openvpn越しにsamba共有フォルダを利用する際のsmb.conf設定について
zhu...@agr.u-ryukyu.ac.jp
4月12日に投稿させていただいたディスカッション「vpnネットワーク空間のサブネットマスクがサーバー側とクライアント側で異なってしまう」に関連
して,新規に投稿させていただきます.
上記のディスカッションにおいて,vpn空間におけるクライアント側のIP/MASKは,私の環境において,
server.confにserver 10.8.0.0/24を設定した場合に,10.8.0.6/30であることがわかりました.
そこで,sambaのsmb.confのhosts allowとinterfacesの設定をどのようにするのが正しいのか悩んでおります.
OpenVPN.JP 日本語情報サイトHow toの一部を以下に引用させていただきます.
(引用ここから)
VPNのIPアドレス範囲は10.8.0.0/24を使用します(OpenVPNサーバー設定ファイルのserverディレクティブで設定します)。
・・・・・・・・・・・・・・・・・・・・・・・・
次に、Samba設定ファイル(smb.conf)を編集します。hosts allowディレクティブにおいて、10.8.0.0/24サブネットか
ら接続してくるOpenVPNクライアントが接続できるよう許可してください。次のように設定します。
hosts allow = 10.66.0.0/24 10.8.0.0/24 127.0.0.1
SambaとOpenVPNサーバーが同一PC上で動作している場合は、smb.confファイルのinterfacesディレクティブを編集し、
10.8.0.0/24のサブネットのTUNインターフェイスもリッスンするようにします。
interfaces = 10.66.0.0/24 10.8.0.0/24
(引用ここまで)
上記引用文のとおり,server.confにserver 10.8.0.0/24を設定した場合,smb.confのhosts allowと
interfacesにも10.8.0.0/24を設定したらよいとされております.
私の環境ではserver.confにserver 10.8.0.0/24を設定した場合,クライアントのアドレスは10.8.0.6/30です.
そのため,smb.confのhosts allowとinterfacesを上記引用のHow toに従った10.8.0.0/24にするのと,
私の環境に従った10.8.0.0/30とするのとどちらが正しいのかが分かりません.
現在はHow toに従っていますが,vpn越しにsamba共有からダウンロードすることには成功していません.
ちなみに,samba共有へのアップロードは成功しています.
よろしくお願いいたします.
zhu...@agr.u-ryukyu.ac.jp
zhunaiです.
smb.confのhosts allowとinterfacesに10.8.0.0/24ではなく10.8.0.0/30を設定すると,
samba共有フォルダの中をブラウズすることすらできなくなりました.
したがって,smb.confのhosts allowとinterfacesには10.8.0.0/24を設定するほうが正しいと考えられました.
Taro Yamazaki
やまざきです。
OpenVPNから割り当てられる /30 のアドレスブロックは、あくまでもVPN接続と
いう用途のためだけのものとご理解いただくとわかりやすいと思います。このア
ドレスはOpenVPN専用の仮想的なもので、Sambaを含む他のサービスでは基本的に
利用しません。
したがって、OpenVPN以外のサービスの設定においては、本来のネットワークブ
ロックを指定することになります。
仮にVPNネットワークの構成に問題があるのであれば、そもそもSambaサーバーに
接続もできないと思いますので、ご報告のようにアップロードができているとい
う状況であれば、VPN接続自体は成功しているものと思われます。
Sambaの設定か、OpenVPNサーバー/Sambaサーバー上で稼働している他のサービス
に起因している可能性が高いような気がしますね。
--
::: Taro Yamazaki [ ta...@plum-systems.co.jp ]
: <LinkedIn> http://www.linkedin.com/in/yamata
-------------------------------------------------------------
: Plum Systems Inc.
: 2-3-11-2F, Kurihira, Asao, Kawasaki, Kanagawa, 215-0031, JAPAN
: http://www.plum-systems.co.jp/
zhu...@agr.u-ryukyu.ac.jp
ご教授ありがとうございます.納得いたしました.
現在のところまだ解決しておりませんが,状況が変わり次第,このディスカッションに投稿させていただきます.
zhu...@agr.u-ryukyu.ac.jp
根本的な解決ではありませんが,
openvpnで使うプロトコルをUDPからTCPに変えたことでファイルサーバーと通信をすることができました.
その詳しい理由を調べきっておりませんが,UDPを使う場合のMTUの設定値が最適ではないために,
光回線のなんらかのフィルタリングに通信が遮断されがちになり,不安定な通信状況が形成されるたため
ではないかと考えています.TCPでの通信はそのフィルタリングに遮断されないものと思われます.
光回線の仕様を調べてみたいと思います.
また,UDPを使うことに関しては今後の課題で,MTUの最適化がキーポイントであると思われます.
やまざき様,ご教授下さいまして誠にありがとうございました.
Taro Yamazaki
zhunai さま
やまざきです。
状況のご報告、どうもありがとうございます。
# このようにご報告いただけると、今後MLを参照される方にも有用な情報にな
# ります。
確かにMTUなどの設定が関係しているかもしれませんね。
同じような状況かどうかはわかりませんが、私も実際に遭遇した問題として、
一部のモバイル環境(Xiなど)ではmssfixを設定しないと通信が不安定になる
ケースがありました。共有フォルダの参照はできるもののダウンロードを始める
と非常に遅いor途中で停止したり、VPN上のWebサーバーにアクセスすると、ペー
ジのファイルサイズなどによってタイムアウトが発生するなどの状況です。
実際に設定する適切な値は環境にもよりますが、例えば
===
tun-mtu 1500
mssfix 1300
===
というような設定で解決したケースがあります。
今後の調査の際に参考にしていただければ幸いです。
--
::: Taro Yamazaki [ ta...@plum-systems.co.jp ]