Du skal selvfølgelig have port 22 åbnet på det eksterne netkort for at komme ind fra internet.

/ Brascoe
Avatar billede dgj Nybegynder
11. juli 2004 - 17:15 #11
Det er fordi jeg prøver at lave en server hvor man via sin hjemmestation skal kunne komme ind på serveren på firmaet, så de kan arbejde hjemme, da der er nogle der bor på Fyn og firmaet ligger i Roskilde.
Avatar billede dgj Nybegynder
11. juli 2004 - 17:24 #12
strych9: Allerførst synes jeg egentlig du skal koncentrere dig om at få Samba til at virke over internet uden VPN...

Tror du at jeg er idiot, hvem tror du vi lige dokumenter ud, der har en værdi til 500.000kr,

Samba virker internt
Avatar billede strych9 Praktikant
11. juli 2004 - 17:27 #13
Nej jeg tror ikke at du er idiot, men jeg ved at mine velmente forsøg på at hjælpe dig stopper her og nu.
Avatar billede brascoe Nybegynder
11. juli 2004 - 17:34 #14
Er det fordi medarbejdere skal tilgå et netværksdrev til eks. worddokumenter?

/ Brascoe
Avatar billede dgj Nybegynder
11. juli 2004 - 17:44 #15
-Brascoe: Ja
-strych9: du skal ikke blive sur, det var bare den måde du havde det skrevet på
Avatar billede brascoe Nybegynder
11. juli 2004 - 18:01 #16
I mit firma havde vi samme behov - Jeg satte en SME server op og har lavet en lille howto der kan nåes her: http://www.hegnstoften.net/howto/VPN_Login/VPN_Login.htm

Det kræver selvfølgelig at du skifter til den Distro jeg har nævnt flere gange - Jeg vil vurdere at du kan få det op at spille på ca. 30 minutter excl. download tid - Iso'en er kun på 350 mb - Der er ikke grafisk brugerflade ud over web - Det er et server OS - Ikke en gang lort med alle mulige grafiske programmer og flotte screensavers :-)

/ Brascoe
Avatar billede bonehead Nybegynder
11. juli 2004 - 19:49 #17
Brascoe, det er såmænd rigtigt fint at du her og i andre fora udbreder kendskabet og viser lysten og viljen til at benytte SME serveren til SOHO formål.
Jeg har selv længe været ivrig bruger af produktet, og været glad for det - men på det seneste er der nogle ting der er begyndt at melde sig i min bevidsthed - f.eks. at SME dåsen efterhånden er en aldrende distro, stadigvæk baseret på 2.4 kernen, og uden en eneste update frigivet til den det sidste halve år.
Det kan man jo tage som man vil, men det er ikke fordi virusprogrammører og hackere har ligget på den lade side - så måske kunne grunden være en anden?
På contribs.org kan man oven i købet læse (fra januar 2004) en seriøs røvfuld, skrevet af contribs.org temaet til alle de klynkende brugere af forummet.
Selve skrivelsen synes jeg man selv skal kigge på, hvis man har lyst til at bruge det - men det er nu mere sikkerhedsspørgsmålet i det, jeg stiller spørgsmålstegn ved. Har man lyst til at udsætte sit firmanetværk for et (potentielt) usikkert system? Absolut ikke. Styrken i Linux har også altid været, at er der en fejl i et program, bliver der lavet en rettelse prompte. Det gør der tydeligvis bare ikke længere til SME serveren.

Til et hjemmenet ville jeg stadigvæk godt turde bruge den, men til at beskytte firmadokumenter og andre saftige hemmeligheder?

Det er naturligvis op til en selv... ;-)
Avatar billede brascoe Nybegynder
11. juli 2004 - 20:18 #18
Bonehead,

Det er korrekt at SME serveren er i krise med hensyn til hvor den skal hen og om den skal overleve overhovedet :-( - Det betyder dog ikke at den p.t. er usikker - Der er lavet lidt updates så der burde ikke være nogle huller - Med hensyn til kerne så er 2.4 MEGET stabil - jeg har svært ved at se de skrigende behov for kerne 2.6 på en server der bare skal holde lidt brugere, filer og en pptpd.

