NFS Freigaben mit Hostnamen

[The Hit-Man]

Also ich glaube langsam du brauchst ein anderes Konzept. Wozu bitte muss denn jeder Client gleichzeitig auch Server für alle anderen sein
Wäre esnicht sinniger EIN System zum Server zu erklären?

Was ist daran falsch das jeder Rechner auch eine Freigabe hat? Aber da drum geht es ja auch nicht ...

Darum ging es nicht. Du hast doch Probleme mit einem bestimmten Client, der das entfernte Verzeichnis via NFS mounten soll. Da würde ich gerne mal wissen was da verbose steht. Geht per

Nein, alle Rechner lassen sich nicht mehr mit dem Hostnamen mounten, NUR EINER.

[cosinus]

Was ist daran falsch das jeder Rechner auch eine Freigabe hat? Aber da drum geht es ja auch nicht ...

Natürlich geht es darum nicht, aber ich halte dieses Konzept für unsinnig. Dann ist Datei A nur auf Rechner A, Datei B nur auf Rechner B und Datei Z nur auf Rechner Z. Wenn alle Dateien verfügbar sein sollen muss JEDER PC an sein?!
Mach da einen Host zum Server oder kauf dir ein stromsparendes Gerät wie RaspberryPi und daran meinetwegen dicke Platte anschließen und per NFS, SMB oder sonstwas freigeben oder was auch immer dein Bedürfnis ist. Kann ja auch gleich ein dickes NAS sein.

Nein, alle Rechner lassen sich nicht mehr mit dem Hostnamen mounten, NUR EINER.

Meine Güte dann halt eben so rum... ...Trotzdem interessiert mich die verbose-Ausgabe von einem NFSMount-Versuch

[The Hit-Man]

Natürlich geht es darum nicht, aber ich halte dieses Konzept für unsinnig. Dann ist Datei A nur auf Rechner A, Datei B nur auf Rechner B und Datei Z nur auf Rechner Z. Wenn alle Dateien verfügbar sein sollen muss JEDER PC an sein?!

Du verstehst das Konzept nicht. Ein starker Rechner ist zum Beispiel zum Bauen von Paketen da. Wenn ich das nun über das langsame WLAN laufen lassen würde, wäre das mega schlecht. Also baut der starke Rechner die Pakete und ich kann sie dann abholen mit jedem Client.
Dann habe ich 2 Raspberries an jeden TV dran. Zum Besipiel zum daddeln. Wenn ich jetzt alles .iso Dateien zum daddeln über das Wlan laufen lasse wäre das mega schlecht. Verstehste mich jetzt? Dann sind Freigaben, Gold wert wenn ich mal eben nen paar isos auf die Raspberries packen muß.
Also glaub mir, da steckt schon ein Konzept da hinter. Aber wie gesagt, auch da drum geht es nicht

Meine Güte dann halt eben so rum... ...Trotzdem interessiert mich die verbose-Ausgabe von einem NFSMount-Versuch

Poste ich morgen. Muß mich gerade um etwas anderes kümmern ...

[mat6937]

Du hast weiter oben geschrieben, dass in der resolv.conf die 192.168.1.1 als nameserver eingetragen ist. Wie sind dann die Ausgaben von:
nslookup 192.168.10.23 192.168.1.1
nslookup nexus 192.168.1.1

Ich hatte mal die Fritzboxen getauscht. Der Hostname wurde richtig aufgelöst.

Funktioniert jetzt auch das reverse-DNS (für diesen Hostname) mit der FritzBox?
Wenn Du nicht das DHCP der FritzBox benutzt bzw. die IPv4-Adresse von außerhalb der DHCP-range der FritzBox ist, kannst Du nsupdate (zum registrieren des A-records) benutzen und eine (temporäre) fake-Portweiterleitung in der FritzBox auf diese IPv4-Adresse, damit das reverse-DNS mit der FritzBox funktioniert.

