Zwei VPN-Subnetze in Netzwerkumgebung?

[unisys]

Hallo!

Ich habe seit 2 Wochen eine VPN-Verbindung zwischen meinen beiden 7270er-Boxen, die auch problemlos aufgebaut werden kann.

Netz A: 192.168.1.x / 255.255.255.0 / Arbeitsgruppe: NetzA
Netz B: 192.168.2.x / 255.255.255.0 / Arbeitsgruppe: NetzB

Per Ping und über die IP-Adresse kann ich von jedem Rechner in Netz A auf jeden Rechner im Netz B zugreifen. Auch in der Windows Netzwerkumgebung kann ich mittels \\192.168.x.x auf den jeweiligen Rechner zugreifen. Doch dies ist ein klein wenig unsauber und ich würde mir was anderes wünschen...

Mein Wunsch wäre, dass ich *ALLE* Rechner in der Netzwerkumgebung sehen kann. Notfalls würde ich auch alle Rechner in die selbe Arbeitsgruppe aufnehmen, wenn es mit "NetzA" und "NetzB" nicht geht. Die Trennung der Subnetze muss jedoch (bekanntlicherweise) durch das VPN bestehen bleiben.

Eigentlich habe ich schon an "dnsmasq" gedacht, da darüber bereits viel geschrieben worden ist, aber ich habe momentan nicht den geringsten Plan, wie der richtige Ansatz lauten würde.

Hat jemand solch eine Aufgabe schon mal gelöst?

 

[cerokee]

hi,

möchtest du Ethernet Bridging realisieren ?

 

[unisys]

Hmm, ja wenn ich den Begriff richtig interpretiere, hast du schon recht.

 

[frank_m24]

Hallo,

mit der AVM Lösung geht das nicht, die überträgt keine Broadcasts. OpenVPN mit TAP wäre eine Lösung.

 

[unisys]

Gut danke dir...

Schade, dass ich auf OpenVPN umsteigen sollte, obwohl dies angeblich nicht so wirklich toll auf der Fritz laufen soll.

 

[frank_m24]

Hallo,

OpenVPN mit TUN funktioniert absolut perfekt. Stabil, schnell, zuverlässig. Damit hat man allerdings ebenfalls keine Windows Netzwrkumgebung (aber wer will das schon?). Zu TAP kann ich nichts sagen, das benutze ich nicht.

 

[cuma]

Schade, dass ich auf OpenVPN umsteigen sollte, obwohl dies angeblich nicht so wirklich toll auf der Fritz laufen soll.

Aha, Quelle?

 

[MaxMuster]

Zu TAP kann ich nichts sagen, das benutze ich nicht.

Läuft bei mir problemlos "seit Generationen" (der OpenVPN-Versionen) ;-)
Allerdings nutze ich das Netz auch nur "normal", um "mal eben" zuzugreifen. Bei starker Last mag das anders sein, wobei das vermutlich bei allen "Bridging-Lösungen" irgendwie zu erwarten ist.

Jörg

 

[unisys]

Hm, gibt es denn eine Hardwarelösung (also ohne Software), dass man zwei Subnetze bridgen kann und beide in der Netzwerkumgebung auftauchen?

Ich bilde mir eigentlich ein, dass es mit einem DNS irgendwie gehen muss, dass sich alle Rechner sehen können - ist das falsch?

 

[cuma]

Ich glaube, wenn das verschieden Subnetzt sind, brauch man einen WINS Server. Evtl kann Freetz-Samba da helfen. Aber einfach wird das nicht :-]

 

[unisys]

@cuma: Jooo, das glaub ich auch mittlerweile, dass mir das Samba-Paket helfen wird. Installiert habe ich es auch bereits, WINS aktiviert... doch was ist der entscheidende Punkt, dass dies auch wirklich klappt?

Samba Box A unter erweiterte Optionen:

#
socket options = TCP_NODELAY IPTOS_LOWDELAY
read raw = yes
write raw = yes
oplocks = yes
max xmit = 65535
dead time = 15
getwd cache = yes
lpq cache = 30
#
wins support = yes
name resolve order = wins lmhosts hosts bcast
#
domain master = yes
local master = yes
preferred master = yes
remote browse sync = 192.168.2.255

Samba Box B unter erweiterte Optionen:

#
socket options = TCP_NODELAY IPTOS_LOWDELAY
read raw = yes
write raw = yes
oplocks = yes
max xmit = 65535
dead time = 15
getwd cache = yes
lpq cache = 30
#
wins support = yes
name resolve order = wins lmhosts hosts bcast
#
domain master = yes
local master = yes
preferred master = yes
remote browse sync = 192.168.1.255

...jedoch so klappt das wohl mal nicht.

