IPsec VPN 上的 CIFS 安裝問題

Question 1

您可以使用 SMB 用戶端連接，因為您可以「匿名」連線。但能夠以匿名方式連線並不意味著普通用戶的身份驗證服務正在運行。

您可能有防火牆問題。打開這4個連接埠：

- UDP&TCP/137
- UDP&TCP/138
- UDP&TCP/139
- TCP/445

檢查您是否也允許 Windows 端的 Netlogon 服務進行通訊。

Answer

您可以使用 SMB 用戶端連接，因為您可以「匿名」連線。但能夠以匿名方式連線並不意味著普通用戶的身份驗證服務正在運行。

您可能有防火牆問題。打開這4個連接埠：

- UDP&TCP/137
- UDP&TCP/138
- UDP&TCP/139
- TCP/445

檢查您是否也允許 Windows 端的 Netlogon 服務進行通訊。

Question 2

透過 VPN 連線時可以存取連接埠 445/tcp。使用

nc -v myserver.mydomain.co.uk 445.

如果有效的話。

Connection to myserver.mydomain.co.uk 445 port [tcp/microsoft-ds] succeeded!

您可能會看到的唯一問題是防火牆是否代理可能成功建立的連線。然後您需要進行封包擷取並查看 Windows 伺服器是否正在傳送任何內容。

Answer

透過 VPN 連線時可以存取連接埠 445/tcp。使用

nc -v myserver.mydomain.co.uk 445.

如果有效的話。

Connection to myserver.mydomain.co.uk 445 port [tcp/microsoft-ds] succeeded!

您可能會看到的唯一問題是防火牆是否代理可能成功建立的連線。然後您需要進行封包擷取並查看 Windows 伺服器是否正在傳送任何內容。

Question 3

嗯，一年後我終於明白了！

根本原因是主機名稱解析問題。當我試圖透過 VPN 透過 SSH 連接到同一遠端網路上的電腦來解決另一個問題時，線索出現了。

從輸出ssh -v：

debug1: Connecting to myserver2.mydomain.ox.ac.uk [163.1.21.182] port 22.

我發現 OpenSSH 正在嘗試連接到一個無意義的 IP 位址（它實際上是將我的伺服器的主機名稱解析為網路印表機的 IP 位址！）。我發現這ping也無法正確解析主機名，但host似乎有效。這最終導致我這個線程關於詢問 Ubuntu。

事實證明ping和ssh都使用 glibc 解析器，就像mount.cifs. glibc 取得名稱服務資訊的來源配置在/etc/nsswitch.conf。

我的內容nsswitch.conf原來是這樣的：

passwd:         compat
group:          compat
shadow:         compat

hosts:          files myhostname mdns4_minimal [NOTFOUND=return] dns wins mdns4
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

重要的一行是以開頭的行hosts:，它列出了 glibc 在執行主機名稱解析時查詢的來源的順序。請注意，在我的版本中，按搜尋順序dns排在後面。[NOTFOUND=return]

我的解釋是，如果 glibc 無法根據前四個來源解析主機名，它將在實際查詢任何 DNS 伺服器之前返回！我不知道為什麼nsswitch.conf以這種方式配置（我當然沒有這樣設定），但將行更改為：

hosts:          files myhostname mdns4_minimal dns [NOTFOUND=return] wins mdns4

突然讓一切正常運作，包括ping、ssh和mount.cifs。

Answer