Jeg kan forstå at "dgj" overvejer/bruger Fedora Core 2 - Jeg har svært ved at se at det er bedre end SME serveren med hensyn til updates - se http://www.redhat.com/software/rhelorfedora/ Levetiden er sgu ikke lang når nu core 3 kommer på gaden.

Og det er da ikke det fede at skulle upgradere hele sin fungerende server grundet den kører på Fedora DEV/test OS - Det var derfor jeg foreslog SME Server - Hvis man kan leve med Fedora og de ubehageligheder der er ved et DEV/Test OS kan man også leve med SME Serveren.

Men du har da ret - Hvis man skal kører det i en virksomhed så er det nok klogere at vælge en anden løsning f.eks. at skille sagerne ad, så man har en dedikeret Firewall med VPN login f.eks. M0n0wall http://m0n0.ch/wall/ eller LEAF http://leaf.sourceforge.net/ eller Smoothwall http://www.smoothwall.org/ - (Smoothwall findes også i en købeversion hvis man er mere tryg ved at betale for den slags) og så en anden maskine er er Samba Filserver, mailserver og hvad man ellers skal bruge.

/ Brascoe
P.s. Check Vestfyns Ale 5,7 Vol. i ALDI – Den bedste øl i Danmark uanset pris...
Avatar billede dgj Nybegynder
11. juli 2004 - 20:19 #19
bonehead: det vil sige at det er klogt af mig at jeg har valgt kernel 2.6, men ikke så klogt at jeg ikke kan finde ud af det :)
Avatar billede bonehead Nybegynder
11. juli 2004 - 21:52 #20
Først og fremmest - artiklen er ikke fra januar, den er fra 1. juli - fik byttet om på dag/måned - sorry.

Dernæst;
Brascoe:
Kerne 2.4 er stabil, ja. Kerne 2.6 indeholder en del flere features til bl.a. perifære enheder, kræver lidt mere ram, har måske også et par huller som kernel-teamet ikke er opmærksom på - men den er også baseret på erfaringer og koden fra kerne 2.4. Stabiliteten og sikkerheden må tiden jo vise om den også har. ;-)

Fedora er i øjeblikket inde i en rivende udvikling med stor frekvens på opdateringer, både patches og vedr. hele os'et. Det er ikke nødvendigvis en skidt ting. Der er heller ikke nogen der tvinger en til at opgradere den til core 3, lige så vel som de brugere der stadigvæk kører RedHat 9 ikke opdaterer til fedora.
Grund; der laves stadigvæk patches til systemet. Hvorfor splitte et velfungerende, opdateret system ad hvis det kører som det skal?

Samme overvejelse ville jeg gøre mig mht. SME hvis jeg skulle installere den i dag. Jeg siger ikke det er en dårlig distro. Jeg gør bare opmærksom på at der er ting vedr. SME som skal med i betragtningen før man bestemmer sig for den, præcis som der skal med alle andre varianter af Linux.

De projekter du nævner (og alle andre out-of-the-box projekter der findes) fungerer fint til deres formål. Er det blot en Samba PDC med PPTP adgang, dgj skal bruge, er en SME fin til formålet. Men skal den stå på det eksterne net med sig selv som firewall, og alle services den har enabled til det store internet, ville jeg vælge den fra udelukkende fordi den ikke møder _mit_ kvalitetskrav vedr. opdateringsfrekvens. Det er op til dgj om den møder hans.

At sammenligne fedora med RedHat Enterprise Linux (et købeprodukt) er så ikke helt fair, for de henvender sig ikke til samme kundegruppe. Fedora er for folket, RHEL er til virksomheder med store krav om bl.a. oppetid og ordentlig support, de har betalt for, men jeg forstår godt hvor du vil hen med det. :-)

dgj:
Om du vælger kernel 2.4 eller 2.6 til formålet som samba/pptp server er helt op til dig. Kernel 2.4 er kendt for dens stabilitet, kernel 2.6 er stadigvæk en "ung" kerne. Jeg synes du skulle vælge den, du kan få hjælp til. ;-)
Linux er svær for nybegyndere, og supporten kan af og til være vanskelig at få tilstrækkeligt af. Indtil videre er der flest der kører kernel 2.4 på deres produktionssystemer, og har du ikke flere cpu'ere i samme pc, er der ingen performance-mæssig grund til at foretrække kerne 2.6.

