Koozali.org: home of the SME Server
Other Languages => Italiano => Topic started by: simone686 on June 05, 2024, 06:14:57 PM
-
Salve a tutti...normalmente utilizzo Softethervpn-server come vpn...l'altro giorno un server è diventato irraggiungibile e facendo digitare al cliente dei comandi per controllare, ho visto che l'indirizzo IP si è impostato sull'interfaccia br0.
Così facendo il server non è accessibile nè con ssh ne dalla rete. Dall'interfaccia http invece accedo.
Come posso ripristinare la rete per poterla raggiungere ?
Grazie
-
softhernet requires the bridge interface as openvpn-bridge does.
the bridge interface take the place of the lan interface. so you need to have a server-gateway configuration.
you might have seen that https is not available on external interface because softethernet uses this port for one of the type of vpn it provides. if your requires https acces from outside to your server then you either need to disable softethernet vpn on 443 or choose a different vpn (openvpn-bridge or routed, wireguard, libreswan..)
-
Grazie per la risposta..
io uso softethernet in server-only mode..ho seguito la guida..
Adesso è la seconda volta che mi succede di rimanere chiuso fuori dallo sme in questo modo. Accesso SMB, ssh non possibile. http si ma sembra che le modifiche non abbiano effetto visto che non posso provarle e quelle relative all'acesso ssh non funzionano.
Sarebbe interessante sapere come fare per ripristinare la rete allo stato originale, senza vpn o simili.
Adesso se faccio ifconfig da console ho queste interfacce:
br0 enp50 lo tap0 tap_soft...
-
so you need to have a server-gateway configuration.
FWIW the docs do refer to Server only mode. Is this an issue with the docs?
https://wiki.koozali.org/SoftEther_VPN#Server_Only_Mode
-
the how to is outdated and the contrib does NOT support server-only as we can not guaranty how the routing, portforwarding and filtering of other LAN addressing could be handled with a third party gateway/firewall.
-
Ho una decina di macchine in giro configurate così.....cosa mi consigli di fare ?
Alcune sono vicine...ma altre sono a 100Km di distanza...
-
Direi che sono tutte da riconfigurare se è giusta l'affermazione
the contrib does NOT support server-only
e non ho dubbi che l'affermazione è giusta per via della fonte da cui arriva... :P
-
Si ci mancherebbe....cercavo di capire come fare....rimuovere il contrib softethervpn e/o dare un riconfigura da console non ha risolto nulla....
-
Io, al posto tuo, eliminerei il contrib e sfrutterei un altro "sistema" per fare VPN. Dipende dalle necessità e dalle disponibilità :-)
-
Si...avevo già iniziato la migrazione su proxmox..con sme...e vpn su Rocky Linux..speriamo bene...
-
A mio parere dipende sempre da che uso devi fare della vpn.
Se ti serve una "testa di ponte" dal cliente per accedere a varie macchine, allora la vpn è una scelta obbligata.
se l'infrastruttura prevede un firewall lascerei a quest'ultimo fare da endpoint per la vpn
se invece ti serve solo per accedere al server e/o altri server con ssh a bordo, allora ssh con key sulla macchina target (anche non SME) e da li lavori.
Eventualmente puoi anche usare il reverse tunnel di ssh per esportarti una sessione RDP di una macchina interna (ovviamente prima ti connetti in ssh con chiave, abiliti il reverse tunnel e solo dopo ti connetti in RDP)
Per i client, a meno di restrizioni particolari, anydesk
Altra alternativa senza toccare SME ma con l'obbligo comunque di avere una macchina ponte dal cliente (anche un nas o un router con openwrt) è Zerotier (www.zerotier.com) che ti permette di avere una rete tua di dispositivi comunque geograficamente distribuiti
-
Ragazzi grazie per le risposte..ma a me server capire se e come si può rimuovere in sicurezza softethervpn e come fare.
Uninstall
yum remove smeserver-softethervpn-server softethervpn-server
config delprop httpd-e-smith httpsOnlyLocal
signal-event remoteaccess-update
Facendo così mi rimangono i bridge e la rete da fuori verso sme rimane inaccessibile.
Mi piacerebbe sapere come resettare completamente la rete al limite..
-
farei ponte su una macchina interna con un anydesk, ssh verso il server e poi provvederei a riconfigurare la macchina con
console
-
Si ho provato...ma non funziona....ssh verso lo sme e samba non accedono...in http entro...utenti e condivise sono al loro posto. Modificando la sezione accesso remoto niente...
-
posta il risultato di
/sbin/e-smith/audittools/templates
netstat -i
brctl show
prova, ma devi essere in console sulla macchina (potresti perdere la configurazione di rete e quindi rimanere fuori)
ip link set br0 down
brctl delbr br0
-
ip link set br0 down
brctl delbr br0
questo avevo provato credo...ma al riavvio riappariva...adesso la macchina gliela ho cambiato con un proxmox con sopra sme e vpn su centOS...
La prossima volta che succede (spero di no) faccio le prove...
-
ok, hai risolto e mi fa piacere
ma se avessi postato quanto richiesto avremmo potuto capire come mai l'interfaccia ricomparisse.. sembra un bug e coe tale dovrebbe essere indagato.
se, come mi pare di aver capito, avessi altre macchine nella stessa sotuazione, dopo aver disinstallato il contrib problematico, manda l'output dei comandi che ti ho postato, grazie :-)
-
Ho smanettato un po'..aggiunto e rimosso schede di rete...installato ultimi aggiornamenti di sme...e adesso ssh mi fa accedere...ma non samba..Il bridge è sparito..
[root@servernas ~]# /sbin/e-smith/audittools/templates
[root@servernas ~]# netstat -i
Kernel Interface table
Iface MTU RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg
enp5s0 2000 263 0 0 0 127 0 0 0 BMRU
lo 65536 261 0 0 0 261 0 0 0 LRU
[root@servernas ~]# brctl show
bridge name bridge id STP enabled interfaces
[root@servernas ~]#
-
ok
stiamo parlando sempre della stessa macchina? o di un'altra?
che operazioni hai fatto?
hai provato rigenerare la conf di samba con un (ad esempio)
signal-event ibay-modify
?
puoi mandare, dopo aver provato quanto sopra, se non dovesse funzionare, l'output di
testparm
ed anche, sempre dopo aver fatto quanto sopra, l'output di
config show smbd
config show smb
(verifica non ci siano dati privati, non serve mascherare eventuali ip essendo privati, magari anonimizza quanto possa ricondurre al cliente)
Grazie
-
ah, anche l'output di
service smbd status
grazie
-
Controlla anche nel file smb.conf su che interfaccia risponde il servizio; righe:
host allow = xxxx
interfaces = xxxx
-
Adesso la macchina ho dovuto spianarla....ho un vecchio sme 9 con un disco ko....e ne approfitto per cambiarla.
Tengo buone le vostre indicazioni..
Vi ringrazio
-
Questo problema un server dopo l'altro si sta verificando a tutti piano piano.....esiste un modo per rimuovere il contribs, il bridge e tornare ad una configurazione con la singola interfaccia ethernet configurata ?