6
VLANs und Samba bzw. SMB-Broadcast
Hallo miteinander,
Hätte folgende Frage/Problem:
Ich möchte ein Netzwerk in mehrere VLANs aufteilen, die aber alle Teil der gleichen Domäne sind. Es gibt einen Samba-Linux-Server.
Ich weiß nicht, ob das überhaupt möglich ist, bei der Überlegung ist mir folgendes Problem gekommen:
Die Clients suchen (meines Wissens) ja beim Hochfahren die Domäne/den DC per Broadcasts. Diese Broadcasts würden den Server natürlich nicht erreichen, da er ja in einem anderen VLAN ist (und die Aufteilung in VLANs u.a. gerade wegen kleineren Broadcast-Domänen erfolgt).
Also würden die Clients den DC nicht finden?!
Für DHCP gibt es ja die Möglichkeit des DHCP Relay, wie aber kann ich das Samba-Problem lösen?
Einzige Alternative die mir selbst eingefallen ist, ist auf dem Linux-Server virtuelle NICs für jedes VLAN einzurichten und den Server somit zum Mitglied jeden VLANs zu machen. Macht das Sinn?
Vielen Dank schonmal!
hubsif.
Hätte folgende Frage/Problem:
Ich möchte ein Netzwerk in mehrere VLANs aufteilen, die aber alle Teil der gleichen Domäne sind. Es gibt einen Samba-Linux-Server.
Ich weiß nicht, ob das überhaupt möglich ist, bei der Überlegung ist mir folgendes Problem gekommen:
Die Clients suchen (meines Wissens) ja beim Hochfahren die Domäne/den DC per Broadcasts. Diese Broadcasts würden den Server natürlich nicht erreichen, da er ja in einem anderen VLAN ist (und die Aufteilung in VLANs u.a. gerade wegen kleineren Broadcast-Domänen erfolgt).
Also würden die Clients den DC nicht finden?!
Für DHCP gibt es ja die Möglichkeit des DHCP Relay, wie aber kann ich das Samba-Problem lösen?
Einzige Alternative die mir selbst eingefallen ist, ist auf dem Linux-Server virtuelle NICs für jedes VLAN einzurichten und den Server somit zum Mitglied jeden VLANs zu machen. Macht das Sinn?
Vielen Dank schonmal!
hubsif.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 71595
Url: https://administrator.de/contentid/71595
Ausgedruckt am: 21.11.2024 um 17:11 Uhr
6 Kommentare
Neuester Kommentar
Ja der Ansatz ist richtig ! Dies Tutorial gilt auch für Linux da Linux VLAN tagging auf der NIC ebenfalls supportet:
Wie das Setup für Linux geht steht u.a. hier:
http://www.heise.de/netze/artikel/77832/4
Du musst dich aber dann generell fragen wie deine Kommunikation unter den VLANs aussehen soll. Wenn der Server wie im o.a Turorial das machen soll..kein Problem.
Normalerweise löst man sowas aber mit einem L3 fähigen (Routing) Switch, der dann über DHCP Relay (UDP Forwarding) auch solche Domain Logins an den Domain Server forwardet und dann kann man natürlich auch völlig problemlos mit einem zentralen Domain Server arbeiten.
Ein klassisches Szenario in großen Netzen !
Wie das Setup für Linux geht steht u.a. hier:
http://www.heise.de/netze/artikel/77832/4
Du musst dich aber dann generell fragen wie deine Kommunikation unter den VLANs aussehen soll. Wenn der Server wie im o.a Turorial das machen soll..kein Problem.
Normalerweise löst man sowas aber mit einem L3 fähigen (Routing) Switch, der dann über DHCP Relay (UDP Forwarding) auch solche Domain Logins an den Domain Server forwardet und dann kann man natürlich auch völlig problemlos mit einem zentralen Domain Server arbeiten.
Ein klassisches Szenario in großen Netzen !
Erstmal danke für die Antwort.
