Probleme mit einem Samba Netzwerk und openVPN

[noiz1709]

Hallo,

zunächst eine kurze Schilderung des Szenarios:

3 räumlich voneinander getrennte Firmenstandorte sind über einen zentralen OpenVPN-Server (10.0.0.1) als Knotenpunkt vernetzt. Alle 3 Geschäfte haben eine eigene IP-Range mit jeweils 3 Windows XP-Clients, die sich einzeln mit dem Server verbinden.

Standort A: 10.0.0.10-12
Standort B: 10.0.0.20-22
Standort C: 10.0.0.30-32

Nun ist in Standort A ein Messgerät dazu gekommen, dass ebenfalls im lokalen Netz von Standort A eingebunden ist. (Das Messgerät ist jedoch nicht openVPN-fähig!).

Das Messgerät verfügt über eine Möglichkeit Messergebnisse entweder über einen Drucker im LAN auszudrucken, was auch hervorragend funktioniert. Ich möchte jedoch eine Funktion des Geräts nutzen, dass die Ausdrucke in eine Datei in einer Windowsfreigabe als Bitmap abgelegt werden. Das Gerät unterstützt diese Funktion von Haus aus.

Nun ergibt sich folgendes Problem: Wenn ich in dem Konfigurationsmenü des Geräts eine Windows-Freigabe als Druckziel (in eine Datei) einrichte findet das Gerät den entsprechenden Windows-PC nicht, wenn ich ihn über die IP ansprechen will. Nutze ich hingegen den Windows Netzwerknamen (der sowohl für das VPN als auch für das LAN gilt), so wird dieser Name in die VPN-IP des betreffenden Rechners aufgelöst (Also z.B. 10.0.0.12) und nicht die LAN-IP des entsprechenden Windows-Clients.

Ich vermute nun, dass meine Samba-Configuration auf dem openVPN-Server irgend wie dazu beträgt, dass Namens-Anfragen aus dem LAN immer mit der VPN-IP und nicht mit der LAN-IP beantwortet werden. (Was ja auch so lange korrekt ist, wie ich von einem Standort auf Freigaben in einem anderen Standort zugreifen will)

Hier ein Auszug aus der smb.conf auf dem VPN-Server:

Code: Select all

# Allgemeine Einstellungen (Einstellungen fuer Firmennetz)
  workgroup = MeineArbeitsgruppe
  netbios name = Firmenserver
  server string = Firmenserver im VPN
  dns proxy = no
  wins support = yes
  name resolve order = wins hosts bcast
  printing = BSD
  os level = 0
  preferred master = no
  local master = no

# Netzwerkeinstellungen (Nur an das VPN gebunden)
  interfaces = 10.0.0.1
  bind interfaces only = yes
  socket address = 10.0.0.1
  socket options = TCP_NODELAY IPTOS_LOWDELAY IPTOS_THROUGHPUT

# Logging und Debugging
  log file = /var/log/samba/samba.log
  max log size = 1000
  syslog = 0

# Authentifizierung
  security = user
  encrypt passwords = true
  smb passwd file = /etc/samba/smbpasswd-db

...

Danach folgt nur noch die Definition der Freigaben auf dem Server

Hat jemand eine Idee, wie ich dieses Problem lösen kann, also dass das Messgerät bei Namensauflösungen die IP im LAN des betreffenden Clients geliefert bekommt und nicht die VPN-IP?

Grüße

Nico

[papabaer]

Die erste Frage die mir durch den Kopf schießt: Warum verbinden sich alle Clients mit dem OpenVPN-Server? Mal abgesehen davon, dass das nen Haufen Konfiguration bedeutet, laufen damit alle (auch die an einem Standort lokalen) Samba-Geschichten über den VPN, anstatt direkt übers lokale LAN.

Wäre es nicht viel cleverer, die OpenVPN-Geschichte an den jeweiligen Routern der Standorte abzuwickeln, also nur 3 OpenVPN-Verbindungen zu haben? Mit ein paar statischen Routen hat man das gleiche Ergebnis, aber saubere Subnetze mit jeweils einer IP an einem Client. Zusätzlich müssten die Clients selbst kein OpenVPN mehr können, um das OpenVPN zu nutzen und das Problem mit dem Messgerät (und allem, was in Zukunft noch so dazu kommt) wäre erledigt.

[noiz1709]

Diese Option ist mir durchaus bekannt. Alle Standorte gehen über eine FritzBox ins Netz, per Freetz könnte man denen auch openVPN beibringen.

Meine Experimente mit Freetz im privaten Bereich waren jedoch bis jetzt eher ernüchternd.

Einen Vorteil bietet mir jedoch die momentane Lösung, dass jeder Client einzeln ins VPN verbindet: Ich kann von überall im VPN einzelne Clients gezielt über ihe VPN-IP zur Fernwartung per VNC erreichen.

Vielleicht noch jemand eine Idee?

Grüße

Nico

[papabaer]

Ich kann von überall im VPN einzelne Clients gezielt über ihe VPN-IP zur Fernwartung per VNC erreichen.

Kannst du mit dem beschriebenen Setup und statischen Routen auch.

Zum Problem: Die Namensauflösung in Samba-Netzen ist eine heikle Sache. Die ganze WINS-Geschichte ist eher abenteurlich implementiert mit so Spielchen wie: wer am lautesten ist gibt den Ton an. Wenn du jetzt zentral an einer Stelle ansetzt und die Auflösung dort regelst (ginge mit einem Samba-Server) hast du immer noch das Problem, dass du entweder die VPN oder die interne IP auflöst und damit einen Teil des Netzes abschießt.

Ich bleibe einfach mal dabei, dass die saubere Lösung wäre, sich vernünftige Router zu besorgen (gibbed ab 30,- EUR) und dort das VPN aufzusetzen.