Не видно клиентов по имени хоста по OpenVPN

pigbrother

@viktor_g said in Не видно клиентов по имени хоста по OpenVPN:

По-умолчанию pfSense указывает себя в качестве DNSа только DHCP клиентам.

Однако даже в этом случае для разрешения имен локальных хостов надо включить в настройках DHCP
Enable registration of DHCP client names in DNS
и
Register DHCP leases in DNS forwarder
If this option is set, IPv4 DHCP static mappings will be registered in the DNS forwarder so that their name can be resolved. The domain in System: General Setup should also be set to the proper value.

или аналогично:

Register DHCP leases in the DNS Resolver:

If this option is set, then machines that specify their hostname when requesting an IPv4 DHCP lease will be registered in the DNS Resolver so that their name can be resolved. The domain in System > General Setup should also be set to the proper value.

По умолчанию эти настройки выключены, т.е. pfSense не будет разрешать адреса DHCP-клиентов.

luha

@maxyca said in Не видно клиентов по имени хоста по OpenVPN:

Я всегда считал, что pfSense как раз и является локальным DNS в частной сети? Или у меня не все в порядке с настройками, раз он не передает имена хостов?

Господа! Коллеги, дамы... жентльмены...

Очевидно что на лицо полное непонимание происходящего нашим заблудшим другом. Мне думается всё было неоднократно предоставлено в полном объёме и дальнейшая дискуссия преобретает характер демагогии.

maxer

@pigbrother said in Не видно клиентов по имени хоста по OpenVPN:

Однако даже в этом случае для разрешения имен локальных хостов надо включить в настройках DHCP
Enable registration of DHCP client names in DNS
и
Register DHCP leases in DNS forwarder
If this option is set, IPv4 DHCP static mappings will be registered in the DNS forwarder so that their name can be resolved. The domain in System: General Setup should also be set to the proper value.
или аналогично:
Register DHCP leases in the DNS Resolver:
If this option is set, then machines that specify their hostname when requesting an IPv4 DHCP lease will be registered in the DNS Resolver so that their name can be resolved. The domain in System > General Setup should also be set to the proper value.
По умолчанию эти настройки выключены, т.е. pfSense не будет разрешать адреса DHCP-клиентов.

DNS Forwarder выключен. Используется DNS Resolver.
Чекбокс - Register DHCP leases in the DNS Resolver установлен.

maxer

@luha Дядь, есть что сказать - говори. Нет ? Не строй из себя крутого админа ))

cowan

@pigbrother Спасибо за дельный совет, в resolver эти опции были включены.
Но как и у топикстартера по OpenVPN я не могу подключить в Windows сетевой диск.
Многократный сбросы DNS ipconfig /flushdns также не принесли результата.
Может быть у Вас есть еще идеи ?

werter

Добрый.
@cowan

Попробуйте сперва подключить диск по IP из гуи или из консоли с помощью net use /? или subst /?

Вполне возможны проблемы с :

• закрытыми портами\протоколами;
• настройками безопас-ти в ОС. Напр., отключенная учетка Гость на обеих сторонах.

pigbrother

This post is deleted!

werter

@pigbrother
Может я пропустил, но есть ли у @maxyca в сети ДНС-сервер вообще? Кроме пф.

werter

@cowan
Галка на NetBIOS enable в наст-ках овпн стоит?

pigbrother

@werter said in Не видно клиентов по имени хоста по OpenVPN:

закрытыми портами\протоколами;
настройками безопас-ти в ОС. Напр., отключенная учетка Гость на обеих сторонах.

Добавлю. В Windows брандмауэр по умолчанию блокирует подключения из других сетей. А сеть клиентов OVPN и есть другая сеть.

@werter said in Не видно клиентов по имени хоста по OpenVPN:

Может я пропустил, но есть ли у @maxyca в сети ДНС-сервер вообще?

Похоже - нет. Только pfSense. Мне ответа на этот вопрос в разных формах получить не удалось.

@werter said in Не видно клиентов по имени хоста по OpenVPN:

Галка на NetBIOS enable в наст-ках овпн стоит?

