Samba VPN via routeur

bonjour a tous,

alors déjà la config :

machine 1 :
debian etch
kernel 2.6.18-5-k7 i686
samba version 3.0.24-6

machine 2 :
debian etch
kernel 2.6.18-6-amd64 x86_64
samba version 3.0.24-6

donc mon souci et le suivant, la machine 1 a un serveur samba en contrôleur de domaine coupler avec un serveur ldap.
la machine 2 a aussi un serveur samba en contrôleur de domaine coupler aussi avec un serveur ldap.

le 2 machine sans dans 2 endroit différant et 2 domaine différant.

j’ai relier les 2 réseaux via un tunnel VPN crée avec 2 routeur NETGEAR DG834G

je peut pingé la machine 1 sur le reseau de la machine 2 et vice versa j’accède via le réseau de la machine 1 au serveur web du réseau de la machine 2 donc jusque la ok.

je tente de monter un de partage samba de la machine 1 sur la machine 2 et la échec !
voici le contenu de la console de la machine 2:
Ser-ca:/home/user# smbmount //192.168.86.200/partage /mnt
mount.smbfs started (version 3.0.24)
added interface ip=192.168.0.251 bcast=192.168.0.255 nmask=255.255.255.0
added interface ip=192.168.0.7 bcast=192.168.0.255 nmask=255.255.255.0
Connecting to 192.168.86.200 at port 445
timeout connecting to 192.168.86.200:445
Connecting to 192.168.86.200 at port 139
timeout connecting to 192.168.86.200:139
Error connecting to 192.168.86.200 (Opération déjà en cours)
7985: Connection to 192.168.86.200 failed
SMB connection failed
Ser-ca:/home/user#

j’obtient le méme résultat sur l’autre machine !

j’ai d’abord penser au firewall matériel en place et j’ai fait le nécessaire mais pas de changement.
les 2 machine n’ont pas de firewall logiciel.

avec la commande : mount -t smbfs //192.168.86.200/partage /mnt
j’obtient exactement la même chose.

avez vous une idée ou une solution pour résoudre mon probléme ?

qu’est ce que ça donne si tu fais un telnet 192.168.86.200 445 ?
Et telnet 192.168.86.200 139 ?
Si ça se connecte, c’est que le problême est ailleurs, mais si ça ne se connecte pas (connection refused), c’est que tu as encore un pare feu caché. Tu as vérifié les pare feu intègrés éventuellement dans les deux netgear ?

bon ba la commande telnet 192.168.86.200 445 comme 139

reste bloquer sur trying 192.168.86.200

donc effectivement il y a qqchose qui coince

apres question routeur je pense pas car la liaison vpn se fait sur les routeur donc je voit pas pourquoi il aurait appliquer les réglés du parfeu sur le vpn c’est pas logic mais bon je vais quand méme crée des réglés et essayer de passer par le wan et non par le vpn on vera bien si ça vient de ça.

bon j’ai essayer via le wan et voici ce que renvoie la console :

mount.smbfs started (version 3.0.24)
added interface ip=192.168.0.251 bcast=192.168.0.255 nmask=255.255.255.0
added interface ip=192.168.0.7 bcast=192.168.0.255 nmask=255.255.255.0
Connecting to 80.13.xxx.xxx at port 445
timeout connecting to 80.13.xxx.xxx:445
Connecting to 80.13.xxx.xxx at port 139
8382: session request to 80.13.xxx.xxx failed (Not listening for calling name)
Connecting to 80.13.xxx.xxx at port 445
timeout connecting to 80.13.xxx.xxx:445
Connecting to 80.13.xxx.xxx at port 139
8382: session request to 80 failed (Not listening for calling name)
Connecting to 80.13.xxx.xxx at port 445
timeout connecting to 80.13.xxx.xxx:445
Connecting to 80.13.xxx.xxx at port 139
8382: session request to *SMBSERVER failed (Not listening for calling name)
SMB connection failed

IOP,
fait voir ton smb.conf… car tu doit avoir 2 reseaux different (au niveau des IP…) et bien il ne faut pas oublier d’accepter d’autre reseaux que le sien…

sinon t’as essayer un nbtstat -A @IPserv avec un windobe…?

redX42, la réponse a cette commande :

nbstat -A 192.168.0.251 connexion au réseau local : Adresse IP du noeud : [192.168.86.20] ID d'étendue : [] Hôte introuvable.

alors qu’un :

[code]P:>ping 192.168.0.251

Envoi d’une requête ‘ping’ sur 192.168.0.251 avec 32 octets de données :

Réponse de 192.168.0.251 : octets=32 temps=91 ms TTL=62
Réponse de 192.168.0.251 : octets=32 temps=89 ms TTL=62
Réponse de 192.168.0.251 : octets=32 temps=89 ms TTL=62
Réponse de 192.168.0.251 : octets=32 temps=88 ms TTL=62

