Samba außerhalb des lokalen Subnetzes?

1

Ich habe gerade meinen Heimserver von einem älteren Desktop mit zwei LAN-Anschlüssen (Server B) auf einen neuen stromsparenden (Server C) mit nur einem LAN umgestellt. Ich bekomme drei IP-Adressen von meinem ISP und ich und mein Mitbewohner teilten sie wie folgt:

External Network:  68.232.0.0/16
Internal Network:  10.0.0.0/24

Coaxial---[Modem]---[10/100 Switch]
                    |  |   \------Server  B eth0              (External IP #1)
                    |  \----------Desktop A eth0              (External IP #2)
                    \-------------[E3000 Router]              (External IP #3)
                                  | | \--------Server  B eth1 (Internal IP)
                                  | \----------Desktop B eth0 (Internal IP)
                                  \------------Other Stuff    (Internal IPs)

Server B eth0 wird durch Server C eth0 ersetzt.

Ausrüstung:
-Seine:
--Router A - Cisco E300
--Desktop A - Nicht wichtig
--Server A - Nicht wichtig
-Bergwerk:
--Desktop B - 1 Ethernet, viel PCI-E, hoher Stromverbrauch
--Server B - 2 Ethernet, mäßiger Stromverbrauch, ersetzt durch Server C
--Server C - 1 Ethernet, kein PCI-E, geringer Stromverbrauch
--Schalter - Schicht 2

In meinem alten Setup (oben) habe ich den gesamten ausgehenden Datenverkehr von meinem Server (B) über die externe Schnittstelle (eth0) geleitet. Eingehende Verbindungen von der internen Schnittstelle (eth1) würden diese Schnittstelle jedoch ebenfalls verlassen. Mit dieser Methode könnte ich eine Samba-Freigabe für alle meine Medien auf meinem Server (B) haben, aber den Stromverkehr von der Broadcast-Domäne der anderen Geräte fernhalten.

In meinem neuen Setup hat der Server mit niedrigerer Leistung (C) nur einen LAN-Port (eth0) und keine interne Erweiterung (USB 2/3 ist verfügbar, aber kein PCI [-E]). Gibt es eine Möglichkeit, meine Samba-Freigabe weiterhin zu haben, aber ohne die interne Schnittstelle des Servers? Gibt es eine kostengünstige und zuverlässige Möglichkeit, eine weitere LAN-Schnittstelle hinzuzufügen?

Edit: Cisco Router ist ein Consumer-Modell und wird nicht mit DD-WRT geflasht oder ebenfalls, weil es meine Mitbewohner sind. Ich habe bei Bedarf einen älteren WRT54G mit DD-WRT zur Verfügung. Der Switch ist ein Layer-2-Switch ohne Verwaltungsschnittstelle

Bearbeiten: Der Server muss sich außerhalb des E3000-Routers befinden, da mein Mitbewohner die Portweiterleitungseinstellungen des E3000 gewöhnlich löscht.

Huckle
quelle
Unterstützt das Server-Betriebssystem VLAN-Tagging? Wenn der Switch nicht verwaltet wird, wird Trunking nicht unterstützt. Möglicherweise können Sie jedoch einen kostengünstigen verwalteten Switch erwerben.
Paul
Das Betriebssystem des Servers ist Debian-basiertes Linux, das ist also eine Option. Mein Hauptproblem (das ich vergessen habe zu erwähnen, aber irgendwie vom Verbrauchermodell impliziert) ist, dass der Router NAT'ing ist. Dies erhöht die Komplexität jedes Samba-Setups.
Huckle
Der interne Router ist NATting, aber das ist doch ein Routing-Problem? DNS sollte ausreichen, um sicherzustellen, dass sich alle Benutzer aus der Windows-Domänenperspektive sehen können. Mit einem Switch, der VLAN-Trunking unterstützt, können Sie Ihr ursprüngliches Setup mit einem einzigen LAN-Port + VLAN duplizieren wiki.debian.org/…
Paul
Vielleicht verstehe ich nicht, was Sie vorschlagen. Wenn mein Windows-Desktop eine Broadcast-Anforderung für Freigaben sendet (am 10.0.0.0/24), gelangen die Pakete bis zum NAT'ing-Router. Zu diesem Zeitpunkt haben sie das Ende der Broadcast-Domäne erreicht und werden vor dem Betreten des 68.232.0.0/16-Netzwerks gelöscht.
Huckle
Hallo, können Sie bitte folgende Punkte detaillieren: Wie viele Ethernet-Ports hat Ihr Modem? Welches Betriebssystem läuft auf Ihrem Server C? Auf welcher Maschine läuft Bittorent? Dein Desktop oder dein Server?
Olivier S

Antworten:

1

Fügen Sie den Servernamen zu Ihrer Datei% WINDIR% \ system32 \ drivers \ etc \ lmhosts hinzu und verweisen Sie den Namen auf die öffentliche IP-Adresse.

psusi
quelle
Interessanterweise war mir eine Hosts-Datei bekannt, aber diese ist neu. Ich habe einen Eintrag hinzugefügt, muss mich aber bei Ihnen melden, ob er funktioniert.
Huckle
@Huckle, lmhosts dient zum Auflösen von LAN-Managernamen (das Samba zugrunde liegende Protokoll von ca. 1995) in IP-Adressen. Wenn Sie sich das überlegen, sollte das Hinzufügen des Namens zu den Hosts (für alle IP-Namensauflösungen) ebenso funktionieren wie das Einrichten eines WINS-Servers, dem LAN-Manager von Microsoft, der DNS entspricht.
psusi
Ich habe mich mehr in diese Richtung gelehnt, aber nach weiteren Überlegungen wurde mir klar, dass dies ein großes Sicherheitsproblem sein würde. Es sollte wahrscheinlich vermieden werden, dass eine Windows-Freigabe auch auf einem * nix-System für das öffentliche Internet geöffnet ist.
Huckle
@Huckle, dafür sind Passwörter gedacht. Vielleicht möchten Sie so etwas wie fail2ban verwenden, um jeden zu blockieren, der versucht, es brutal zu erzwingen. Der Zugriff über das Internet ist nur möglich, wenn Sie den Router so konfigurieren, dass er den SMB-Port weiterleitet.
psusi
@Huckle, ich habe vergessen, dass der Server mit dem Switch verbunden sein soll. In diesem Fall können Sie Samba so konfigurieren, dass nur Verbindungen von der öffentlichen IP-Adresse des Routers akzeptiert werden und nur Ihre Mitarbeiter hinter dem Router darauf zugreifen können.
psusi
0

Es ist unwahrscheinlich, dass nur ein Router eines Consumer-Modells diese Aufgabe erfüllen kann. Für eine bessere Meinung benötigen wir das genaue Modell.

DD-WRT kann dies mit Eins-zu-eins NAT . Dazu müssen Sie Firewall-Regeln verwenden, um diese externen IP-Adressen mit Ihren internen IP-Adressen zu verknüpfen. Dazu müssen Sie auch diese internen Adressen statisch machen.

Da sich jetzt alle Computer im selben Netzwerk befinden, können Sie verwenden Servicequalität (QoS) Torrent-Verkehr zu begrenzen.

Einige hilfreiche Anwenderberichte finden Sie im Thread mehrere externe IP-Adressen .

harrymc
quelle
Sie sagen also, ich würde alle Einheiten hinter den Router stellen, sie würden alle lokale Adressen erhalten. Der Router wartet dann auf mehrere Adressen an seiner WAN-Schnittstelle und leitet den Port je nach IP an eine andere lokale IP weiter? Dies ist eine mögliche Lösung, die jedoch ein erneutes Aufflashen des Routers erfordert. Ich werde dies vorerst im Hinterkopf behalten und prüfen, ob jemand Erfahrungen mit USB-Ethernet-Dongles machen kann.
Huckle
Sie können es auf dem alten WRT54G mit DD-WRT ausprobieren, bevor Sie blinken.
harrymc
Aufgrund interner Probleme mit dem Stromkampf würde ich nicht gerne alle belästigen. Ich möchte mindestens eine Einheit außerhalb der NAT-Wand als stabilen Kontaktpunkt beibehalten. Diese Idee hat eine Menge Verdienst, aber ich denke nicht, dass es für mich funktionieren wird.
Huckle
Wenn Sie das Netzwerk partitionieren möchten, können Sie die beiden folgenden Router verwenden: Flashen Sie den neuen mit DD-WRT und den oben angegebenen Parametern und konfigurieren Sie den alten DD-WRT-Router so, dass ein internes Netzwerksegment mit Torrent-Verkehr erstellt wird ( oder verwenden Sie den Schalter, der jedoch nicht parametrierbar ist. Aber ich bin sicher, dass Sie eine äquivalente Architektur erreichen können, indem Sie NAT und QoS mit einem Router mit DD-WRT korrekt einrichten. QoS ist weitaus effektiver als jede künstliche Trennung zwischen virtuellen Netzwerken.
harrymc
1
Da Server C über USB verfügt, können Sie möglicherweise einen USB-Ethernet-Adapter verwenden: siehe auf amazon .
harrymc
0

Eine Sache habe ich nicht in Betracht gezogen und niemand hat vorgeschlagen, einen VPN-Server zu betreiben. Ich prüfe es und werde diese Antwort mit Informationen aktualisieren, wenn ich gehe.

Huckle
quelle