[cosinus]

Du verstehst das Konzept nicht. Ein starker Rechner ist zum Beispiel zum Bauen von Paketen da. Wenn ich das nun über das langsame WLAN laufen lassen würde, wäre das mega schlecht.

Nee, tue ich auch nicht, und auch nicht, was eine starke CPU mit der physischen Netzwerkanbindung zu tun hat. Wenn man viele Rechner hat wäre ein gemeinsamer Fileserver wirklich das beste. Oder glaubst du ich richte im Büro für meine Kollegen auf jedem Rechner eine Freigabe ein?

Also baut der starke Rechner die Pakete und ich kann sie dann abholen mit jedem Client.

Gut, ist dein Konzept. Aber wenn sowieso jeder auf jeden zugreifen soll, versteh ich dieses Hickhack mit den Hostnames noch weniger. Mach einfach ein * statt Hostname oder IP-Adresse da rein und fertig.

Code: Alles auswählen

/home/u0                *(rw,async,no_subtree_check,all_squash,anonuid=1000,anongid=1000)
/mnt                    *(rw,async,no_subtree_check,all_squash,anonuid=0,anongid=0)

[The Hit-Man]

Gut, ist dein Konzept. Aber wenn sowieso jeder auf jeden zugreifen soll, versteh ich dieses Hickhack mit den Hostnames noch weniger. Mach einfach ein * statt Hostname oder IP-Adresse da rein und fertig.

Code: Alles auswählen

/home/u0 *(rw,async,no_subtree_check,all_squash,anonuid=1000,anongid=1000)
/mnt *(rw,async,no_subtree_check,all_squash,anonuid=0,anongid=0)

Wie schon am Anfang geschrieben, genau das wollte ich ja nicht. Aber ich glaube, ich habe den Fehler ... Das Netzwerk ist noch nicht online oder bereit wenn der NFS-Server die Hostnamen exportieren will.

Mit einem:

Code: Alles auswählen

systemctl enable NetworkManager-wait-online

klappen auch wieder die NFS mounts mit den Hostnamen. Ich kann mich nur nicht entsinnen diesen Dienst ausgeschaltet zu haben? Und was mache ich wenn ich gar keinen NetworkManager nutze?

[mat6937]

..., ich habe den Fehler ... Das Netzwerk ist noch nicht online oder bereit wenn der NFS-Server die Hostnamen exportieren will.

Mit einem:

Code: Alles auswählen

systemctl enable NetworkManager-wait-online

klappen auch wieder die NFS mounts mit den Hostnamen. Ich kann mich nur nicht entsinnen diesen Dienst ausgeschaltet zu haben? Und was mache ich wenn ich gar keinen NetworkManager nutze?

Erfolgt das mounten mit einer service-unit oder gleichwertig? Wenn ja, kannst Du Abhängigkeiten definieren/eintragen/konfigurieren. Wenn nicht, dann gibt es andere Möglichkeiten das mounten zu verzögern, bis das Netzwerk online ist.

[The Hit-Man]

Erfolgt das mounten mit einer service-unit oder gleichwertig? Wenn ja, kannst Du Abhängigkeiten definieren/eintragen/konfigurieren. Wenn nicht, dann gibt es andere Möglichkeiten das mounten zu verzögern, bis das Netzwerk online ist.

Ne, das Netzwerk muß auf dem NFS Server vorher online sein, bevor der NFS Server startet. Erst dann kann der NFS Server die Hostnamen richtig auflösen, die er vom DNS bekommt und den DNS bekommt er ja erst wenn das Netzwerk online ist.

[cosinus]

Wie schon am Anfang geschrieben, genau das wollte ich ja nicht.

Ja, aber warum bzw. was dich daran stört versteh ich nicht. Es soll doch eher jeder an alle Freigaben kommen. Und aus dem Internet direkt kommt doch eh keiner auf die NFS-Freigaben, wenn nur welche aus dem internen Netzwerk. Wenn du schon Angst vor irgendwelchen internen Geräten hast dann führt ja an sowas wie nftables/iptables nichts mehr vorbei...

