01. juli 2004 - 22:47Der er
26 kommentarer og 3 løsninger
VPN Server + Samba
Jeg står med et lille problem, jeg vil gerne have sat en VPN-server op som er bag en firewall, og man skal kunne komme i kontakt med samba via vpn
1: Kan det lade sig gøre 2: Hvilke porte skal der åbnes 3: Hvilke pakker skal installeres (helst RPM) 4: Hvordan skal conf filerne se ud 5: Hvordan sætter man samba til at virke under VPN
-- Kan sq ikke lige finde på flere spørgsmål til dette lille/store spørgsmål
http://www.openswan.org/ - forudsat at du altså vil benytte Linux til at etablere VPN tunnelen. Du skriver ikke noget om typen af VPN.
Jeg er faktisk ikke klar over om Samba bruger de samme porte til SMB som Windows gør. Jeg finder det dog sandsyneligt, og dermed vil det være port 137-139.
ok, jeg kan hjælpe med 4 ud af dine 5 spørgsmål: Ja det kan lade sig gøre. Portene har vi så fået fastslået. Den pakke du skal installere hedder slet og ret bare Samba, og hvis du bruger Fedora/Mandrake hvilket jeg kan forestille mig at du gør siden du ønsker rpm, så er der helt sikkert en til din distribution. Angående conf filer bliver jeg nødt til at henvise dig til "the unofficial samba howto" som findes på http://www.samba.org/ Jeg tror det der forvirrer dig ikke så meget er Samba i sig selv, men VPN spørgsmålet: Samba ringer ikke på via VPN. Den benytter blot en VPN net infrastruktur præcist som alle andre services ville gøre det. Det vil sige at du feks kan bruge en router til router VPN forbindelse hvis routerne på de to net har faciliteter til det og lade dem sørge for at VPN forbindelsen bliver etableret og holdes åben. Det er nok at anbefale. Ellers kan du feks bruge openswan som en VPN server, og en winxp som vpn klient og lave end to end VPN..
Hvis du søger en hurtig og meget nem linux server der skal kunne kører router/firewall/Samba/VPN-PPTP bør du kigge på www.contribs.org Kan alt det du søger out-of-the-box.
Hvilke(t) OS skal du kunne koble op imod serveren med? Er det altid de samme maskiner du skal bruge til at lave forbindelsen?
Hvis linux og ja, helt klart freeswan eller openswan. Hvis Windows og ja, muligvis freeswan eller openswan. Hvis Windows/linux og nej, kig på PoPToP vpn serveren.
Din fedora-server skal have ip_forward slået til, og dine iptables skal give vpn subnettet adgang til de porte og det ip-range, som samba kører på.
Jeg har en windows maskine der skal connecte op til en linux-vpn-server med samba ip_forward ??? er det i samba iptables ??? hvordan skal jeg give adgang til subnet
Det havde allerede virket hvis du havde installeret den SME Server fra www.contribs.org
Så skal du heller ikke rode med at åbne porte ud mod internet - At åbne SMB porte ud mod internet er sgu næsten det samme som at lade hoveddøren stå åben derhjemme!
Hvorfor er det egentligt at det er vigtigt at det er Samba du vil dele filerne over?
Det er fordi jeg prøver at lave en server hvor man via sin hjemmestation skal kunne komme ind på serveren på firmaet, så de kan arbejde hjemme, da der er nogle der bor på Fyn og firmaet ligger i Roskilde.
Det kræver selvfølgelig at du skifter til den Distro jeg har nævnt flere gange - Jeg vil vurdere at du kan få det op at spille på ca. 30 minutter excl. download tid - Iso'en er kun på 350 mb - Der er ikke grafisk brugerflade ud over web - Det er et server OS - Ikke en gang lort med alle mulige grafiske programmer og flotte screensavers :-)
Brascoe, det er såmænd rigtigt fint at du her og i andre fora udbreder kendskabet og viser lysten og viljen til at benytte SME serveren til SOHO formål. Jeg har selv længe været ivrig bruger af produktet, og været glad for det - men på det seneste er der nogle ting der er begyndt at melde sig i min bevidsthed - f.eks. at SME dåsen efterhånden er en aldrende distro, stadigvæk baseret på 2.4 kernen, og uden en eneste update frigivet til den det sidste halve år. Det kan man jo tage som man vil, men det er ikke fordi virusprogrammører og hackere har ligget på den lade side - så måske kunne grunden være en anden? På contribs.org kan man oven i købet læse (fra januar 2004) en seriøs røvfuld, skrevet af contribs.org temaet til alle de klynkende brugere af forummet. Selve skrivelsen synes jeg man selv skal kigge på, hvis man har lyst til at bruge det - men det er nu mere sikkerhedsspørgsmålet i det, jeg stiller spørgsmålstegn ved. Har man lyst til at udsætte sit firmanetværk for et (potentielt) usikkert system? Absolut ikke. Styrken i Linux har også altid været, at er der en fejl i et program, bliver der lavet en rettelse prompte. Det gør der tydeligvis bare ikke længere til SME serveren.
