Mageia Forum

[magnus]

Ich versuche aus einem anderen Netzwerk-Segment auf meine NFS-Freigaben zuzugreifen.

Bekomme beim Mount folgende Meldung

Code: Alles auswählen

[root@edge magnus]# mount -t nfs 192.168.5.106:/daten /daten/nfs/daten -v
mount.nfs: timeout set for Sun Jul 27 15:28:54 2014
mount.nfs: trying text-based options 'vers=4,addr=192.168.5.106,clientaddr=192.168.7.105'
mount.nfs: mount(2): Permission denied
mount.nfs: access denied by server while mounting 192.168.5.106:/daten

bzw. auch

Code: Alles auswählen

[root@edge magnus]# mount -av
/                        : ignored
/daten                   : already mounted
mount: none is already mounted or /proc busy
swap                     : ignored
mount.nfs: trying text-based options 'rsize=32768,wsize=32768,soft,bg,vers=4,addr=192.168.5.106,clientaddr=192.168.7.105'
mount.nfs: mount(2): Permission denied
mount.nfs: access denied by server while mounting 192.168.5.106:/daten
/daten/nfs/daten         : successfully mounted
mount.nfs: trying text-based options 'rsize=32768,wsize=32768,soft,bg,vers=4,addr=192.168.5.106,clientaddr=192.168.7.105'
mount.nfs: mount(2): Permission denied
mount.nfs: access denied by server while mounting 192.168.5.106:/daten_v
/daten/nfs/daten_v       : successfully mounted
/dev/shm                 : already mounted
mount: none is already mounted or /proc busy
/tmp                     : already mounted

fstab sieht so aus:

Code: Alles auswählen

192.168.5.106:/daten /daten/nfs/daten nfs rsize=32768,wsize=32768,nosuid,soft,bg 0 0

Wenn ich im gleichen Netwerk-Segment bin, klappt es.

Wo finde ich die Meldungen zu "Permission denied"?
Über das MCC foinde ich nichts

Gruß
Magnus

[man-draker]

Wie sieht denn deine /etc/exports aus?

[magnus]

Code: Alles auswählen

# generated by drakhosts.pl
/daten 192.168.5.0/24(all_squash,anonuid=500,anongid=500,sync,secure,no_subtree_check,rw)
/daten_v 192.168.5.0/24(all_squash,anonuid=500,anongid=500,sync,secure,no_subtree_check,rw)

[Latte]

Code: Alles auswählen

# generated by drakhosts.pl
/daten 192.168.5.0/24(all_squash,anonuid=500,anongid=500,sync,secure,no_subtree_check,rw)
/daten_v 192.168.5.0/24(all_squash,anonuid=500,anongid=500,sync,secure,no_subtree_check,rw)

Was meinst du denn mit 'anderes' Netzwerk-Segment?
So wie ich deine /etc/export lese, darf doch nur aus 192.168.5.xxx drauf zugegriffen werden? Oder irre ich mich da?

[doktor5000]

Wie die fstab aussieht, ist erstmal zweitrangig. Wichtiger ist, wie das NFS-Share aktuell exportiert ist, und ob der portmapper auf dem NFS-Server läuft und korrekt antwortet.

Code: Alles auswählen

showmount -e

auf die IP-Adresse des Servers und gleiches Spiel mit

Code: Alles auswählen

rpcinfo -a

Ggf. auf dem Server mal

Code: Alles auswählen

exports -ra

oder

Code: Alles auswählen

exportfs -ua; exportfs -a

Das grundlegende hast du hoffentlich geprüft? Ping in beide Richtungen funktioniert, bzw. mal telnet auf Port 111 und 2049 vom Client -> Server?
Ansonsten einfach mal die Beschränkung auf das Subnetz rausnehmen, und direkt an konkrete IPs exportieren.

