Не видно клиентов по имени хоста по OpenVPN

werter

@luha said in Не видно клиентов по имени хоста по OpenVPN:

Производители тех же роутеров могли бы делать подсеть случайной, но нет. Видимо не нужно это по умолчанию, кому надо тот поменяет как надо, если надо.

Это задача точно не производителей, а того, кто будет его настраивать.

Не замечаю конфликтов с клиентскими такими-же сетями, даже если у них что-то там висит на таких же адресах.

Тогда назначьте у себя в сети двум хостам одинаковые ip. Ну так, ради интереса.

Если бы было иначе то представьте что бы творилось, это сколько же в глобальном маштабе повторяющихся адресов в частных локалках! NAT? Нееее..... не слышал про такое. Маскарадинг?

Приехали. А кто в Инет серыми ip светит-то? Все за NAT-ом и сидят.

Так вот почему иногда сайты не работают, там админ у серверов за роутером такой-же как у меня адрес же сделал, безрукий он человек! Теперь придётся у себя домашнюю сеть переставлять.

Дружище, при пробросе на сервер внутри сети, вы обращаетесь ко ВНЕШНЕМУ ip роутера.

если вернуться к нашей ситуации то в пф для клиентов впн создаётся другая подсеть и так они и смотрят в удалённую. Не вводите человека в заблуждение, пф не даст сделать одинаковую подсеть и выступает посредником.

Открою "секрет", но пф по-дефолту НЕ ВКЛЮЧАЕТ NAT на овпн-интерфейсах. И "светить" в удаленную сеть вы будете своим (внезапно) ЛОКАЛЬНЫМ ip.
Не верите? Так вот вам ОФИЦИАЛЬНЫЙ мануал по этому поводу https://docs.netgate.com/pfsense/en/latest/recipes/openvpn-nat-subnets-conflict.html

Для тех, кто на "броне". Речь идет о совпадении адресов хостов между локальной и удаленной сетями, объединенными по ВПН. И без определенных усилий (ссылка выше) и @luha и @maxyca и даже Richard Matthew Stallman заимеют себе головную боль.

luha

Ну так он же весь трафик в туннель завернул. Ему на интерфейсе ovpn выдали правильный ip. Домашний роутер и вся домашняя сеть это уже отдельный элемент в бытие мироздания с точки зрения такого клиента. Или я где-то ошибся?

werter

@luha
То, что он его завернул не значит, что это ему было ДЕЙСТВИТЕЛЬНО необходимо. Он там в настройках "накуролесил" и без этого достаточно.

Зы. А за использование 192.168.(0|1).0 в приличных домах конторах бьют канделябром и гонят ссаными тряпками.

luha

:) Зачем же нам обсуждать все мыслимые варианты и конфигурации, если есть одна конкретная и что-то там не завелось? Конечно если в одной сети дать двум машинам одинаковый адрес будет глючить. А если я за натом сеть построил и через впн весь клиентский трафик заворачиваю, зачем мне тогда заморачиваться и придумывать специальный адрес подсети? Ну нет в этом необходимости, вот и не делаю. Была бы нужда, поменял бы. Кстати я и поменял, у нас подсетей много и виртуальных и реальных. А в некоторых специально пришлось одинаковые делать подсети чтобы работало, но всёравно не важно какие именно они будут.

Не. Не даст тебе +100 к админству слепая смена адреса. А вот если у тебя на любом адресе без проблем всё работает это уже достижение.

werter

@luha said in Не видно клиентов по имени хоста по OpenVPN:

А если я за натом сеть построил и через впн весь клиентский трафик заворачиваю, зачем мне тогда заморачиваться и придумывать специальный адрес подсети

Такая схема КРАЙНЕ редко используется. В 99% впн необходим для доступа к локальным ресурсам удаленной сети. И ТОЛЬКО к локальным ресурсам.

А вот если у тебя на любом адресе без проблем всё работает это уже достижение

На любом - не надо. Надо на правильном.

Не. Не даст тебе +100 к админству слепая смена адреса.