 

[unisys]

*push-nach-mehr-als-24-stunden*

Hat jemand eine Ahnung, wo das Problem liegt?

(Wahrscheinlich vor dem Bildschirm, ich weiss... *lach*)

 

[stinkstiefel]

Warum verwendest du auf beiden Seiten "wins support = yes"? Am besten du liest noch etwas zu Domain Master Browser und Cross Subnet Browsing [1].

[1] http://gertranssmb3.berlios.de/output/NetworkBrowsing.html

 

[unisys]

Hallo,

Warum verwendest du auf beiden Seiten "wins support = yes"?

Weil doch in jedem Subnetz ein WINS-Server laufen muss, oder nicht?

Weiters habe ich nach der Info:

Zitat 1: Der Domain Master Browser sollte vorzugsweise auch der lokale Master-Browser für sein eigenes Subnetz sein.

Zitat 2: Als Nächstes sollten Sie sicherstellen, dass jedes der Subnetze eine Maschine enthält, die als der lokale Master- Browser für die Arbeitsgruppe arbeiten kann.

auf beiden Seiten folgendes in meine Samba-Konfiguration übernommen:

domain master = yes
local master = yes
preferred master = yes
os level = 65

Der Wert "os level" ist allerdings unter Freetz -> Pakete -> Samba -> unter "OS Level für Election" eingetragen und der Kreuz bei "Bevorzugter Master" gemacht.

Ich habe nun gemäss der Beschreibung des Cross-Subnetz-Browsings folgende Einträge in der Netzwerkkonfiguration drinnen und auch gehabt:

Im Subnetz 192.168.1.x ist auf allen PCs/Notebooks eingetragen:

IP: 192.168.1.x
DNS: 192.168.1.1
Gateway: 192.168.1.1
WINS: 192.168.1.1

Im Subnetz 192.168.2.x ist auf allen PCs/Notebooks eingetragen:

IP: 192.168.2.x
DNS: 192.168.2.1
Gateway: 192.168.2.1
WINS: 192.168.2.1

...
aber es klappt irgendwie nicht so recht! :-(

 

[stinkstiefel]

Weil doch in jedem Subnetz ein WINS-Server laufen muss, oder nicht?

Wo steht das denn?

 

[unisys]

Ich bilde mir ein, das mal wo gelesen zu haben... :-|

Aber ich "ackere" gerade nochmal http://gertranssmb3.berlios.de/output/NetworkBrowsing.html durch und hier steht folgendes geschrieben:

Außerdem sollte nmbd in jenen Netzen, in denen Samba die einzige SMB-Server-Technologie ist, nach Möglichkeit auf einer Maschine als der WINS-Server konfiguriert werden. Das macht es einfach, die Browsing-Umgebung zu verwalten. Wenn jedes Netzwerk-Segment mit seinem eigenen Samba-WINS-Server konfiguriert ist, dann besteht der einzige Weg, das Browsing über mehrere Segmente zu ermöglichen, in der Verwendung der Parameter remote announce und remote browse sync in Ihrer smb.conf.

Ich dachte, zwei WINS-Server machen es einfacher, doch hier wird genauer:

Wenn nur ein WINS-Server für ein gesamtes Multi-Segment-Netzwerk verwendet wird, dann sollte die Verwendung der Parameter remote announce und remote browse sync nicht erforderlich sein.

Also doch der einfachere Weg mit nur einem WINS-Server!

Weiters scheint selbst Samba 3 in diesem Zusammenhang noch nicht perfekt zu sein, wenn ich mir das lese:

Seit Samba-3 wird an der Replikation von WINS gearbeitet. Der Großteil des Codes wurde bereits ins Samba-SVN übernommen, muss aber noch „reifen“. Diese Replikation ist kein unterstütztes Feature der Samba-3.0.0-Release. Hoffentlich wird es in einer der folgenden Samba-3-Releases zu einem unterstützten Feature. Derzeit unterstützt das Samba-WINS keine MS-WINS-Replikation. Das bedeutet: Wenn Sie einen Samba-Server als WINS-Server einrichten, darf nur ein nmbd als WINS-Server im Netzwerk konfiguriert sein. Manche Installationen haben mehrere Samba-WINS-Server aus Gründen der Redundanz eingesetzt (ein Server pro Subnetz) und dann remote announce und remote browse sync verwendet, um die Sammlung und Zusammenführung der Browse-Listen über alle Segmente zu erzielen. Beachten Sie, dass dies bedeutet, dass Clients nur lokale Namen auflösen, und so konfiguriert werden müssen, dass sie DNS zur Auflösung von Namen anderer Subnetze verwenden, um es ihnen zu ermöglichen, die IP-Adressen der Server anderer Subnetze aufzulösen. Dieses Setup wird nicht empfohlen, wird aber aus Gründen der Vollständigkeit und aus praktischen Überlegungen aufgeführt (d.h. als Szenario für den Moment, „wenn alles andere schief geht“).[/quote]


Also lassen wir mal die zwei WINS-Server sein! - IST DAS SINNVOLL?



