[Eisfair] Samba über VPN

[Rolf Bensch]

Hallo Marcus,

Am 24.01.21 um 19:33 schrieb Marcus Röckrath:
> Hallo Rolf,
> 
> Rolf Bensch wrote:
> 
>>> Das in der Base kobfigurierte Netz ist erlaubt und der externe per VPN
>>> angebundene User hat doch auch eine IP aus diesem Bereich.
>>
>> Wieso das? Weiter im Thread habe ich gelesen, dass ein Fritzbox-VPN im
>> Einsatz ist. Dann hat der Externe eine IP aus dem entfernten Netz das
>> nicht mit dem lokalen Netz identisch sein darf.
> 
> Die Netzwerkadressen der beiden beteiligten netze muss verschieden sein, der
> sich verbindende Rechner aus dem entfernten Netz bekommt aber im Zielnetz
> eine IP aus dessen Bereich.
> 
> Man muss in der entfernten Fritzbox die NetBios-Option aktivieren, die
> standardmäßig aus ist.
> 
> Übrigens verwenden wir in der Firtz den Modus "Anbindung an Firmennetz" und
> nicht LAN-to_LAN-Kopplung.

Das erklärt's. Bei einer LAN-LAN-Kopplung erhält der Client _keine_ IP aus dem Server-Netz. Das läuft alles über ein Routing der FB. Auch die NetBios-Option wird erst über "Anbindung an Firmennetz" sichtbar.

> 
> Nun habe ich mal in das proftp-Log geschaut und dort ist ein Zugriff von dem
> entfernten System geloggt und zwar mit der IP im Schulnetz und nicht mit
> der IP dieses PC in seinem eigenen Netz.

Okay, das erzeugt dann aber der Netzknoten des Server-Netzes.

>> Ich mache hier auch VPN mit Wireguard und muss die jeweils entfernten
>> Netze in SAMBA_TRUSTED_NETS eintragen und hatte damit noch keine Probleme.
> 
> Kenne mich mit Wireguard nicht aus, vielleicht ist das da etwas anders, was
> vielleicht Sebastian aufklären könnte.

Wireguard macht hier eine Client-Netz-Kopplung. Die Clients-Geräte erhalten eine IP aus dem VPN-Netz, das mit dem Server-Netz nicht identisch ist.

Grüße Rolf