[projets info] comment occuper ses vacances....

[dsebire]

bon, ça marche !!!!!
en fait pas besoin d'une 2eme interface, m'etais juste planté dans une regle du firewall qui etait trop restrictive....
faudra que je fasse des regles pour ce qui tourne en local sur la VM vu que sinon, tout est envoyé dans le VPN et donc perdu !

prochaine etape, samba4 !

PS: je mettrais les premiers posts a jour plus tard, la j'ai le mome sur les genoux, c'est pas facile

[dsebire]

ps: pour les perfs, test rapide, je perd 8-10ms sur le ping :/

C:\>ping 8.8.4.4

Pinging 8.8.4.4 with 32 bytes of data:

Reply from 8.8.4.4: bytes=32 time=33ms TTL=48
Reply from 8.8.4.4: bytes=32 time=32ms TTL=48
Reply from 8.8.4.4: bytes=32 time=33ms TTL=48
Reply from 8.8.4.4: bytes=32 time=33ms TTL=48

Ping statistics for 8.8.4.4:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 32ms, Maximum = 33ms, Average = 32ms

C:\>route delete 8.8.4.4

C:\>ping 8.8.4.4

Pinging 8.8.4.4 with 32 bytes of data:

Reply from 8.8.4.4: bytes=32 time=24ms TTL=48
Reply from 8.8.4.4: bytes=32 time=24ms TTL=48
Reply from 8.8.4.4: bytes=32 time=25ms TTL=48
Reply from 8.8.4.4: bytes=32 time=23ms TTL=48

Ping statistics for 8.8.4.4:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 23ms, Maximum = 25ms, Average = 24ms

(le premier c'est avec la route active donc au travers du VPN, le second je shoote la route donc en direct)

[dsebire]

premiers posts a jour.
par contre, je viens de decouvrir un bug, a partir du serveur distant, je n'arrive pas a joindre les machine locales a part la passerelle (mais ça marche dans l'autre sens, LAN -> distant)
les trames arrivent jusqu'a a passerelle du LAN, mais soit c'est pas routé sur les machines du LAN, soit le retour se fait pas.
dans tous les cas, pb de firewall/routage sur la passerelle

a suivre....

NB: avec un tcpdump, je vois que c'est l'IP publique du KS qui envoie les pings, donc toutes les chances que le retour se fasse pas par le même chemin que l'aller. je pense que la translation d'adresse est un peu trop violente sur le KS (tout est natté), faudrait que je filtre un peu moins

[gizmo78]

la latence que tu prends c'est pas du au client léger? qui galère un peu

[dsebire]

nope, pour l'instant je suis sur une VM (l'hôte est chargé mais quand même...)
par contre, 10ms correspond a ping de OVH vers Google

donc si on prend mes 20-20ms de ma connexion ADSL + les 10ms de ovh vers Google, on retombe sur les 30-32 de chez moi a Google en passant par OVH

en fait je pensais que cette latence serait masquée par la latence que j'ai de toute façon pour aller jusque chez Google en direct mais c'était une erreur.

[dsebire]

premiers posts a jour.
NB: avec un tcpdump, je vois que c'est l'IP publique du KS qui envoie les pings, donc toutes les chances que le retour se fasse pas par le même chemin que l'aller. je pense que la translation d'adresse est un peu trop violente sur le KS (tout est natté), faudrait que je filtre un peu moins

gagné ! j'etais un peu trop large niveau translation d'adresse (premiers posts a jour)
en sortant du NAT l'IP du lan virtuel sur le KS, les pings sont bien envoyés avec l'IP du LAN et non la publique et je joins bien n'importe quelle IP de mon LAN local.

=> installation de samba 4 !
PS: j'ai ~2h avant que le mome se leve, ça va etre chaud

edit: bah en fait, samba ça sera pour plus tard, faut que j'essaie de faire marcher les services locaux du routeur (rappel, j'arrive pas a joindre la machine en SSH a partir du LAN local, car les paquets sont envoyés dans le VPN et donc perdus)

[dsebire]

tout ce que j'envoie comme paquet a destination de ma gateway sont perdus....
ping, ssh, rdp etc... des que la destination est l'ip de la gateway, ça disparait
je seche.
pas moyen de filtrer au niveau firewall/nat, et je vois pas pourquoi ça a ce comportement la