Wie ich virtuelle VLAN-NICs auf dem Server einrichte und die Switches entsprechend konfiguriere, weiss ich schon. Mir geht es im Moment eher um den Aufbau des Netzwerks, dazu hole ich mal kurz etwas aus:
Ich habe folgende Topologie (zur Vereinfachung fasse ich die beiden Switches zusammen):
ca. je 25-35 Geräte (PCs, Drucker, ...) in 3 Räumen, ein öffentlicher Bereich mit ca. 15 Geräten die alle am Layer3-Switch hängen. Dazu ein Server (DHCP, Samba, ...) und ein Firewall-PC (Internet). Nun möchte ich dieses Szenario logisch trennen und v.a. den öffentlichen Bereich sicherheitstechnisch abgrenzen, deshalb die Idee mit den VLANs.
Mit jedem VLAN (entsprechend den Räumen) habe ich ja nun eine eigene Broadcast-Domäne, der Switch übernimmt das Routing zum Samba- bzw. Firewall-Server. Um jetzt Broadcasts empfangen zu können (z.B. DHCP bzw. SMB) müsste der Server ja teil jeden VLANs (und Subnets) sein - oder aber der Switch übernimmt diese Aufgabe und leitet die entsprehenden Broadcasts an den Server weiter (ich führe das alles so aus, um mein Verständnis prüfen zu lassen).
Zwecks DHCP kann ich den Switch diese Aufgabe übergeben: DHCP-Relay. Allerdings konnte ich nichts sinnvolles für SMB/UDP finden, zumindest nicht im Handbuch des Switches. Ich gehe dabei davon aus, dass DCHP-Relay kein allgemeines UDP-Forwarding ist.
Über UDP Broadcast Forwarding konnte ich im Internet einiges finden, jedoch nicht im Handbuch meines Switches (HP Procurve 4108gl). Wäre es möglich, dass mein Switch das nicht kann?
Ich konnte im Internet auch Kommentare finden, die schließen lassen, dass falls ein Windows-Client einen WINS-Server per DHCP mitgeteilt bekommt, er diesen direkt anspricht. Allerdings ist WINS doch überholt, oder weiss ich das falsch?
Falls mein Switch kein UDP Broadcast Forwarding kann, wäre es eine vertretbare Lösung, den Server Mitglied jeden VLANs zu machen?
Vielleicht noch generell eine dumme Frage: Sollte ich bei meinem Setup auf VLANs verzichten und nur Subnetze benutzen?
Vielen Dank!
hubsif.
Wie ich virtuelle VLAN-NICs auf dem Server einrichte und die Switches entsprechend konfiguriere, weiss ich schon. Mir geht es im Moment eher um den Aufbau des Netzwerks, dazu hole ich mal kurz etwas aus:
Ich habe folgende Topologie (zur Vereinfachung fasse ich die beiden Switches zusammen):
ca. je 25-35 Geräte (PCs, Drucker, ...) in 3 Räumen, ein öffentlicher Bereich mit ca. 15 Geräten die alle am Layer3-Switch hängen. Dazu ein Server (DHCP, Samba, ...) und ein Firewall-PC (Internet). Nun möchte ich dieses Szenario logisch trennen und v.a. den öffentlichen Bereich sicherheitstechnisch abgrenzen, deshalb die Idee mit den VLANs.
Mit jedem VLAN (entsprechend den Räumen) habe ich ja nun eine eigene Broadcast-Domäne, der Switch übernimmt das Routing zum Samba- bzw. Firewall-Server. Um jetzt Broadcasts empfangen zu können (z.B. DHCP bzw. SMB) müsste der Server ja teil jeden VLANs (und Subnets) sein - oder aber der Switch übernimmt diese Aufgabe und leitet die entsprehenden Broadcasts an den Server weiter (ich führe das alles so aus, um mein Verständnis prüfen zu lassen).
