Sound, Digitalkameras, TV+Video und Spiele.
-
wolf49
- Beiträge: 240
- Registriert: 27.12.2018 15:41:22
Beitrag
von wolf49 » 28.06.2022 16:35:02
mit den Vorgänger-Versionen hat das jahrelang funktioniert, aber mit 11.3 gelingt mir das nicht. mount im client läuft ins timeout.. tcpdump im client:
Code: Alles auswählen
knul.eg.693 > k4l.eg.nfs: tcp 0
k4l.eg > knul.eg: ICMP host k4l.eg unreachable - admin prohibited filter, length 68
tcp 0, wie kann das ? hier meine Vorgensweise;
Code: Alles auswählen
# Debian NFS-Client
apt install firewalld
apt install firewall-applet
systemctl start firewalld
firewall-cmd --add-service=nfs
apt install nfs-common
apt install rpcbind
apt install libnfs-utils
apt install nfs4-acl-tools
rm -f /lib/systemd/system/nfs-common.service
/etc/hosts # einrichten
/etc/defaults/nfs-common # nfs4
/etc/defaults/rpcbind #
/etc/init.d/nfs-common start
/etc/init.d/rpcbind start
# nach reboot
/etc/init.d/nfs-common restart
/etc/init.d/rpcbind restart
/root/bin/nfs-test # status
/root/bin/k4l-mount
# Debian NFS-Server
apt install firewalld
apt install firewall-applet
firewall-cmd --add-service=nfs
apz install nfs-common
apt install nfs-kernel-server
apt install rpcbind
apt install libnfs-utils
apt install nfs4-acl-tools
rm -f /lib/systemd/system/nfs-common.service
/etc/defaults/nfs-common # nfs4
/etc/defaults/nfs-kernel-server #
/etc/defaults/rpcbind #
/etc/hosts # einrichten
/etc/exportfs # einrichten
exportfs -a # enable /etc/exports
/etc/init.d/nfs-kernel-server start
/etc/init.d/rpcbind start
# nach reboot
/etc/init.d/nfs-common restart
/etc/init.d/nfs-kernel-server restart
/etc/init.d/rpcbind restart
exportfs -v # check
/root/bin/nfs-test # status
firewall-cmd hatte in den Vorgänger-Versionen eine grafische Ansicht, jetzt leider nur noch mit Options. was kann ichtun damit nfs funktioniert ?
Zuletzt geändert von
wolf49 am 05.07.2022 04:35:42, insgesamt 3-mal geändert.
-
cosinus
- Beiträge: 3526
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Beitrag
von cosinus » 30.06.2022 09:08:56
Hab hier die letzten Tage auch mit NFS was versucht. Ich bin zum Ergebnis gekommen, dass sich NFS und Firewalls/Paketfilter (iptables) nicht vertragen, weil da mindestens immer ein random/dynamischer Port benötigt wird neben nfs (2049/tcp) selbst und rpcbind (111/tcp). So zumindest bis NFSv3 ist das so. Vernwendest du kein NFSv4? Da wird nur noch Port 2049/tcp benötigt.
Wie genau mountest du denn eine Freigabe am Client oder hab ich das übersehen in deinem Text?
-
wolf49
- Beiträge: 240
- Registriert: 27.12.2018 15:41:22
Beitrag
von wolf49 » 30.06.2022 10:04:37
im client mit einem script:
in etc/exports steht /home/wolf/Ordner1... läuft ins timeout, es hat ja über viele Jahre funktioniert. was ich noch gefunden habe. die in "man nfs" angebene Datei "nfsmount.conf" existiert nicht und ist auch mit "apt search" nicht zu finden. die Datei "rpc.mountd" exiitiert auf den server, aber nicht im client und auch nicht mit "apt search" zu finden. gebe ich beim nfs.mount "-o port=2049" (steht in firewalld mit nfs) an kommt die Meldung das k4l.eg: nicht gefunden wird.
-
cosinus
- Beiträge: 3526
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Beitrag
von cosinus » 30.06.2022 21:46:35
Probier mal
Denn ich vermute, dein Client versucht sich da mit NFSv3 zu verbinden und irgendein Port ist auf dem Server dicht. NFSv3 hab ich auch bisher nur hinbekommen, wenn in iptables alles auf ACCEPT stand bei der input chain. Falls das auch nicht klappt, kannst du ja mal nmap auf deinen Client-PC ausführen um die bekannten Ports für NFS abzuklopfen.
