samba mit mehreren rechnern

[The Hit-Man]

ich habe mal ne frage zu samba.
ist es möglich einen samba server zu haben, an dem sich wieder andere samba server anmelden können? soll heißen, ich habe einen rechner, der einen server spielen soll. im netz befinden sich allerdings mehr rechner. natürlich kann ich auf jeden einzelnen per samba drauf zu greifen. nun möchte ich aber auch von außen über einen ssh tunnel drauf zu greifen können. auf den server komme ich ja von außen, auf die freigaben. nun möchte ich aber, ohne weitere ports öffnen zu müssen auch an die anderen rechner/freigaben kommen ( so eine art vpn ), denn per vpn würde das ja ohne probleme gehen. geht das auch anders, über die ssh? oder kann ich mehere rechner über den ssh server tunneln? quasi vom server weiter tunneln auf den nächsten rechner. hört sich ziemlich verzwickt an, aber ich fuckel mich da gerade irgendwie durch.

nfs hatte ich auch schon getestet, damit würde es gehen, das ich von dem haupt server, die verzeichnisse der anderen rechner mounten kann. nun ist ja bekannt das dann alle UIDs auf allen rechner gleich bleiben müssen. so was würde man ja mit einem NIS lösen. allerdings befinden sich auch manchmal windows rechner im netz und da ist es nicht soooooo dolle mit nfs, auch wenns da nen paar komische lösungen gibt.

oder wie macht ihr das wenn mehrere rechner zu hause vernetzt sind, auf die man auch von außen drauf greifen möchte? per VPN? nur damit habe ich mal gar keine erfahrungen.

[Cae]

Kann man deinen Wunsch so zusammenfassen? Du willst über einen SSH-Tunnel nicht nur auf den Tunnelpartner, sondern auch auf Rechner in dessen Netz zugreifen.
Ja, klar geht das, dazu muss der Tunnelpartner nur routen dürfen und können.

Gruß cae

[cosmac]

hi,

solange es nur um Windows-Freigaben geht, kannst du die doch einfach auf dem Server mounten. Also im Prinzip so wie mit nfs, nur eben mit cifs -- das verstehen alle Windows- und Linux-Rechner. Das kostet pro Windows-Freigabe ein neues Verzeichnis und einen Eintrag in der /etc/fstab. Von außen erscheinen dann alle Freigaben als lokale Verzeichnisse des Servers.

Ansonsten melde ich mich ganz normal per ssh auf dem einzigen Rechner mit Verbindung nach außen an. Von da geht's dann mit einer zweiten ssh-Verbindung auf interne Rechner, die ssh verstehen, oder per smbclient auf den Rest der Welt.

[The Hit-Man]

ich möchte die freigaben ja nach draußen über den router schleifen, daher den ssh tunnel. an die idee, intern mit nfs und extern mit samba zu arbeiten, war ich auch schon gekommen. aber ich wollte auch nicht so viel arbeit haben um die benutzer doppelt pflegen zu müssen. das doofe ist allerdings ( wenn ich nur nfs, nehme ), das ich den nfs-server auf dem server nicht starten kann ( bekomme irgendeine fehlermeldung ). des weiteren sind nicht immer alle rechner online. das heißt, ich mache sie nur bei bedarf an. dann stellt sich dir frage, wie bekommt der server mit, die freigaben zu mounten. hatten mir ein kleines script geschrieben, das ständig "mount -a" auf dem server ausführt. das hat auch so weit hin gehauen. vielleicht sollte ich doch einfach bei nfs bleiben. nur unter windows gibts, so weit ich das weiß, nur komerzielle lösungen, für einen nfs client.

[uname]

Wenn ich ehrlich sein soll bin ich weder ein Fan von NFS noch von Samba. Auch ist WebDAV(s) keine wirkliche Alternative. Ich nutze eigentlich nur scp/sftp. Unter Linux gibt es SSHFS, wo man dann einfach das sftp-Verzeichnis leicht mounten kann. Und da SSHFS im Prinzip SSH ist braucht man nicht mal einen eigenen SSH-Tunnel. Somit vielleicht intern Samba oder NFS und nach extern SSHFS.

