Re: SMB-Broadcasts routen

2005-09-15 Diskussionsfäden Sven Hartge 
lars <[EMAIL PROTECTED]> wrote:
> nach neustart des clients dann:

> - ping auf rechnername geht
> - verbinden mit exchangeserver geht (ebenfalls per rechnername)
> - verbinden mit freigabe geht
> - browsen über "Netzwerkumgebung" geht NICHT MEHR 

Sniffer auf die jeweiligen Tunnel-Enden setzen, sowie lokal auf dem
fraglichen Rechner, Traffic zum WINS beobachten.

Vermute aber, das dies ein Windows-Problem ist, welches du andernorts
erörtern wirst müssen.

>> Äh, Nachname?

> behrens - aber jetzt bitte nicht mit "behrentzen appel" oder so kommen 
> ;-)

Dann trage dies bitte im From: ein. Die Wahrscheinlichkeit, gelesen zu
werden und Antworte zu bekommen wird dadurch erhöht.

S°

-- 
Sven Hartge -- professioneller Unix-Geek 
Meine Gedanken im Netz: http://sven.formvision.de/blog/


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: SMB-Broadcasts routen

2005-09-15 Diskussionsfäden lars 

moin,


dank euch allen für die guten hinweise, vor allem an sven "server
message block" hartge ;-)

Ich bin geneigt, diese Assoziation mit meinem Namen als tödliche
Beleidigung aufzufassen. ;)


das kann ich verstehen - aber auf linuxseite war mir so schnell nichts 
passendes eingefallen ...


nimm es als kompliment für deine fundierten antworten hier. du kannst 
ja nichts dafür, dass SMB so ein krankes protokoll ist (zumindest, was 
die Samba-doku so dazu sagt).



trotzdem hat hier vielleicht noch jemand einen guten tipp für mich:

- ich habe auf dem XP-client, der durch den IPSec-tunnel kommt, in den 
netzwerkeinstellungen den WINS-server des LAN eingetragen. firewalls 
auf beiden gateways (IPSec und dahintergeschaltetes LAN-gateway) auf 
Durchzug geschaltet (Policies auf ACCEPT), und dann den tunnel 
aufgebaut.


- ping auf rechnername geht
- verbinden mit exchangeserver geht (ebenfalls per rechnername)
- verbinden mit freigabe geht
- browsen über "Netzwerkumgebung" geht - super!


nach neustart des clients dann:

- ping auf rechnername geht
- verbinden mit exchangeserver geht (ebenfalls per rechnername)
- verbinden mit freigabe geht
- browsen über "Netzwerkumgebung" geht NICHT MEHR 

nichts an den gateways geändert, nichts am client ... neu booten des 
clients, ändern der WINS-einstellung - bringt alles keine änderung.
der rechner hing auch vorher nicht am LAN (so dass er sich die 
braodcast / unicastinfos hätte cachen können).


das sind dann so die erlebnisse, die einem als admin den verstand 
rauben  ;-)



wen jemand noch was weiss - es wäre mehr für den ehrgeiz, dieses  
smb-routing und broadcasting zu verstehen und meinen kollegen das 
browsen durch die netzwerkumgebung zu ermöglichen. ich habe sie aber 
schon mal darauf eingeschworen, dass sie darauf werden verzichten 
müssen, alles andere geht ja.



Äh, Nachname?


behrens - aber jetzt bitte nicht mit "behrentzen appel" oder so kommen 
;-)



danke im voraus und gruss



lars (behrens)


http://www.warzenpower.de

Re: SMB-Broadcasts routen

2005-09-13 Diskussionsfäden Sven Hartge 
lars <[EMAIL PROTECTED]> wrote:

> dank euch allen für die guten hinweise, vor allem an sven "server
> message block" hartge ;-)

Ich bin geneigt, diese Assoziation mit meinem Namen als tödliche
Beleidigung aufzufassen. ;)

Äh, Nachname?

