From: "Fred Ockert" Alex Winzer schrieb:
Wie gesagt, haben wir eine LAN-LAN-Verbindung, die über zwei Vigor- Router läuft. Die Einstellungen dort sind leicht abgewandelte Konfigurationsvorschläge aus der Anleitung, damit es Hacker trotz meiner extrem bescheidenen Kenntnisse nicht gar zu leicht haben.
nun ja das besagt nix...siehe unten
die Linux-Maschine hat also für das Netz 192.168.y.x einen extra routing Eintrag bekommen (?) denn da ist das Ziel nicht das Gateway(ins INEt)
Wie (und ggf. wo) geht das? Oder reicht da einfach schon der unten beschriebene Eintrag bei Interfaces aus.
nein der gilt nur für nmb/smb ansonsten ... Routing in Yast einstellen oder direkt in die routingtabellen reinschreiben ( /etc/sysconfig/networks/route oder so ähnlich) (ich bin da mehr der Typ,der schaut und dann weiss....korrekte Pfade zu merken ist bei mehreren verschiedenen immer so eine Sache...) ( debian auf 'ner Sun Sparc, auch mal Fedora und SuSe...)
Könnte es sich bei Yast um den Menüpunkt "Weiterleiten handeln"? Dann habe ich aber wieder das Problem nicht zu wissen, was für Routen und vor allem wie zu "legen"(?) sind.
ein einfaches route bzw. route -n zeigt dir an, wo es lang geht
Rest: man route bzw. route --help
ich mach das fast immer "zu Fuss" mit Kommandozeile... geht auch mit Putty auf 'ner Windoof-Kiste...
Werde ich mir anschauen, wenn ich wieder im Büro am Server sitze.
Nochmal meine Frage von oben: Das reicht? Oder muss ich in der Firewall noch irgendwas freigeben. Ich fühle mich sowieso schon relativ unsicher. Unter Winddof hatte ich die Möglichkeit, bestimmten Programm, Diensten oder IP-Adressen verschiedene Zugriffsrechte zu geben. Ich bin überzeugt, dass das unter Linux selbstverständlich auch geht. Habe aber leider noch nicht rausgefunden, wie genau das geht.
versteh ich jetzt nicht die Frage....aber Du weisst, wie ein VPN funktioniert ? ( ich meinen ausser " ..... einfach fabelhaft....")
Vermutlich nicht. Ich weiß nicht WIE es technisch funktioniert. Ich weiß aber - auch nach langem Probieren -. was ich an meinen Routern einstellen muss, DAMIT es funktioniert.
Da wird alles durch den (VPN)Tunnel gejagt entweder der Tunnel geht (Tunnelports offen) oder er geht nicht... du musst/solltest aus dem 192.168.y.x Netz auch http/https ... usw. durch den Tunnel jagen und erst am Ziel nach aussen lassen...
Wie kann ich das ggf. überprüfen?
na ja... dier Win-Kiste probiert alle Namensauflösungsmöglichkeiten der Reihe nach aus.... NetBIOS (da gibt es keine IP'S ..nur Namen) bzw. WINS irdwas geht dann ja... Linux erwartet eine andere Reihenfolge und kennt kein WINS....(erst der Samba Dienst kann zur WINS-Arbeit überredet werden...)
Brauche ich das dann nicht aber, wenn Windoof das gern möchte.
Win möchte ? ... auch unter Win gibt es mehrere Mechanismen, die der Reihenfolge nach verwendet werden... da gibt s \win..\system32\drivers(?)\etc\hosts auch .. da gibt es auch eine LMHosts (Wins) weil... das Internet verwendet DNS .. können muss er das .. auch wenn die Standard Reihenfolge eher WINS ist...
Ich habe jetzt in der Datei "hosts" im Verzeichnis "\WINDOWS\system32\drivers\etc" die IP in Kombination mit dem Namen meines Servers eingetragen. Jetzt kann ich den auch mit Namen anpingen.
ach ja...Smaba ist so organisiert..dass die Namen der Rechner per Broadcast verteilt werden....MS sagt: nach spätestens 30 Minuten sollen alle Maschinen im Netz bekannt sein....
