Koozali.org: home of the SME Server

Bridge Interface

Offline simone686

  • ***
  • 89
  • +0/-0
Bridge Interface
« on: June 05, 2024, 06:14:57 PM »
Salve a tutti...normalmente utilizzo Softethervpn-server come vpn...l'altro giorno un server è diventato irraggiungibile e facendo digitare al cliente dei comandi per controllare, ho visto che l'indirizzo IP si è impostato sull'interfaccia br0.
Così facendo il server non è accessibile nè con ssh ne dalla rete. Dall'interfaccia http invece accedo.
Come posso ripristinare la rete per poterla raggiungere ?

Grazie

Offline Jean-Philippe Pialasse

  • *
  • 2,819
  • +11/-0
  • aka Unnilennium
    • http://smeserver.pialasse.com
Re: Bridge Interface
« Reply #1 on: June 05, 2024, 08:27:16 PM »
softhernet requires the bridge interface as openvpn-bridge does. 

the bridge interface take the place of the lan interface.  so you need to have a server-gateway configuration.

you might have seen that https is not available on external interface because softethernet uses this port for one of the type of vpn it provides.  if your requires https acces from outside to your server then  you either need to disable softethernet vpn on 443 or choose a different vpn (openvpn-bridge or routed, wireguard, libreswan..)

Offline simone686

  • ***
  • 89
  • +0/-0
Re: Bridge Interface
« Reply #2 on: June 08, 2024, 09:21:14 AM »
Grazie per la risposta..

io uso softethernet in server-only mode..ho seguito la guida..

Adesso è la seconda volta che mi succede di rimanere chiuso fuori dallo sme in questo modo. Accesso SMB, ssh non possibile. http si ma sembra che le modifiche non abbiano effetto visto che non posso provarle e quelle relative all'acesso ssh non funzionano.

Sarebbe interessante sapere come fare per ripristinare la rete allo stato originale, senza vpn o simili.
Adesso se faccio ifconfig da console ho queste interfacce:

br0  enp50 lo tap0 tap_soft...



Offline ReetP

  • *
  • 3,805
  • +5/-0
Re: Bridge Interface
« Reply #3 on: June 08, 2024, 03:34:47 PM »
so you need to have a server-gateway configuration.

FWIW the docs do refer to Server only mode. Is this an issue with the docs?

https://wiki.koozali.org/SoftEther_VPN#Server_Only_Mode
...
1. Read the Manual
2. Read the Wiki
3. Don't ask for support on Unsupported versions of software
4. I have a job, wife, and kids and do this in my spare time. If you want something fixed, please help.

Bugs are easier than you think: http://wiki.contribs.org/Bugzilla_Help

If you love SME and don't want to lose it, join in: http://wiki.contribs.org/Koozali_Foundation

Offline Jean-Philippe Pialasse

  • *
  • 2,819
  • +11/-0
  • aka Unnilennium
    • http://smeserver.pialasse.com
Re: Bridge Interface
« Reply #4 on: June 08, 2024, 08:13:26 PM »
the how to is outdated and the contrib does NOT support server-only as we can not guaranty how the routing, portforwarding and  filtering of other LAN addressing could be handled with a third party gateway/firewall.

Offline simone686

  • ***
  • 89
  • +0/-0
Re: Bridge Interface
« Reply #5 on: June 10, 2024, 09:53:51 AM »
Ho una decina di macchine in giro configurate così.....cosa mi consigli di fare ?
Alcune sono vicine...ma altre sono a 100Km di distanza...

Offline Fumetto

  • *
  • 879
  • +1/-0
Re: Bridge Interface
« Reply #6 on: June 11, 2024, 03:26:03 AM »
Direi che sono tutte da riconfigurare se è giusta l'affermazione
Quote
the contrib does NOT support server-only
e non ho dubbi che l'affermazione è giusta per via della fonte da cui arriva...  :P

Offline simone686

  • ***
  • 89
  • +0/-0
Re: Bridge Interface
« Reply #7 on: June 11, 2024, 04:21:35 PM »
Si ci mancherebbe....cercavo di capire come fare....rimuovere il contrib softethervpn e/o dare un riconfigura da console non ha risolto nulla....