S°

-- 
Sven Hartge -- professioneller Unix-Geek 
Meine Gedanken im Netz: http://sven.formvision.de/blog/


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: SMB-Broadcasts routen

2005-09-12 Diskussionsfäden lars 

moin, jungs,


dank euch allen für die guten hinweise, vor allem an sven "server 
message block" hartge ;-)



ich werd mich mal ransetzen und, wenn ich dran denk und nicht zu faul 
bin ;-), das ergebnis hier kurz posten.



gruß


lars

Re: SMB-Broadcasts routen

2005-09-12 Diskussionsfäden Sven Hartge 
Andreas Pakulat <[EMAIL PROTECTED]> wrote:
> On 12.09.05 22:32:06, Sven Hartge wrote:
>> Andreas Pakulat <[EMAIL PROTECTED]> wrote:
>>> On 12.09.05 13:58:44, lars wrote:
 
 per tcpdump kann ich sehen, dass der client einen netbios-braodcast 
 aussendet, 
 der scheint aber vom ipsec-gateway gar nicht weitergestellt zu werden.
>>> Man moege mich nicht gleich steinigen wenn dies falsch ist, aber Netbios
>>> unterstuetzt doch kein Routing oder? Ausserdem macht XP doch auch
>>> SMB-over-TCP/IP und nicht mehr dieses Netbeui-Scheiss, per default. 
>> Vorsicht.
> Man sieht vllt. das ich da nur ein wenig Halbwissen ueber die Jahre
> angehaeuft habe. 

Es ist auch nicht einfach, diese Protokoll-Krankheit von IBM und
Microsoft korrekt zu durchblicken.

>> Das, was auf Port 137, 138 und 139 läuft ist
>>
>>SMB-über-NetBIOS-über-NetBEUI-über-TCP/UDP-über-IP

> Sicher mit dem NetBIOS ueber NetBEUI ueber TCP?

Ja.

> Ich dachte NetBEUI waere eine M$-Eigene Implementierung von Netbios
> _ohne_ TCP.

Auch. Siehe ,
Stichwort TCPBEUI

>> und durch IP als Untersatz durchaus routebar. Aus diesem kranken
>> Stapel erklärt sich auch die mangelhafte Performance,

> Was mich bei SMB am ehesten stoert ist, dass die Clients bis zu 45
> Minuten brauchen koennen, bis sie sich ueber den Master-Browser
> geeinigt haben. Ausser natuerlich man hat nen Samba-Server passend
> konfiguriert oder nen Windows-Server... Und das der ganze Muell per
> BroadCast verschickt wird - einfach krank.

Ich hatte einmal das "Vergnügen" ein flaches Ethernet mit knapp 1000
Windows-Clients zu sehen. Über 60% Grundrauschen waren in dem Netz
Broadcast-Geplapper der Windows-Rechner.

>> CIFS, also SMB auf Port 445 ist 
>>
>>SMB-über-TCP-über-IP.

> Ich dachte immer CIFS waere noch ein wenig anders... Aber nunja, ich
> hab da nicht so den Einblick (und den will ich auch gar nicht
> haben...)

CIFS erweitert das klassiche SMB noch etwas, grundlegend ist es aber
identisch.

>> Was du meinst, was nicht Routebar ist, das ist
>> 
>>SMB-über-NetBIOS-über-NetBEUI.
>> 
>> NetBEUI ist dabei ein Ersatz für TCP/UDP-IP

> Widersprichst du dir da nicht selbst (mit obigem)?

Nein. Es gibt das "pure" NetBEUI, das direkt auf Layer 2 aufsetzt (also
direkt oberhalb von Ethernet) und es gibt TCPBEUI, welches eben auf TCP
aufsetzt. Siehe die Wikipedia-Links, die ich mitnotierte.

S°

-- 
Sven Hartge -- professioneller Unix-Geek 
Meine Gedanken im Netz: http://sven.formvision.de/blog/


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: SMB-Broadcasts routen

2005-09-12 Diskussionsfäden Andreas Pakulat 
On 12.09.05 22:32:06, Sven Hartge wrote:
> Andreas Pakulat <[EMAIL PROTECTED]> wrote:
> > On 12.09.05 13:58:44, lars wrote:
> 
> >> per tcpdump kann ich sehen, dass der client einen netbios-braodcast 
> >> aussendet, 
> >> der scheint aber vom ipsec-gateway gar nicht weitergestellt zu werden.
> 
> > Man moege mich nicht gleich steinigen wenn dies falsch ist, aber Netbios
> > unterstuetzt doch kein Routing oder? Ausserdem macht XP doch auch
> > SMB-over-TCP/IP und nicht mehr dieses Netbeui-Scheiss, per default. 
> 
> Vorsicht.