Уже писал - эта галка, похоже, "для галочки". Подключение к шарам работает и без неё, а в настройках сервера Peer-to-Peer её вообще нет, при этом сетевые ресурсы доступны.

maxer

@werter Только pfSense. У которого в General Setup указаны 4 DNS.

maxer

@pigbrother said in Не видно клиентов по имени хоста по OpenVPN:

Галка на NetBIOS enable в наст-ках овпн стоит?

Уже писал - эта галка, похоже, "для галочки". Подключение к шарам работает и без неё, а в настройках сервера Peer-to-Peer её вообще нет, при этом сетевые ресурсы доступны.

Она точно для галочки. Потому что ни на что не влияет абсолютно.

luha

Вот скрин. Подключение по OVPN, видны компьютеры, заходит на хост по имени.

VirtualBox_Win10ru_25_10_2020_10_33_31.png

Что сделано:

• В удалённой локальной сети настроен отдельный сервер DNS и туда руками вносились названия хостов и их IP.
• В удалённой сети настроен сервер WINS.
• В OVPN всё это соответственно включено и прописано.
• На подключающемся компьютере в настройках включен SMB протокол, разрешено видеть компьютеры в сети, настроена рабочая группа, файервалы и прочее что может влиять.

Замечу что к ресурсам сервера ftp я по сети подключился не через DNS, а всётаки через NetBIOS. Разбирайтесь, думайте, что у вас может не правильно быть настроено. PF для OVPN выступает как DHCP и DNS ретранслятор он встроенный имеет, но чтобы по имени заходить в удалённой сети на ресурсы этого не достаточно, поскольку сам PF этими данными не распологает и это не его задача, он только связь налаживает и всё.

Удачи!

werter

This post is deleted!

werter

@luha
del
Не углядел, что это впн-интерфейс. Все ок.

werter

@maxyca
Раз у вас нет отдельного ДНС, то колдуйте с DHCP на пф, как посоветовал @pigbrother

Галка редиректа ВСЕГО трафика клиентов в туннель точно нужна? Хотите, чтобы клиенты в инет через ваш пф ходили?

DH Parameter Length - оставьте по умолчанию.
Enable NCP - галка
Auth digest algorithm - оставьте по умолчанию.
Hardware Crypto - ваш CPU умеет его вообще?
UDP Fast I/O - галка
Send\Receive Buffer - >=512KiB (там про это написано ниже)

Зы. Адресация локальной сети и у впн-клиентов не совпадает?
На пальцах. У вас локалка 192.168.1.0 и у впн-клиентов локальные адреса из этой же сети.
Увидел ((
Сеть предприятия у вас 192.168.1.х. Сколько раз тут это обсуждалось. Не надо на работе использовать ТАКУЮ адресацию. Никогда.
Почему? Представьте ситуацию, что к вам подключается извне кто-то, кому его домашний ви-фи роутер выдал адрес 192.168.1.100. И этому "счастливчику" надо получить доступ к серверу в ВАШЕЙ сети с ТАКИМ ЖЕ адресом. А если таких 5-10-20 человек? Или вы каждому из них роутер ихний будете перенастраивать? Или, что хуже на порядок, появилась необходимость объединить сеть филиала с вашей, и у них (внезапно) ТАКАЯ же адресация? Компрэндэ/андерстэнд/ход мыслей понятен?

Меняйте адресацию в своей сети. Пока не поздно. Напр, на 10.50.0.0

Зы2. Увидите такую адресацию на очередном месте работы - ищите того, кто это сделал до вас и бейте (от меня - в челюсть). Шутка )

Зы3. Вижу адресацию 192.168.(0|1).x и понимаю, что :

• "одмин" юн;
• "одмин" не имеет отношения к IT (мимо проходил манагер и рук-во (жлобы) заставило парня заниматься не своим делом);
• "одмин" учился на сисадмина, но не хочется незнакомого человека обвинять в непрофессионализме, надеясь, что так уже было до него.