[man-draker]

Code: Alles auswählen

# generated by drakhosts.pl
/daten 192.168.5.0/24(all_squash,anonuid=500,anongid=500,sync,secure,no_subtree_check,rw)
/daten_v 192.168.5.0/24(all_squash,anonuid=500,anongid=500,sync,secure,no_subtree_check,rw)

Wenn du mit "anderem Netzwerksegement" ein anders IP-Netz meinst - nehmen wir mal an 192.168.2.0/24, dann füge das als zusätzlichen Host in beide Zeilen an. Das Ergebnis sähe so aus:

Code: Alles auswählen

/daten 192.168.5.0/24(all_squash,anonuid=500,anongid=500,sync,secure,no_subtree_check,rw) \ 192.168.2.0/24(all_squash,anonuid=500,anongid=500,sync,secure,no_subtree_check,rw)
/daten_v 192.168.5.0/24(all_squash,anonuid=500,anongid=500,sync,secure,no_subtree_check,rw) \ 192.168.2.0/24(all_squash,anonuid=500,anongid=500,sync,secure,no_subtree_check,rw)

(Der Bacxkslash maskiert den Zeilenumbruch.)

[magnus]

Code: Alles auswählen

[root@spider magnus]# showmount -e
Export list for spider:
/daten_v 192.168.5.0/24
/daten   192.168.5.0/24


Code: Alles auswählen

[root@spider magnus]# rpcinfo -p
   program vers proto   port  service
    100000    4   tcp    111  portmapper
    100000    3   tcp    111  portmapper
    100000    2   tcp    111  portmapper
    100000    4   udp    111  portmapper
    100000    3   udp    111  portmapper
    100000    2   udp    111  portmapper
    100024    1   udp  47749  status
    100024    1   tcp  53273  status
    100003    2   tcp   2049  nfs
    100003    3   tcp   2049  nfs
    100003    4   tcp   2049  nfs
    100227    2   tcp   2049  nfs_acl
    100227    3   tcp   2049  nfs_acl
    100003    2   udp   2049  nfs
    100003    3   udp   2049  nfs
    100003    4   udp   2049  nfs
    100227    2   udp   2049  nfs_acl
    100227    3   udp   2049  nfs_acl
    100021    1   udp   4002  nlockmgr
    100021    3   udp   4002  nlockmgr
    100021    4   udp   4002  nlockmgr
    100021    1   tcp   4002  nlockmgr
    100021    3   tcp   4002  nlockmgr
    100021    4   tcp   4002  nlockmgr
    100005    1   udp  53112  mountd
    100005    1   tcp  60633  mountd
    100005    2   udp  52021  mountd
    100011    1   udp    999  rquotad
    100011    2   udp    999  rquotad
    100011    1   tcp    999  rquotad
    100011    2   tcp    999  rquotad
    100005    2   tcp  55525  mountd
    100005    3   udp  37894  mountd
    100005    3   tcp  36109  mountd


Ping geht nicht, den blockt der IPCop,
Port 2049 geht durch.

Ich versuche mal die export Ergänzung vom man-draker

[doktor5000]

Port 2049 geht durch.

Port 111 muss auch gehen zum Server.

[man-draker]

Ping geht nicht, den blockt der IPCop,
Port 2049 geht durch.

Zum Testen kann es Sinn machen, das ganze Firewall-Gedöns abzuschalten.
Klappt es dann auf Anhieb, ist die Firewall schuld.
Klappt es dennoch nicht, könnte sie unschuldig sein.

[magnus]

Klar liegt es an der Firewall
Aber es soll mit ihr funktionieren.

Die Wlan-Geraete laufen in einem speziellem Segment.
Mein Notebook soll als einziges auf die NFS-Shares zugreifen konnen.
Im Kabelnetz klappt der Zugriff.

Ich habe mal alle Rechner neu gestartet.
Im Moment stehe ich vor dem Problem der dynamisch zugeordneten Ports.
Ich baue das um und melde mich dann.

Danke für die Gips.

Gruß
Magnus

[magnus]

So bin etwas weitergekommen.

Die relevanten Ports sind nun statisch.

Etwas anders, als so allgemein im I-Net zu finden ist.
In der /etc/sysconfig/nfs passt nicht

Code: Alles auswählen

MOUNT_PORT=4711

sondern

Code: Alles auswählen

RPCMOUNTDARGS="-p 4711"

Entsprechende Ports auf der Firewall freigeben und ich sehe auch die Freigaben (im MCC)

Dafür kommt beim Mount der folgende Fehler

Code: Alles auswählen

Jul 28 22:00:49 edge drakdisk[2629]: error: Das Einhängen der Partition 192.168.5.106:/daten in das Verzeichnis /daten/nfs/daten schlug fehl. at /usr/lib/libDrakX/fs/mount.pm line 87.