Offline Fumetto

  • *
  • 879
  • +1/-0
Re: Bridge Interface
« Reply #8 on: June 11, 2024, 06:35:32 PM »
Io, al posto tuo, eliminerei il contrib e sfrutterei un altro "sistema" per fare VPN. Dipende dalle necessità e dalle disponibilità :-)

Offline simone686

  • ***
  • 89
  • +0/-0
Re: Bridge Interface
« Reply #9 on: June 12, 2024, 10:52:30 AM »
Si...avevo già iniziato la migrazione su proxmox..con sme...e vpn su Rocky Linux..speriamo bene...

Offline Stefano

  • *
  • 10,852
  • +2/-0
Re: Bridge Interface
« Reply #10 on: June 12, 2024, 12:35:09 PM »
A mio parere dipende sempre da che uso devi fare della vpn.

Se ti serve una "testa di ponte" dal cliente per accedere a varie macchine, allora la vpn è una scelta obbligata.
se l'infrastruttura prevede un firewall lascerei a quest'ultimo fare da endpoint per la vpn

se invece ti serve solo per accedere al server e/o altri server con ssh a bordo, allora ssh con key sulla macchina target (anche non SME) e da li lavori.
Eventualmente puoi anche usare il reverse tunnel di ssh per esportarti una sessione RDP di una macchina interna (ovviamente prima ti connetti in ssh con chiave, abiliti il reverse tunnel e solo dopo ti connetti in RDP)

Per i client, a meno di restrizioni particolari, anydesk

Altra alternativa senza toccare SME ma con l'obbligo comunque di avere una macchina ponte dal cliente (anche un nas o un router con openwrt) è Zerotier (www.zerotier.com) che ti permette di avere una rete tua di dispositivi comunque geograficamente distribuiti

Offline simone686

  • ***
  • 89
  • +0/-0
Re: Bridge Interface
« Reply #11 on: June 12, 2024, 02:33:26 PM »
Ragazzi grazie per le risposte..ma a me server capire se e come si può rimuovere in sicurezza softethervpn e come fare.

Uninstall
yum remove smeserver-softethervpn-server  softethervpn-server
config delprop httpd-e-smith httpsOnlyLocal
signal-event remoteaccess-update

Facendo così mi rimangono i bridge e la rete da fuori verso sme rimane inaccessibile.
Mi piacerebbe sapere come resettare completamente la rete al limite..

Offline Stefano

  • *
  • 10,852
  • +2/-0
Re: Bridge Interface
« Reply #12 on: June 12, 2024, 04:35:17 PM »
farei ponte su una macchina interna con un anydesk, ssh verso il server e poi provvederei a riconfigurare la macchina con

Code: [Select]
console

Offline simone686

  • ***
  • 89
  • +0/-0
Re: Bridge Interface
« Reply #13 on: June 13, 2024, 01:02:34 PM »
Si ho provato...ma non funziona....ssh verso lo sme  e samba non accedono...in http entro...utenti e condivise sono al loro posto. Modificando la sezione accesso remoto niente...

Offline Stefano

  • *
  • 10,852
  • +2/-0
Re: Bridge Interface
« Reply #14 on: June 13, 2024, 04:20:40 PM »
posta il risultato di
Code: [Select]
/sbin/e-smith/audittools/templates

netstat -i

brctl show
prova, ma devi essere in console sulla macchina (potresti perdere la configurazione di rete e quindi rimanere fuori)

Code: [Select]
ip link set br0 down
brctl delbr br0

Offline simone686

  • ***
  • 89
  • +0/-0
Re: Bridge Interface
« Reply #15 on: June 14, 2024, 11:47:37 AM »
ip link set br0 down
brctl delbr br0

questo avevo provato credo...ma al riavvio riappariva...adesso la macchina gliela ho cambiato con un proxmox con sopra sme e vpn su centOS...