Statistiques Ping pour 192.168.0.251:
Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
Minimum = 88ms, Maximum = 91ms, Moyenne = 89ms[/code]

sinon le smb.conf de la machine N°2:

[code]#======================= Global Settings =====================================

[global]

workgroup = arg.sif
netbios name = Ser-Arg
server string = %h
domain master = Yes
local master = Yes
domain logons = Yes
os level = 40
map to guest = Bad User
time server = Yes
ldap passwd sync = Yes
passdb backend = ldapsam:ldap://127.0.0.1/
ldap admin dn = cn=admin,dc=arg,dc=sif,dc=fr
ldap suffix = dc=arg,dc=sif,dc=fr
ldap group suffix = ou=Groups
ldap user suffix = ou=Users
ldap machine suffix = ou=Machines
add user script = /usr/sbin/smbldap-useradd -m "%u"
ldap delete dn = Yes
delete user script = /usr/sbin/smbldap-userdel "%u"
add machine script = /usr/sbin/smbldap-useradd -w "%u"
add group script = /usr/sbin/smbldap-groupadd -p "%g"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
logon path = \\%L\profile\%U
logon drive = P:
logon home = \\%L\%U
logon script = %U.bat
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
case sensitive = No
default case = lower
preserve case = yes
short preserve case = Yes
dns proxy = No
wins support = Yes
hosts allow = 192.168.0. 192.168.86. 127.
hosts deny = ALL
winbind use default domain = Yes
nt acl support = Yes
host msdfs = yes
msdfs root = Yes
hide files = /desktop.ini/ntuser.ini/NTUSER.*/

[/code]

et celui de la 1 :

[global] preserve case = yes log level = 3 log file = /var/log/samba/log.%m max log size = 10240 delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g" hosts allow = 192.168.0. 192.168.86. 127. nt acl support = Yes dns proxy = No msdfs root = Yes netbios name = ser-ca ldap passwd sync = Yes logon script = %U.bat hide files = /desktop.ini/ntuser.ini/NTUSER.*/ local master = Yes workgroup = srv-ca os level = 40 ldap admin dn = cn=admin,dc=ca,dc=sif,dc=fr short preserve case = Yes add machine script = /usr/sbin/smbldap-useradd -w "%u" delete user script = /usr/sbin/smbldap-userdel "%u" ldap user suffix = ou=Users add group script = /usr/sbin/smbldap-groupadd -p "%g" socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g" default case = lower logon drive = P: domain master = Yes encrypt passwords = yes winbind use default domain = Yes passdb backend = ldapsam:ldap://127.0.0.1/ logon home = \\%L\%U wins support = no case sensitive = No ldap delete dn = Yes ldap machine suffix = ou=Machines ldap group suffix = ou=Groups server string = %h ldap suffix = dc=ca,dc=sif,dc=fr unix password sync = yes logon path = \\%L\profile\%U add user script = /usr/sbin/smbldap-useradd -m "%u" set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u" domain logons = Yes

IOP,
ben utilise un scanner de port pour voir…
Moi je sens les port NetBIOS bloqués sur les routeurs…

[quote=“RedX42”]IOP,
ben utilise un scanner de port pour voir…
Moi je sens les port NetBIOS bloqués sur les routeurs…[/quote]+1

pas vu d’option ou autre parlant de netbios sur les routeur

IOP,
et le scanner de port?

t’a deja essayer de faire du partage entre 2 windobe… on sais jamais…

bon question scanner de port je le fait demain,

apres tu entand quoi par fair un partage sous windaube ?

la machine 1 et 2 sont des serveurs des vrais .

et donc les machines client des xp.

je vois pas bien ou tu veut en venir avec le partage windaube ?

c’est quoi un “vrai” serveur ?
Sinon, ce que te dis RedX42, c’est: qu’est ce que ça donne entre deux xp avec des dossiers partagés situés à chaque bout du tunnel ?

IOP,

[quote=“mattotop”]c’est quoi un “vrai” serveur ?
Sinon, ce que te dis RedX42, c’est: qu’est ce que ça donne entre deux xp avec des dossiers partagés situés à chaque bout du tunnel ?[/quote]
+1

par vrai serveur j’entand, des composants et un utilisation adéquate.
pas comme certain qui appelé serveur un pc normale et qui se contente de partager un répertoire.

ensuite,

la machine 2 résultat du scanner,
port 21, 22, 25, 80, 110, 113, 139, 445, 1080, 3128, 8080 ouvert

la machine 1 résultat du scanner,
port 21, 22, 25, 80, 110, 113, 1080, 3128, 8080 ouvert

donc faut que je trouve pourquoi le port 139 et 445 sont fermer sur la machine 1

ce que je comprend pas c’est que aucun firewall actif n’est présent sur cette machine ! le firewall matériel a bien les règles pour laisser passer ce trafic et j’ai même vérifier le fonctionnement des réglés.

il reste que le routeur mais les 2 routeur ont les même réglés alors pourquoi ça passe pas ???