Edith fragt: ist "k4l.eg" der wirklich hostname und er lässt sich auch korrekt auflösen? Per DNS oder steht der bei dir in der /etc/hosts?
-
wolf49
- Beiträge: 240
- Registriert: 27.12.2018 15:41:22
Beitrag
von wolf49 » 02.07.2022 08:54:23
mit tcpdump kann ich sehen das nfsv4 verwendet wird. ping auf die hostnamen funktioniert., also verstehen sich die Rechner. ich habe 3 Rechner im Haus. einer als NFS-Server (kein Internet-Server !) und 2 als NFS-Clients. NFS soll nur für gemeinsame Daten (Ordner1) verwendet werden und nicht für den gesamten Rechner. es hat mit 11.2 funktioniert. ich habe versucht hostnamen ohne domain-Anhang zu verwenden. damit sucht mount dann das Ziel-Verzeichnis im Internet und kann nichts finden. nach dem wieder hinzufügen der domain erfolgt die Suche weiter nur über das Internet. bei jedem reboot wird die domain automatisch an mehreren Stellen für das Internet eingetragen. wie kann ichdas verhindern ? wie kann ich erreichen, dass mount das Ziel nicht im Internet sucht sondern im nameserver (192.168.0.1) des routers ? in welcher Datei der NFS-clients steht dieses admin-filter, das nfs blockiert ?
-
cosinus
- Beiträge: 3526
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Beitrag
von cosinus » 02.07.2022 13:43:00
Also, ich kenn NFS so, dass man auch den kompletten Pfad angeben muss, wenn man in der exports "/home/wolf/Ordner1" als Freigabe eingerichtet hat. Probier also mal zum mounten diesen Befehl erstmal manuell im Terminal
Code: Alles auswählen
mount.nfs4 -v k4l.eg:/home/wolf/Ordner1 /home/wolf/k4l
Wenn das nicht funktioniert kannst du ja mal testweise statt den hostname "k4l.eg" die IP-Adresse verwenden. Welchen DNS-Server dein Client verwendet, kannst du in der /etc/resolv.conf nachsehen oder falls du das über systemd machst: /etc/systemd/resolved.conf
-
wolf49
- Beiträge: 240
- Registriert: 27.12.2018 15:41:22
Beitrag
von wolf49 » 02.07.2022 15:02:44
das Ergebnis;
Code: Alles auswählen
root@knul:/# mount.nfs4 -v 192.168.0.37:/home/wolf/Ordner1 /home/wolf/k4l
mount.nfs4: timeout set for Sat Jul 2 14:48:47 2022
mount.nfs4: trying text-based options 'vers=4.2,addr=192.168.0.37,clientaddr=192.168.0.146'
mount.nfs4: mount(2): No route to host
mount.nfs4: trying text-based options 'vers=4.2,addr=192.168.0.37,clientaddr=192.168.0.146'
mount.nfs4: mount(2): No route to host
-
cosinus
- Beiträge: 3526
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Beitrag
von cosinus » 02.07.2022 15:42:46
Wieso hast du denn da keine Route hin? Das ist doch dasselbe Subnetz
Poste mal die Ausgaben von "ip a" sowohl vom Server als auch vom Client.
-
wolf49
- Beiträge: 240
- Registriert: 27.12.2018 15:41:22
Beitrag
von wolf49 » 02.07.2022 15:57:40
da ping funktioniert muss der nameserver die route kennen,
Code: Alles auswählen
root@k4l:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: enp6s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
link/ether 94:de:80:ab:f0:15 brd ff:ff:ff:ff:ff:ff
inet 192.168.0.37/24 brd 192.168.0.255 scope global dynamic noprefixroute enp6s0
valid_lft 2404sec preferred_lft 2404sec
inet6 fe80::96de:80ff:feab:f015/64 scope link noprefixroute
valid_lft forever preferred_lft forever
root@k4l:~#
-
cosinus
- Beiträge: 3526
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Beitrag
von cosinus » 02.07.2022 16:20:28
Was hast du da immer mit deiner Route, du bist intern in einem Subnetz. Da braucht man keine Routen/Router.
Was ist mit der Ausgabe des Clients?
