OVPN Zugriff auf Freigaben

german

#1

Hallo,

ich habe über OpenVPN von außen Zugriff auf die Home-Verzeichnisse, die auf dem UCS Master AD-System liegen.
Die Daten-Freigaben sind aber auf einem Member Server und werden vom Domain Master mit verwaltet.
Ein Aufruf der Netzwerkliste - mit Windows XP - führt zu keinem Ergebnis. Der Dateiserver wird, wenn ich eine Netzwerkverbindung von Hand einzurichten versuche, nicht erkannt. Woran kann das liegen?
Danke für Tipps!

Gruß - R.S.


Zugriff auf eine Freigabe über VPN
Samba über OpenVPN
#2

Hallo,

geht der Zugriff über die IP-Adresse?

Viele Grüße,
Dirk Ahrnke


#3

Guten Morgen,

das kommt auch auf die Art des Netzwerks an.
Ist es ein routed - Netzwerk der Ebene 3 werden die Netbios-Namen nicht übertragen. Das geht nur in einem bridged-Mode.

Ansonsten muss in die OVPN Konfiguration noch ein
push dns xx.xx.xx.xx mit der Adresse des UCS,

Dann funktioniert auch die Namensauflösung über den Tunnel.

Ansonsten würde ich auch versuchen die IP-Adresse zu pingen und dann per nslookup ob die Namen richtig aufgelöst werden.

Viele Grüße
Stefan Lorenz


#4

Guten Tag,

danke für die Tipps. Leider bringt mich das nicht weiter. Ping auf den File Server funktioniert, und der Name lässt sich auch mit nslookup auflösen. Es ist aber wohl ein Routed Netzwerk (mit tun), und tap wird vom Server - der läuft auf der Firewall - nicht unterstützt.
Mich wundert nur, dass das früher auch mit einem Samba 3-Netzwerk funktioniert hat. Jetzt läuft die Host-Abfrage nach Windows-Netzwerken voll ins Leere. Der Name des internen Netzes wird nach langem Suchen gerade noch angezeigt und dahinter dann nichts mehr. Noch irgendwelche Ideen?

Gruß - Ralph Sikau


#5

Hallo,

ich denke stefanlor ist auf der richtigen Fährte:

[quote]Ansonsten muss in die OVPN Konfiguration noch ein
push dns xx.xx.xx.xx mit der Adresse des UCS,
[/quote]

Überprüfen Sie doch mal (ipconfig /all), was der Windows-Client vom VPN für Angaben bekommen hat.

Wenn da der Nameserver (UCS DC) nicht dabei ist, dann sollte man ihn im OpenVPN Server nachtragen.

Zum Test, ob dies das Problem behebt, kann man clientseitig in den OpenVPN Einstellungen (Reiter “IPv4 Einstellungen”) den UCS DC auch als “zusätzlichen DNS Server” eintragen. (Das kann auch schon eine “Lösung” sein, wenn man an die Servereinstellungen nicht rankommt. Wenn es ein großes Deployment ist, kann man ja den Nutzern auch fertige OpenVPN Client Konfigurationen zur Verfügung stellen, in denen die Einstellungen drin sind)

Eine andere Sache, an der es auch liegen kann, selbst wenn der DNS Server richtig eingestellt ist: die Suchdomain. Die Frage ist: wenn Sie im VPN angemeldet sind und suchen mit nslookup nach einem Hostnamen allein, findet es ihn nicht; was passiert, wenn Sie den vollen Hostnamen samt UCS-Domain-Prefix suchen? Wenn er da gefunden wird, fehlt in den VPN-Einstellungen die Suchdomain.

viele Grüße
Frank Greif


#6

Funktioniert den der nslookup vom Windowsclient aus?
Ansonsten würde ich vor allem die Berechtigungen prüfen. Sind die Maschinen die auf die Verzeichnisse zugreifen wollen alle in der Domäne bzw. deren Nutzer?