Für Windows scheint es dafür

http://www.swish-sftp.org

zu geben. Nicht selbst probiert. Keine Garantie für nichts. Aber vielleicht ein Blick wert. Vielleicht gibt es für Windows auch bessere SSHFS-Lösungen wie z.B. http://dokan-dev.net/en/

[The Hit-Man]

windows kann sshfs? ich habe mal irgendwo was bei einem japanischem programmierer ein c# programm gefunden, das sooooo eben mal sshfs einbinden konnte. war ne sehr wackelige angelegenheit. aus dem grund war ich ausgewichen. sshfs ist schon genial ( da haste recht ). aber, mein server auf dem lenny läuft ( armel-version ), bekomme ich das fuse modul nicht ans laufen und das brauche ich ja für sshfs, oder? ich kann das fuse modul ohne probleme laden, jedoch wenn ich ein verzeichnis mit sshfs mounten mag, dann bekomme ich immer die meldung, ich solle das fuse modul laden. es ist aber definitiv geladen. daher weiß ich nicht wie ich da sshfs nutzen soll.

unter sshfs haste, so weit ich weiß, nicht diese probleme mit dem benutzer UIDs. das hat nen vorteil.

[uname]

aber, mein server auf dem lenny läuft ( armel-version ), bekomme ich das fuse modul nicht ans laufen und das brauche ich ja für sshfs, oder?

Das FUSE-Modul ist nur für den Client wichtig. Und der Benutzer muss wohl in der Gruppe "fuse" sein soweit ich mich erinnere.

[The Hit-Man]

erst mal, sorry, es läuft squeeze drauf.
der server wäre ja dann der client, denn der server soll ja die clients intern mounten damit die nach außen erreichbar sind, über den server.
naja, habe ja versucht mit root zu mounten und aus spaß habe ich den auch noch in die gruppe fuse gepackt auch wenn das nicht nötig sein sollte.
das linux ( squeeze ), was auf der kiste ist, ist eher nen abgespecktes, zusammengehacktes squeeze. normalerweise sollte auf dem rechner nur ein windows CE drauf sein. mit ach und krach, habe ich aber nen squeeze drauf bekommen. die kiste besitzt keine festplatte, sondern nur eine SD karte, wo man mit uboot in das squeeze booten kann. allerdings war ein fuse modul dabei, das sich wie gesagt auch laden läßt. das wars aber dann auch schon
ein lsmod ergibt:

Code: Alles auswählen

Module                  Size  Used by
fuse                   53332  1 
proc_gpio               1960  0 
fbcon                  36844  70 
tileblit                2400  1 fbcon
font                    7956  1 fbcon
bitblit                 4872  1 fbcon
softcursor              1516  2 fbcon,bitblit

ein sshfs 192.168.0.100:/home /mnt/test/ ergibt:

Code: Alles auswählen

fuse: device not found, try 'modprobe fuse' first

[uname]

Ich habe noch mal den ganzen Thread von oben bis unten kurz überfolgen. Die Idee ein Laufwerk von einem "Client" auf einem "Server" zu mounten nur um dort als Tunnelende verfügbar sein solltest du doch verwerfen und damit auch die Idee FUSE auf den Server zu packen.
Du solltest dich vielleicht doch mit openVPN auseinandersetzen und dann wirst du wohl auch dein Samba welches intern vielleicht läuft auch über openVPN nutzen können. Das wäre eher der korrekte Ansatz.

Übrigens:
Selbst wenn du einen SSH-Tunnel willst kannst du mit Local-SSH-Forwarding Ports von "Clients" über den "Server" bis ins Internet besorgen. Ob das mit Samba geht weiß ich nicht, bei SSH(FS) wäre es in etwa so:

Auf Linux-Client im Internet:

Code: Alles auswählen

ssh -L:2222:interne-ip:22 user@dyndns -N
sshfs user@localhost:/pfad/rechner-intern /pfad/zum/mountpoint -p 2222

Bei Windows kannst du das irgendwo in Putty konfigurieren.

