netbios через внутренний шлюз

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
sidney
рядовой
Сообщения: 49
Зарегистрирован: 2011-07-10 21:16:17

netbios через внутренний шлюз

Непрочитанное сообщение sidney » 2011-10-19 10:56:28

есть одна большая сеть, в сети 2 здания, которые соединены через оптический канал
хочу поставить внутренний шлюз в один из сегментов и вынести его в отдельную подсеть, сервер настроил, оно все работает, но появилась проблема с разрешением netbios имен из одной сети в другую, не критично на самом деле, но не приятно
ада нет, есть 2 вин-сервера с базами 1с и файлопомойкой
схема такая:
сеть1 (2вин-сервера) -- gw1 -- |оптика| -- gw2 -- сеть2
нужно из сети2 разрешать имена в сети1 (те самые вин-сервера) и обратно
как лучше реализовать это? если поставить wins-сервер на gw1 его надо в ручную указывать каждому клиенту, или выдавать по dhcp
но хотелось бы так, что бы имена сами бы транслировались в обе сети

спасибо

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

sidney
рядовой
Сообщения: 49
Зарегистрирован: 2011-07-10 21:16:17

Re: netbios через внутренний шлюз

Непрочитанное сообщение sidney » 2011-10-19 14:55:14

не долго погуглив, открыл я мануал по самбе и нашел то, что мне надо:
wins support = yes
remote browse sync = net2
remote announce = 10.5.1.255/WORKGROUP\

но ведь нихера оно не работает, самба не делает синхронизацию
максимум, что мне удалось добиться - в сетевом окружении друг у друга появились сами wins-серверы, а клиентов по прежнему нет

FrIcE
рядовой
Сообщения: 44
Зарегистрирован: 2010-04-05 17:46:51

Re: netbios через внутренний шлюз

Непрочитанное сообщение FrIcE » 2011-10-19 15:19:48

Имена транслироваться не будут.
Для вышеозначенной задачи нужно наличие DNS либо WINS сервера, который скармливается клиентам во всех подсетях.

sidney
рядовой
Сообщения: 49
Зарегистрирован: 2011-07-10 21:16:17

Re: netbios через внутренний шлюз

Непрочитанное сообщение sidney » 2011-10-19 15:57:07

почему не будут? если можно через WINS сервер самбы транслировать broadcast netbios?
remote announce = 10.5.1.255/WORKGROUP

но почему оно не работает, я не понимаю, в логах все хорошо

FrIcE
рядовой
Сообщения: 44
Зарегистрирован: 2010-04-05 17:46:51

Re: netbios через внутренний шлюз

Непрочитанное сообщение FrIcE » 2011-10-20 5:57:17

Код: Выделить всё

remote announce (G)
    This option allows you to setup nmbd(8)to periodically announce itself to arbitrary IP addresses with an arbitrary workgroup name.

    This is useful if you want your Samba server to appear in a remote workgroup for which the normal browse propagation rules don't work. The remote workgroup can be anywhere that you can send IP packets to. 
Эта опция служит для присутствия самбы в разных подгруппах на разных IP адресах, к анонсу netbios имён она отношения не имеет.

Код: Выделить всё

remote browse sync (G)
    This option allows you to setup nmbd(8) to periodically request synchronization of browse lists with the master browser of a Samba server that is on a remote segment. This option will allow you to gain browse lists for multiple workgroups across routed networks. This is done in a manner that does not work with any non-Samba servers.

    This is useful if you want your Samba server and all local clients to appear in a remote workgroup for which the normal browse propagation rules don't work. The remote workgroup can be anywhere that you can send IP packets to. 
Это же синхронизация browse-листа с другим Sabma-сервером.

Таким образом, для анонса компьютеров без использования DNS/WINS необходимо 2 samba в обеих подсетях с настроенным remote browse sync, при этом каждая samba должна быть мастером в своей подсети.

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: netbios через внутренний шлюз

Непрочитанное сообщение snorlov » 2011-10-20 10:18:41

Можно еще
1. поиметь 2-а виндовых wins сервера в каждом из сегменте и настроить репликацию баз друг на дурга
2. можно в одном сегменте поставить так называемого wins-прокси, который будет транслировать запросы на wins сервер в другом сегменте