Aber ich glaube, ich habe den Fehler ... Das Netzwerk ist noch nicht online oder bereit wenn der NFS-Server die Hostnamen exportieren will.

Wie hast du das denn rausgefunden?

[The Hit-Man]

Ja, aber warum bzw. was dich daran stört versteh ich nicht. Es soll doch eher jeder an alle Freigaben kommen. Und aus dem Internet direkt kommt doch eh keiner auf die NFS-Freigaben, wenn nur welche aus dem internen Netzwerk. Wenn du schon Angst vor irgendwelchen internen Geräten hast dann führt ja an sowas wie nftables/iptables nichts mehr vorbei...

Schau mal ... wenn ich jetzt nen Kollegen hier surfen lassen würde, was man ja hin und wieder macht ( und nein, ich will kein Gast Netz haben ), dann könnte er doch mit seiner Kiste auf die Freigaben zu greifen und das möchte ich doch nicht. Nicht um sonst kann man ja Hostnamen oder IP Adressen für Freigaben nehmen. Und wie gesagt, Hostnamen sind mir lieber wie IP Adressen denn hin und wieder tausche ich mal die Fritte aus und die könnte einen anderen IP Bereich haben.

Wie hast du das denn rausgefunden?

Mit nem Kollegen telefoniert. Der hatte mal ein Problem das seine Uhr am Rechner immer falsch lief weil wohl der Dienst zum synchronisieren der Uhrzeit vor dem Netzwerk lag? Zu mindest gab er mir den Rat mal den besagten Dienst zu starten.
Irgendwo war mir aber schon klar das es am Netzwerk liegen mußte wenn eben Hostnamen nicht aufgelöst werden können.

[cosinus]

Schau mal ... wenn ich jetzt nen Kollegen hier surfen lassen würde, was man ja hin und wieder macht ( und nein, ich will kein Gast Netz haben ), dann könnte er doch mit seiner Kiste auf die Freigaben zu greifen und das möchte ich doch nicht.

Und was machst du wenn dieser böse Kumpel/Kollege weiß welchen Hostname er braucht, seiner Kiste diesen zuweist und die Fritzbox das auch via DNS registriert? DNS lässt nämlich mehrere Einträge für einen und denselben Hostname zu. Eine wirklicher Schutz ist das mit den Hostnames also nicht. Da würde ich lieber auf sshfs oder samba setzen wo man sich mit Key und/oder User und Passwort authenfizieren kann bzw. muss, je nachdem wie man einstellt.
Aber Leute, bei denen ich befürchten muss, dass die in meinen persönlichen Daten herumschnüffeln würde ich doch nicht ins Netzwerk lassen...

[The Hit-Man]

Und was machst du wenn dieser böse Kumpel/Kollege weiß welchen Hostname er braucht, seiner Kiste diesen zuweist und die Fritzbox das auch via DNS registriert? DNS lässt nämlich mehrere Einträge für einen und denselben Hostname zu. Eine wirklicher Schutz ist das mit den Hostnames also nicht. Da würde ich lieber auf sshfs oder samba setzen wo man sich mit Key und/oder User und Passwort authenfizieren kann bzw. muss, je nachdem wie man einstellt.

Der gleiche Hostname wäre wie die gleiche IP. Mein DHCP paßt da schon auf. Nein, die Kollegen sind nicht bösartig. Allerdings einen kleiner Schutz ist das dann schon. Die Freigaben sind eben nur für mich ... und wenns hart auf hart kommt, dann eben ein VLAN oder eben nen Gast Netz für Besucher. Ist ja irgendwie auch so noch geplant. Ich mag eben NFS ... Man könnte ja auch noch Kerberos nehmen oder LDAP? Aber das brauche ich bis jetzt noch nicht ...

[cosinus]

Der gleiche Hostname wäre wie die gleiche IP. Mein DHCP paßt da schon auf.