-
wolf49
- Beiträge: 240
- Registriert: 27.12.2018 15:41:22
Beitrag
von wolf49 » 02.07.2022 16:26:47
Code: Alles auswählen
Client:
root@knul:~/bin# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eno1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 40:a8:f0:02:56:a7 brd ff:ff:ff:ff:ff:ff
altname enp2s0
inet 192.168.0.146/24 brd 192.168.0.255 scope global dynamic noprefixroute eno1
valid_lft 3405sec preferred_lft 3405sec
inet6 fe80::42a8:f0ff:fe02:56a7/64 scope link noprefixroute
valid_lft forever preferred_lft forever
3: wlo1: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default qlen 1000
link/ether ea:2f:d4:7d:97:96 brd ff:ff:ff:ff:ff:ff permaddr 28:e3:47:b5:5d:3f
altname wlp3s0
root@knul:~/bin#
-
JTH
- Moderator
- Beiträge: 3032
- Registriert: 13.08.2008 17:01:41
- Wohnort: Berlin
Beitrag
von JTH » 02.07.2022 16:44:08
Kurzer Einwurf: Habe keine Erfahrung mit firewalld, deshalb aus halbem Interesse kurz in die
Manpage von firewall-cmd geschaut:
wolf49 hat geschrieben: 28.06.2022 16:35:02
Code: Alles auswählen
firewall-cmd --add-service=nfs
[…]
# nach reboot
[…]
# Debian NFS-Server
firewall-cmd --add-service=nfs
[…]
# nach reboot
[…]
Demnach braucht es beim
--add-service zusätzlich die Option
--permanent. Sonst sind die getroffenen Änderungen nach dem nächsten Reboot, den du hier anscheinend jeweils gemacht hast, wieder weg.
Manchmal bekannt als Just (another) Terminal Hacker.
-
wolf49
- Beiträge: 240
- Registriert: 27.12.2018 15:41:22
Beitrag
von wolf49 » 02.07.2022 16:57:48
ist nicht weg:
Code: Alles auswählen
root@k4l:/# firewall-cmd --info-service=nfs
nfs
ports: 2049/tcp
protocols:
source-ports:
modules:
destination:
includes:
helpers:
-
cosinus
- Beiträge: 3526
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Beitrag
von cosinus » 02.07.2022 17:05:48
Also so ganz blick ich die Config da noch nicht. Installiere dir bitte mal nmap auf den Client, der die Probleme hat. Dann die Ports abklopfen:
Bei NFSv4 braucht man nur noch Port 2049, aber klopf ruhig auch mal Port 111 für rpcbind ab.
-
JTH
- Moderator
- Beiträge: 3032
- Registriert: 13.08.2008 17:01:41
- Wohnort: Berlin
Beitrag
von JTH » 02.07.2022 17:12:38
wolf49 hat geschrieben: 02.07.2022 16:57:48
ist nicht weg:
Das liefert dir Infos über die Definition dieses Services, was dafür bei Bedarf freigegeben wird. Sagt aber nichts darüber, ob er aktiv ist.
Was sagt dir denn
firewall-cmd mit
man firewall-cmd hat geschrieben:
--list-services
List services added[!] as a space separated list.
?
Manchmal bekannt als Just (another) Terminal Hacker.
-
wolf49
- Beiträge: 240
- Registriert: 27.12.2018 15:41:22
Beitrag
von wolf49 » 02.07.2022 17:27:36
zu 1:
Code: Alles auswählen
root@knul:/# nmap 192.168.0.37 -p111,2049 -Pn
Starting Nmap 7.80 ( https://nmap.org ) at 2022-07-02 17:14 CEST
Nmap scan report for k4l.xfwz (192.168.0.37)
Host is up (0.00018s latency).
PORT STATE SERVICE
111/tcp filtered rpcbind
2049/tcp filtered nfs
MAC Address: 94:DE:80:AB:F0:15 (Giga-byte Technology)
Nmap done: 1 IP address (1 host up) scanned in 0.36 seconds
root@knul:/#
zu 2:
Code: Alles auswählen
root@k4l:/# firewall-cmd --info-service=nfs
nfs
ports: 2049/tcp
protocols:
source-ports:
modules:
destination:
includes:
helpers:
root@k4l:/#
zu 3:
Code: Alles auswählen
root@k4l:/# firewall-cmd --list-services
dhcpv6-client ssh
root@k4l:/#
-
cosinus
- Beiträge: 3526
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Beitrag
von cosinus » 02.07.2022 17:41:16
Da haben wirs. Port 2049 und 111 sind gefiltert. Dann ist es auch kein Wunder, dass du nichts mounten kannst.