Til et hjemmenet ville jeg stadigvæk godt turde bruge den, men til at beskytte firmadokumenter og andre saftige hemmeligheder?
Det er korrekt at SME serveren er i krise med hensyn til hvor den skal hen og om den skal overleve overhovedet :-( - Det betyder dog ikke at den p.t. er usikker - Der er lavet lidt updates så der burde ikke være nogle huller - Med hensyn til kerne så er 2.4 MEGET stabil - jeg har svært ved at se de skrigende behov for kerne 2.6 på en server der bare skal holde lidt brugere, filer og en pptpd.
Jeg kan forstå at "dgj" overvejer/bruger Fedora Core 2 - Jeg har svært ved at se at det er bedre end SME serveren med hensyn til updates - se http://www.redhat.com/software/rhelorfedora/ Levetiden er sgu ikke lang når nu core 3 kommer på gaden.
Og det er da ikke det fede at skulle upgradere hele sin fungerende server grundet den kører på Fedora DEV/test OS - Det var derfor jeg foreslog SME Server - Hvis man kan leve med Fedora og de ubehageligheder der er ved et DEV/Test OS kan man også leve med SME Serveren.
Men du har da ret - Hvis man skal kører det i en virksomhed så er det nok klogere at vælge en anden løsning f.eks. at skille sagerne ad, så man har en dedikeret Firewall med VPN login f.eks. M0n0wall http://m0n0.ch/wall/ eller LEAF http://leaf.sourceforge.net/ eller Smoothwall http://www.smoothwall.org/ - (Smoothwall findes også i en købeversion hvis man er mere tryg ved at betale for den slags) og så en anden maskine er er Samba Filserver, mailserver og hvad man ellers skal bruge.
/ Brascoe P.s. Check Vestfyns Ale 5,7 Vol. i ALDI – Den bedste øl i Danmark uanset pris...
Først og fremmest - artiklen er ikke fra januar, den er fra 1. juli - fik byttet om på dag/måned - sorry.
Dernæst; Brascoe: Kerne 2.4 er stabil, ja. Kerne 2.6 indeholder en del flere features til bl.a. perifære enheder, kræver lidt mere ram, har måske også et par huller som kernel-teamet ikke er opmærksom på - men den er også baseret på erfaringer og koden fra kerne 2.4. Stabiliteten og sikkerheden må tiden jo vise om den også har. ;-)
Fedora er i øjeblikket inde i en rivende udvikling med stor frekvens på opdateringer, både patches og vedr. hele os'et. Det er ikke nødvendigvis en skidt ting. Der er heller ikke nogen der tvinger en til at opgradere den til core 3, lige så vel som de brugere der stadigvæk kører RedHat 9 ikke opdaterer til fedora. Grund; der laves stadigvæk patches til systemet. Hvorfor splitte et velfungerende, opdateret system ad hvis det kører som det skal?
Samme overvejelse ville jeg gøre mig mht. SME hvis jeg skulle installere den i dag. Jeg siger ikke det er en dårlig distro. Jeg gør bare opmærksom på at der er ting vedr. SME som skal med i betragtningen før man bestemmer sig for den, præcis som der skal med alle andre varianter af Linux.
De projekter du nævner (og alle andre out-of-the-box projekter der findes) fungerer fint til deres formål. Er det blot en Samba PDC med PPTP adgang, dgj skal bruge, er en SME fin til formålet. Men skal den stå på det eksterne net med sig selv som firewall, og alle services den har enabled til det store internet, ville jeg vælge den fra udelukkende fordi den ikke møder _mit_ kvalitetskrav vedr. opdateringsfrekvens. Det er op til dgj om den møder hans.
At sammenligne fedora med RedHat Enterprise Linux (et købeprodukt) er så ikke helt fair, for de henvender sig ikke til samme kundegruppe. Fedora er for folket, RHEL er til virksomheder med store krav om bl.a. oppetid og ordentlig support, de har betalt for, men jeg forstår godt hvor du vil hen med det. :-)
dgj: Om du vælger kernel 2.4 eller 2.6 til formålet som samba/pptp server er helt op til dig. Kernel 2.4 er kendt for dens stabilitet, kernel 2.6 er stadigvæk en "ung" kerne. Jeg synes du skulle vælge den, du kan få hjælp til. ;-) Linux er svær for nybegyndere, og supporten kan af og til være vanskelig at få tilstrækkeligt af. Indtil videre er der flest der kører kernel 2.4 på deres produktionssystemer, og har du ikke flere cpu'ere i samme pc, er der ingen performance-mæssig grund til at foretrække kerne 2.6.
