Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    DNS не работает через OpenVPN

    Scheduled Pinned Locked Moved Russian
    23 Posts 4 Posters 8.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • werterW Offline
      werter
      last edited by

      Попробуйте руками (временно) добавить в наст. сетевых карт удален. клиентов адрес DNS-сервера в головн. офисе.
      И проверить будет ли работать.

      Если это сработает, то в наст. dhcp удаленного офиса добавьте в раздачу адрес dns-сервера головного офиса удаленным клиентам.

      1 Reply Last reply Reply Quote 0
      • F Offline
        factorylan
        last edited by

        "в наст. dhcp удаленного офиса добавьте в раздачу адрес dns-сервера головного офиса удаленным клиентам"
        Я именно так и сделал  :)

        Самое интерестное - почему всё это не работало с самого начала ?

        Сейчас мы решаем последнюю задачу с этим OpenVPN - как провести несколько под-сетей через туннель на Удалённый Офис…

        10.0.1.0/24 - основная, где все компы, под-сеть имеет выход в Интернет;

        10.0.3.0/24 - все IP-Телефоны Yealink, закрытая под-сеть - НЕ имеет выхода в Интернет

        Уже пробовали и новые Gateways и Static Routes - не получаеться…

        Люди, если кто-что знает на эту тему, подскажите, ПОЖАЛУЙСТА  :) :) :)

        ![Multi-VLAN OpenVPN.png](/public/imported_attachments/1/Multi-VLAN OpenVPN.png)
        ![Multi-VLAN OpenVPN.png_thumb](/public/imported_attachments/1/Multi-VLAN OpenVPN.png_thumb)

        1 Reply Last reply Reply Quote 0
        • N Offline
          NiXeon
          last edited by

          @factorylan:

          Большое Спасибо, NiXeon  за такую классную схему !

          Значит, на обоих pfsense машинах нужно включить DNS_Forwarder, чтобы превратить эти машины в DNS-сервера.

          У меня вопрос: согласно Вашей схеме, все компы на правой стороне посылают DNS-запросы на pfsense по адресу 192.168.2.1… но откуда эта машина знает о внутреннем AD-домене (например: factory.local), о котором знает только AD-DNS-Server (127.0.0.1/192.168.2.1) ???

          Наверное здесь нужен Domain-Override на pfsense ?

          Потому-что у всех есть общий DNS, и он должен знать обо всех машинах. А чтобы все машины знали именно о factory.local, нужно добавить запись о  factory.local в domain overrides на общем DNS

          1 Reply Last reply Reply Quote 0
          • werterW Offline
            werter
            last edited by

            Уже пробовали и новые Gateways и Static Routes - не получаеться…

            Не нужно это делать вручную.
            Это делается с пом. директив route и push route в OpenVPN.

            1 Reply Last reply Reply Quote 0
            • P Offline
              pigbrother
              last edited by

              Уже пробовали и новые Gateways и Static Routes - не получаеться…

              При использовании Open VPN всю маршрутизацию желательно  делать средствами самого Open VPN.
              И да, что будет с удаленными компьютерами филиала(ов) , если линк к АД упадет? Неизбежны проблемы доступа к локальным сетевым ресурсам.

              1 Reply Last reply Reply Quote 0
              • werterW Offline
                werter
                last edited by

                @NiXeon:

                Потому-что у всех есть общий DNS, и он должен знать обо всех машинах. А чтобы все машины знали именно о factory.local, нужно добавить запись о  factory.local в domain overrides на общем DNS

                У меня работает так. Настр. на сервере ОпенВПН:

                ![OpenVPN_ Server.jpg](/public/imported_attachments/1/OpenVPN_ Server.jpg)
                ![OpenVPN_ Server.jpg_thumb](/public/imported_attachments/1/OpenVPN_ Server.jpg_thumb)

                1 Reply Last reply Reply Quote 0
                • F Offline
                  factorylan
                  last edited by

                  Спасибо за советы

                  "Это делается с пом. директив route и push route в OpenVP"

                  Я доработал нашу диаграмму в деталях. Посоветуйте - какие нужны дерективы ?

                  werter, я пытаюсь настроить Client Specific Overrides, как Вы советуете, но у меня выходит "The field Common name is required".
                  Откуда взять этот "Common name" ?
                  У нас ServerMode = Shared Key и у нас нет CA…

                  ![Multi-VLAN OpenVPN 2.png](/public/imported_attachments/1/Multi-VLAN OpenVPN 2.png)
                  ![Multi-VLAN OpenVPN 2.png_thumb](/public/imported_attachments/1/Multi-VLAN OpenVPN 2.png_thumb)

                  1 Reply Last reply Reply Quote 0
                  • werterW Offline
                    werter
                    last edited by

                    @factorylan:

                    werter, я пытаюсь настроить Client Specific Overrides, как Вы советуете, но у меня выходит "The field Common name is required".

                    Мил человек, это ж где я такое советовал ? Я показал свой скрин настроек. На нем даже слов таких нет.

                    я пытаюсь настроить Client Specific Overrides, как Вы советуете, но у меня выходит "The field Common name is required".
                    Откуда взять этот "Common name" ?

                    В таком случае у вас не клиент-серв. вариант, а p2p и Client Specific Overrides работать не будет.

                    Ваш выход - настроить клиент-серв. вариант, исп. Сертификаты и\или User+Pass. Тогда и заработают Client Specific Overrides

                    И Самое Важное. У всех машин и др. сетевого оборудования во всех лок. сетях за ОпенВПН-сервером и за ОпенВПН-клиентом шлюзами обязаны быть их pfsense.
                    100 раз проверьте этот момент.