PS: les services sont joignables au travers du VPN (a partir du kimsufi) !!!
j'ai du merder qq part

[dsebire]

j'ai activé les logs sur tout le firewall (donc je vois tous les paquets passser)
bah rien ne passe quand j'envoie un paquet a destination de ma gateway ça veut dire que le VPN a du l'absorber avant, sauf que le VPN envoie aucun paquet a ce moment la. confirmé d'ailleurs par le fait que de l'autre coté du tunnel, rien n'arrive.
tcpdump voit le paquet entrant mais rien ne ressort.

idem, aucun paquet ne passe de la gateway vers le lan local, alors que la ça traverse bien

[dsebire]

hello,

j'ai un peu bossé ce WE et ce matin (insomnie, encore !!!!)

et on s'arrete la puisque ça bug !!!!
l'IP annoncée par le samba est l'IP publique et non l'IP privée.
la replication ne se fera donc que dans 1 sens (LAN -> kimsufi) puisque le firewall bloque dans l'autre sens (rien n'est ouvert sur l'IP publique)
vais devoir ouvrir un case chez samba

les premiers posts sont a jour

[poulpito]

je vais zieuter ca !!

[dsebire]

YOP !

je trouve pas de forum officiel samba, j'ai qu'une mailing list ou un bug report.
j'ai pas trop envie de souscrire a la mailing list (mauvais souvenir) et pas non plus envie d'ouvrir un bug (si c'est moi qui fait une mauvaise manip)

vous en connaissez un ?

[dsebire]

hé hé !!!! j'ai trouvé, tout seul, comme un grand !

je parle pas du forum d'aide, mais de la soluce a mon pb !

il faut ajouter dans /etc/samba/smb.conf 2 petites lignes de rien du tout:

        interfaces = 127.0.0.1 eth1
        bind interfaces only = true

la premiere pour indiquer sur quelle interface/IP ecouter (sinon ça prend par defaut eth0 et lo) et la seconde pour dire de n'ecouter QUE sur les interfaces specifiées et ne pas ecouter sur celles par defaut.

me reste 1 ou 2 connerie a regler et on pourra considerer samba comme fonctionnel !
PS: je mettrais les premiers posts a jour plus tard, le mome se lève la !

[kalistyan]

Bien joué!

[dsebire]

la suite :
samba demarre, repond etc... mais (ya toujours un mais):
apparement, la repli DNS fonctionne mal.
le replication AD est dans les choux, vu que mon DC windows m'indique que le shema n'est pas coherent avec le DC samba.

de ce que je comprend, c'est que le 2nd point est directement lié au premier.

je suis en train de tenter de corriger les soucis de DNS, mais ça a pas l'air gagné...

root@host:~# samba_dnsupdate
Traceback (most recent call last):
  File "/usr/sbin/samba_dnsupdate", line 510, in 
    get_credentials(lp)
  File "/usr/sbin/samba_dnsupdate", line 123, in get_credentials
    raise e
RuntimeError: kinit for HOST$@MON-DOMAINE failed (Cannot contact any KDC for requested realm)

pourtant l'authentification focntionne bien !

root@host:~# kinit administrator
Password for administrator@MON-DOMAINE:
root@host:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@MON-DOMAINE

Valid starting       Expires              Service principal
26/12/2013 08:19:19  26/12/2013 18:19:22  krbtgt/MON-DOMAINE@MON-DOMAINE
        renew until 27/12/2013 08:19:19

[dsebire]

ah oui, aussi:
installation de samba comme service:
https://wiki.samba.org/index.php/Samba4/InitScript

[dsebire]

put@in !!!!!
je deteste linux !

root@host:~# locate krb5.conf
/etc/krb5.conf
/usr/share/kerberos-configs/krb5.conf.template
/usr/share/samba/setup/krb5.conf
/var/lib/samba/private/krb5.conf

le système utilise celui dans /etc (que j'ai configuré), samba celui dans /var/lib/samba/private (qui evidement est presque vide)

resolu par

ln -s /var/lib/samba/private/krb5.conf /etc/krb5.conf

oui, il vaut mieux rediriger celui du système vers celui de samba vu que celui de samba est geré par l'AD !
bien evidement, avant on recopie la conf de celui du système dans celui de samba !