Das klappt mit den Windows-Kisten auch im entfernten Sub-Netz(VPN). Aber den Samba-Rechner bekomme ich auch nach Tagen nicht zu Gesicht. Selbst nach meinem Eintrag in der Datei "hosts" vor ca. 1 h hat sich nichts getan.
... also musst du das der Linux Maschine auch sagen...dass 192.168.y.x auf das Tunnel-IF gerouted werden soll - hast du schon?
Vermutlich nicht. Geht das auch mit "interfaces = ..."?
nein ... SuSi will "richtige " routing-Einträge ...s.o. Yast oder die Routentabelle direkt mit einem Editor das Standardgateway lass bitte in Ruh' Zusatzrouting ist gefragt ( 192.168.y.0 über Gate= VPN Router )
Gibt es dazu Anleitungen (siehe oben)?
ich glaube eher nicht, dass ein Router WINS macht.... ich denke aber auch, dass der VPN Tunnel auch 192.168.y.255 routed...
Das tut er. Ich habe mal route PRINT unter Windoof eingegeben und er hat mir die Adressen 192.168.Y.255 angezeigt. Allerdings verstehe ich nicht wozu er das routet. Denn ein Gerät hängt da nicht dran.
die Broadcastadressen a.a.a.255 werden meist nicht gerouted........WINS geht mit Broadcast's...
...
hmmm .. ich route hier nix primär mit WINS ...als (unnützer) Zusatzdienst lästig... WinNT (ab NT4.0) kann auch TCP/IP Routing...
glaub doch nicht, dass andere schlauer als du angefangen haben.... ehmm ... wie wär's mit google.de (?)
Das Problem liegt darin, dass mir die Suchbegriffe nicht einfallen. Wenn man tiefer in der Materie steckt ist das kein Problem mehr. Aber da muss man erstmal hin kommen.
der Worte hast du ja erst mal einige.... ansonsten ... denke mal du verwendest im Moment Peer-to-Peer Services (?) jeder User muss lokal eingetragen sein...lokal angemeldet sein.
Das will ich gerade abschaffen ...
in Domains gibt es dann nur noch einen (administrator) User, denn der Rechner lokal kennt. Rest liegt auf dem (P)DC..inclusive der Profile! Profile werden aber nach lokal kopiert.. und belegen da Plattenplatz...
... und hier will ich hin. Gerade weil ich häufiger Rechner austauschen muss und das Anlegen der Benutzer und das Setzen der Einstellungen extrem nervt. Das zentrale Speichern der Profile ist Klasse. Habe das jetzt schon mit einem jungfräulichen Windoof getestet und mich sofort nach der Anmeldung heimisch gefühlt ;-) Gruß Alex -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Rechtsanwalt A. Winzer schrieb:
From: "Fred Ockert" Alex Winzer schrieb:
Wie gesagt, haben wir eine LAN-LAN-Verbindung, die über zwei Vigor- Router läuft. Die Einstellungen dort sind leicht abgewandelte Konfigurationsvorschläge aus der Anleitung, damit es Hacker trotz meiner extrem bescheidenen Kenntnisse nicht gar zu leicht haben.
nun ja das besagt nix...siehe unten
die Linux-Maschine hat also für das Netz 192.168.y.x einen extra routing Eintrag bekommen (?) denn da ist das Ziel nicht das Gateway(ins INEt)
Wie (und ggf. wo) geht das? Oder reicht da einfach schon der unten beschriebene Eintrag bei Interfaces aus.
nein der gilt nur für nmb/smb ansonsten ... Routing in Yast einstellen oder direkt in die routingtabellen reinschreiben ( /etc/sysconfig/networks/route oder so ähnlich) (ich bin da mehr der Typ,der schaut und dann weiss....korrekte Pfade zu merken ist bei mehreren verschiedenen immer so eine Sache...) ( debian auf 'ner Sun Sparc, auch mal Fedora und SuSe...)
