Samba en dehors du sous-réseau local?

Je viens de faire la transition entre mon serveur domestique et un ancien ordinateur doté de deux ports LAN (serveur B) vers un nouveau port à faible consommation (serveur C) avec un seul réseau local. Je reçois trois adresses IP de mon fournisseur de services Internet. Mon compagnon de chambre et moi les avons partagées comme suit:

External Network:  68.232.0.0/16
Internal Network:  10.0.0.0/24

Coaxial---[Modem]---[10/100 Switch]
                    |  |   \------Server  B eth0              (External IP #1)
                    |  \----------Desktop A eth0              (External IP #2)
                    \-------------[E3000 Router]              (External IP #3)
                                  | | \--------Server  B eth1 (Internal IP)
                                  | \----------Desktop B eth0 (Internal IP)
                                  \------------Other Stuff    (Internal IPs)

Serveur B eth0 est remplacé par Serveur C eth0.

Équipement:
-Le sien:
- Routeur A - Cisco E300
--Desktop A - Pas important
--Serveur A - Pas important
-Mien:
--Desktop B - 1 Ethernet, beaucoup de PCI-E, consommation d'énergie élevée
--Serveur B - 2 Ethernet, consommation modérée, remplacé par le serveur C
--Server C - 1 Ethernet, pas de PCI-E, faible consommation d'énergie
- Commutateur - Couche 2

Dans mon ancienne configuration (ci-dessus), je routais tout le trafic sortant de mon serveur (B) hors de l'interface externe (eth0). Cependant, les connexions entrantes de l'interface interne (eth1) quitteraient également cette interface. Par cette méthode, je pourrais avoir un partage Samba avec tous mes médias sur mon serveur (B), mais garder le trafic torrent à l’écart du domaine de diffusion de l’autre équipement.

Dans ma nouvelle configuration, le serveur de puissance inférieure (C) ne dispose que d’un seul port LAN (eth0) et pas d’extension interne (USB 2/3 est disponible, mais pas de PCI [-E]). Existe-t-il un moyen de continuer à avoir mon partage Samba, mais sans l'interface interne du serveur? Existe-t-il un moyen peu coûteux et fiable d’ajouter une autre interface LAN?

Éditer: le routeur de Cisco est un modèle de consommateur, et n'est pas flashé avec DD-WRT ou même parce que c'est mes colocataires. J'ai un ancien WRT54G avec DD-WRT à ma disposition si nécessaire. Le commutateur est un commutateur de couche 2 sans interface administrative.

Edit: le serveur doit être externe au routeur E3000 car mon compagnon de chambre a pour habitude de supprimer les paramètres de transfert de port sur le E3000.

— Huckle
source

Le système d'exploitation du serveur prend-il en charge le marquage VLAN? Si le commutateur n'est pas géré, il ne prend pas en charge la liaison, mais vous pouvez peut-être vous procurer un commutateur géré à moindre coût.

— Paul

Le système d’exploitation du serveur est basé sur Debian Linux, c’est donc une option; mon problème majeur (que j’ai oublié de mentionner, mais qui était plutôt impliqué dans le modèle du consommateur), c’est que le routeur est en mode NAT. Cela ajoute de la complexité à toute configuration Samba.

— Huckle

Le routeur interne est un NAT, mais est-ce un problème de routage? DNS devrait être suffisant pour que tout puisse se voir du point de vue du domaine Windows. Avec un commutateur prenant en charge la jonction vlan, vous pouvez dupliquer votre configuration d'origine avec un seul port LAN + vlans. wiki.debian.org/…

— Paul

Peut-être que je ne comprends pas ce que vous suggérez. Lorsque mon bureau Windows envoie une demande de diffusion pour les partages (le 10.0.0.0/24), les paquets iront aussi loin que le routeur NAT. À ce stade, ils ont atteint la fin du domaine de diffusion et seront supprimés avant d'entrer dans le réseau 68.232.0.0/16.

— Huckle

Bonjour, pouvez-vous détailler ces points: Combien de ports Ethernet votre modem possède-t-il? Quel système d'exploitation tourne sur votre serveur C? Sur quelle machine exécutez-vous Bittorent? Votre bureau ou votre serveur?