Zwecks DHCP kann ich den Switch diese Aufgabe übergeben: DHCP-Relay. Allerdings konnte ich nichts sinnvolles für SMB/UDP finden, zumindest nicht im Handbuch des Switches. Ich gehe dabei davon aus, dass DCHP-Relay kein allgemeines UDP-Forwarding ist.
Über UDP Broadcast Forwarding konnte ich im Internet einiges finden, jedoch nicht im Handbuch meines Switches (HP Procurve 4108gl). Wäre es möglich, dass mein Switch das nicht kann?
Ich konnte im Internet auch Kommentare finden, die schließen lassen, dass falls ein Windows-Client einen WINS-Server per DHCP mitgeteilt bekommt, er diesen direkt anspricht. Allerdings ist WINS doch überholt, oder weiss ich das falsch?
Falls mein Switch kein UDP Broadcast Forwarding kann, wäre es eine vertretbare Lösung, den Server Mitglied jeden VLANs zu machen?
Vielleicht noch generell eine dumme Frage: Sollte ich bei meinem Setup auf VLANs verzichten und nur Subnetze benutzen?
Vielen Dank!
hubsif.
VLANs sind doch immer auch gleichzeitig Subnetze oder Subnetze befinden sich in VLANs. Das ist also immer ganz eng verzahnt.
Wenn du einen zentralen L3 Switch hast, dann hast du beste Voraussetzungen für so ein segmentiertes Netzwerk. Mit Sicherheit hat diese Switch auch einen DHCP Relay Funktion, das ist eigentlich Standard bei L3 Switches. Das Handbuch sollte dir das sofort sagen können.
Mit so einem L3 Switch brauchst du natürlich NICHT den Server in jedem VLAN präsent haben, das ist klar. Und ja ein WINS Client spricht den WINS Server immer direkt an wenn er dessen IP Adresse kennt, ansonsten versucht er ihn über Braodcast Mechanismen zu finden. WINS ist aber in neueren Windows Versionen nicht mehr in Benutzung, da Windows auch auf DNS gewechselt ist. das Verfahren ist aber das gleiche, da der DNS Server ja auch mit DHCP verteilt wird und der Client den DNS Server dann über den L3 Switch wieder direkt anspricht.
Dein Szenario sollte so also problemlos laufen...
Wenn du einen zentralen L3 Switch hast, dann hast du beste Voraussetzungen für so ein segmentiertes Netzwerk. Mit Sicherheit hat diese Switch auch einen DHCP Relay Funktion, das ist eigentlich Standard bei L3 Switches. Das Handbuch sollte dir das sofort sagen können.
Mit so einem L3 Switch brauchst du natürlich NICHT den Server in jedem VLAN präsent haben, das ist klar. Und ja ein WINS Client spricht den WINS Server immer direkt an wenn er dessen IP Adresse kennt, ansonsten versucht er ihn über Braodcast Mechanismen zu finden. WINS ist aber in neueren Windows Versionen nicht mehr in Benutzung, da Windows auch auf DNS gewechselt ist. das Verfahren ist aber das gleiche, da der DNS Server ja auch mit DHCP verteilt wird und der Client den DNS Server dann über den L3 Switch wieder direkt anspricht.
Dein Szenario sollte so also problemlos laufen...
Hallo aqui,
Also, ich konnte endlich mein ganzes Szenario ausprobieren (auch das mit den VLANs usw.).
Folgendes vereinfachtes Setup:
VLAN 50, 192.168.50.0/24 mit Client-Rechner
VLAN 1000, 192.168.0.0/24 mit Server (192.168.0.1)
Routing auf den Switches an, DHCP-Helper 192.168.0.1 für VLAN 50 eingerichtet.
Es funktioniert eigentlich alles. Der Client kriegt vom DHCP seine IP&Co, Pingen auf Server funktioniert.
Was nicht funktioniert:
Die Samba-Domäne. Der Client-Rechner bringt bei der Anmeldung den Fehler, die Domäne sei nicht verfügbar.