La prossima volta che succede (spero di no) faccio le prove...

Offline Stefano

  • *
  • 10,852
  • +2/-0
Re: Bridge Interface
« Reply #16 on: June 14, 2024, 01:59:55 PM »
ok, hai risolto e mi fa piacere

ma se avessi postato quanto richiesto avremmo potuto capire come mai l'interfaccia ricomparisse.. sembra un bug e coe tale dovrebbe essere indagato.

se, come mi pare di aver capito, avessi altre macchine nella stessa sotuazione, dopo aver disinstallato il contrib problematico, manda l'output dei comandi che ti ho postato, grazie :-)

Offline simone686

  • ***
  • 89
  • +0/-0
Re: Bridge Interface
« Reply #17 on: June 14, 2024, 02:54:00 PM »
Ho smanettato un po'..aggiunto e rimosso schede di rete...installato ultimi aggiornamenti di sme...e adesso ssh mi fa accedere...ma non samba..Il bridge è sparito..

[root@servernas ~]# /sbin/e-smith/audittools/templates
[root@servernas ~]# netstat -i
Kernel Interface table
Iface             MTU    RX-OK RX-ERR RX-DRP RX-OVR    TX-OK TX-ERR TX-DRP TX-OVR Flg
enp5s0           2000      263      0      0 0           127      0      0      0 BMRU
lo              65536      261      0      0 0           261      0      0      0 LRU
[root@servernas ~]# brctl show
bridge name     bridge id               STP enabled     interfaces
[root@servernas ~]#


Offline Stefano

  • *
  • 10,852
  • +2/-0
Re: Bridge Interface
« Reply #18 on: June 14, 2024, 03:24:41 PM »
ok

stiamo parlando sempre della stessa macchina? o di un'altra?
che operazioni hai fatto?
hai provato rigenerare la conf di samba con un (ad esempio)

Code: [Select]
signal-event ibay-modify
?

puoi mandare, dopo aver provato quanto sopra, se non dovesse funzionare, l'output di
Code: [Select]
testparm

ed anche, sempre dopo aver fatto quanto sopra, l'output di

Code: [Select]
config show smbd
config show smb

(verifica non ci siano dati privati, non serve mascherare eventuali ip essendo privati, magari anonimizza quanto possa ricondurre al cliente)

Grazie

Offline Stefano

  • *
  • 10,852
  • +2/-0
Re: Bridge Interface
« Reply #19 on: June 14, 2024, 03:39:42 PM »
ah, anche l'output di

Code: [Select]
service smbd status

grazie

Offline nicolatiana

  • *
  • 722
  • +0/-0
Re: Bridge Interface
« Reply #20 on: June 14, 2024, 04:55:09 PM »
Controlla anche nel file smb.conf su che interfaccia risponde il servizio; righe:


host allow = xxxx
interfaces = xxxx
Consulente di Smeserver.it -  Soluzioni e supporto su Sme server in Italia.

Offline simone686

  • ***
  • 89
  • +0/-0
Re: Bridge Interface
« Reply #21 on: June 15, 2024, 09:18:15 AM »
Adesso la macchina ho dovuto spianarla....ho un vecchio sme 9 con un disco ko....e ne approfitto per cambiarla.

Tengo buone le vostre indicazioni..

Vi ringrazio

Offline simone686

  • ***
  • 89
  • +0/-0
Re: Bridge Interface
« Reply #22 on: July 13, 2024, 11:55:34 AM »
Questo problema un server dopo l'altro si sta verificando a tutti piano piano.....esiste un modo per rimuovere il contribs, il bridge e tornare ad una configurazione con la singola interfaccia ethernet configurata ?