Somit habe ich mich entschieden, den WINS-Server in meinem ersten Subnet auf der Fritz!Box (also dem 192.168.1.x) laufen zu laufen.


Auf den PCs/Notebooks im Subnetz 192.168.1.x steht als WINS-Server also der 192.168.1.1 drinnen. Im Subnetz 192.168.2.x sind die Geräte ebenso mit dem WINS-Server 192.168.1.1 konfiguriert. - IST DIES KORREKT?


Also weiter gehts...


Der Samba-Server auf der Fritz 192.168.1.1 bekommt folgende Konfiguration:

#
domain master = yes
local master = yes
preferred master = yes
#
wins support = yes
#

Der Samba-Server auf der Fritz 192.168.2.1 bekommt folgende Konfiguration:

#
domain master = no
local master = yes
preferred master = yes
remote browse sync = 192.168.1.1
#
wins server = 192.168.1.1

Sooo, aber das Ergebnis ist, dass die Rechnerlisten im Windowsnetzwerk zwar schnell aufgebaut werden ohne langes und suchendes Warten, doch ich sehe jeweils nur die Rechner aus dem eigenen Subnetz und der eigenen Arbeitsgruppe.



Hat es damit zu tun, dass ich jedem Subnetz eine eigene Arbeitsgruppe gegeben habe? Also ungefähr so:

192.168.1.x = Netz A
192.168.2.x = Netz B

Schön langsam werde ich immer mehr verwirrt, was die perfekte Lösung wäre. Hat jemand mal bitte kleine Tips bei der Hand, die mich auf die richtig Spur führen?

 

[unisys]

Habe es heute auch ausprobiert, ob es so klappt, dass ich in BEIDEN SUBNETS eine Arbeitsgruppe mache. Allerdings ist es mir auch damit nicht gelungen mein Vorhaben umzusetzen - wie soll denn das wirklich klappen? Ich habe mich mittlerweile schon krumm und schief gelesen an Howtos, aber ich komme einfach nicht drauf, wie es klappt...

Kann mir vielleicht ein Netzwerkspezialist mal BITTE bei meinem Problem helfen?

 

[stinkstiefel]

Versuch es mal so und prüfe wer auf beiden Seiten wirklich Local Master Browser ist. Die Sambalogs auswerten könnte für dich auch noch interessant sein.


192.168.1.1

#
domain master = yes
local master = yes
remote browse sync = 192.168.2.1
#
wins support = yes
#

192.168.2.1

#
domain master = no
local master = yes
remote browse sync = 192.168.1.1
#
wins server = 192.168.1.1

 

[unisys]

Danke, das habe ich schon gemacht - bringt aber anscheinend nichts...

Auf den PCs im Netz 192.168.1.1 habe ich als WINS 192.168.1.1 eingetragen.
Analog dazu auf den PCs im Netz 192.168.2.1 als WINS die IP 192.168.2.1.

Die Arbeitsgruppe ist bei allen Geräten (derzeit) gleich, genauso wie in beiden Fritzboxen.

Laut http://www.ip-phone-forum.de/showpost.php?p=1243476&postcount=14 gibt es aber Probleme mit Samba und dessen Logs:

Beim samba wurden alle log-Sachen rausgepacht, da ist nicht viel mit schauen.

Was nun? :noidea:

 

[Cubism]

Hat hier jemand schon irgendwelche Fortschritte erzielt?
Ich versuche derzeit bei mir auch das Browsing über einen OpenVPN-Tunnel hinweg zu realisieren und kriege es nicht hin. VPN läuft, WINS und somit Namensauflösung läuft ebenfalls. Aber in der Netzwerkumgebung taucht nur das eigene Subnetz auf. Ich habe sowohl mit den Einstellungen domain master als auch remote browse sync experimentiert. Wenn ich mir das ganze in einem Trace anschaue, dann fragt der LMB den WINS-Server auch nach der Adresse des DMB. Irgendwelche Listen werden anschließend aber nicht ausgetauscht. Ich habe mittlerweile die Vermutung, dass beim Samba nicht nur die Log-Sachen rausgepatcht wurden.