Ну и последние замечания,
1.если у вас XP и выше, то они разрешение сначала делают по DNS, может проще настроить DDNS
2. кто вам по DHCP мешает выдавать адрес wins-сервера, находящегося в другом сегменте, и параметр 0x46 wins/nbt node type равный 0x8, ведь получив его клиент сам будет регистрироваться на этом сервере

sidney
рядовой
Сообщения: 49
Зарегистрирован: 2011-07-10 21:16:17

Re: netbios через внутренний шлюз

Непрочитанное сообщение sidney » 2011-10-20 12:02:16

пытаюсь сделать репликацию, 2 самбы в разных сегментах, в 1 мастер домена(она шлет лист во вторую), во 2 локальный мастер (только принимает)
сеть1 10.5.1, сеть2 10.5.2, в уперся вот в это:
на первом

Код: Выделить всё

 Samba server SPROXY is now a domain master browser for workgroup WORKGROUP on subnet 10.5.1.254
  *****
[2011/10/20 12:45:32.525949,  0] nmbd/nmbd_become_lmb.c:416(become_local_master_fail2)
  become_local_master_fail2: failed to register name WORKGROUP<1d> on subnet 10.5.1.254. Failed to become a local master browser.
[2011/10/20 12:45:32.526493,  0] nmbd/nmbd_browsesync.c:485(get_domain_master_name_node_status_fail)
  get_domain_master_name_node_status_fail:
  Doing a node status request to the domain master browser at IP 10.8.20.2 failed.
  Cannot get workgroup name.
[2011/10/20 12:45:32.539386,  0] nmbd/nmbd_namelistdb.c:307(standard_fail_register)
  standard_fail_register: Failed to register/refresh name WORKGROUP<1d> on subnet 10.5.1.254
на втором

Код: Выделить всё

Samba name server GATEWAY15 is now a local master browser for workgroup WORKGROUP on subnet 10.5.2.254
  *****
[2011/10/20 12:47:40.775409,  1] nmbd/nmbd_incomingrequests.c:327(process_node_status_request)
  process_node_status_request: status request for name WORKGROUP<1b> from IP 10.5.2.254 on subnet UNICAST_SUBNET - name not found.
[2011/10/20 12:47:46.793135,  1] nmbd/nmbd_incomingrequests.c:327(process_node_status_request)
  process_node_status_request: status request for name WORKGROUP<1b> from IP 10.5.2.254 on subnet UNICAST_SUBNET - name not found.
[2011/10/20 12:48:01.812379,  0] nmbd/nmbd_browsesync.c:247(domain_master_node_status_fail)
  domain_master_node_status_fail:
  Doing a node status request to the domain master browser
  for workgroup WORKGROUP at IP 10.5.2.254 failed.
  Cannot sync browser lists.
конфиги
первый:

Код: Выделить всё

  
workgroup = WORKGROUP
server string = %h server
   wins support = yes
   local master = yes
   preferred master = yes
   domain master = yes
   os level = 255
   remote browse sync = 10.5.2.254
   name resolve order = wins bcast
interfaces = eth0
bind interfaces only = yes
второй:

Код: Выделить всё

workgroup = WORKGROUP
   server string = %h server
  wins support = yes
  local master = yes
  domain master = no
  preferred master = yes
  os level = 65
name resolve order = wins bcast
interfaces = eth0
bind interfaces only = yes
Кеш самбы чистил, перечитал кучу мануалов, но оно по прежнему не работает =(

sidney
рядовой
Сообщения: 49
Зарегистрирован: 2011-07-10 21:16:17

Re: netbios через внутренний шлюз

Непрочитанное сообщение sidney » 2011-10-20 12:29:29

snorlov писал(а):Можно еще
1. поиметь 2-а виндовых wins сервера в каждом из сегменте и настроить репликацию баз друг на дурга
2. можно в одном сегменте поставить так называемого wins-прокси, который будет транслировать запросы на wins сервер в другом сегменте

Ну и последние замечания,
1.если у вас XP и выше, то они разрешение сначала делают по DNS, может проще настроить DDNS
2. кто вам по DHCP мешает выдавать адрес wins-сервера, находящегося в другом сегменте, и параметр 0x46 wins/nbt node type равный 0x8, ведь получив его клиент сам будет регистрироваться на этом сервере
DHCP - единственное верное решение, но был бы дхцп, я бы с самбой не танцевал

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: netbios через внутренний шлюз

Непрочитанное сообщение snorlov » 2011-10-20 13:15:54

Странно как то, у меня PDC и BDC через I-net общались (IPSEC+racoon) и без проблем, там стояло в smb.conf
у BDC

Код: Выделить всё

wins support = yes
remote announce=<ip PDC>/<domain>
remote brows sync=<ip PDC>
у PDC

Код: Выделить всё

wins support = yes
remote announce=<ip BDC>/<domain>
remote brows sync=<ip BDC>
И все виделось...
Правда в каждом офисе dhcp выдавал свой wins...