[quote=“cedmar”]par vrai serveur j’entand, des composants et un utilisation adéquate.
pas comme certain qui appele serveur un pc normale et qui se contente de partager un répertoire.[/quote]Mouais. C’est pas pour troller trop longtemps, mais j’ai des mailhubs ou en environnement pro qui tournent sur des vieux p3 recyclés, et que je considère comme des serveurs, parcequ’ils assurent des services et que je les surveille. Mes routeurs qui sont de la même qualité que par contre je laisse tourner presque tout seul, je ne les classe pas vraiment dans les serveurs. Enfin tout est une question de vocabulaire.quote="cedmar"
la machine 2 résultat du scanner,
port 21, 22, 25, 80, 110, 113, 139, 445, 1080, 3128, 8080 ouvert[/quote]Depuis la machine 1 ?[quote=“cedmar”]la machine 1 résultat du scanner,
port 21, 22, 25, 80, 110, 113, 1080, 3128, 8080 ouvert[/quote]Depuis la machine 2 ?[quote=“cedmar”]donc faut que je trouve pourquoi le port 139 et 445 sont fermer sur la machine 1[/quote]Mais donc, cela veut dire que depuis la machine 1, tu dois pouvoir monter tes shares de la machine 2 ?

ba oui mais non !

toujours pas possible de monter quoique ce soit !

toujours la méme erreur
24613: session request to 217.128.XXX.XXX failed (Not listening for calling name)

Oui, mais ton sniffing des ports, tu l’as bien fait d’une machine sur l’autre, pas chaque fois en local ?

avec nmap sur la machine 2 :

PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 80/tcp open http 111/tcp open rpcbind 113/tcp open auth 137/tcp filtered netbios-ns 138/tcp filtered netbios-dgm 139/tcp filtered netbios-ssn 389/tcp open ldap 445/tcp filtered microsoft-ds 1720/tcp filtered H.323/Q.931 5190/tcp open aol 7003/tcp open afs3-vlserver 10000/tcp open snet-sensor-mgmt
avec nmap sur la machine 1 :

PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 80/tcp open http 111/tcp open rpcbind 113/tcp open auth 137/tcp filtered netbios-ns 138/tcp filtered netbios-dgm 139/tcp filtered netbios-ssn 389/tcp open ldap 445/tcp filtered microsoft-ds 1720/tcp filtered H.323/Q.931 1723/tcp open pptp

Ah ben c’est d’autant plus bizarre qu’il ne voie pas les ports ouverts pour samba sur la machine 1.
Que dit netstat -lp (en root) sur la machine 1 ? Et testparm, aussi, pour revérifier ton smb.conf ?

Connexions Internet actives (seulement serveurs) Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name tcp 0 0 localhost:2208 *:* LISTEN 2666/hpiod tcp 0 0 *:51234 *:* LISTEN 8287/server_linux tcp 0 0 *:ldap *:* LISTEN 2699/slapd tcp 0 0 *:14534 *:* LISTEN 8287/server_linux tcp 0 0 *:netbios-ssn *:* LISTEN 5545/smbd tcp 0 0 *:51471 *:* LISTEN 3060/rpc.statd tcp 0 0 *:sunrpc *:* LISTEN 2379/portmap tcp 0 0 *:webmin *:* LISTEN 3205/perl tcp 0 0 *:auth *:* LISTEN 2959/inetd tcp 0 0 *:7027 *:* LISTEN 3918/nxagent tcp 0 0 *:ftp *:* LISTEN 2991/vsftpd tcp 0 0 localhost:smtp *:* LISTEN 2933/exim4 tcp 0 0 localhost:6010 *:* LISTEN 8755/sshd: nx@notty tcp 0 0 *:1723 *:* LISTEN 3673/pptpd tcp 0 0 localhost:41660 *:* LISTEN 2669/python tcp 0 0 *:microsoft-ds *:* LISTEN 5545/smbd

concernant la commande :

un avertissement apparait concernant un de mes nom de partage qui et trop long et testparm me dit que les client ancien risque de ne pas reconnaitre ce partage. c’est le seul défaut qui apparait.

maintenant d’après ce que j’ai vue nmap indique que les port sont filtré, la question et donc a quel niveau sont t’il filtré et comment vérifier si c’est pas ce filtrage qui me bloque ???