Könnte es sich bei Yast um den Menüpunkt "Weiterleiten handeln"? Dann habe ich aber wieder das Problem nicht zu wissen, was für Routen und vor allem wie zu "legen"(?) sind.
irgendwo Yast2 -> netzwerkkgeraete->Netzwerkkarte->"karte auwählen -> routing->Konfiguration für experten -> hinzufügen ... ersatzweise: auf der console route add -net 192.168.y.x gw router.21.ip [gw linuxs.ip] route bzw. route --help...
ein einfaches route bzw. route -n zeigt dir an, wo es lang geht
Rest: man route bzw. route --help
ich mach das fast immer "zu Fuss" mit Kommandozeile... geht auch mit Putty auf 'ner Windoof-Kiste...
Werde ich mir anschauen, wenn ich wieder im Büro am Server sitze.
hmm ... so mit Fortweiterleitung ..usw. geht das auch von irgendwo ( name über dyn-ip-service) so auch mit Putty au ner woindoofkiste..zur Not auch per 56k Modem connect mein.rechner.dynips.net:port_was_weiss_ich oder ... da gibt es viele andere den Port solltest du intern durch die Firewall schummeln (weiterleiten nennt man das dann und auf die Zielmaschine schubsen und dort auf den richtigen Port Standard 22 aber man kann auch was anderes...)
Nochmal meine Frage von oben: Das reicht? Oder muss ich in der Firewall noch irgendwas freigeben. Ich fühle mich sowieso schon relativ unsicher. Unter Winddof hatte ich die Möglichkeit, bestimmten Programm, Diensten oder IP-Adressen verschiedene Zugriffsrechte zu geben. Ich bin überzeugt, dass das unter Linux selbstverständlich auch geht. Habe aber leider noch nicht rausgefunden, wie genau das geht.
versteh ich jetzt nicht die Frage....aber Du weisst, wie ein VPN funktioniert ? ( ich meinen ausser " ..... einfach fabelhaft....")
Vermutlich nicht. Ich weiß nicht WIE es technisch funktioniert. Ich weiß aber - auch nach langem Probieren -. was ich an meinen Routern einstellen muss, DAMIT es funktioniert.
dann lassen wir dast mal so....
Da wird alles durch den (VPN)Tunnel gejagt entweder der Tunnel geht (Tunnelports offen) oder er geht nicht... du musst/solltest aus dem 192.168.y.x Netz auch http/https ... usw. durch den Tunnel jagen und erst am Ziel nach aussen lassen...
Wie kann ich das ggf. überprüfen?
na z.B. mit Tracert/traceroute sagen wir: traceroute www.google.de .... da solltest du die einzelnen Router sehen ... und da du weisst, welcher was rauslässt.. sollte es da lang gehen (sch... allgemeine Formulierung) die (internen VPN IP-Nummern muss man nicht sehen) aber 192.168.y.29 muss über 192.168.x.?? und dann erst in's öffentliche Netz gehen...
na ja... dier Win-Kiste probiert alle Namensauflösungsmöglichkeiten der Reihe nach aus.... NetBIOS (da gibt es keine IP'S ..nur Namen) bzw. WINS irdwas geht dann ja... Linux erwartet eine andere Reihenfolge und kennt kein WINS....(erst der Samba Dienst kann zur WINS-Arbeit überredet werden...)
Brauche ich das dann nicht aber, wenn Windoof das gern möchte.
Win möchte ? ... auch unter Win gibt es mehrere Mechanismen, die der Reihenfolge nach verwendet werden... da gibt s \win..\system32\drivers(?)\etc\hosts auch .. da gibt es auch eine LMHosts (Wins) weil... das Internet verwendet DNS .. können muss er das .. auch wenn die Standard Reihenfolge eher WINS ist...
Ich habe jetzt in der Datei "hosts" im Verzeichnis "\WINDOWS\system32\drivers\etc" die IP in Kombination mit dem Namen meines Servers eingetragen. Jetzt kann ich den auch mit Namen anpingen.
ist aber ne Arbeite für einen, der ......... was auch immer ... als Strafe augegbrummt bekommen hat.. das sollte der Lokale DNS wissen... kannst ja den Linux Rechner einfach als DNS "verdonnern" ?? -> DNS-Linuxs-> DNS-Router-> DNS-Internetprovider... (dann muesteste nur die /etc/hosts auf Susi pflegen...) ist noch kein richtiger Nameserver ..aber na ja... dein Router geht ja auch weiter fragen, wenn er nicht den Namen kennt...
ach ja...Smaba ist so organisiert..dass die Namen der Rechner per Broadcast verteilt werden....MS sagt: nach spätestens 30 Minuten sollen alle Maschinen im Netz bekannt sein....