[The Hit-Man]

so, wie das sehe, mit deinem tunnel-vorschlag, kann ich ja nur den server durchschleifen ( was ich ja auch wollte ). oder ist es möglich auch die anderen rechner durch den server zu schleifen und zu mounten? man, ist das alles verwirrend.

[uname]

Nein. Du kannst auch Dienste von Clients (Samba, NFS, SSH/SFTP) über den Server durchschleifen. Auf dem Server musst du jedoch SSH-Forwarding aktivieren.

[The Hit-Man]

in welcher conf unter /etc/ssh stelle ich das forwarding ein?

[uname]

Code: Alles auswählen

man sshd_config

Such mal selbst. Mag wohl defaultmäßig aktiviert sein.

[The Hit-Man]

ja, meine ich nämlich auch...

[The Hit-Man]

okidoki, das hat seo weit gut hin gehauen und zwar so:

Code: Alles auswählen

ssh -L 127.0.0.2:2022:192.168.0.101:22 htm-network.dyndns.org -N
sshfs sfrohwein@127.0.0.2:/ ~/intranet/tv-rechner/ -p 2022

jetzt habe ich noch eine frage, ist das OK, das ich dann für jeden user ein script schreibe, damit die verzeichnisse im home-verzeichnis gemountet werden? ich glaube damals hatte ich das sshfs unter root in das wurzelverzeichnis gemountet und jeder nutzer konnte dann drauf gehen. hatte den vorteil, ich brauchte es nur ein mal zu mounten.
allerdings habe ich den root account in der ssh ausgeschaltet. was ist also sinnvoller?
den root account wieder aufzumachen um die verzeichnisse nur ein mal zu mounten? oder für jeden user einzelnd?

EDIT:
und noch eine frage, wo muß ich die verschlüsselung einstellen? schon beim tunneln oder beim mounten? würde gerne eine kleinere verschlüsselung nehmen, wegen der rechenpower.

[uname]

Also an der Verschlüsselung würde ich nicht drehen. Ich denke bei Rechnern des 21. Jahrhunderts macht die Verschlüsselung nicht mehr sooo viel aus. Wie viele Jahrzehnte sind die Rechner denn alt? Du könntest noch mit "-C" versuchen die Daten zu komprimieren. Bin mir nur aktuell nicht ganz sicher bei welchem der beiden Befehle
Du kannst im übrigen das SSH-Forwarding beim Booten des Clients (z.B. /etc/rc.local) durchführen. Hierfür musst du SSH-Keys austauschen, damit du kein Passwort eingeben musst. Ob du auch das ganze /home als root per SSHFS mounten und dann für jeden Benutzer nutzen kannst weiß ich nicht genau. Musst du probieren. Könnte sein dass es nicht geht, da wohl FUSE exklusive Rechte einrichtet.
Naja. Mittlerweile ist der Aufwand so groß, dass vielleicht openVPN einfacher und vielleicht sogar stabiler wäre. Wäre wohl die elegantere Lösung.

[The Hit-Man]

naja, der server hat nicht viel power ( arm-prozi mit 300MHz ) allerdings kannste den tunnel mit -c eine leichtere verschlüsselung mit geben, wie zum beispiel blowfish. doch, es macht ne menge aus wenn du die verschlüsselung runter drehst. kann das gut an meinem conky sehen. mit dem sshfs und mounten unter root, brauchste so weit ich nur die option allow_others mit angeben. dann können auch andere nutzer drauf zu greifen ( ich meine mich zu erinnern ). naja, vpn wollte ich nicht ganz so gerne nehmen ( weiß auch nicht so ganz genau, wie man das einrichtet ). ich kann zwar den server einrichten, aber kann mich nie wirklich per vpn dann verbinden ( hat bis jetzt nie geklappt ).

woher weiß ich denn wenn ich einen tunnel erstelle, ob dieser dann auch verfügbar ist? als ich mir mit python/paramiko mir einen tunnel selber programmiert hatte, stand ich vor dem selben problem. wie checke ich ab ob der tunnel erfolgreich aufgebaut wurde, damit ich dann die verzeichnisse mounten kann?

dann kommt das nächste problem. ich will ja, das die user nur die ports weiter leiten können, sich aber nicht per ssh einloggen und eine shell bekommen. das soll auch unterbunden werden.
ich hätte nun nicht gedacht, das ein privates netzwerk so schwierig unter linux ist. obwohl ich es mir unter windows noch schwieriger vorstelle.

