Fernzugriff auf Serververzeichnis

23/05/2014 - 12:02 von Peter Blancke | Report spam
Guten Tag,

auf einem fernen Server, der via OpenVPN und SSH ueber den Hostnamen
host.example.com erreichbar ist, liegt ein Verzeichnis, welches
permanent auf einem lokalen Server eingebunden sein musz. Sowohl
lokale IP Adresse ins Internet aendern sich dynamisch als auch die
des fernen Servers, der A-Record fuer host.example.com hat eine TTL
von 60 Sekunden, der Host ist also bestens erreichbar.

Das ferne Netz 192.168.0.0/24 ist via OpenVPN vom lokalen Netz
(192.168.100.0/24) aus erreichbar. Auch nach der "Zwangstrennung"
und einer neuen IP Adressvergabe (immer morgens um 05:00 Uhr) sorgt
OpenVPN fuer verlaeszlichen Neuaufbau der VPN-Verbindung.

Der Ordner /opt/austausch auf dem fernen Server musz auf dem lokalen
Rechner /server/austausch sichtbar sein.

Ich habe drei Loesungen durchprobiert:

1. SSH ueber VPN:
sshfs -o reconnect -C root@192.168.0.1:/opt/austausch /server/austausch

2. SSH direkt
sshfs -o reconnect -C root@host.example.com:/opt/austausch /server/austausch

3. smb ueber VPN:
mount.cifs //192.168.0.1/austausch /server/austausch

Alle drei Loesungen funktionieren und ueberdauern auch den
IP-Adresswechsel nach der Zwangstrennung.

Loesung 1 ist irgendwie unsinnig: Hier wird doppelt verschluesselt,
einnmal ueber OpenVPN und dann ueber SSH.

Loesung 2 ist die von mir gewaehlte, hier wird nur einmal
verschluesselt.

Loesung 3 ist deutlich langsamer als Loesung 1 und 2.

Mit Zugriffsrechten gibt es weiter keine Probleme.

Ich habe zu Loesung 2 gegriffen.

Moechte mir jemand einen voellig anderen Denkansatz anempfehlen?[0]

Grusz,

Peter Blancke


[0] Moeglichst kein NFS (ueber VPN), mit NFS bin ich irgendwie nie
warm geworden.

Hoc est enim verbum meum!
 

Lesen sie die antworten

#1 Juergen P. Meier
23/05/2014 - 13:22 | Warnen spam
Peter Blancke :
auf einem fernen Server, der via OpenVPN und SSH ueber den Hostnamen
host.example.com erreichbar ist, liegt ein Verzeichnis, welches
permanent auf einem lokalen Server eingebunden sein musz. Sowohl
lokale IP Adresse ins Internet aendern sich dynamisch als auch die
des fernen Servers, der A-Record fuer host.example.com hat eine TTL
von 60 Sekunden, der Host ist also bestens erreichbar.

Das ferne Netz 192.168.0.0/24 ist via OpenVPN vom lokalen Netz
(192.168.100.0/24) aus erreichbar. Auch nach der "Zwangstrennung"



Ist OpenVPN auf beiden seiten richtig konfiguriert (dass beide Netze
jeweils zueinander durch den VPN-Tunnel geroutet werden)?

und einer neuen IP Adressvergabe (immer morgens um 05:00 Uhr) sorgt
OpenVPN fuer verlaeszlichen Neuaufbau der VPN-Verbindung.



Soweit so gut.

Der Ordner /opt/austausch auf dem fernen Server musz auf dem lokalen
Rechner /server/austausch sichtbar sein.



NFS wuerde sich da eignen, da es nicht Verbindungsorientiert arbeitet,
also kurze Netzunterbrechungen wie den VPN-Reconnect idR. problemlos
ueberlebt.
Die Mickeysoft-Protokolle SMB/CIFS hingegen reissen dir beim
Reconnect kurz ab und muessen neue Control-Verbindungen aufbauen.
(Sollte Wintendo als SMB/CIFS Client automatisch machen).

Ich habe drei Loesungen durchprobiert:

1. SSH ueber VPN:
sshfs -o reconnect -C :/opt/austausch /server/austausch



sshfs? Klingt nach einem haesslichen und proprietaeren Hack.

Das ist auch kein Feature von einer openssh. Was ist dieses sshfs genau?
Und was macht es?

2. SSH direkt
sshfs -o reconnect -C :/opt/austausch /server/austausch
3. smb ueber VPN:
mount.cifs //192.168.0.1/austausch /server/austausch

Alle drei Loesungen funktionieren und ueberdauern auch den
IP-Adresswechsel nach der Zwangstrennung.



SMB macht ja auch reconnects.

Loesung 1 ist irgendwie unsinnig: Hier wird doppelt verschluesselt,
einnmal ueber OpenVPN und dann ueber SSH.

Loesung 2 ist die von mir gewaehlte, hier wird nur einmal
verschluesselt.



Das kann doch aber den Reconnect nicht ueberleben.

Loesung 3 ist deutlich langsamer als Loesung 1 und 2.



Ach. Nur Brieftauben in einer Katzenkolonoie sind noch langsamer
und ineffizienter als SMB.

Mit Zugriffsrechten gibt es weiter keine Probleme.



Tja.

Ich habe zu Loesung 2 gegriffen.

Moechte mir jemand einen voellig anderen Denkansatz anempfehlen?[0]



NFS(v3) durch den VPN tunnel.

[0] Moeglichst kein NFS (ueber VPN), mit NFS bin ich irgendwie nie
warm geworden.



Tja. Vermutlich wie bei den meisten nur Vorurteile.

Juergen
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)

Ähnliche fragen