Man sieht vllt. das ich da nur ein wenig Halbwissen ueber die Jahre
angehaeuft habe. 

> Das, was auf Port 137, 138 und 139 läuft ist
>
>SMB-über-NetBIOS-über-NetBEUI-über-TCP/UDP-über-IP

Sicher mit dem NetBIOS ueber NetBEUI ueber TCP? Ich dachte NetBEUI waere eine
M$-Eigene Implementierung von Netbios _ohne_ TCP. Jedenfalls war es in
Windows98 und aelter immer so, dass ich fuer das Windows-Netzwerk den
Netbeui Kram haben musste, Netbios ueber TCP/IP war da noch extra. 

> und durch IP als Untersatz durchaus routebar. Aus diesem kranken Stapel
> erklärt sich auch die mangelhafte Performance,

Was mich bei SMB am ehesten stoert ist, dass die Clients bis zu 45
Minuten brauchen koennen, bis sie sich ueber den Master-Browser geeinigt
haben. Ausser natuerlich man hat nen Samba-Server passend konfiguriert
oder nen Windows-Server... Und das der ganze Muell per BroadCast
verschickt wird - einfach krank.

> CIFS, also SMB auf Port 445 ist 
>
>SMB-über-TCP-über-IP.

Ich dachte immer CIFS waere noch ein wenig anders... Aber nunja, ich hab
da nicht so den Einblick (und den will ich auch gar nicht haben...)

> Was du meinst, was nicht Routebar ist, das ist
> 
>SMB-über-NetBIOS-über-NetBEUI.
> 
> NetBEUI ist dabei ein Ersatz für TCP/UDP-IP

Widersprichst du dir da nicht selbst (mit obigem)?

Andreas

-- 
You don't become a failure until you're satisfied with being one.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: SMB-Broadcasts routen

2005-09-12 Diskussionsfäden Sven Hartge 
Andreas Pakulat <[EMAIL PROTECTED]> wrote:
> On 12.09.05 13:58:44, lars wrote:

>> per tcpdump kann ich sehen, dass der client einen netbios-braodcast 
>> aussendet, 
>> der scheint aber vom ipsec-gateway gar nicht weitergestellt zu werden.

> Man moege mich nicht gleich steinigen wenn dies falsch ist, aber Netbios
> unterstuetzt doch kein Routing oder? Ausserdem macht XP doch auch
> SMB-over-TCP/IP und nicht mehr dieses Netbeui-Scheiss, per default. 

Vorsicht.

Das, was auf Port 137, 138 und 139 läuft ist
   
   SMB-über-NetBIOS-über-NetBEUI-über-TCP/UDP-über-IP

und durch IP als Untersatz durchaus routebar. Aus diesem kranken Stapel
erklärt sich auch die mangelhafte Performance, da NetBIOS sein eigenes
Windowing-System benutzt und somit den effizienteren Algorithmus von
TCP/IP aushebelt.

CIFS, also SMB auf Port 445 ist 
   
   SMB-über-TCP-über-IP.
   
   

Was du meinst, was nicht Routebar ist, das ist

   SMB-über-NetBIOS-über-NetBEUI.

NetBEUI ist dabei ein Ersatz für TCP/UDP-IP


S°

-- 
Sven Hartge -- professioneller Unix-Geek 
Meine Gedanken im Netz: http://sven.formvision.de/blog/


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: SMB-Broadcasts routen

2005-09-12 Diskussionsfäden Markus Boas 
Am Montag 12 September 2005 14:18 schrieb Alexander Jede:
> Am Montag, den 12.09.2005, 13:58 +0200 schrieb lars:
> ...
>
> > hat jemand so ein szenario erfolgreich bei sich laufen und könnte mir
> > einen tipp gebe, ob das so überhaupt geht oder ob ich eine art proxy
> > benötige fürs weiterleiten der broadcasts?
>
> Wenn es mich nicht alles täuscht und meine Irrenerung mich nicht trügt,
> dann scheint es mir so, dass das smb-Protokoll nicht route-fähig ist.
> Lasse mich aber gerne vom Gegenteil überzeugen, ist schon etwas her, das
> ich mich mit dem smb beschäftigt habe.
>
> Alex

Komisch, dann frag ich mich wieso's hier geht.

