Не видно клиентов по имени хоста по OpenVPN
-
@maxyca Проверьте что pfSense'овским DNS всё нормально - что он слушает в т.ч. и OpenVPN интерфейс, что правила файрвола разрешают клиентам стучаться к нему
Если LAN'овские клиенты используют его и всё нормально - значит проблема в настройках доступа
-
Предпожу, что без block outside dns Windows просто игнорирует передаваемые OVPN настройки DNS, продолжая использовать те, что были до коннекта клиента OVPN.
И да, хоть на скриншоте указано, что это работает только в Windows 10, если мне не изменяет склероз, это работало и в 8.1 и кажется и в 7.
@maxyca, если у вас есть AD с DNS попробуйте предавать клиентам адрес(а) этих DNS, указав их либо в
Client Specific Overrides
либо в настройках сервера OVPNИ да, вам точно нужно запихивать весь интернет-трафик клиентов в туннель?
-
Вы через VPN какого рода работой занимаетесь? Может в браузере открываете странички или что именно вам надо делать, к ресурсам SMB подключиться... ещё что... какого рода доступ?
-
@pigbrother said in Не видно клиентов по имени хоста по OpenVPN:
если у вас есть AD с DNS попробуйте предавать клиентам адрес(а) этих DNS, указав их либо в
Client Specific Overrides
либо в настройках сервера OVPN
И да, вам точно нужно запихивать весь интернет-трафик клиентов в туннель?т.е. мне нужно в Client Specific Overrides в Client Settings > чекбокс Provide a DNS server list to clients и указать там pfSense (который у меня 192.168.1.1)?
А почему тогда в настройках OVPN сервера в Advanced Client Settings > DNS Server enable клиенты напрочь не видят DNS pfSense?Да, именно это и нужно.
-
@luha Вы через VPN какого рода работой занимаетесь? Может в браузере открываете странички или что именно вам надо делать, к ресурсам SMB подключиться... ещё что... какого рода доступ?
SMB в удаленном LAN нужно, облако там с рэйдом.
-
Если SMB то проверьте как настроен WINS в сервере OVPN
P.S. Для других случаев есть другие особенности.
-
@luha Так ведь в настройке сервера OVPN в pfSense ничего про WINS нет?!
Вот такой он у меня:
-
Как это нету?! Вон же белым по серому - NetBIOS ... бла-бла ... (including WINS)
-
Виноват, не доглядел(
За наводку спасибо!
Похоже мне надо еще одно правило для OVPN добавить, т.к. сейчас, без указания сторонних DNS Google напр. 8.8.8.8 и 8.8.4.4 ничего не работает.
Почему-то клиенты все равно напрочь не видят DNS от pfSense.
Сейчас в rules:
-
Я же спрашивал. Какого рода планируется деятельность через VPN. Что у вас кроме SMB будет? Для чего нужны дополнительные DNS?
-
Кроме SMB, доступ в LAN и Инет
-
Для начала в браузере выключить в настройках безопасности левый DNS на который у вас крадут куда вы ходите. Опция называется "безопасный DNS" или типа того. Точно есть в хроме и эдже.
-
@luha Это выключено само собой.
-
На счёт встроенного в pfsense сервера DNS не уверен что это правильно в случае доступа к www ресурсам. Оставьте там только гугловские сервера и проверьте в настройках pfsense является ли он резолвером DNS и чтобы ему самому тоже было указано где брать.
На внутренний DNS сервер записывают данные типа адрес-хост чтобы из локальной сети можно было открыть страничку с сервера из этой же локальной сети. На внешние www из локальной и так ходят по внешним адресам. Если у вас в локалке нет серверов у которых различаются внешний и внутренние адреса то вам не надо придумывать никакого локального DNS.
-
Сделал так:
Но по хосту как не коннектилось так и не хочет (С 2 DNS от Google не все открывается, что хочется. Поэтому из Cloudflare еще пришлось взять.
-
Не правильно.
DNS Server 1 - установи внешний или вообще выключи эту функцию. Если нет внутри локалки серверов с названиями то это не нужно вообще.NTP - зачем ты указал там этот сервер? NTP это сервер времени, он должен существовать в реальности и действовать как сервер времени.
WINS - ты просто с головы вписываешь. Как и в случае с NTP сервер WINS должен существовать и функционировать. Ты его настраивал? Или у тебя в сети дикий WINS.
-
DNS Server 1 я указал потому что это pfSense и он укажет пользователям названия других серваков в сети.
NTP я указал потому что OVPN клиенты синхронизируют по нему время. pfSense его в действительности получает с pool.ntp.org
WINS я не настраивал вообще. Не думал, что придется с ним возиться только из-за того, чтобы указывать хост вместо IP.
-
Сервер времени обычно нужен для удалённого доступа к АД, например чтобы залогиниться время с сервером АД не должно отличаться более чем на +/- 5 минут. В большинстве случаев актуальность и синхронность времени не требуется. Для проверки сертификата главное чтобы он был не просрочен... тоесть вообще точное время не важно.
Протокол SMB не использует DNS. Он использует сервер WINS, который и является тем самым списком названий компьютеров и делает их видимыми в сетевом окружении. По умолчанию в локальной сети сервером WINS случайно выбирается первый попавшийся компьютер, который назначается браузером имён. Нормальные админы жёстко выбирают конкретный сервер под это и в DHCP его указывают как сервер WINS. Вообще протокол SMB вроде как в первых версиях уже всё.
DNS это для того чтобы можно было пинговать по имени хоста. Если такое надо то в локальной сети ставится сервер DNS, садится админ и заполняет домены адресами.
Я так понимаю ничего из описанного у вас не наблюдается. Ну так и как оно должно работать?
-
@luha said in Не видно клиентов по имени хоста по OpenVPN:
DNS, садится админ и заполняет домены адресами
Спасибо, пошел заполнять табличку. К утру не ждите....
-
:)
Не, ну ты просто указываешь роутер сервером DNS, а откуда в нём возьмутся нужные тебе записи о именах в локальной сети? Он сам из внешних тягает.
Я вот не уверен что действительно верно понял задачу, но если ты пытаешься в сети найти по имени компьютер то надо сначала найти какой из этих компьютеров являетс в настоящее время актуальным сервером этих имён! Его и указывать.
Возьми и просто в локальный hosts забей имена и делов. Главное не забыть в DHCP зарезервировать IP ато со временем послетает.