luha

Хммм... простите, не сдержался... у нас сеть 192.168.1.0/24 и что с того? Не замечаю конфликтов с клиентскими такими-же сетями, даже если у них что-то там висит на таких же адресах. Может как раз наоборот, "админ" знает что делает и понимает что такое частные сети? На то они и частные, могут повторяться, это нормально. Производители тех же роутеров могли бы делать подсеть случайной, но нет. Видимо не нужно это по умолчанию, кому надо тот поменяет как надо, если надо. Зачем без нужды из-за предрассудков и паранои делать ненужные бессмысленные действия, которые на самом деле ни на что не влияют и смысла лишены? Если бы было иначе то представьте что бы творилось, это сколько же в глобальном маштабе повторяющихся адресов в частных локалках! NAT? Нееее..... не слышал про такое. Маскарадинг? Что это такое, наверное что-то про карнавалы. Так вот почему иногда сайты не работают, там админ у серверов за роутером такой-же как у меня адрес же сделал, безрукий он человек! Теперь придётся у себя домашнюю сеть переставлять.

Да. Могут быть конфликты с адресами, но только при определённых условиях. Это вообще-то отдельная тема для багхантинга но если вернуться к нашей ситуации то в пф для клиентов впн создаётся другая подсеть и так они и смотрят в удалённую. Не вводите человека в заблуждение, пф не даст сделать одинаковую подсеть и выступает посредником. Если вы админ и соединяете удалённые локалки в общую подсеть через впн или у вас много независимых подразделений в одной сети так вот тогда и заморачивайтесь как там правильно адреса настраивать.

werter

@luha said in Не видно клиентов по имени хоста по OpenVPN:

Производители тех же роутеров могли бы делать подсеть случайной, но нет. Видимо не нужно это по умолчанию, кому надо тот поменяет как надо, если надо.

Это задача точно не производителей, а того, кто будет его настраивать.

Не замечаю конфликтов с клиентскими такими-же сетями, даже если у них что-то там висит на таких же адресах.

Тогда назначьте у себя в сети двум хостам одинаковые ip. Ну так, ради интереса.

Если бы было иначе то представьте что бы творилось, это сколько же в глобальном маштабе повторяющихся адресов в частных локалках! NAT? Нееее..... не слышал про такое. Маскарадинг?

Приехали. А кто в Инет серыми ip светит-то? Все за NAT-ом и сидят.

Так вот почему иногда сайты не работают, там админ у серверов за роутером такой-же как у меня адрес же сделал, безрукий он человек! Теперь придётся у себя домашнюю сеть переставлять.

Дружище, при пробросе на сервер внутри сети, вы обращаетесь ко ВНЕШНЕМУ ip роутера.

если вернуться к нашей ситуации то в пф для клиентов впн создаётся другая подсеть и так они и смотрят в удалённую. Не вводите человека в заблуждение, пф не даст сделать одинаковую подсеть и выступает посредником.

Открою "секрет", но пф по-дефолту НЕ ВКЛЮЧАЕТ NAT на овпн-интерфейсах. И "светить" в удаленную сеть вы будете своим (внезапно) ЛОКАЛЬНЫМ ip.
Не верите? Так вот вам ОФИЦИАЛЬНЫЙ мануал по этому поводу https://docs.netgate.com/pfsense/en/latest/recipes/openvpn-nat-subnets-conflict.html

Для тех, кто на "броне". Речь идет о совпадении адресов хостов между локальной и удаленной сетями, объединенными по ВПН. И без определенных усилий (ссылка выше) и @luha и @maxyca и даже Richard Matthew Stallman заимеют себе головную боль.

luha

Ну так он же весь трафик в туннель завернул. Ему на интерфейсе ovpn выдали правильный ip. Домашний роутер и вся домашняя сеть это уже отдельный элемент в бытие мироздания с точки зрения такого клиента. Или я где-то ошибся?

werter

@luha
То, что он его завернул не значит, что это ему было ДЕЙСТВИТЕЛЬНО необходимо. Он там в настройках "накуролесил" и без этого достаточно.

Зы. А за использование 192.168.(0|1).0 в приличных домах конторах бьют канделябром и гонят ссаными тряпками.