Compartilhamento de Samba distribuído na sub-rede da VPN

Navegue suas respostas
1

Estou tentando conectar-me a um compartilhamento do Samba por meio de uma VPN que configurei usando o OpenVPN. Ambos, Samba e OpenVPN são configurados dentro de uma máquina virtual rodando o Ubunutu 14.04. No lado do cliente, estou usando várias máquinas windows. A VPN está funcionando bem, atualmente estou roteando o tráfego da web dos clientes para o www (uma espécie de proxy da web) e consigo acessar outros clientes, bem como a própria máquina de serviço (ping e sites). sub-redes atuais que uso:

  • Não tenho certeza se você pode dizer que há uma "sub-rede" no lado do servidor, pois é uma máquina virtual com sua própria VLAN
  • a sub-rede do cliente é 172.16.0.0/16
  • A sub-rede da VPN é 192.168.0.0/24

ifconfig output no servidor é (apagado o ip público): 

lo        Link encap:Local Loopback
      inet addr:127.0.0.1  Mask:255.0.0.0
      inet6 addr: ::1/128 Scope:Host
      UP LOOPBACK RUNNING  MTU:65536  Metric:1
      RX packets:22 errors:0 dropped:0 overruns:0 frame:0
      TX packets:22 errors:0 dropped:0 overruns:0 carrier:0
      collisions:0 txqueuelen:0
      RX bytes:1100 (1.1 KB)  TX bytes:1100 (1.1 KB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
      inet addr:192.168.0.1  P-t-P:192.168.0.2  Mask:255.255.255.255
      UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
      RX packets:6046 errors:0 dropped:0 overruns:0 frame:0
      TX packets:7621 errors:0 dropped:0 overruns:0 carrier:0
      collisions:0 txqueuelen:100
      RX bytes:549492 (549.4 KB)  TX bytes:6177350 (6.1 MB)

venet0    Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
      inet addr:127.0.0.1  P-t-P:127.0.0.1  Bcast:0.0.0.0  Mask:255.255.255.255
      inet6 addr: ::2/128 Scope:Compat
      UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1
      RX packets:77095 errors:0 dropped:0 overruns:0 frame:0
      TX packets:84984 errors:0 dropped:32 overruns:0 carrier:0
      collisions:0 txqueuelen:0
      RX bytes:26204249 (26.2 MB)  TX bytes:25862190 (25.8 MB)

venet0:0  Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
      inet addr:xxx.xxx.xxx.xxx  P-t-P:xxx.xxx.xxx.xxx  Bcast:xxx.xxx.xxx.xxx  Mask:255.255.255.255
      UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1

Usando uma sub-rede diferente para a VPN (10.8.0.0./24), para evitar colisões caso eu tenha supervisionado algo ... não funcionou de qualquer maneira.

O OpenVPN server.conf que uso parece com isso: 

port 1095

proto tcp

dev tun0

ca /usr/share/easy-rsa/keys/ca.crt
cert /usr/share/easy-rsa/keys/server.crt
key /usr/share/easy-rsa/keys/server.key

dh /usr/share/easy-rsa/keys/dh2048.pem

server 192.168.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

push "route 192.168.0.0 255.255.255.0"

push "redirect-gateway def1 bypass-dhcp"

;push "route 0.0.0.0 0.0.0.0"

push "dhcp-option DNS 208.67.222.222"
push "dhcp-option WINS 208.67.220.220"

client-to-client

keepalive 10 120

auth SHA1

cipher BF-CBC

comp-lzo

user <sambauser>
group <sambagroupshare>

persist-key
persist-tun

status openvpn-status.log
log-append  openvpn.log

verb 3

o <sambauser> é o usuário que possui o diretório que eu quero acessar e também é um membro do grupo <sambashare> que possui o diretório. Tentei diferentes usuários e grupos aqui também.

Talvez haja algo em que eu tenha cuidado em relação ao gerenciamento de direitos de usuário?

Eu também habilitei push "route 0.0.0.0 0.0.0.0" , desabilitei porque eu não uso de qualquer maneira.

testparm mostra o seguinte sobre o smb.conf : 

Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
WARNING: The "syslog" option is deprecated
Processing section "[homes]"
Processing section "[share]"
Loaded services file OK.
Server role: ROLE_STANDALONE

Press enter to see a dump of your service definitions

# Global parameters
[global]
    workgroup = LAB
    server string = %h server (Samba, Ubuntu)
    interfaces = tun0
    bind interfaces only = Yes
    server role = standalone server
    map to guest = Bad User
    obey pam restrictions = Yes
    pam password change = Yes
    passwd program = /usr/bin/passwd %u
    passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
    unix password sync = Yes
    log file = /var/log/samba/log.%m
    max log size = 1000
    dns proxy = No
    wins support = Yes
    usershare allow guests = Yes
    panic action = /usr/share/samba/panic-action %d
    idmap config * : backend = tdb
    hosts allow = 192.168.0.0/24


[homes]
    comment = Home Directories
    create mask = 0740
    directory mask = 0740
    directory mode = 0740


[share]
    comment = share
    path = /home/share
    create mask = 0600
    directory mask = 0740
    directory mode = 0740
    guest ok = Yes

Além disso, defini hosts allow = 192.168.0.0/24

As regras que eu uso para iptables são assim: 

#
# NAT
#

*nat

# Route all VPN Subnet traffic to the www
-A POSTROUTING -o venet0 -s 192.168.0.0/24 -j MASQUERADE
#-A POSTROUTING -s 10.8.0.0/24 -o venet0 -j SNAT --to-source 81.169.250.110
#-A POSTROUTING -s 10.8.0.0/24 -o venet0 -j SNAT --to-source $(ifconfig venet0:0 | grep -i 'inet' | cut -d: -f2 | awk '{ print }')

