Не видно клиентов по имени хоста по OpenVPN
-
Виноват, не доглядел(
За наводку спасибо!
Похоже мне надо еще одно правило для OVPN добавить, т.к. сейчас, без указания сторонних DNS Google напр. 8.8.8.8 и 8.8.4.4 ничего не работает.
Почему-то клиенты все равно напрочь не видят DNS от pfSense.
Сейчас в rules:
-
Я же спрашивал. Какого рода планируется деятельность через VPN. Что у вас кроме SMB будет? Для чего нужны дополнительные DNS?
-
Кроме SMB, доступ в LAN и Инет
-
Для начала в браузере выключить в настройках безопасности левый DNS на который у вас крадут куда вы ходите. Опция называется "безопасный DNS" или типа того. Точно есть в хроме и эдже.
-
@luha Это выключено само собой.
-
На счёт встроенного в pfsense сервера DNS не уверен что это правильно в случае доступа к www ресурсам. Оставьте там только гугловские сервера и проверьте в настройках pfsense является ли он резолвером DNS и чтобы ему самому тоже было указано где брать.
На внутренний DNS сервер записывают данные типа адрес-хост чтобы из локальной сети можно было открыть страничку с сервера из этой же локальной сети. На внешние www из локальной и так ходят по внешним адресам. Если у вас в локалке нет серверов у которых различаются внешний и внутренние адреса то вам не надо придумывать никакого локального DNS.
-
Сделал так:
Но по хосту как не коннектилось так и не хочет (С 2 DNS от Google не все открывается, что хочется. Поэтому из Cloudflare еще пришлось взять.
-
Не правильно.
DNS Server 1 - установи внешний или вообще выключи эту функцию. Если нет внутри локалки серверов с названиями то это не нужно вообще.NTP - зачем ты указал там этот сервер? NTP это сервер времени, он должен существовать в реальности и действовать как сервер времени.
WINS - ты просто с головы вписываешь. Как и в случае с NTP сервер WINS должен существовать и функционировать. Ты его настраивал? Или у тебя в сети дикий WINS.
-
DNS Server 1 я указал потому что это pfSense и он укажет пользователям названия других серваков в сети.
NTP я указал потому что OVPN клиенты синхронизируют по нему время. pfSense его в действительности получает с pool.ntp.org
WINS я не настраивал вообще. Не думал, что придется с ним возиться только из-за того, чтобы указывать хост вместо IP.
-
Сервер времени обычно нужен для удалённого доступа к АД, например чтобы залогиниться время с сервером АД не должно отличаться более чем на +/- 5 минут. В большинстве случаев актуальность и синхронность времени не требуется. Для проверки сертификата главное чтобы он был не просрочен... тоесть вообще точное время не важно.
Протокол SMB не использует DNS. Он использует сервер WINS, который и является тем самым списком названий компьютеров и делает их видимыми в сетевом окружении. По умолчанию в локальной сети сервером WINS случайно выбирается первый попавшийся компьютер, который назначается браузером имён. Нормальные админы жёстко выбирают конкретный сервер под это и в DHCP его указывают как сервер WINS. Вообще протокол SMB вроде как в первых версиях уже всё.
DNS это для того чтобы можно было пинговать по имени хоста. Если такое надо то в локальной сети ставится сервер DNS, садится админ и заполняет домены адресами.
Я так понимаю ничего из описанного у вас не наблюдается. Ну так и как оно должно работать?
-
@luha said in Не видно клиентов по имени хоста по OpenVPN:
DNS, садится админ и заполняет домены адресами
Спасибо, пошел заполнять табличку. К утру не ждите....
-
:)
Не, ну ты просто указываешь роутер сервером DNS, а откуда в нём возьмутся нужные тебе записи о именах в локальной сети? Он сам из внешних тягает.
Я вот не уверен что действительно верно понял задачу, но если ты пытаешься в сети найти по имени компьютер то надо сначала найти какой из этих компьютеров являетс в настоящее время актуальным сервером этих имён! Его и указывать.
Возьми и просто в локальный hosts забей имена и делов. Главное не забыть в DHCP зарезервировать IP ато со временем послетает.
-
@luha said in Не видно клиентов по имени хоста по OpenVPN:
Если SMB то проверьте как настроен WINS в сервере OVPN
WINS для обращения по именам не нужен. Для этого достаточно NetBIOS. Иначе вы бы не видели пк в "сетевом окружении" в обычной домашней сети без всяких WINS и DNS - серверов.