Also wenn du da so einen Wert drauf legst, solltest du das lieber nochmal testen. Ich kenn das so, dass der Client dem DHCP-Server auch seinen Hostname mitteilt. Und wenn da jemand deinen erlaubten Hostname seiner eigenen nicht erlaubten Kiste gibt, dann kann man den Zugang erschleichen. Statische Adressen willst du ja auch nicht, also kann man auch nicht anhand der IP-Adresse sagen ob der Client erlaubt ist oder nicht.

Allerdings einen kleiner Schutz ist das dann schon.

Ein bisschen mehr als ein Feigenblatt ist das. Wenn du es richtig absichern willst: sshfs oder samba nehmen. NFS verwende ich auch, aber nicht für vertrauliche Dinge zB im Büro verwende ich das, um aus GRML-Livelinux heraus Images auf Rechner auszurollen, damit ich mir die manuelle Installation von Windows und Programme erspare.

[The Hit-Man]

Das mag doch alles so sein ... Aber das ist doch alles Intern für mich. Und es ging ja hier um die Hostnamen die nicht vom NFS Server aufgelöst werden konnten und auch das würde unter Samba passieren ...

SSHFS hat leider echt zu viel Overhead. Ich habe hier doch nur eine alte Fritte mit 300Mbit (wlan) wenn es hoch kommt. Zu mal bei meiner alten Hardware. SSHFS nutze ich sehr gerne auf meine virtuellen Server im Netz aber doch nicht intern.

[MSfree]

Und es ging ja hier um die Hostnamen die nicht vom NFS Server aufgelöst werden konnten und auch das würde unter Samba passieren ...

Samba authentifiziert den Benutzer, da wird keine Hostnamensauflösung benötigt.

SSHFS hat leider echt zu viel Overhead.

Nur, wenn du eine uralte CPU verwendest. Mein i7-2600 (der ist 14 Jahre alt) kann bereits AES in Hardware. Im GBit-LAN komme ich damit auf rund 110MByte/s ohne nennenswerte CPU-Last.

Ich habe hier doch nur eine alte Fritte mit 300Mbit (wlan)

Was soll das mit SSHFS zu tun haben?

Mit meinem 17 Jahre alten Core2-Q9300, der kein AES in Hardware kann, schaffe ich rund 30MByte/s im GBit-LAN. Bei einem WLAN mit 300MBit/s brutto kommen letztlich nur rund 19MByte/s netto raus, also weniger als der Q9300 schaffen würde. Der Overhead durch Software-AES wäre hier also immer noch uninteressant.

Zu mal bei meiner alten Hardware.

Wirklich älter als meine beiden genanten Systeme?

SSHFS nutze ich sehr gerne auf meine virtuellen Server im Netz aber doch nicht intern.

Und warum nicht intern? Das scheinen mir doch irgendwie Vorurteile zu sein.

[cosinus]

Und es ging ja hier um die Hostnamen die nicht vom NFS Server aufgelöst werden konnten und auch das würde unter Samba passieren ...

Naja, dir ging es um Sicherheit, die bei NFS eher ein Feigenblatt ist wenn man alles nur am Hostname festmacht, ob man da rauf darf oder nicht. Bei Samba passiert das nicht, da kannst ruhig deinem ganzen lokalen Netzwerk Zugriff gewähren wenn du es mit User+Passwort absicherst.

SSHFS nutze ich sehr gerne auf meine virtuellen Server im Netz aber doch nicht intern.

Bei der heutigen leistungsfähigen Hardware kann man auch gut SSHFS intern verwenden.

[mat6937]

Ne, das Netzwerk muß auf dem NFS Server vorher online sein, ...

BTW: Du kannst das mounten auch mit der Option "_netdev" versuchen, denn:

_netdev
gibt an, dass sich das Dateisystem auf einem Gerät befindet, das Netzwerkzugriff erfordert (wird dazu verwendet,
das System an Versuchen zum Einhängen des Dateisystems zu hindern, bevor das Netzwerk auf dem System aktiviert wurde).

Quelle: manpage