Re: SMB-Broadcasts routen

2005-09-12 Diskussionsfäden Sven Hartge 
Alexander Jede <[EMAIL PROTECTED]> wrote:
> Am Montag, den 12.09.2005, 13:58 +0200 schrieb lars:

>> hat jemand so ein szenario erfolgreich bei sich laufen und könnte mir 
>> einen tipp gebe, ob das so überhaupt geht oder ob ich eine art proxy 
>> benötige fürs weiterleiten der broadcasts?

> Wenn es mich nicht alles täuscht und meine Irrenerung mich nicht trügt,
> dann scheint es mir so, dass das smb-Protokoll nicht route-fähig ist.

SMB ist schon Routebar, immerhin setzt es auf UDP und TCP auf. 

Was nicht routebar ist, das ist die NameService-Discovery, die via
Broadcast in der lokalen Broadcast-Domäne (gemeinhin LAN genannt)
stattfindet.

Dagegen wurde WINS erfunden, welches diese Broadcast-Discovery durch
einen Unicast-Weg über den WINS ersetzt.

S°

-- 
Sven Hartge -- professioneller Unix-Geek 
Meine Gedanken im Netz: http://sven.formvision.de/blog/


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: SMB-Broadcasts routen

2005-09-12 Diskussionsfäden Andreas Kretschmer 
am  12.09.2005, um 14:37:45 +0200 mailte Thomas Kobienia folgendes:
> > > Wenn es mich nicht alles täuscht und meine Irrenerung mich nicht trügt,
> > > dann scheint es mir so, dass das smb-Protokoll nicht route-fähig ist.
> > 
> > Korrekt.
> 
> Falsch. Das SMB Protokoll läßt sich sehr wohl routen.

Korrekt. ;-)


Andreas
-- 
Andreas Kretschmer(Kontakt: siehe Header)
Heynitz:  035242/47212,  D1: 0160/7141639
GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net
 ===Schollglas Unternehmensgruppe=== 


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: SMB-Broadcasts routen

2005-09-12 Diskussionsfäden Andreas Pakulat 
On 12.09.05 13:58:44, lars wrote:
> per tcpdump kann ich sehen, dass der client einen netbios-braodcast 
> aussendet, 
> der scheint aber vom ipsec-gateway gar nicht weitergestellt zu werden.

Man moege mich nicht gleich steinigen wenn dies falsch ist, aber Netbios
unterstuetzt doch kein Routing oder? Ausserdem macht XP doch auch
SMB-over-TCP/IP und nicht mehr dieses Netbeui-Scheiss, per default. 

> die namensauflösung scheint zu funktionieren, wenn ich den server "server01" 
> von einem xp-client im tunnerl anpinge, sehe ich auf ppp0 des ipsec-gateway:

Und per "\\server01" im Explorer geht nicht?

> - sieht also alles OK aus soweit. nur wenn ich auf dem xp-client im tunnel 
> auf 
> die netzwerkumgebung gehe, sieht es so aus auf ppp0 des ipsec-gateway::
> 
> 14:11:52.649913 IP 192.168.0.243.netbios-ns > 192.168.0.7.netbios-ns: NBT UDP 
> PACKET(137): REFRESH(8); REQUEST; UNICAST
> 14:11:54.152060 IP 192.168.0.243.netbios-ns > 192.168.0.7.netbios-ns: NBT UDP 
> PACKET(137): REFRESH(8); REQUEST; UNICAST

Wie gesagt, ich denke das Zeug ist nicht routbar, aber ich mag mich da
auch irren.

Andreas

-- 
You are destined to become the commandant of the fighting men of the
department of transportation.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: SMB-Broadcasts routen

2005-09-12 Diskussionsfäden Stefan Kuhne 

lars schrieb:

hallo, liste,

ist vielleicht etwas off-topic, aber möglicherweise hat hier jemand eine 
gute idee, nachdem ich weder durch tagelanges rumprobieren, studieren 
der man-pages noch durchstöbern der google-seiten mein problem habe 
lösen können.


ein IPSec-gateway sitzt zwischen dem WWW und dem gateway zu unserem LAN; 
ich kann von clients (windows XP mit l2tpd) auch aus dem tunnel heraus 
server im LAN anpingen, mich mit dem Exchangeserver und dem 
Intranetserver verbinden.


nur die netzfreigaben bzw. das browsing in der netzwerkumgebung 
funktioniert nicht, selbst, wenn ich die firewall auf POLICY ACCEPT dür 
INPOUT; OUTPUT und FORWARD stelle.


per tcpdump kann ich sehen, dass der client einen netbios-braodcast 
aussendet, der scheint aber vom ipsec-gateway gar nicht weitergestellt 
zu werden.