Det, der blot er tricket er, at du vil have Windows klienter til at lave en vpn-forbindelse til en linux maskine. Det er klart nemmest at gøre med PPTP, for det er Windows født med, og med den indbyggede 128 bit kryptering har du en ret god sikkerhed på din trafik også. Er det det eneste du vil have din linux box til at køre, så gør som brascoe foreslår; Installer en SME, åbn port 1729 (svjh) i din firewall og du er kørende.
brascoe: Den SME Server, prøvede jeg at installere på en 1600MHz Duron, 512mb ram, 1280mb hdd, og fandt ud af at hdd'en var brændt sammen og alle de andre hdd's jeg har er i brug, så jeg skal prøve at installer på et senere tidspunkt, hvor jeg har en hdd der virker, Men det lyder som et "fræstene" system, så må jeg prøve og se om man kan få samba3 indpå
bonehead: Du lyder ikke helt dum til det linux, jeg har ikke kunnet få kernel 2.6 til at fungere som vpn-server.
Men da i begge har været meget villige med at hjælpe mig, synes jeg at det er fair nok at i lige meget hver.
dgj: Med m0n0wall er du oppe at kører med pptp VPN i løbet af no time - Jeg skriver gerne en howto - Så er det også ligegyldigt med opdateringer til SME Serveren(bare de så kommer til M0n0wall'en) - Du kunne sågar have en Windåse som filserver :-) - Samba3 kan opgraderes på SME Serveren se http://contribs.org/modules/pbboard/viewtopic.php?t=22730&sid=d5e05f216bae99e695f17a77319708ec - Jeg ved ikke lige hvad det er der er såååee fedt ved den Samba 3 - Men som almindelig SMB Share som netdrev i XP er det ikke nødvendigt - Hvis du vil kører din server som domain controller kan det godt være - Ved det ikke da jeg ikke bruger mine SME servers som domain controllers.
Hvis du har en gammel 2 gb disk så bare brug den til SME Serveren - Du kan altid smide flere diske i senere.
Bonehead: Hvorfor skal der åbnes for port 1729 - Det har jeg aldrig gjort med mine pptp VPN forbindelser og de kører fint.
/ Brascoe P.s. Check Vestfyns Ale 5,7 Vol. i ALDI – Den bedste Ale i Danmark uanset pris...
dgj: Kernen er ikke lavet til vpn som sådan. Den har kryptografiske algoritmer og forskellige netværksprotokoller indbygget, som du skal bruge til at lave din vpn forbindelse med. Kernen er så at sige "back end'en" i systemet. "Front-end'en" laves med f.eks. PoPToP eller FreeS/WAN, der kan hentes til de fleste distributioner. Det er denne frontend der blandt andet forhandler brugernavn/adgangskode, protokol, ip og kryptografi med klienten der prøver at skabe forbindelse. :-)
> bonehead: Du lyder ikke helt dum til det linux... Nåh... man lærer lidt efterhånden som man skruer i det. ;-)
Brascoe: pptp bruger port 1723 tcp (slog det lige op) til at skabe forbindelse. Hvis ikke du har skullet åbne den i din firewall manuelt indtil videre, gætter jeg på det er fordi du har din SME (eller monowall) kørende som router også - med to netkort, og folkene bag plejer at være så flinke, at de scripter det for dig så.
Ser sgu alvorligt ud - tror alligevel jeg vil prøve at opgradere og lave mine egne tests - Det virker alvorligt - Lidt ærgerligt at de ikke har lavet en graf med Samba 2 som er den de fleste stadig kører på - Den er garanteret også hurtigere end den Windåse - Testen virker iøvrigt ikke helt fair over for Windows 2003 Serveren - Alle ved da at det OS kræver minimum 512 mb ram for bare at holde et netkort - Så når de så også prøver at lave trafik på netkortet, så er det da klart at det ikke performer :-)
/ Brascoe P.s. Check Vestfyns Ale 5,7 Vol. i ALDI – Den bedste Ale i Danmark uanset pris...
brascoe: Jeg vil vurdere at du kan få det op at spille på ca. 30 minutter excl. download tid
Du havde ikke helt ret med de 30min, det tog kun 8min at installer, på nuværende system, og 2min at stille opsætningen :P Duron 1600Mhz, 512MB ram, 20Gb 7200RPM IDE100,
Men jeg tror fandme jeg bliver glad for det, allerede bare at komme ind på siden, gøre jo en våd i trussen, forstår ikke hvorfor de er stoppet, men det var vel fordi de ikke gad at vente på en ny kernel
Yepper - Det er en konge distro - Altså til en server :-)
Og den er ikke helt droppet - problemet er at der ikke er vedtaget en styregruppe og det giver store problemer med hensyn til hvem der laver hvad - Ikke mindst med hensyn til vedligeholdelse og opdateringer - Jesper Kundsen har lavet en update äf SSH - Hentes her: http://sme.swerts-knudsen.dk/downloads/Updates/6.0.1/
efter du har ført filerne over på din SME box køres disse komandoer i mappen hvor filerne - Køres som root:
Det er Jeff Colemann administrator og ejer af contribs.org der indleder den store flæbe sang - Men der er længere nede i tråden (4 sider ind til videre) måske begyndende lys for enden af tunnelen.
Hvis du vil ændre eller systemet så er der rig mulighed og der er lavet rigtig mange fede add-ons eller contributions til den se Jesper Knudsens side her: http://sme.swerts-knudsen.dk/
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
Ny bruger
Nybegynder
Opret
Preview