maintenant la repli DNS fonctionne

[dsebire]

bon, la repli, ça semble fonctionner. si c'est bien ce que je pense, c'est vraiement très très moche ! la suite (explications et solution) plus tard une fois que j'ai verifié que tout est OK.
pour info, c'est lié a un paramètre que j'ai du modifier plus tot
edit:> bah non, je me suis repris une erreur sur le shema

[dsebire]

replication SYSVOL:

pour rappel, samba4 n'est pour l'instant pas compatible NTFRS ni DFSR. les partages SYSVOL et NETLOGON ne sont donc pas repliqués.
il faut donc bricoler:

on monte le share sysvol du dcwindows en local en ajoutant une ligne au /etc/fstab:

//dcwindows/SYSVOL/    /mnt/SYSVOL_from_dcwindows/    cifs    guest,ro        0       0

le compte guest sur l'AD doit etre activé (conexions anonyme). mais rien ne vous empeche de specifier un autre compte avec user=user%password

ensuite, une petite commande dans la crontab système (pour ne pas dependre d'un user):

rsync -XAavz --delete-after --force --exclude 'DO_NOT_REMOVE_NtFrs_PreInstall_Directory' /mnt/SYSVOL_from_dcwindows/ /var/lib/samba/sysvol

on peut la mettre toute les 5mn, a part la premiere repli qui peut etre longue, la plupart du temps ça ne transferera rien, ou seulement le delta (donc a moins de modifier les scripts de login et les GPO 50 fois par jour, il n'y aura aucune incidence).

[dsebire]

ça marche !!!!!!!!!!!!!!!!!!!!!!!!!!!

il y a du y avoir un souci au niveau de la repli initiale du fait du DNS qui fonctionnait pas.
j'ai forcé la repli du schema, plus d'erreurs.
la repli est bien effectuée, dans tous les sens.

la commande:

samba-tool drs replicate host dcwindows CN=Schema,CN=Configuration,DC=mon-domaine

ça force la repli du shema de dcwindows vers host

par contre, a l'usage, ça s'avere pas top.
en effet, la latence induite par la connexion ADSL+VPN joue enormement
une ouverture de session par ex, prend 20-30 sec de plus sur le samba que sur le DC windows :/

edit: je viens de mettre les premiers posts a jour avec atoutes les infos

[dsebire]

pour info, voici a quoi doivent ressembler les fichiers de conf saba:
/etc/samba/smb.conf

# Global parameters
[global]
        interfaces = 127.0.0.1 eth1
        bind interfaces only = true
        workgroup = MON-DOMAINE
        realm = mon-domaine
        netbios name = HOST
        server role = active directory domain controller
        server services = smb, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbind, ntp_signd, kcc, dnsupdate, dns


                allow dns updates = nonsecure
                dns forwarder = 8.8.8.8
                nsupdate command = /usr/bin/nsupdate


[netlogon]
        path = /var/lib/samba/sysvol/mon-domaine/scripts
        read only = No

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

/var/lib/samba/private/krb5.conf

[libdefaults]
        default_realm = MON-DOMAINE
        dns_lookup_kdc = true
        dns_lookup_realm = false

# The following krb5.conf variables are only for MIT Kerberos.
        krb4_config = /etc/krb.conf
        krb4_realms = /etc/krb.realms
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true

# The following libdefaults parameters are only for Heimdal Kerberos.
        v4_instance_resolve = false
        v4_name_convert = {
                host = {
                        rcmd = host
                        ftp = ftp
                }
                plain = {
                        something = something-else
                }
        }
        fcc-mit-ticketflags = true

[realms]
        MON-DOMAINE = {
                kdc = dcwindows.mon-domaine
                kdc = host.mon-domaine
                default_domain = mon-domaine
                admin_server = dcwindows.mon-domaine
        }

[domain_realm]
        .mon-domaine = MON-DOMAINE
        mon-domaine = MON-DOMAINE

[login]
        krb4_convert = true
        krb4_get_tickets = false

coté occupation CPU/RAM:

root@host:~# free
             total       used       free     shared    buffers     cached
Mem:       2043480     939256    1104224          0     256916     365920
-/+ buffers/cache:     316420    1727060
Swap:      2046972          0    2046972

seulement 316Mo de RAM utilisé !
le CPU se touche, moyenne a 1-2%, c'est xrdp, top et samba qui consomment (rappel Atom N2800)
j'ai des cretes a 100% de temps en temps (2-3sec max), a cause de samba, pas trouvé pk