sidney
рядовой
Сообщения: 49
Зарегистрирован: 2011-07-10 21:16:17

Re: netbios через внутренний шлюз

Непрочитанное сообщение sidney » 2011-10-20 16:31:20

не осилил
было принято решение использовать DNS, а по скольку ада нет, переводить всех на dhcp пока рано

поднял собственную зону .example
в resolv.conf указал

Код: Выделить всё

search example
domain example
имена из под самого сервера резолвятся без .example
а как получить тот же эффект из под win-машин? нужно получать доступ к серверу по имени 'sproxy', а не 'sproxy.example'

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: netbios через внутренний шлюз

Непрочитанное сообщение snorlov » 2011-10-20 16:50:37

sidney писал(а):не осилил
было принято решение использовать DNS, а по скольку ада нет, переводить всех на dhcp пока рано
поднял собственную зону .example
а как получить тот же эффект из под win-машин? нужно получать доступ к серверу по имени 'sproxy', а не 'sproxy.example'
Как вы без DHCP живете при таком количестве станций... Ну это, так к слову...
А при чем здесь ад... Он ни причем, тебе важно, чтобы все тачки были или в одном домене NT или в одной рабочей группе, поскольку по умолчанию параметр Netbios-scope, область просмотра netbios-имен, равен имени домена, если станция в домене, или рабочей группе, если станция в ней...
На виндовых тачках можно прописать префиксы, которые будут добавляться к netbios-имени при просмотре/поиске... Ты можешь указать этот префикс на станциях...

sidney
рядовой
Сообщения: 49
Зарегистрирован: 2011-07-10 21:16:17

Re: netbios через внутренний шлюз

Непрочитанное сообщение sidney » 2011-10-20 18:06:58

snorlov писал(а): Как вы без DHCP живете при таком количестве станций... Ну это, так к слову...
это наследие досталось мне по собственной воле от раздолбаев, которые администрировали до меня
пытаюсь исправить по ходу модернизации
А при чем здесь ад... Он ни причем, тебе важно, чтобы все тачки были или в одном домене NT или в одной рабочей группе, поскольку по умолчанию параметр Netbios-scope, область просмотра netbios-имен, равен имени домена, если станция в домене, или рабочей группе, если станция в ней...
На виндовых тачках можно прописать префиксы, которые будут добавляться к netbios-имени при просмотре/поиске... Ты можешь указать этот префикс на станциях...
что бы переходить на дхцп нужен ад, как инструмент для идентификации юзеров, которая в свою очередь нужна для прокси
если использовать привязку мак-дхцп, это будет не маленькая таблица, которую писать хоть и не долго, но очень бы не хотелось, что бы не усложнять себе и другим жизнь в дальнейшем

нашел префиксы, а их можно отдавать с dhcp?

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: netbios через внутренний шлюз

Непрочитанное сообщение snorlov » 2011-10-20 19:44:35

sidney писал(а): что бы переходить на дхцп нужен ад, как инструмент для идентификации юзеров, которая в свою очередь нужна для прокси
если использовать привязку мак-дхцп, это будет не маленькая таблица, которую писать хоть и не долго, но очень бы не хотелось, что бы не усложнять себе и другим жизнь в дальнейшем
нашел префиксы, а их можно отдавать с dhcp?
Все зависит, какие у вас права пользователей на станциях, если у них нет админовских прав, то они сменить ip сами не смогут и можно начать их переводить хоть сейчас.В инет сейчас как ходите? Месяц фиговая статистика будет, и то обойти все компики за неделю можно, ну потом то хоккей.
Кстати в твоем случае можно поднять и не АД, а просто домен на самбе, эффект будет тот же...
Ну ddns можно поднять и на фре, поставить время аренды побольше и заставить dhcp пинговать выдаваемый адрес.
У меня dhcp выдает ip dns'ов,ip dg, ip time server'ов, ip wins'ов, nodу wins, префикс dns и еще чего то. Аренда адреса на 2-е суток...

sidney
рядовой
Сообщения: 49
Зарегистрирован: 2011-07-10 21:16:17

Re: netbios через внутренний шлюз

Непрочитанное сообщение sidney » 2011-10-21 8:46:59

нашел еще одни грабли - в нетбиос именах везде используется знак "_", который в днс именах запрещен
задумался..

sidney
рядовой
Сообщения: 49
Зарегистрирован: 2011-07-10 21:16:17

Re: netbios через внутренний шлюз

Непрочитанное сообщение sidney » 2011-10-26 16:16:13

проблему решил через dhcp на несколько подсетей и реплецируемой samba4wins на 1-м и 2-м сервере
фильтрация http доступа на основе подсетей, а разграничение скорости - htb