Geht den eine manuelle Einbindung von der Windows-Kommandozeile aus?
Also net use T: \ip_des_fileservers\freigabe

wenn ja, dann

net use T: \unc\freigabe

Die Home-Verzeichnisse werden sauber über den Tunnel eingebunden, nur die Freigaben auf dem Fileserver nicht?
Ist die Univention-Firewall eingeschaltet?
Welche Ports bzw. IP’s sind in der Firewall freigegeben für die Kommunikation über den Tunnel? Meist ist das ja nicht nur eine einzige Firewall ggü dem Internet sondern der Tunnel sollte auch noch gegenüber dem normalen Netz geschirmt sein:

Client === Tunnel === Firewall (Internet) ===OPVPN-Server (DMZ)==== Firewall ==== internes Netz

Was passiert denn im Samba-Log auf dem Fileserver?

Da es ein Routed-Netzwerk ist (tun-device) wird die Netzwerkliste nie befüllt da Netbios auf Layer 2(MAC) arbeitet und tun nur Layer3 (IP) transportiert. Allerdings ist eine Umstellung auf bridged nur in Ausnahmefällen empfehlenswert.
Nachtrag:
Dennoch muss WINS noch richtig konfiguriert werden:

sdb.univention.de/content/6/180/ … -wins.html


#7

Hallo Herr Lorenz,

ich danke Ihnen sehr, dass Sie sich die Zeit nehmen für so ausführliche Überlegungen. Aber …

[quote=“stefanlor”]Funktioniert den der nslookup vom Windowsclient aus?
Ansonsten würde ich vor allem die Berechtigungen prüfen. Sind die Maschinen die auf die Verzeichnisse zugreifen wollen alle in der Domäne bzw. deren Nutzer?
Geht den eine manuelle Einbindung von der Windows-Kommandozeile aus?
Also net use T: \ip_des_fileservers\freigabe[/quote]
Der nslookup von Windows aus funktioniert. Der Rechner - mein Laptop - ist nicht Mitglied der Domäne, da bei der Anmeldung noch keine VPN-Verbindung steht. Er ist aber Mitglied der Windows-Arbeitsgruppe, und ich bin als Nutzer in der Domäne registriert.
Eine manuelle Einbindung geht auch nicht, weil der Server nicht erkannt wird, obwohl die Namesauflösung funktioniert.

[quote=“stefanlor”]Die Home-Verzeichnisse werden sauber über den Tunnel eingebunden, nur die Freigaben auf dem Fileserver nicht?
Ist die Univention-Firewall eingeschaltet?
Was passiert denn im Samba-Log auf dem Fileserver?[/quote]
Die Firewall ist ausgeschaltet, weil ein Firewall- und Routersystem vorgeschaltet ist. Und das lässt den Zugriff auf das Home-Verzeicnis ja durch.

[quote=“stefanlor”]Da es ein Routed-Netzwerk ist (tun-device) wird die Netzwerkliste nie befüllt da Netbios auf Layer 2(MAC) arbeitet und tun nur Layer3 (IP) transportiert. Allerdings ist eine Umstellung auf bridged nur in Ausnahmefällen empfehlenswert.
Nachtrag:
Dennoch muss WINS noch richtig konfiguriert werden.[/quote]
Es müsste auch ohne Umstellung auf bridged gehen. Und ja, WINS ist der Anleitung entsprechend eingerichtet.
Ich bin jetzt aber auch für längere Zeit nicht mehr an diesem Rechner und kann deshalb keine weiteren Experimente mehr machen. Trotzdem erst mal vielen Dank!

Gruß - Ralph Sikau


#8

Ich möchte an der Stelle nochmal nachfragen:
Was sagt die Meldung wenn der Befehl

net use T: \\ip_des_fileservers\freigabe auf der Windows-Kommandozeile ausgeführt wird?

Welcher Arbeitsgruppe denn? Die ist hier auch nicht relevant da der Samba in der Domäne arbeitet.

[quote]
Eine manuelle Einbindung geht auch nicht, weil der Server nicht erkannt wird, obwohl die Namesauflösung funktioniert.[/quote]
Manuelles Einbinden hat ja nichts mit der DNS-Auflösung zu tun. Das ist ja nur ein Komfortbonus in diesem Fall.

Genau, die Home-Verzeichnisse liegen aber auf dem Master und nicht auf dem Member.
Ich würde zumindest zur Sicherheit direkt die Firewall mit

iptables -L auf der Konsole des Memberservers testen.