Не видно клиентов по имени хоста по OpenVPN

werter

@pigbrother
Может я пропустил, но есть ли у @maxyca в сети ДНС-сервер вообще? Кроме пф.

werter

@cowan
Галка на NetBIOS enable в наст-ках овпн стоит?

pigbrother

@werter said in Не видно клиентов по имени хоста по OpenVPN:

закрытыми портами\протоколами;
настройками безопас-ти в ОС. Напр., отключенная учетка Гость на обеих сторонах.

Добавлю. В Windows брандмауэр по умолчанию блокирует подключения из других сетей. А сеть клиентов OVPN и есть другая сеть.

@werter said in Не видно клиентов по имени хоста по OpenVPN:

Может я пропустил, но есть ли у @maxyca в сети ДНС-сервер вообще?

Похоже - нет. Только pfSense. Мне ответа на этот вопрос в разных формах получить не удалось.

@werter said in Не видно клиентов по имени хоста по OpenVPN:

Галка на NetBIOS enable в наст-ках овпн стоит?

Уже писал - эта галка, похоже, "для галочки". Подключение к шарам работает и без неё, а в настройках сервера Peer-to-Peer её вообще нет, при этом сетевые ресурсы доступны.

maxer

@werter Только pfSense. У которого в General Setup указаны 4 DNS.

maxer

@pigbrother said in Не видно клиентов по имени хоста по OpenVPN:

Галка на NetBIOS enable в наст-ках овпн стоит?

Уже писал - эта галка, похоже, "для галочки". Подключение к шарам работает и без неё, а в настройках сервера Peer-to-Peer её вообще нет, при этом сетевые ресурсы доступны.

Она точно для галочки. Потому что ни на что не влияет абсолютно.

luha

Вот скрин. Подключение по OVPN, видны компьютеры, заходит на хост по имени.

VirtualBox_Win10ru_25_10_2020_10_33_31.png

Что сделано:

• В удалённой локальной сети настроен отдельный сервер DNS и туда руками вносились названия хостов и их IP.
• В удалённой сети настроен сервер WINS.
• В OVPN всё это соответственно включено и прописано.
• На подключающемся компьютере в настройках включен SMB протокол, разрешено видеть компьютеры в сети, настроена рабочая группа, файервалы и прочее что может влиять.

Замечу что к ресурсам сервера ftp я по сети подключился не через DNS, а всётаки через NetBIOS. Разбирайтесь, думайте, что у вас может не правильно быть настроено. PF для OVPN выступает как DHCP и DNS ретранслятор он встроенный имеет, но чтобы по имени заходить в удалённой сети на ресурсы этого не достаточно, поскольку сам PF этими данными не распологает и это не его задача, он только связь налаживает и всё.

Удачи!

werter

This post is deleted!

werter

@luha
del
Не углядел, что это впн-интерфейс. Все ок.

werter

@maxyca
Раз у вас нет отдельного ДНС, то колдуйте с DHCP на пф, как посоветовал @pigbrother

Галка редиректа ВСЕГО трафика клиентов в туннель точно нужна? Хотите, чтобы клиенты в инет через ваш пф ходили?

DH Parameter Length - оставьте по умолчанию.
Enable NCP - галка
Auth digest algorithm - оставьте по умолчанию.
Hardware Crypto - ваш CPU умеет его вообще?
UDP Fast I/O - галка
Send\Receive Buffer - >=512KiB (там про это написано ниже)

Зы. Адресация локальной сети и у впн-клиентов не совпадает?
На пальцах. У вас локалка 192.168.1.0 и у впн-клиентов локальные адреса из этой же сети.
Увидел ((
Сеть предприятия у вас 192.168.1.х. Сколько раз тут это обсуждалось. Не надо на работе использовать ТАКУЮ адресацию. Никогда.
Почему? Представьте ситуацию, что к вам подключается извне кто-то, кому его домашний ви-фи роутер выдал адрес 192.168.1.100. И этому "счастливчику" надо получить доступ к серверу в ВАШЕЙ сети с ТАКИМ ЖЕ адресом. А если таких 5-10-20 человек? Или вы каждому из них роутер ихний будете перенастраивать? Или, что хуже на порядок, появилась необходимость объединить сеть филиала с вашей, и у них (внезапно) ТАКАЯ же адресация? Компрэндэ/андерстэнд/ход мыслей понятен?

Меняйте адресацию в своей сети. Пока не поздно. Напр, на 10.50.0.0

Зы2. Увидите такую адресацию на очередном месте работы - ищите того, кто это сделал до вас и бейте (от меня - в челюсть). Шутка )

Зы3. Вижу адресацию 192.168.(0|1).x и понимаю, что :

• "одмин" юн;
• "одмин" не имеет отношения к IT (мимо проходил манагер и рук-во (жлобы) заставило парня заниматься не своим делом);
• "одмин" учился на сисадмина, но не хочется незнакомого человека обвинять в непрофессионализме, надеясь, что так уже было до него.

luha

Хммм... простите, не сдержался... у нас сеть 192.168.1.0/24 и что с того? Не замечаю конфликтов с клиентскими такими-же сетями, даже если у них что-то там висит на таких же адресах. Может как раз наоборот, "админ" знает что делает и понимает что такое частные сети? На то они и частные, могут повторяться, это нормально. Производители тех же роутеров могли бы делать подсеть случайной, но нет. Видимо не нужно это по умолчанию, кому надо тот поменяет как надо, если надо. Зачем без нужды из-за предрассудков и паранои делать ненужные бессмысленные действия, которые на самом деле ни на что не влияют и смысла лишены? Если бы было иначе то представьте что бы творилось, это сколько же в глобальном маштабе повторяющихся адресов в частных локалках! NAT? Нееее..... не слышал про такое. Маскарадинг? Что это такое, наверное что-то про карнавалы. Так вот почему иногда сайты не работают, там админ у серверов за роутером такой-же как у меня адрес же сделал, безрукий он человек! Теперь придётся у себя домашнюю сеть переставлять.

Да. Могут быть конфликты с адресами, но только при определённых условиях. Это вообще-то отдельная тема для багхантинга но если вернуться к нашей ситуации то в пф для клиентов впн создаётся другая подсеть и так они и смотрят в удалённую. Не вводите человека в заблуждение, пф не даст сделать одинаковую подсеть и выступает посредником. Если вы админ и соединяете удалённые локалки в общую подсеть через впн или у вас много независимых подразделений в одной сети так вот тогда и заморачивайтесь как там правильно адреса настраивать.

werter

@luha said in Не видно клиентов по имени хоста по OpenVPN:

Производители тех же роутеров могли бы делать подсеть случайной, но нет. Видимо не нужно это по умолчанию, кому надо тот поменяет как надо, если надо.

Это задача точно не производителей, а того, кто будет его настраивать.

Не замечаю конфликтов с клиентскими такими-же сетями, даже если у них что-то там висит на таких же адресах.

Тогда назначьте у себя в сети двум хостам одинаковые ip. Ну так, ради интереса.

Если бы было иначе то представьте что бы творилось, это сколько же в глобальном маштабе повторяющихся адресов в частных локалках! NAT? Нееее..... не слышал про такое. Маскарадинг?

Приехали. А кто в Инет серыми ip светит-то? Все за NAT-ом и сидят.

Так вот почему иногда сайты не работают, там админ у серверов за роутером такой-же как у меня адрес же сделал, безрукий он человек! Теперь придётся у себя домашнюю сеть переставлять.

Дружище, при пробросе на сервер внутри сети, вы обращаетесь ко ВНЕШНЕМУ ip роутера.

если вернуться к нашей ситуации то в пф для клиентов впн создаётся другая подсеть и так они и смотрят в удалённую. Не вводите человека в заблуждение, пф не даст сделать одинаковую подсеть и выступает посредником.

Открою "секрет", но пф по-дефолту НЕ ВКЛЮЧАЕТ NAT на овпн-интерфейсах. И "светить" в удаленную сеть вы будете своим (внезапно) ЛОКАЛЬНЫМ ip.
Не верите? Так вот вам ОФИЦИАЛЬНЫЙ мануал по этому поводу https://docs.netgate.com/pfsense/en/latest/recipes/openvpn-nat-subnets-conflict.html

Для тех, кто на "броне". Речь идет о совпадении адресов хостов между локальной и удаленной сетями, объединенными по ВПН. И без определенных усилий (ссылка выше) и @luha и @maxyca и даже Richard Matthew Stallman заимеют себе головную боль.

luha

Ну так он же весь трафик в туннель завернул. Ему на интерфейсе ovpn выдали правильный ip. Домашний роутер и вся домашняя сеть это уже отдельный элемент в бытие мироздания с точки зрения такого клиента. Или я где-то ошибся?

werter

@luha
То, что он его завернул не значит, что это ему было ДЕЙСТВИТЕЛЬНО необходимо. Он там в настройках "накуролесил" и без этого достаточно.

Зы. А за использование 192.168.(0|1).0 в приличных домах конторах бьют канделябром и гонят ссаными тряпками.

luha

:) Зачем же нам обсуждать все мыслимые варианты и конфигурации, если есть одна конкретная и что-то там не завелось? Конечно если в одной сети дать двум машинам одинаковый адрес будет глючить. А если я за натом сеть построил и через впн весь клиентский трафик заворачиваю, зачем мне тогда заморачиваться и придумывать специальный адрес подсети? Ну нет в этом необходимости, вот и не делаю. Была бы нужда, поменял бы. Кстати я и поменял, у нас подсетей много и виртуальных и реальных. А в некоторых специально пришлось одинаковые делать подсети чтобы работало, но всёравно не важно какие именно они будут.

Не. Не даст тебе +100 к админству слепая смена адреса. А вот если у тебя на любом адресе без проблем всё работает это уже достижение.

werter

@luha said in Не видно клиентов по имени хоста по OpenVPN:

А если я за натом сеть построил и через впн весь клиентский трафик заворачиваю, зачем мне тогда заморачиваться и придумывать специальный адрес подсети

Такая схема КРАЙНЕ редко используется. В 99% впн необходим для доступа к локальным ресурсам удаленной сети. И ТОЛЬКО к локальным ресурсам.

А вот если у тебя на любом адресе без проблем всё работает это уже достижение

На любом - не надо. Надо на правильном.

Не. Не даст тебе +100 к админству слепая смена адреса.

У меня +146. Мне хватает )

luha

Ясно. Меня бы вы не взяли на работу. ;)

Короче да - можно для профилактики подсети придумать максимально уникальные на всех концах, главное чтобы bogon.

werter

@luha
ВсЬО.
Едем к @maxyca в гости ) Пусть готовится.

maxer

@werter да ладно долбить уже за 192.168.0.1, уже было дело, знаю, надо будет делать на другую сеть. Все руки не доходят просто. Устройств не особо много, но все в разных местах, вот и получается.... до лучших времен.

Если так интересно зачем у меня завернут весь траффик на VPN я отвечу. Подключаются к нему удаленно клиенты из сраных сетей и пр. Поэтому все через VPN идет.

Ради теста снял чекбокс "Force all client-generated IPv4 traffic through the tunnel." в OVPN, в IPv4 Local network(s) стоит любимая @werter
сеть 192.168.1.0/24. Тем не менее не видит удаленный клиент остальных компов в сети по хосту и все.

Поэтому чекбокс "Force all client-generated IPv4 traffic through the tunnel." возвращается на свое законное место.

Надо изучить ссылку @werter https://docs.netgate.com/pfsense/en/latest/recipes/openvpn-nat-subnets-conflict.html на этот счет))

@luha он, всмысле @werter в меня уже бросал тряпки насчет любимой сети 192.168.0.1 так что надо точно переделывать, а то под раздачу мы с тобой попадаемся еще раз )))

Итог у меня все равно без результата, пока. Удаленные клиенты хосты в сетевом окружении не видят, диски подключаются только по IP. Все они на Win10, брандмауэр выключен, пингуются все хосты по IP.

werter

@maxyca
При поднятие впн-туннеля на клиенте Виндовс спрашивает о типе сети. Надо выбирать Частная\Рабочая.

И проверить, чтобы у ВСЕХ клиентов в сети конторы была Частная\Рабочая - НЕ ГОСТЕВАЯ.

Зы. Брандмауэр можно выключать только для Частная\Рабочая\Доменная сеть. Для Гостевая не надо.

maxer

@werter Это было сделано еще в самом начале. Для уверенности вообще брандмауэр был выключен и отключен антивир.