Для чего же в своё время потребовался NetBIOS? Для осуществления возможности взаимодействия станций в небольших (локальных) сетях. Что включает в себя возможность взаимодействия по сети? Это назначение станции сетевого имени, по которому она будет доступна в сети, это возможность найти станцию в сети по её имени, возможность соединиться с ресурсами станции и начать с обмениваться с ними данными. Это и возможность получить список сетевых станций, которые подключены к сегменту сети и многое другое, что может быть определено термином "сетевое взаимодействие".
@luha said in Не видно клиентов по имени хоста по OpenVPN:
Не, ну ты просто указываешь роутер сервером DNS,
Да, клиенту, повторю, нужно передать ip DNS, способный разрешать имена в LAN, к которой подключается клиент OVPN.
Этим IP может быть (а может и не быть) IP pfSense, все зависит от того, как сконфигурирована сеть.
Если в сети нет сервера DNS, разрешения имен для клиента работать не будет.
Почему не работает разрешение имен при включении поддержки netbios в OVPN - не знаю.
-
@pigbrother
Я нашел вот что: https://docs.netgate.com/pfsense/en/latest/troubleshooting/openvpn-client-smb.htmlEnable NetBIOS over TCP/IP. Непонятно и мне, почему после этого нельзя по хосту обращаться в LAN, а только по IP ((
-
@maxyca said in Не видно клиентов по имени хоста по OpenVPN:
Непонятно и мне, почему после этого нельзя по хосту обращаться в LAN, а только по IP ((
Возможность обращаться по имени - это только часть функционала netbios.
Повторю без спойлера:Для чего же в своё время потребовался NetBIOS? Для осуществления возможности взаимодействия станций в небольших (локальных) сетях. Что включает в себя возможность взаимодействия по сети? Это назначение станции сетевого имени, по которому она будет доступна в сети, это возможность найти станцию в сети по её имени, возможность соединиться с ресурсами станции и начать с обмениваться с ними данными. Это и возможность получить список сетевых станций, которые подключены к сегменту сети и многое другое, что может быть определено термином "сетевое взаимодействие".
http://datadump.ru/netbios-over-tcpip/т.е. доступ вида
\192.168.x.x\share
тоже предоставляется средствами NetBIOS. И да, доступ по IP работает даже если в OVPN поддержку NetBIOS не включать.
Хотите обращаться по имени - отдавайте клиенту DNS, способный разрешать имена в LAN .В NetBIOS есть такое понятие, как Тип узла NetBIOS (NodeType). По ссылке выше они описываются.
Вот оно и работает либо через широковещательные сообщения, либо через WINS.
Так как WINS у вас нет, а широковещательные сообщения в режиме tun не работают - нет и разрешения имен. -
Про DNS и зачем он нужен в частной локальной сети.
В частной сети (пусть это будет называться LAN) адреса IP также из частного диапазона. Таких адресов одинаковых в мире много. Внешние (гугловские или другие) сервера DNS частные адреса не обслуживают. Чтобы пинговать по имени в сети LAN надо в этой сети запустить местный локальный DNS сервер, в котором будут прописаны названия и ip из вашего диапазона. Если к такой сети подключиться из-вне по VPN и захотеть по имени пинговать нужно чтобы внешний компьютер за VPN-ом использовал локальный DNS сервер из сети LAN, а иначе откуда ему взять информацию. Самый частый случай применения DNS сервера в локальной сети это когда есть сервера www, у каждого один ip, но они могут в зависимости от домена отобразить разные сайты.
Про сетевое окружение компьютеров.
В свойствах компьютера можно указать его название. Запуская сетевое окружение можно увидеть компьютеры в вашей локальной сети и их названия. Это потому что компьютеры выбрали одного из них и выслали ему свои названия. Компьютер составил списочек и вот так не особо мудря они и видят друг-дружку в этой сети...
-
@luha said in Не видно клиентов по имени хоста по OpenVPN:
пусть это будет называться LAN
Правильнее сказать - это один широковещательный домен, в котором имена могут разрешаться средствами NetBIOS без использования wins.
Ссылку привел выше/ -
Я пытаюсь простым языком объяснить принцип чтобы человек разобрался.
Там, кстати, на моём скрине вбит 192.168.1.1 для NTP и WINS - это потому что у нас есть такой сервер и он действительно работает как NTP и WINS и DNS тоже. Роутер у нас с другим адресом, на двоечку заканчивается. Так сделано чтобы ускорить инициализацию клиентов.
-
@luha said in Не видно клиентов по имени хоста по OpenVPN:
Я пытаюсь простым языком объяснить принцип чтобы человек разобрался
Я тоже.
-
Я всегда считал, что pfSense как раз и является локальным DNS в частной сети? Или у меня не все в порядке с настройками, раз он не передает имена хостов?