COMMIT

#
# FILTER
#

*filter

#
# FILTER - INPUT
#

# Log incoming traffic
#-A INPUT -p tcp -j LOG --log-prefix "iptables: " --log-level 7
#-A INPUT -p udp -j LOG --log-prefix "iptables: " --log-level 7

# Allows all loopback (lo0) traffic and drop all traffic to 127/8 that does not use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -d 127.0.0.0/8 -j ACCEPT

# Accepts all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# HTTP
-A INPUT -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -p udp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
# HTTPS
-A INPUT -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -p udp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT

# VPN
-A INPUT -p tcp --dport 1095 -m state --state NEW,ESTABLISHED -j ACCEPT

# SAMBA
-A INPUT -i tun0 -p udp --dport 137 -j ACCEPT
-A INPUT -i tun0 -p udp --dport 138 -j ACCEPT
-A INPUT -i tun0 -p tcp --dport 139 -j ACCEPT
-A INPUT -i tun0 -p tcp --dport 445 -j ACCEPT

# Allows SSH connections
# The --dport number *has to be* the same as in /etc/ssh/sshd_config
-A INPUT -p tcp -m state --state NEW --dport 22 -m limit --limit 1/m --limit-burst 5 -j ACCEPT

# Allow ping
#  note that blocking other types of icmp packets is considered a bad idea by some
#  remove -m icmp --icmp-type 8 from this line to allow all kinds of icmp:
#  https://security.stackexchange.com/questions/22711
#-A INPUT -s 10.8.0.0/255.255.255.0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
# Allow all kinds of icmp
-A INPUT -i tun0 -s 192.168.0.0/24 -p icmp -j ACCEPT

# log iptables denied calls (access via "dmesg" command)
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

# Drop everything else
-A INPUT -j DROP

#
# FILTER - FORWARD
#

# Forward all established connections
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# VPN - PROXY
-A FORWARD -o venet0 -i tun0 -s 192.168.0.0/24 -j ACCEPT

# Drop everything else
-A FORWARD -j DROP

#
# FILTER - OUTPUT
#

# Accepts all established outbound connections
-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Allow HTTP and HTTPS
-A OUTPUT -p tcp --sport 80 -j ACCEPT
-A OUTPUT -p tcp --sport 443 -j ACCEPT

# VPN
-A OUTPUT -p tcp --dport 1095 -j ACCEPT
-A OUTPUT -p tcp --sport 1095 -j ACCEPT

# SAMBA
#-A OUTPUT -p udp --dport 137 -j ACCEPT
-A OUTPUT -p udp --sport 137 -j ACCEPT

#-A OUTPUT -p udp --dport 138 -j ACCEPT
-A OUTPUT -p udp --sport 138 -j ACCEPT

#-A OUTPUT -p tcp --dport 139 -j ACCEPT
-A OUTPUT -p tcp --sport 139 -j ACCEPT

#-A OUTPUT -p tcp --dport 445 -j ACCEPT
-A OUTPUT -p tcp --sport 445 -j ACCEPT

# Allow SSH
-A OUTPUT -p tcp --sport 22 -j ACCEPT

# Allow ping
-A OUTPUT -p icmp -j ACCEPT

# Drop everything else
-A OUTPUT -j DROP

#
# /FILTER
#

COMMIT

Eu não sei, o que mais posso fazer sobre isso. Eu tentei várias configurações do iptables, como permitir que todos os INPUT venham de tun0 : -A INPUT -i tun0 -j ACCEPT .

Também tentei desativar a ligação hosts allow = 192.168.0.0/24 -line e desativada para a interface tun0 . Do outro lado eu tentei apertar a ligação da interface assim: 

hosts allow = 192.168.0.0/24
interfaces = 192.168.0.0/24 tun0
bind interfaces only = yes

que obviamente não fez nenhuma diferença notável.

Tentando acessar o compartilhamento do Windows manualmente, digitando \192.168.0.1\share ou \192.168.0.1 na linha de endereço do Windows Explorer, ele solicita uma mensagem de erro.

Eu realmente apreciaria se alguém pudesse me ajudar e agradeço qualquer sugestão!

Atenciosamente g.a

    
por g.a 09.05.2016 / 13:56

2 respostas

1

Eu vejo no seu smb.conf que você está tentando combinar a interface tun com a diretiva de configuração "bind interfaces only". Como tun não é uma interface "com capacidade de transmissão", isso não funcionará (consulte o documento do Samba para "apenas interfaces de ligação"). 192.168.0.0/24 na sua configuração posterior ainda é a mesma interface tun e, como tal, esta alteração não poderia ajudar.

Como resultado, o Samba não está escutando nada e, portanto, não pode atender a nenhum pedido.

Você pode verificar se este é o caso em log.smbd com log level = 3. Você provavelmente encontrará algo como:

[AAAA / MM / DD HH: HH: SS.ssssss, X] ../source3/lib/interface.c:316(add_interface)   não adicionando interface de difusão não tun0

[AAAA / MM / DD HH: HH: SS.ssssss, X] ../source3/lib/interface.c:543(load_interfaces)   AVISO: nenhuma interface de rede foi encontrada

    
por MTA 02.03.2017 / 10:40
0

Se você quiser acessar o samba somente através da VPN, a seção Global no smb.conf deve ter estas linhas: 

   interfaces = 127.0.0.0/8 192.168.0.0/24
   hosts deny = ALL
   hosts allow = 127.0.0.1 192.168.0.1/24
    
por Taavi 23.06.2016 / 11:56
Script de alterações do dconf Instalando alguns programas e jogos [duplicados]