Hat jemand dazu eine Idee?
Bzw. was kann ich noch an Infos liefern?

Gruß
Magnus

[magnus]

So und heute Morgen noch ein Stück weitergekommen
Der Mount per Konsole klappt nun

Habe die exports noch wie folgt angepasst

Code: Alles auswählen

/daten 192.168.5.0/24(all_squash,anonuid=500,anongid=500,sync,secure,no_subtree_check,rw)
/daten 192.168.2.0/24(all_squash,anonuid=500,anongid=500,sync,secure,no_subtree_check,rw)
/daten_v 192.168.5.0/24(all_squash,anonuid=500,anongid=500,sync,secure,no_subtree_check,rw)
/daten_v 192.168.2.107(all_squash,anonuid=500,anongid=500,sync,secure,no_subtree_check,rw)

192.168.2.107 ist dabei genau das gewünschte Notebook.

Ich habe den Mount per Konsole abgesetzt.
Dabei wird scheinbar NFSv4 genutzt, da die Firewall nur den Zugriff über Port 2049 protokolliert.

Der Fehler gestern Abend ergab sich aus dem Mount-Versuch via MCC, dabei tauchte im Firewall-Protokoll auch noch einer der
freigegeben Ports auf, also scheinbar NFSv3.

Ich gehe das heute Abend noch einmal strukturiert an und schau wo welcher Fehler auftaucht.

Gruß
Magnus

[doktor5000]

Dabei wird scheinbar NFSv4 genutzt, da die Firewall nur den Zugriff über Port 2049 protokolliert.

Kuck auf dem Server via nfsstat oder nfsstat -s nach, dann weiß du es sicher.

[magnus]

Es sieht nach v4 aus:

Code: Alles auswählen

[root@spider etc]# nfsstat -s
Server rpc stats:
calls      badcalls   badclnt    badauth    xdrcall
3084       9          0          9          0       

Server nfs v3:
null         getattr      setattr      lookup       access       readlink     
3       100% 0         0% 0         0% 0         0% 0         0% 0         0%
read         write        create       mkdir        symlink      mknod       
0         0% 0         0% 0         0% 0         0% 0         0% 0         0%
remove       rmdir        rename       link         readdir      readdirplus 
0         0% 0         0% 0         0% 0         0% 0         0% 0         0%
fsstat       fsinfo       pathconf     commit       
0         0% 0         0% 0         0% 0         0%

Server nfs v4:
null         compound     
12        0% 3069     99%

Server nfs v4 operations:
op0-unused   op1-unused   op2-future   access       close        commit       
0         0% 0         0% 0         0% 746       9% 221       2% 0         0%
create       delegpurge   delegreturn  getattr      getfh        link         
3         0% 0         0% 126       1% 2232     28% 368       4% 0         0%
lock         lockt        locku        lookup       lookup_root  nverify     
0         0% 0         0% 0         0% 236       2% 0         0% 0         0%
open         openattr     open_conf    open_dgrd    putfh        putpubfh     
233       2% 0         0% 13        0% 0         0% 2994     37% 0         0%
putrootfh    read         readdir      readlink     remove       rename       
18        0% 289       3% 339       4% 1         0% 2         0% 0         0%
renew        restorefh    savefh       secinfo      setattr      setcltid     
23        0% 0         0% 0         0% 15        0% 0         0% 16        0%
setcltidconf verify       write        rellockowner bc_ctl       bind_conn   
16        0% 0         0% 0         0% 0         0% 0         0% 0         0%
exchange_id  create_ses   destroy_ses  free_stateid getdirdeleg  getdevinfo   
0         0% 0         0% 0         0% 0         0% 0         0% 0         0%
getdevlist   layoutcommit layoutget    layoutreturn secinfononam sequence     
0         0% 0         0% 0         0% 0         0% 0         0% 0         0%
set_ssv      test_stateid want_deleg   destroy_clid reclaim_comp
0         0% 0         0% 0         0% 0         0% 0         0%


Die Server-Suche über das MCC generieren aber "Aufrufe" über die Ports 111 (portmapper) und 33018 (mountd).
Der Mount über die Konsole benötigt nur Port 2049

Danach zeigt das MCC die Freigaben an, aber nicht eingehängt und ich kann sie wieder einhängen.
Das Aushängen zeigt aber keine Wirkung beim Zugriff, ist alles noch verfügbar