EDIT: das mit der schlüsselvergabe für das sshfs und die ssh ist mir bekannt. das ist auch schon erledigt.

[uname]

Schwierig ist es eigentlich nur weil du kein openVPN nutzen möchtest.

woher weiß ich denn wenn ich einen tunnel erstelle, ob dieser dann auch verfügbar ist

Der zugehörige Port sollte per "localhost" verfügbar sein:

Code: Alles auswählen

netstat -an |fgrep 2222
tcp        0      0 0.0.0.0:2222            0.0.0.0:*               LISTEN

dann kommt das nächste problem. ich will ja, das die user nur die ports weiter leiten können, sich aber nicht per ssh einloggen und eine shell bekommen. das soll auch unterbunden werden.

Gib den Benutzern auf deinem "Server" die Shell "/bin/false". Notwendigerweise muss dann der SSH-Befehl wie schon oben beschrieben die Option "-N" erhalten, um keine Shell zu starten. Auch kannst du einen gemeinsamen Pseudo-User mit Shell "/bin/false" einrichten. Soll sich der Benutzer auch nicht auf dem "Client"-Server per SSH anmelden schau dir z.B. scponly bzw. die möglichen Einschränkungen in /etc/ssh/sshd_config an.

Ach die Idee z.B. ganz /home für alle Benutzer per SSHFS zu mounten wirst du verwerfen müssen. Das funktioniert nicht. Per FUSE gemountete Verzeichnisse sind nur für den jeweiligen Benutzer zugreifbar. Keine Ahnung ob das irgendwie umgangen werden kann. Ist aber auch ein Sicherheits-Feature. Selbst "root" kann nur über Umwege auf Benutzer-FUSE-Verzeichnisse zugreifen.

[The Hit-Man]

nun gut, ich habe eh bischen zeit. ich versuchs mal mit openvpn. hast du zufällig ne gute anleitung? ich meine, ich kenne mich ja ein wenig aus, aber so richtig schlau, bin ich noch aus dem was ich gefunden habe, noch nicht geworden.

EDIT:
des weiteren müßte ich für das vpn wieder einen neuen port öffnen. es wäre wohl unsinn, ein vpn zu tunneln, da es ja eh schon verschlüsselt ist.

[The Hit-Man]

das mit dem openvpn haut irgendwie nicht hin. wollte es dann noch noch mal per ssh tunneln versuchen. nun habe ich nen neues problem. ich habe mir einen user angelegt, mit dem man nen tunnel aufbaut ( das funtzt ). allerdings kann ich mit einem anderem benutzer dann nicht auf den tunnel zugreifen ( um meine sshfs verzeichnisse zu mounten ). gibts da ne option, das ich auf den tunnel von einem anderen benutzer zu greifen kann?

[Cae]

allerdings kann ich mit einem anderem benutzer dann nicht auf den tunnel zugreifen

Nach meinem Verständnis bindet der Tunnel zwei Ports unterschiedlicher Systeme aneinander; wer schließlich die Daten durch den Tunnel schickt, sollte unerheblich sein. Ob die Endpunkte die Pakte wie gewünscht weiterleiten, ist wiederum eine Frage von iptables.

