[gelöst] Samba PDC über OpenVPN nicht erreichbar

[Phillinger]

Hallo!

Ich habe in einem LAN mit dem Subnetz (192.168.0.0/8) einen Server mit Samba als PDC laufen. Seine IP-Adresse ist 192.168.0.200. Hier seine smb.conf:

[global]
        netbios name    = albert
        workgroup       = domain.org
        server string   = Server

        domain master   = yes
        domain logons   = yes

        local master    = yes
        wins support    = yes
        os level        = 254

        guest account   = nobody
        guest ok        = yes

        log level       = 2

        passdb backend          = ldapsam:ldap://localhost
        ldap suffix             = dc=domain,dc=org
        ldap admin dn           = cn=admin,dc=domain,dc=org
        ldap ssl                = no
        ldap passwd sync        = Yes
        ldap machine suffix     = ou=Computers
        ldap group suffix       = ou=Groups
        ldap user suffix        = ou=Users

        load printers           = no
        show add printer wizard = no
        printcap name           = /dev/null
        disable spoolss         = yes

Innerhalb dieses LANs kann ich mich mit Windows-Clients (XP und Windows 7) problemlos an der Domäne anmelden. Läuft.




Nun existieren mehrere Standorte, die per OpenVPN mit dem Server verbunden sind. Hier die OpenVPN.conf (der Übersicht wegen auf Netzwerk- und Routing gekürzt, Verschlüsselung ist natürlich aktiv):

# Managaement Konsole auf localhost:11940
management localhost 11940

# Device
dev tun0

# Port und Protokoll
port 1194
proto udp

# Paketgroessen
tun-mtu 1500
mssfix

#Server
mode server
server 10.0.0.0 255.255.255.0
keepalive 10 60

# Zum merken der IP-Adressen
ifconfig-pool-persist ipp.txt

# Netzwerkconfig.
push "route 10.0.0.0 255.255.255.0"

Die Standorte haben alle Router, die als OpenVPN-Clients fungieren. Diese bekommen vom Server die Route für das 10.0.0.0/8-Netz gepusht. In jedem Standort ist der Server also über die IP-Adresse 10.0.0.1 erreichbar. Von dortigen Windows-Clients kann ich über "\\10.0.0.1" auch auf die Freigaben des Servers zugreifen. Läuft.


ASCII-Art zur Veranschaulichung der Topologie:

                                                       10.0.0.5
     10.0.0.1           (               ) ========== (192.168.2.0/8)
(192.168.0.210)  ====== (    INTERNET   )
                        (               ) ==========  ....

Desweiteren habe ich in jedem Router der Niederlassungen als WINS-Server die 10.0.0.1 eingetragen. Das kommt auch als primärer WINS-Server auf den Clients an. Beispiel eines Clients in einem der Standorte (ipconfig /all - gekürzt):

Ethernet-Adapter LAN-Verbindung:

   Verbindungsspezifisches DNS-Suffix: standort1.domain.org
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   IPv4-Adresse  . . . . . . . . . . : 192.168.2.29(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : 192.168.2.1
   DHCP-Server . . . . . . . . . . . : 192.168.2.1

   DNS-Server  . . . . . . . . . . . : 192.168.2.1
   Primärer WINS-Server. . . . . . . : 10.0.0.1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Wie gesagt: Lokal im LAN des Servers funktioniert die Domänen-Anmeldung. Nun habe ich ein Notebook, das dort auch funktioniert (also bereits in der Domäne aufgenommen ist) in einen der Standorte mitgenommen und probiere nun von dort aus, mich an der Domäne anzumelden, in der Hoffnung, dass das über OpenVPN läuft.

Tut es nicht.

Ich könnte mir vorstellen, dass ich meinem Samba-PDC mitteilen muss, dass er per WINS die Info verteilt, dass er auf der IP 10.0.0.1 erreichbar ist. Richtig? Oder wie stelle ich das an, dass alle Clients erfahren, wo sie nach der Domäne suchen sollen?

 

[spoensche]

Die Adressen 10.0.0/8 sollten nur für den VPN Tunnel verwendet werden, also auch kein WINS. Dein WINS Server ist ja der Samba PDC und der hat keine 10.x IP.
Du musst den einzelnen OpenVPN Clients auch die Routen zum 192.168.0.x Netz pushen und als Gateway die 10.0.0.x des VPN Routers der Aussenstelle angeben.

Beispiel:
Aussenstelle: 192.168.2.0/24
VPN IP des Routers der Aussenstelle: 10.0.0.1

Route:
src gateway target
192.168.2.0/24 10.0.0.1 192.168.0.0/8

Ohne diese Route wirst du sonst keine Verbindung zum PDC bekommen.

 

[Phillinger]

Also der Samba PDC hat eine 10.x-Adresse. Er ist ja gleichzeitig der OpenVPN-Server und hat daher die "physikalische" Adresse 192.168.0.200 und die "virtuelle" Adresse des TUN-Device 10.0.0.1.

Die Clients in den Standorten können also nur über die 10.0.0.1 auf den Server zugreifen, da ja auf die Standort-Router nur die Route ins 10.x-Netz gepusht wird. Nun dachte ich, es wäre vielleicht möglich, durch WINS mitzuteilen, dass der PDC unter 10.0.0.1 firmiert und nicht unter 192.168.0.200.


Den Standort-Routern eine Route in das 192.168.0.0/8er Netz des Servers zu pushen wollte ich eigentlich vermeiden. Wenn es geht. Die sollen wirklich nur sternförmig auf den Server zugreifen können und nicht auf dessen ganzes Netz.

 

[Phillinger]

Okay, nach einem weiteren langen Abend des Probierens[*], habe ich es aufgegeben und einfach den Hinweis von spoensche umgesetzt: Der OpenVPN Server pusht eine Route in sein lokales Netz. Dadurch ist er für die Clients die z.B. ein 192.168.2.0/8er Netz haben unter seiner "richtigen" lokalen Adresse 192.168.0.200 erreichbar.

Anmeldung klappte auf Anhieb. Vielen Dank für den Hinweis! Thread gelöst.



[*] Probiert habe ich letzten Endes, einen statischen Vermerk in der /var/lib/samba/wins.dat auf 10.0.0.1 für die Domäne zu machen. Zeigte leider keine Wirkung.