Das klappt mit den Windows-Kisten auch im entfernten Sub-Netz(VPN). Aber den Samba-Rechner bekomme ich auch nach Tagen nicht zu Gesicht. Selbst nach meinem Eintrag in der Datei "hosts" vor ca. 1 h hat sich nichts getan.
der sollte - die gleiche Arbeitsgruppe (?) haben wie die WinRechner [muss nicht unbedingt] - der soll (Zugriff) einen LinuxNutzer haben und einen Sambanutzer (mit smbpassword -a einrichten..) ersatzweise -> win -> rechner suchen = ip-Nummer ein geben...dann sollte der auch sichtbar werden...
... also musst du das der Linux Maschine auch sagen...dass 192.168.y.x auf das Tunnel-IF gerouted werden soll - hast du schon?
Vermutlich nicht. Geht das auch mit "interfaces = ..."?
nein ... SuSi will "richtige " routing-Einträge ...s.o. Yast oder die Routentabelle direkt mit einem Editor das Standardgateway lass bitte in Ruh' Zusatzrouting ist gefragt ( 192.168.y.0 über Gate= VPN Router )
Gibt es dazu Anleitungen (siehe oben)?
im Prinzip ja, aber....
ich glaube eher nicht, dass ein Router WINS macht.... ich denke aber auch, dass der VPN Tunnel auch 192.168.y.255 routed...
Das tut er. Ich habe mal route PRINT unter Windoof eingegeben und er hat mir die Adressen 192.168.Y.255 angezeigt. Allerdings verstehe ich nicht wozu er das routet. Denn ein Gerät hängt da nicht dran.
er routet nicht -> er weiss aber, wo er Pakete mit diesem IP-Bereich hinschicken soll....
die Broadcastadressen a.a.a.255 werden meist nicht gerouted........WINS geht mit Broadcast's...
der Worte hast du ja erst mal einige.... ansonsten ... denke mal du verwendest im Moment Peer-to-Peer Services (?) jeder User muss lokal eingetragen sein...lokal angemeldet sein.
Das will ich gerade abschaffen ...
jau... ( Gruppen einrichten für User, Maschinen, ggfs. mehrere Gruppen wenn nicht jeder alles sehen soll...) -Linux user einrichten -maschinen einrichten ( Name der Maschine+ Dollarzeichen) - sambauser einrichten smb.conf richtig einstellen für Profilspeicherung... mit WinMaschine der Domain beitreten.... anmelden -> geht! ach ja... der Maschinenaccount muss auf Dollar enden -> das geht in Yast aber nicht ! also doch Kommandozeile.... adduser -u uid -g gid -c "komment-wer ist das" -s /bin/false useraccountname anschliessend password user Maschinen haben kein Passwort.../ kein smbpasswort ein(!) adminaccount (z.B. root ) sollte auch ein smb-passwort haben.. der wird zum Beitreten gebraucht und muss in der Gruppe root liegen..
in Domains gibt es dann nur noch einen (administrator) User, denn der Rechner lokal kennt. Rest liegt auf dem (P)DC..inclusive der Profile! Profile werden aber nach lokal kopiert.. und belegen da Plattenplatz...
... und hier will ich hin. Gerade weil ich häufiger Rechner austauschen muss und das Anlegen der Benutzer und das Setzen der Einstellungen extrem nervt. Das zentrale Speichern der Profile ist Klasse. Habe das jetzt schon mit einem jungfräulichen Windoof getestet und mich sofort nach der Anmeldung heimisch gefühlt ;-) na ja .. dann fehlt nur noch die Sicherung der Windoofkiste...und...und...und...
Gruß
Alex na ja ..wenn es zu speziell wird kann man das dann per PMail weiterspinnen...
Gruss Fred PS: hab mal geschaut , wo die Domain hingehört.... hmmm bin dort geboren... -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (2)
-
Fred Ockert
-
Rechtsanwalt A. Winzer