Spricht der Client-Rechner doch nicht den Samba-Server direkt an, wen dieser als DNS-Server per DHCP übergeben wurde? (Und falls doch, warum geht der Client davon aus, dass der DNS-Server gleichzeitig der Domänen-Controller ist?)
Muss ich evtl. doch WINS benutzen, auch wenn wikipedia usw. behaupten, dass WINS seit Windows 2000 veraltet ist?
Kriegs einfach nicht auf die Reihe...
Danke!
hubert.
Also, ich konnte endlich mein ganzes Szenario ausprobieren (auch das mit den VLANs usw.).
Folgendes vereinfachtes Setup:
VLAN 50, 192.168.50.0/24 mit Client-Rechner
VLAN 1000, 192.168.0.0/24 mit Server (192.168.0.1)
Routing auf den Switches an, DHCP-Helper 192.168.0.1 für VLAN 50 eingerichtet.
Es funktioniert eigentlich alles. Der Client kriegt vom DHCP seine IP&Co, Pingen auf Server funktioniert.
Was nicht funktioniert:
Die Samba-Domäne. Der Client-Rechner bringt bei der Anmeldung den Fehler, die Domäne sei nicht verfügbar.
Spricht der Client-Rechner doch nicht den Samba-Server direkt an, wen dieser als DNS-Server per DHCP übergeben wurde? (Und falls doch, warum geht der Client davon aus, dass der DNS-Server gleichzeitig der Domänen-Controller ist?)
Muss ich evtl. doch WINS benutzen, auch wenn wikipedia usw. behaupten, dass WINS seit Windows 2000 veraltet ist?
Kriegs einfach nicht auf die Reihe...
Danke!
hubert.
Wenn dein Samba Rechner auf einem anderen Rechner als die .0.1 ist dann musst du zusätzlich diesen auch nocht mit einer weiteren Helper Adresse am Router/Switch eintragen !
Oder...ihn statisch in der hosts/lmhosts unter /windows/system32/drivers/etc/ eintragen. Erstere Lösung ist aber etwas eleganter....
Oder...ihn statisch in der hosts/lmhosts unter /windows/system32/drivers/etc/ eintragen. Erstere Lösung ist aber etwas eleganter....
Hi.
Es funktioniert! Alles fertig.
Zu deinem Kommentar:
Es läuft alles auf dem selben Server, DHCP und Samba usw. Der Switch macht scheinbar auch wirklich nur DHCP-Relay, hätte nicht funktioniert.
Habe ein bisschen im Internet gelesen und was gefunden, wie ein XP-Client den Domain Controller ermittelt (weiss aber schon leider nicht mehr wo). Das macht er zuerst über den DNS-Server, von dem er SRV Records übermittelt bekommt (ist aber wohl nur für Active Directory). Danach über WINS, falls er einen Server hat wohl über den, falls nicht wohl per Broadcast.
Also habe ich jetzt bei Samba WINS aktiviert, welcher per DHCP übermittelt wird, und jetzt finden die XP-Clients den Samba PDC.
Vielen Dank für alle Mühen!
Grüße
hubert.
Es funktioniert! Alles fertig.
Zu deinem Kommentar:
Es läuft alles auf dem selben Server, DHCP und Samba usw. Der Switch macht scheinbar auch wirklich nur DHCP-Relay, hätte nicht funktioniert.
Habe ein bisschen im Internet gelesen und was gefunden, wie ein XP-Client den Domain Controller ermittelt (weiss aber schon leider nicht mehr wo). Das macht er zuerst über den DNS-Server, von dem er SRV Records übermittelt bekommt (ist aber wohl nur für Active Directory). Danach über WINS, falls er einen Server hat wohl über den, falls nicht wohl per Broadcast.
Also habe ich jetzt bei Samba WINS aktiviert, welcher per DHCP übermittelt wird, und jetzt finden die XP-Clients den Samba PDC.
Vielen Dank für alle Mühen!
Grüße
hubert.