                    1 Reply Last reply Reply Quote 0
                    • F Offline
                      factorylan
                      last edited by

                      "Ваш выход - настроить клиент-серв. вариант, исп. Сертификаты и\или User+Pass"

                      Извините, но я совсем запутался: у нас первый pfsense настроен как "OpenVPN-Server", а второй - как "Client", оба используют PSK как пароль

                      User+Pass я смог найти только если OpenVPN клиент настроен на "p2p SSL/TLS", а вот OpenVPN сервер - всё равно требует Server Certificate. Причём-же здесь User+Pass ? Речь идёт о USERе самого pfsense ?

                      Значит нам надо менять настройку с PSK на SSL/TLS ?

                      Я ещё раз проверил, что DG на всех компах - это LAN интерфейсы соотв. pfsense

                      1 Reply Last reply Reply Quote 0
                      • werterW Offline
                        werter
                        last edited by

                        Так. А теперь внимательнее. У меня в настр. OpenVPN можно выбрать 3 (три) типа Remote access (это и есть клиент-сервер)
                        Разберитесь в типах подкл. у себя.

                        P.s. А лучше - грохните свой openvpn и сервер и клиент и настройте с нуля,  исп. remote access типа SSL или SSL + User Auth на серверной стороне.
                        И будет вам Client Specific Overrides рабочий.

                        З.ы. У pf-Клиента выбираете Server Mode : TLS\SSL , а ниже есть User Authentication Settings, куда можно вбить логин и пасс при необходимости.
                        Только правильно выбирайте остальные настройки. Сертификаты нужно будет генерить на Сервере , выгружать и подкидывать на Клиента.

                        В OpenVPN: Client Specific Override: Common name на Сервере необходимо внести правильное значение. Берется оно во вкладке System: Certificate Manager :  Certificates из User Certificate,  к-ый Вы сгенерировали для Клиента - это CN в нем.

                        ![System_ Certificate Manager.jpg](/public/imported_attachments/1/System_ Certificate Manager.jpg)
                        ![System_ Certificate Manager.jpg_thumb](/public/imported_attachments/1/System_ Certificate Manager.jpg_thumb)

                        1 Reply Last reply Reply Quote 0
                        • F Offline
                          factorylan
                          last edited by

                          Спасибо ещё раз за подробное обЪяснение, Werter.

                          Я раньше не обращал внимание на Remote-Access server mode, а только на Peer-to-Peer… мы-же 2 офиса соединяем... Я был уверен, что для соединения офисов, можно использовать только Peer-to-Peer VPN  ;)

                          Значит, в любом случае, нам теперь нужен CA на сервере OpenVPN в главном офисе ?

                          Я ещё подумал: раз у нас будет Remote-Access VPN сервер, то нельзя-ли этот-же сервер задействовать ещё и как VPN-концентратор для нескольких Yealink IP-Телефонов, ведь они имеют встроенный OpenVPN клиент ?? Так, чтобы люди могли из дому пользоваться нашим сервером 3CX, имея дома только Интернет соедининие и Yealink телефон… Меня начальство давно теребит на эту тему  :)

                          1 Reply Last reply Reply Quote 0
                          • P Offline
                            pigbrother
                            last edited by

                            Я ещё подумал: раз у нас будет Remote-Access VPN сервер, то нельзя-ли этот-же сервер задействовать ещё и как VPN-концентратор для нескольких Yealink IP-Телефонов, ведь они имеют встроенный OpenVPN клиент ?? Так, чтобы люди могли из дому пользоваться нашим сервером 3CX, имея дома только Интернет соедининие и Yealink телефон… Меня начальство давно теребит на эту тему  :)

                            Да, можно. Одно но. Возможно - настройки сервера придется подогнать под  возможности клиента OpenVPN  Yealink IP-Телефонов.

                            1 Reply Last reply Reply Quote 0
                            • F Offline
                              factorylan
                              last edited by

                              Я тут увлёкся идеей про Yealink напрямую через OpenVPN и вот что накопал:

                              http://www.sunstatetechnology.com/docs/YealinkOpenVPNGuide.pdf

                              Попробую настроить согласно этому Гайду но, похоже нам придётся в Центральном Офисе создавать ещё один OpenVPN сервер (Remote-Access SSL/TLS) специально для Yealink телефонов, которые у нас живут на отдельном сегменте 10.0.3.0/24)

                              ![Asterisk with OpenVPN no NAT problems.png](/public/imported_attachments/1/Asterisk with OpenVPN no NAT problems.png)
                              ![Asterisk with OpenVPN no NAT problems.png_thumb](/public/imported_attachments/1/Asterisk with OpenVPN no NAT problems.png_thumb)
                              ![Yealink with OpenVPN.png](/public/imported_attachments/1/Yealink with OpenVPN.png)
                              ![Yealink with OpenVPN.png_thumb](/public/imported_attachments/1/Yealink with OpenVPN.png_thumb)

                              1 Reply Last reply Reply Quote 0
                              • werterW Offline
                                werter
                                last edited by

                                Так, чтобы люди могли из дому пользоваться нашим сервером 3CX, имея дома только Интернет соедининие и Yealink телефон… Меня начальство давно теребит на эту тему

                                Если ваши ип-телефоны умеют iax2 (после обновления прошивки, напр.), то можно не любить моск.
                                IAX2 в разы удобнее, т.к  исп. только ОДИН порт + шифрование. И не нужен openVPN.

                                P.s. 3CX пользуете ? Ушел от него на Freepbx (asterisk) еще 2 года назад. Доволен. Ни единого разрыва :) Чего и вам желаю.
                                Готовый образ - https://www.freepbx.org/downloads/

                                P.p.s. За ссылку по настройке ОпенВПН на yealink - спасибо.

                                1 Reply Last reply Reply Quote 0
                                • First post
                                  Last post
                                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.