У меня +146. Мне хватает )

luha

Ясно. Меня бы вы не взяли на работу. ;)

Короче да - можно для профилактики подсети придумать максимально уникальные на всех концах, главное чтобы bogon.

werter

@luha
ВсЬО.
Едем к @maxyca в гости ) Пусть готовится.

maxer

@werter да ладно долбить уже за 192.168.0.1, уже было дело, знаю, надо будет делать на другую сеть. Все руки не доходят просто. Устройств не особо много, но все в разных местах, вот и получается.... до лучших времен.

Если так интересно зачем у меня завернут весь траффик на VPN я отвечу. Подключаются к нему удаленно клиенты из сраных сетей и пр. Поэтому все через VPN идет.

Ради теста снял чекбокс "Force all client-generated IPv4 traffic through the tunnel." в OVPN, в IPv4 Local network(s) стоит любимая @werter
сеть 192.168.1.0/24. Тем не менее не видит удаленный клиент остальных компов в сети по хосту и все.

Поэтому чекбокс "Force all client-generated IPv4 traffic through the tunnel." возвращается на свое законное место.

Надо изучить ссылку @werter https://docs.netgate.com/pfsense/en/latest/recipes/openvpn-nat-subnets-conflict.html на этот счет))

@luha он, всмысле @werter в меня уже бросал тряпки насчет любимой сети 192.168.0.1 так что надо точно переделывать, а то под раздачу мы с тобой попадаемся еще раз )))

Итог у меня все равно без результата, пока. Удаленные клиенты хосты в сетевом окружении не видят, диски подключаются только по IP. Все они на Win10, брандмауэр выключен, пингуются все хосты по IP.

werter

@maxyca
При поднятие впн-туннеля на клиенте Виндовс спрашивает о типе сети. Надо выбирать Частная\Рабочая.

И проверить, чтобы у ВСЕХ клиентов в сети конторы была Частная\Рабочая - НЕ ГОСТЕВАЯ.

Зы. Брандмауэр можно выключать только для Частная\Рабочая\Доменная сеть. Для Гостевая не надо.

maxer

@werter Это было сделано еще в самом начале. Для уверенности вообще брандмауэр был выключен и отключен антивир.

werter

@maxyca
Совет @pigbrother касаемо DHCP выполнили?

maxer

@werter Да, конечно.
Сети тоже проверил:

werter

@maxyca

Перед проверкой всегда сбрасывать кеш ДНС - ipconfig /flushdns
На врямя проверки оставлять активным ОДНО сетевое подключение - на скрине их два.

maxer

ipconfig /flushdns был сделан.
2 потому что Интернет по wifi приходит, а второе это как раз OpenVPN GUI.

werter

@maxyca
Попробуйте выполнить nslookup -q=ANY <имя-машины> <LAN-IP-pfsense>
Вывод покажите здесь.

werter

@maxyca
Откройте на пф доступ для овпн-клиентов к портам 53 TCP\UDP и 137 TCP\UDP (WINS - https://ru.wikipedia.org/wiki/Windows_Internet_Name_Service)

maxer

@werter said in Не видно клиентов по имени хоста по OpenVPN:

nslookup -q=ANY

nslookup -q=ANY ubuntu 192.168.1.1
DNS request timed out.
timeout was 2 seconds.
╤хЁтхЁ: UnKnown
Address: 192.168.1.1

DNS request timed out.
timeout was 2 seconds.
*** Превышено время ожидания запроса UnKnown

p.s. Сеть пока не менял)) За тысячи км от нее нахожусь.

werter

С самого пф имя машины разрешается?

maxer

Сейчас делаю:
nslookup ya.ru
DNS request timed out.

В настройках OVPN:
Установлен чекбокс Provide a DNS server list to clients. Addresses may be IPv4 or IPv6.
C IP pfSense 192.168.1.1

Если меняю на DNS Google, nslookup вывод корректный показывает.

В Rules для OVPN:

Я так понимаю смысла добавлять 53 TCP\UDP и 137 TCP\UDP нет, т.к. все должно проходить.
т.е. сейчас pfSense не работает как DNS получается?

luha

Тебе про это уже устали объяснять, что он не работает как DNS сервер. Чтобы у тебя появился DNS его, что логично, надо сначала создать. А чтобы в нём появились записи их, что тоже логично, надо туда внести.

Читай всю тему с начала. Внимательно. Уже все ответы даны на все твои вопросы. Я серьёзно.