Gruß Cae

[The Hit-Man]

also ich baue so die tunnel auf:

Code: Alles auswählen

#!/bin/sh

tunnel=`netstat 127.0.0.2 -an |fgrep 2022`
if [ -z "$tunnel" ]; then
	echo "baue ssh tunnels auf ..."	
	ssh -f -c blowfish -L 127.0.0.4:2022:192.168.0.101:22 htm-network-tunnel@htm-network.dyndns.org -N >> /dev/null &
	#ssh -f -c blowfish -L 127.0.0.3:2631:192.168.0.100:631 htm-network-tunnel@htm-network.dyndns.org -N >> /dev/null &
	#ssh -f -c blowfish -L 127.0.0.3:2022:192.168.0.100:22 htm-network-tunnel@htm-network.dyndns.org -N >> /dev/null &
	#ssh -f -c blowfish -L 127.0.0.2:2022:192.168.0.110:22 htm-network-tunnel@htm-network.dyndns.org -N >> /dev/null &
else
	echo "tunnel sind schon aktiv"
fi

nun mounte ich das ganze so:

EDIT:

Code: Alles auswählen

sshfs -p 2022 benutzer_ich@127.0.0.4:/ /home/benutzer_ich/intranet/tv-rechner/

und bekomme dann ein: read: connection reset by peer.

[Cae]

Das ist ja schonmal herrlicher Unsinn. Wenn du einen Server auf einen lokalen Port binden willst, dann in der Form 127.0.0.1:4242. Nicht irgendwelche anderen IPs in 127.0.0.0/8. Stell' mal alle lokal gewünschten IPs auf 127.0.0.1 und die Ports auf unterschiedliche Werte.

Gruß Cae

[The Hit-Man]

Stell' mal alle lokal gewünschten IPs auf 127.0.0.1 und die Ports auf unterschiedliche Werte.

das hat den selben effekt. und warum ist das so verwerflich das auf 127.0.0.4 zu verbiegen? das komische ist doch das wenn ich die verzeichnisse mounte, mit dem benutzer, der auch den tunnel gebaut hat, gibts ja keine probleme. das will ich aber vermeiden.
ich will einen tunnel aufbauen, mit einem tunnel user, der für alle benutzer nutzbar ist. denn sonst komme ich ihn schwierigkeiten wenn jeder benutzer seinen eigenen tunnel aufbauen will.

mein ssh tunnel scheißt dieses hier raus wenn ich versuche das verzeichnis mit meinem usernamen zu mounten:

Code: Alles auswählen

channel 1: open failed: administratively prohibited: open failed

für mich sieht das irgendwie nach rechten aus. alle beide benutzer haben natürlich den passenden schlüssel.

EDIT:
versuche ich mich dann per ssh über den tunnel anzumelden, bekomme ich diese ausgabe:

Code: Alles auswählen

debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to 127.0.0.1 [127.0.0.1] port 5022.
debug1: Connection established.
debug3: Incorrect RSA1 identifier
debug3: Could not load "/home/benutzer_ich/.ssh/id_rsa" as a RSA1 public key
debug2: key_type_from_name: unknown key type '-----BEGIN'
debug3: key_read: missing keytype
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug2: key_type_from_name: unknown key type '-----END'
debug3: key_read: missing keytype
debug1: identity file /home/sfrohwein/.ssh/id_rsa type 1
debug1: Checking blacklist file /usr/share/ssh/blacklist.RSA-2048
debug1: Checking blacklist file /etc/ssh/blacklist.RSA-2048
debug1: identity file /home/benutzer_ich/.ssh/id_rsa-cert type -1
debug1: identity file /home/benutzer_ich/.ssh/id_dsa type -1
debug1: identity file /home/benutzer_ich/.ssh/id_dsa-cert type -1
debug1: identity file /home/benutzer_ich/.ssh/id_ecdsa type -1
debug1: identity file /home/benutzer_ich/.ssh/id_ecdsa-cert type -1
ssh_exchange_identification: Connection closed by remote host

[Cae]

Das riecht nach einer Schlüsseldatei, die (durch die Übertragung ?) kaputt ist. Vielleicht liegt's am Encoding oder das Format ist Murks. Kontrollier' das mal:

Code: Alles auswählen

debug3: Could not load "/home/benutzer_ich/.ssh/id_rsa" as a RSA1 public key

So als Idee: Ist der Schlüssel mit Blowfish kompatibel?

Gruß Cae