[...]
hat jemand so ein szenario erfolgreich bei sich laufen und könnte mir 
einen tipp gebe, ob das so überhaupt geht oder ob ich eine art proxy 
benötige fürs weiterleiten der broadcasts?


Du brauchst bcrelay der Quellcode ist bei PoPToP [1] dabei, oder bei 
Heise suchen.


--
Stefan Kuhne

[1]: www.poptop.org


--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/


Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: SMB-Broadcasts routen

2005-09-12 Diskussionsfäden Thomas Kobienia 
Hallo,

Andreas Kretschmer schrieb am Montag, den 12. September 2005:

> am  12.09.2005, um 14:18:02 +0200 mailte Alexander Jede folgendes:

> > > hat jemand so ein szenario erfolgreich bei sich laufen und könnte mir 
> > > einen tipp gebe, ob das so überhaupt geht oder ob ich eine art proxy 
> > > benötige fürs weiterleiten der broadcasts?
> > 
> > Wenn es mich nicht alles täuscht und meine Irrenerung mich nicht trügt,
> > dann scheint es mir so, dass das smb-Protokoll nicht route-fähig ist.
> 
> Korrekt.

Falsch. Das SMB Protokoll läßt sich sehr wohl routen.
SMB auf NetBIOS (drunter NetBEUI) ist nicht routbar. SMB auf NetBIOS
über TCP/IP ist sehr wohl routbar.

Das eigentliche Problem liegt im finden der einzelnen beteiligten
Station einer Arbeitsgruppe. Ohne WINS-Server finden sich nur
Stationen im selben lokalem Netzsegment.

siehe: http://de.wikipedia.org/wiki/Server_Message_Block

Mit freundlichen Grüßen
Thomas Kobienia


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: SMB-Broadcasts routen

2005-09-12 Diskussionsfäden Andreas Kretschmer 
am  12.09.2005, um 14:18:02 +0200 mailte Alexander Jede folgendes:
> Am Montag, den 12.09.2005, 13:58 +0200 schrieb lars:
> ...
> > 
> > hat jemand so ein szenario erfolgreich bei sich laufen und könnte mir 
> > einen tipp gebe, ob das so überhaupt geht oder ob ich eine art proxy 
> > benötige fürs weiterleiten der broadcasts?
> 
> Wenn es mich nicht alles täuscht und meine Irrenerung mich nicht trügt,
> dann scheint es mir so, dass das smb-Protokoll nicht route-fähig ist.

Korrekt.


> Lasse mich aber gerne vom Gegenteil überzeugen, ist schon etwas her, das
> ich mich mit dem smb beschäftigt habe.

Du kannst einen WINS mit 2 Interfaces so stellen, daß er beide Netze
sieht, und den Clients sagen, daß da der WINS ist.

Genau ist das ganze in der Doku auf der SAMBA-Homepage in mehreren
Dokumenten erklärt.


Mit freundlichen Grüßen, A. Kretschmer 
-- 
Andreas Kretschmer(Kontakt: siehe Header)
Heynitz:  035242/47212,  D1: 0160/7141639
GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net
 ===Schollglas Unternehmensgruppe=== 


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: SMB-Broadcasts routen

2005-09-12 Diskussionsfäden Alexander Jede 
Am Montag, den 12.09.2005, 13:58 +0200 schrieb lars:
...
> 
> hat jemand so ein szenario erfolgreich bei sich laufen und könnte mir 
> einen tipp gebe, ob das so überhaupt geht oder ob ich eine art proxy 
> benötige fürs weiterleiten der broadcasts?

Wenn es mich nicht alles täuscht und meine Irrenerung mich nicht trügt,
dann scheint es mir so, dass das smb-Protokoll nicht route-fähig ist.
Lasse mich aber gerne vom Gegenteil überzeugen, ist schon etwas her, das
ich mich mit dem smb beschäftigt habe.

Alex


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)