Det, der blot er tricket er, at du vil have Windows klienter til at lave en vpn-forbindelse til en linux maskine. Det er klart nemmest at gøre med PPTP, for det er Windows født med, og med den indbyggede 128 bit kryptering har du en ret god sikkerhed på din trafik også.
Er det det eneste du vil have din linux box til at køre, så gør som brascoe foreslår; Installer en SME, åbn port 1729 (svjh) i din firewall og du er kørende.

:-)
Avatar billede dgj Nybegynder
11. juli 2004 - 22:47 #21
bonehead: kan du ikke lave et svar, så du også kan få nogle point
Avatar billede bonehead Nybegynder
12. juli 2004 - 06:25 #22
Jo da. :-)
Avatar billede dgj Nybegynder
12. juli 2004 - 18:02 #23
brascoe: Den SME Server, prøvede jeg at installere på en 1600MHz Duron, 512mb ram, 1280mb hdd, og fandt ud af at hdd'en var brændt sammen og alle de andre hdd's jeg har er i brug, så jeg skal prøve at installer på et senere tidspunkt, hvor jeg har en hdd der virker, Men det lyder som et "fræstene" system, så må jeg prøve og se om man kan få samba3 indpå

bonehead: Du lyder ikke helt dum til det linux, jeg har ikke kunnet få kernel 2.6 til at fungere som vpn-server.

Men da i begge har været meget villige med at hjælpe mig, synes jeg at det er fair nok at i lige meget hver.

Men mange tak for det hjælp i har kunnet give
Avatar billede brascoe Nybegynder
12. juli 2004 - 18:55 #24
dgj: Med m0n0wall er du oppe at kører med pptp VPN i løbet af no time - Jeg skriver gerne en howto - Så er det også ligegyldigt med opdateringer til SME Serveren(bare de så kommer til M0n0wall'en) - Du kunne sågar have en Windåse som filserver :-) - Samba3 kan opgraderes på SME Serveren se http://contribs.org/modules/pbboard/viewtopic.php?t=22730&sid=d5e05f216bae99e695f17a77319708ec - Jeg ved ikke lige hvad det er der er såååee fedt ved den Samba 3 - Men som almindelig SMB Share som netdrev i XP er det ikke nødvendigt - Hvis du vil kører din server som domain controller kan det godt være - Ved det ikke da jeg ikke bruger mine SME servers som domain controllers.

Hvis du har en gammel 2 gb disk så bare brug den til SME Serveren - Du kan altid smide flere diske i senere.

Bonehead: Hvorfor skal der åbnes for port 1729 - Det har jeg aldrig gjort med mine pptp VPN forbindelser og de kører fint.

/ Brascoe
P.s. Check Vestfyns Ale 5,7 Vol. i ALDI – Den bedste Ale i Danmark uanset pris...
Avatar billede bonehead Nybegynder
12. juli 2004 - 20:00 #25
Tak for points. :-)

dgj: Kernen er ikke lavet til vpn som sådan. Den har kryptografiske algoritmer og forskellige netværksprotokoller indbygget, som du skal bruge til at lave din vpn forbindelse med. Kernen er så at sige "back end'en" i systemet. "Front-end'en" laves med f.eks. PoPToP eller FreeS/WAN, der kan hentes til de fleste distributioner. Det er denne frontend der blandt andet forhandler brugernavn/adgangskode, protokol, ip og kryptografi med klienten der prøver at skabe forbindelse. :-)

> bonehead: Du lyder ikke helt dum til det linux...
Nåh... man lærer lidt efterhånden som man skruer i det. ;-)