Frage: brauchst du diesen Firewalldienst für den internen Server unbedingt?
-
wolf49
- Beiträge: 240
- Registriert: 27.12.2018 15:41:22
Beitrag
von wolf49 » 02.07.2022 17:50:37
soweit ich die Anleitungen (Debian-wiki) verstanden habe ist die firewalld für nfs notwendig damit über das Internet nicht auf meinen zugegriffen werden kann.
-
cosinus
- Beiträge: 3526
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Beitrag
von cosinus » 02.07.2022 18:10:18
Nein, dafür hast du doch einen (DSL-)Router
Aus dem Internet heraus kann man mit internen Adressen aus dem Bereich 192.168.x.y auch erstmal nichts anfangen, die werden nicht geroutet, die sind nur für privaten/internen Gebrauch da.
-
wolf49
- Beiträge: 240
- Registriert: 27.12.2018 15:41:22
Beitrag
von wolf49 » 02.07.2022 20:42:57
da nfs mit 11.2 gut funktioniert hat kann das Problem offensichtlich nur durch die Änderungen in 11.3 entstanden sein.
-
JTH
- Moderator
- Beiträge: 3032
- Registriert: 13.08.2008 17:01:41
- Wohnort: Berlin
Beitrag
von JTH » 02.07.2022 20:57:01
Hast du denn nun
firewall-cmd --add-service=nfs nochmal – mit
--permanent – ausgeführt? nfs wird ja offensichtlich
wolf49 hat geschrieben: 02.07.2022 17:27:36
[…]
noch blockiert.
Manchmal bekannt als Just (another) Terminal Hacker.
-
wolf49
- Beiträge: 240
- Registriert: 27.12.2018 15:41:22
Beitrag
von wolf49 » 03.07.2022 07:59:46
ohne und mit --permanent, NFS-Server und Client, keine Unterschiede in der Ausgabe. ich habe heute morgen nochmal einen mount-Versuch gemacht und es funktioniert. Erkenntnis: man muss nach jeder kleinen Änderung ein reboot bei allen beteiligten Rechnern machen.
-
cosinus
- Beiträge: 3526
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Beitrag
von cosinus » 03.07.2022 13:00:48
wolf49 hat geschrieben: 02.07.2022 20:42:57
da nfs mit 11.2 gut funktioniert hat kann das Problem offensichtlich nur durch die Änderungen in 11.3 entstanden sein.
Unsinn. Wir haben doch eindeutig die Ursache festgemacht. Es liegt am Paketfilter und nicht am Release selbst. Und für jeden Furz braucht man auch keinen Reboot.
-
Blackbox
- Beiträge: 4289
- Registriert: 17.09.2008 17:01:20
- Lizenz eigener Beiträge: GNU Free Documentation License
Beitrag
von Blackbox » 04.07.2022 15:13:00
Kann ich mal bitte die Konfiguration (inkl. export) vom NFS-Server sehen?
Und hast du bereits mit
nfstrace versucht dein Problem zu debuggen?
Eigenbau PC: Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Desktop PC: Dell Inspiron 530 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Notebook: TUXEDO BU1406 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Alles Minimalinstallationen und ohne sudo/PA/PW.
Rootserver: Rocky Linux 9.3 - Kernel: 5.14
Freie Software unterstützen,
Grundrechte stärken!
-
wolf49
- Beiträge: 240
- Registriert: 27.12.2018 15:41:22
Beitrag
von wolf49 » 04.07.2022 17:00:32
der nfs-kernel-server hat keine Konfigurationsmöglichkeit. die Installation des NFS.Servers steht im ersten Beitrag.
Code: Alles auswählen
root@k4l:/# exportfs -v
/home/wolf/Ordner1
knul.xfwz(rw,wdelay,crossmnt,no_root_squash,no_subtree_check,sec=sys,rw,secure,no_root_squash,no_all_squash)
/home/wolf/Ordner1
k1l.xfwz(rw,wdelay,crossmnt,no_root_squash,no_subtree_check,sec=sys,rw,secure,no_root_squash,no_all_squash)
root@k4l:/#
das Problem ist leider nicht gelöst. nachdem es gestern einmal funktioniert hat ist heute der Zugang zum NFS-Server wieder blockiert obwohl nichts verändert wurde.