— Olivier S

Réponses:

Ajoutez le nom du serveur à votre fichier% WINDIR% \ system32 \ drivers \ etc \ lmhosts et pointez le nom sur l'adresse IP publique.

— psusi
source

Intéressant, j'étais au courant d'un fichier hosts mais c'est nouveau. J'ai ajouté une entrée, mais je devrai vous dire si cela fonctionne.

— Huckle

@Huckle, lmhosts sert à résoudre les noms de gestionnaires de réseaux locaux (le protocole samba sous-jacent à 1995) en adresses IP. En y réfléchissant bien, l’ajout du nom aux hôtes (qui concerne toutes les résolutions de noms IP) devrait également fonctionner, de même que la configuration d’un serveur WINS, équivalent du gestionnaire de réseau local de Microsoft au DNS.

— psusi

Je penchais davantage dans cette direction, mais après mûre réflexion, je réalisai que ce serait un problème de sécurité majeur. Avoir un partage Windows ouvert sur Internet, même sur un système * nix, devrait probablement être évité.

— Huckle

@ Huckle, c'est à ça que servent les mots de passe. Vous voudrez peut-être utiliser quelque chose comme fail2ban pour bloquer ceux qui essaient de le forcer brutalement. En outre, il n'est pas accessible à partir d'Internet, sauf si vous configurez le routeur pour transférer le port SMB.

— psusi

@ Huckle, j'ai oublié que vous vouliez que le serveur soit connecté au commutateur. Dans ce cas, vous pouvez configurer samba pour n'accepter que les connexions provenant de l'adresse IP publique du routeur. Seuls les éléments situés derrière le routeur peuvent y accéder.

— psusi

Il est peu probable qu'un routeur de modèle grand public puisse faire le travail. Pour un meilleur avis, nous aurions besoin de connaître son modèle exact.

DD-WRT peut le faire en utilisant NAT un à un . Cela nécessite l’utilisation de règles de pare-feu pour NAT de ces adresses IP externes et de vos adresses IP internes, ce qui implique également de rendre statiques ces adresses internes.

Comme tous les ordinateurs sont maintenant sur le même réseau, vous pouvez utiliser Qualité de service (QoS) limiter le trafic torrent.

Quelques cas d'utilisateurs utiles peuvent être trouvés dans le fil plusieurs adresses IP externes .

— harrymc
source

Vous dites donc que je déplacerais toutes les unités derrière le routeur, elles obtiendraient toutes des adresses locales. Le routeur écouterait alors plusieurs adresses sur son interface de réseau étendu et, en fonction de l'adresse IP, le transfert du port sur une adresse IP locale différente C'est une solution possible, mais cela nécessiterait de réinitialiser son routeur. Je garderai cela à l'esprit pour le moment et verrai si quelqu'un peut offrir des expériences avec des dongles USB-Ethernet.

— Huckle

Vous pouvez l'essayer sur l'ancien WRT54G avec DD-WRT avant de clignoter.

— harrymc

En raison de problèmes de pouvoir internes qui ne me dérangent pas tout le monde, j'aimerais garder au moins une unité à l'extérieur du mur NAT comme point de contact stable. Cette idée a beaucoup de mérite, mais je ne pense pas que cela fonctionnera pour moi.

— Huckle

Si vous souhaitez partitionner le réseau, vous pouvez utiliser les deux routeurs: Flasquez le nouveau avec DD-WRT et le paramètre ci-dessus, et configurez l’ancien routeur DD-WRT pour créer un segment interne du réseau destiné à contenir le trafic torrent ( ou utilisez le commutateur qui n'est cependant pas paramétrable). Mais je suis sûr que vous pouvez obtenir une architecture équivalente en configurant correctement NAT et QoS à l’aide d’un routeur avec DD-WRT. La qualité de service sera beaucoup plus efficace que toute division artificielle entre réseaux virtuels.

— harrymc

Comme le serveur C est doté d’un port USB, vous pourriez peut-être utiliser un adaptateur Ethernet USB: voir sur amazon .

— harrymc

Une chose à laquelle je n’avais pas pensé et que personne n’avait suggéré était d’exécuter un serveur VPN. Je suis à la recherche et mettrai à jour cette réponse avec des informations au fur et à mesure.

— Huckle
source