Brascoe: pptp bruger port 1723 tcp (slog det lige op) til at skabe forbindelse. Hvis ikke du har skullet åbne den i din firewall manuelt indtil videre, gætter jeg på det er fordi du har din SME (eller monowall) kørende som router også - med to netkort, og folkene bag plejer at være så flinke, at de scripter det for dig så.
Avatar billede dgj Nybegynder
12. juli 2004 - 20:58 #26
brascoe: derfor vil jeg køre samba3 :)
http://www.itweek.co.uk/ITWeek/itw_graph_1144289.jsp
Avatar billede brascoe Nybegynder
12. juli 2004 - 21:21 #27
Ser sgu alvorligt ud - tror alligevel jeg vil prøve at opgradere og lave mine egne tests - Det virker alvorligt - Lidt ærgerligt at de ikke har lavet en graf med Samba 2 som er den de fleste stadig kører på - Den er garanteret også hurtigere end den Windåse - Testen virker iøvrigt ikke helt fair over for Windows 2003 Serveren - Alle ved da at det OS kræver minimum 512 mb ram for bare at holde et netkort - Så når de så også prøver at lave trafik på netkortet, så er det da klart at det ikke performer :-)

/ Brascoe
P.s. Check Vestfyns Ale 5,7 Vol. i ALDI – Den bedste Ale i Danmark uanset pris...
Avatar billede dgj Nybegynder
14. juli 2004 - 19:29 #28
brascoe: Jeg vil vurdere at du kan få det op at spille på ca. 30 minutter excl. download tid

Du havde ikke helt ret med de 30min, det tog kun 8min at installer, på nuværende system, og 2min at stille opsætningen :P
Duron 1600Mhz, 512MB ram, 20Gb 7200RPM IDE100,

Men jeg tror fandme jeg bliver glad for det, allerede bare at komme ind på siden, gøre jo en våd i trussen, forstår ikke hvorfor de er stoppet, men det var vel fordi de ikke gad at vente på en ny kernel
Avatar billede brascoe Nybegynder
14. juli 2004 - 19:56 #29
Yepper - Det er en konge distro - Altså til en server :-)

Og den er ikke helt droppet - problemet er at der ikke er vedtaget en styregruppe og det giver store problemer med hensyn til hvem der laver hvad - Ikke mindst med hensyn til vedligeholdelse og opdateringer - Jesper Kundsen har lavet en update äf SSH - Hentes her: http://sme.swerts-knudsen.dk/downloads/Updates/6.0.1/

efter du har ført filerne over på din SME box køres disse komandoer i mappen hvor filerne - Køres som root:

rpm -Uvh --replacepkgs *.rpm
/sbin/e-smith/signal-event post-upgrade
/sbin/e-smith/signal-event reboot

Brug putty - Så kan du copy and paste :-)

Der er også en officiel update til SME 6.0.1 vedr. initscripts se http://www.ibiblio.org/pub/Linux/distributions/smeserver/updates/

Brug ovennævnte kommandoer.

Der er også nogle der er begyndt at lave egne updates - se http://lordsfam.net/sme70
og portere den til nyere kerne - problemet er bare at en person ikke kan klare en sådan opgave - Ikke en normal person ihvertfald :-) - Det er et spænde projekt der vil løfte SME 7.0 til Fedora Core 2 base - Forhåbentligt kommer der snart en løsning på det med styre gruppen på plade se : http://contribs.org/modules/pbboard/viewtopic.php?t=23019&sid=af97a2a5aead4a91ac03c5406fb4140a

Det er Jeff Colemann administrator og ejer af contribs.org der indleder den store flæbe sang - Men der er længere nede i tråden (4 sider ind til videre) måske begyndende lys for enden af tunnelen.

Hvis du vil ændre eller systemet så er der rig mulighed og der er lavet rigtig mange fede add-ons eller contributions til den se Jesper Knudsens side her: http://sme.swerts-knudsen.dk/

Personligt er jeg specielt glad for den windows update cache der er lavet - Det er rart når man i tide og utide formatere egen og ikke mindst familiens maskiner - se http://www.contribs.org/contribs/nightspirit/e-smith-windowsupdate_cache/

/ Brascoe
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester