Не видно клиентов по имени хоста по OpenVPN

luha

Хммм... простите, не сдержался... у нас сеть 192.168.1.0/24 и что с того? Не замечаю конфликтов с клиентскими такими-же сетями, даже если у них что-то там висит на таких же адресах. Может как раз наоборот, "админ" знает что делает и понимает что такое частные сети? На то они и частные, могут повторяться, это нормально. Производители тех же роутеров могли бы делать подсеть случайной, но нет. Видимо не нужно это по умолчанию, кому надо тот поменяет как надо, если надо. Зачем без нужды из-за предрассудков и паранои делать ненужные бессмысленные действия, которые на самом деле ни на что не влияют и смысла лишены? Если бы было иначе то представьте что бы творилось, это сколько же в глобальном маштабе повторяющихся адресов в частных локалках! NAT? Нееее..... не слышал про такое. Маскарадинг? Что это такое, наверное что-то про карнавалы. Так вот почему иногда сайты не работают, там админ у серверов за роутером такой-же как у меня адрес же сделал, безрукий он человек! Теперь придётся у себя домашнюю сеть переставлять.

Да. Могут быть конфликты с адресами, но только при определённых условиях. Это вообще-то отдельная тема для багхантинга но если вернуться к нашей ситуации то в пф для клиентов впн создаётся другая подсеть и так они и смотрят в удалённую. Не вводите человека в заблуждение, пф не даст сделать одинаковую подсеть и выступает посредником. Если вы админ и соединяете удалённые локалки в общую подсеть через впн или у вас много независимых подразделений в одной сети так вот тогда и заморачивайтесь как там правильно адреса настраивать.

werter

@luha said in Не видно клиентов по имени хоста по OpenVPN:

Производители тех же роутеров могли бы делать подсеть случайной, но нет. Видимо не нужно это по умолчанию, кому надо тот поменяет как надо, если надо.

Это задача точно не производителей, а того, кто будет его настраивать.

Не замечаю конфликтов с клиентскими такими-же сетями, даже если у них что-то там висит на таких же адресах.

Тогда назначьте у себя в сети двум хостам одинаковые ip. Ну так, ради интереса.

Если бы было иначе то представьте что бы творилось, это сколько же в глобальном маштабе повторяющихся адресов в частных локалках! NAT? Нееее..... не слышал про такое. Маскарадинг?

Приехали. А кто в Инет серыми ip светит-то? Все за NAT-ом и сидят.

Так вот почему иногда сайты не работают, там админ у серверов за роутером такой-же как у меня адрес же сделал, безрукий он человек! Теперь придётся у себя домашнюю сеть переставлять.

Дружище, при пробросе на сервер внутри сети, вы обращаетесь ко ВНЕШНЕМУ ip роутера.

если вернуться к нашей ситуации то в пф для клиентов впн создаётся другая подсеть и так они и смотрят в удалённую. Не вводите человека в заблуждение, пф не даст сделать одинаковую подсеть и выступает посредником.

Открою "секрет", но пф по-дефолту НЕ ВКЛЮЧАЕТ NAT на овпн-интерфейсах. И "светить" в удаленную сеть вы будете своим (внезапно) ЛОКАЛЬНЫМ ip.
Не верите? Так вот вам ОФИЦИАЛЬНЫЙ мануал по этому поводу https://docs.netgate.com/pfsense/en/latest/recipes/openvpn-nat-subnets-conflict.html

Для тех, кто на "броне". Речь идет о совпадении адресов хостов между локальной и удаленной сетями, объединенными по ВПН. И без определенных усилий (ссылка выше) и @luha и @maxyca и даже Richard Matthew Stallman заимеют себе головную боль.

luha

Ну так он же весь трафик в туннель завернул. Ему на интерфейсе ovpn выдали правильный ip. Домашний роутер и вся домашняя сеть это уже отдельный элемент в бытие мироздания с точки зрения такого клиента. Или я где-то ошибся?

werter

@luha
То, что он его завернул не значит, что это ему было ДЕЙСТВИТЕЛЬНО необходимо. Он там в настройках "накуролесил" и без этого достаточно.

Зы. А за использование 192.168.(0|1).0 в приличных домах конторах бьют канделябром и гонят ссаными тряпками.

luha

:) Зачем же нам обсуждать все мыслимые варианты и конфигурации, если есть одна конкретная и что-то там не завелось? Конечно если в одной сети дать двум машинам одинаковый адрес будет глючить. А если я за натом сеть построил и через впн весь клиентский трафик заворачиваю, зачем мне тогда заморачиваться и придумывать специальный адрес подсети? Ну нет в этом необходимости, вот и не делаю. Была бы нужда, поменял бы. Кстати я и поменял, у нас подсетей много и виртуальных и реальных. А в некоторых специально пришлось одинаковые делать подсети чтобы работало, но всёравно не важно какие именно они будут.

Не. Не даст тебе +100 к админству слепая смена адреса. А вот если у тебя на любом адресе без проблем всё работает это уже достижение.

werter

@luha said in Не видно клиентов по имени хоста по OpenVPN:

А если я за натом сеть построил и через впн весь клиентский трафик заворачиваю, зачем мне тогда заморачиваться и придумывать специальный адрес подсети

Такая схема КРАЙНЕ редко используется. В 99% впн необходим для доступа к локальным ресурсам удаленной сети. И ТОЛЬКО к локальным ресурсам.

А вот если у тебя на любом адресе без проблем всё работает это уже достижение

На любом - не надо. Надо на правильном.

Не. Не даст тебе +100 к админству слепая смена адреса.

У меня +146. Мне хватает )

luha

Ясно. Меня бы вы не взяли на работу. ;)

Короче да - можно для профилактики подсети придумать максимально уникальные на всех концах, главное чтобы bogon.

werter

@luha
ВсЬО.
Едем к @maxyca в гости ) Пусть готовится.

maxer

@werter да ладно долбить уже за 192.168.0.1, уже было дело, знаю, надо будет делать на другую сеть. Все руки не доходят просто. Устройств не особо много, но все в разных местах, вот и получается.... до лучших времен.

Если так интересно зачем у меня завернут весь траффик на VPN я отвечу. Подключаются к нему удаленно клиенты из сраных сетей и пр. Поэтому все через VPN идет.

Ради теста снял чекбокс "Force all client-generated IPv4 traffic through the tunnel." в OVPN, в IPv4 Local network(s) стоит любимая @werter
сеть 192.168.1.0/24. Тем не менее не видит удаленный клиент остальных компов в сети по хосту и все.

Поэтому чекбокс "Force all client-generated IPv4 traffic through the tunnel." возвращается на свое законное место.

Надо изучить ссылку @werter https://docs.netgate.com/pfsense/en/latest/recipes/openvpn-nat-subnets-conflict.html на этот счет))

@luha он, всмысле @werter в меня уже бросал тряпки насчет любимой сети 192.168.0.1 так что надо точно переделывать, а то под раздачу мы с тобой попадаемся еще раз )))

Итог у меня все равно без результата, пока. Удаленные клиенты хосты в сетевом окружении не видят, диски подключаются только по IP. Все они на Win10, брандмауэр выключен, пингуются все хосты по IP.

werter

@maxyca
При поднятие впн-туннеля на клиенте Виндовс спрашивает о типе сети. Надо выбирать Частная\Рабочая.

И проверить, чтобы у ВСЕХ клиентов в сети конторы была Частная\Рабочая - НЕ ГОСТЕВАЯ.

Зы. Брандмауэр можно выключать только для Частная\Рабочая\Доменная сеть. Для Гостевая не надо.

maxer

@werter Это было сделано еще в самом начале. Для уверенности вообще брандмауэр был выключен и отключен антивир.

werter

@maxyca
Совет @pigbrother касаемо DHCP выполнили?

maxer

@werter Да, конечно.
Сети тоже проверил:

werter

@maxyca

Перед проверкой всегда сбрасывать кеш ДНС - ipconfig /flushdns
На врямя проверки оставлять активным ОДНО сетевое подключение - на скрине их два.

maxer

ipconfig /flushdns был сделан.
2 потому что Интернет по wifi приходит, а второе это как раз OpenVPN GUI.

werter

@maxyca
Попробуйте выполнить nslookup -q=ANY <имя-машины> <LAN-IP-pfsense>
Вывод покажите здесь.

werter

@maxyca
Откройте на пф доступ для овпн-клиентов к портам 53 TCP\UDP и 137 TCP\UDP (WINS - https://ru.wikipedia.org/wiki/Windows_Internet_Name_Service)

maxer

@werter said in Не видно клиентов по имени хоста по OpenVPN:

nslookup -q=ANY

nslookup -q=ANY ubuntu 192.168.1.1
DNS request timed out.
timeout was 2 seconds.
╤хЁтхЁ: UnKnown
Address: 192.168.1.1

DNS request timed out.
timeout was 2 seconds.
*** Превышено время ожидания запроса UnKnown

p.s. Сеть пока не менял)) За тысячи км от нее нахожусь.

werter

С самого пф имя машины разрешается?

maxer

Сейчас делаю:
nslookup ya.ru
DNS request timed out.

В настройках OVPN:
Установлен чекбокс Provide a DNS server list to clients. Addresses may be IPv4 or IPv6.
C IP pfSense 192.168.1.1

Если меняю на DNS Google, nslookup вывод корректный показывает.

В Rules для OVPN:

Я так понимаю смысла добавлять 53 TCP\UDP и 137 TCP\UDP нет, т.к. все должно проходить.
т.е. сейчас pfSense не работает как DNS получается?