Не видно клиентов по имени хоста по OpenVPN

werter

@luha said in Не видно клиентов по имени хоста по OpenVPN:

А если я за натом сеть построил и через впн весь клиентский трафик заворачиваю, зачем мне тогда заморачиваться и придумывать специальный адрес подсети

Такая схема КРАЙНЕ редко используется. В 99% впн необходим для доступа к локальным ресурсам удаленной сети. И ТОЛЬКО к локальным ресурсам.

А вот если у тебя на любом адресе без проблем всё работает это уже достижение

На любом - не надо. Надо на правильном.

Не. Не даст тебе +100 к админству слепая смена адреса.

У меня +146. Мне хватает )

luha

Ясно. Меня бы вы не взяли на работу. ;)

Короче да - можно для профилактики подсети придумать максимально уникальные на всех концах, главное чтобы bogon.

werter

@luha
ВсЬО.
Едем к @maxyca в гости ) Пусть готовится.

maxer

@werter да ладно долбить уже за 192.168.0.1, уже было дело, знаю, надо будет делать на другую сеть. Все руки не доходят просто. Устройств не особо много, но все в разных местах, вот и получается.... до лучших времен.

Если так интересно зачем у меня завернут весь траффик на VPN я отвечу. Подключаются к нему удаленно клиенты из сраных сетей и пр. Поэтому все через VPN идет.

Ради теста снял чекбокс "Force all client-generated IPv4 traffic through the tunnel." в OVPN, в IPv4 Local network(s) стоит любимая @werter
сеть 192.168.1.0/24. Тем не менее не видит удаленный клиент остальных компов в сети по хосту и все.

Поэтому чекбокс "Force all client-generated IPv4 traffic through the tunnel." возвращается на свое законное место.

Надо изучить ссылку @werter https://docs.netgate.com/pfsense/en/latest/recipes/openvpn-nat-subnets-conflict.html на этот счет))

@luha он, всмысле @werter в меня уже бросал тряпки насчет любимой сети 192.168.0.1 так что надо точно переделывать, а то под раздачу мы с тобой попадаемся еще раз )))

Итог у меня все равно без результата, пока. Удаленные клиенты хосты в сетевом окружении не видят, диски подключаются только по IP. Все они на Win10, брандмауэр выключен, пингуются все хосты по IP.

werter

@maxyca
При поднятие впн-туннеля на клиенте Виндовс спрашивает о типе сети. Надо выбирать Частная\Рабочая.

И проверить, чтобы у ВСЕХ клиентов в сети конторы была Частная\Рабочая - НЕ ГОСТЕВАЯ.

Зы. Брандмауэр можно выключать только для Частная\Рабочая\Доменная сеть. Для Гостевая не надо.

maxer

@werter Это было сделано еще в самом начале. Для уверенности вообще брандмауэр был выключен и отключен антивир.

werter

@maxyca
Совет @pigbrother касаемо DHCP выполнили?

maxer

@werter Да, конечно.
Сети тоже проверил:

werter

@maxyca

Перед проверкой всегда сбрасывать кеш ДНС - ipconfig /flushdns
На врямя проверки оставлять активным ОДНО сетевое подключение - на скрине их два.

maxer

ipconfig /flushdns был сделан.
2 потому что Интернет по wifi приходит, а второе это как раз OpenVPN GUI.

werter

@maxyca
Попробуйте выполнить nslookup -q=ANY <имя-машины> <LAN-IP-pfsense>
Вывод покажите здесь.

werter

@maxyca
Откройте на пф доступ для овпн-клиентов к портам 53 TCP\UDP и 137 TCP\UDP (WINS - https://ru.wikipedia.org/wiki/Windows_Internet_Name_Service)

maxer

@werter said in Не видно клиентов по имени хоста по OpenVPN:

nslookup -q=ANY

nslookup -q=ANY ubuntu 192.168.1.1
DNS request timed out.
timeout was 2 seconds.
╤хЁтхЁ: UnKnown
Address: 192.168.1.1

DNS request timed out.
timeout was 2 seconds.
*** Превышено время ожидания запроса UnKnown

p.s. Сеть пока не менял)) За тысячи км от нее нахожусь.

werter

С самого пф имя машины разрешается?

maxer

Сейчас делаю:
nslookup ya.ru
DNS request timed out.

В настройках OVPN:
Установлен чекбокс Provide a DNS server list to clients. Addresses may be IPv4 or IPv6.
C IP pfSense 192.168.1.1

Если меняю на DNS Google, nslookup вывод корректный показывает.

В Rules для OVPN:

Я так понимаю смысла добавлять 53 TCP\UDP и 137 TCP\UDP нет, т.к. все должно проходить.
т.е. сейчас pfSense не работает как DNS получается?

luha

Тебе про это уже устали объяснять, что он не работает как DNS сервер. Чтобы у тебя появился DNS его, что логично, надо сначала создать. А чтобы в нём появились записи их, что тоже логично, надо туда внести.

Читай всю тему с начала. Внимательно. Уже все ответы даны на все твои вопросы. Я серьёзно.

pigbrother

@maxyca said in Не видно клиентов по имени хоста по OpenVPN:

т.е. сейчас pfSense не работает как DNS получается?

@luha said in Не видно клиентов по имени хоста по OpenVPN:

что он не работает как DNS сервер

Не поленюсь подвести итоги:

1. pf "из коробки" работает как DNS-сервер, обеспечивая доступ клиентов LAN в интернет.
2. pf "из коробки" не работает как DNS-сервер локальной сети.
3. Есть способ, описанный мной выше, как попытаться заставить pf быть DNS-сервером локальной сети для своих DHCP-клиентов локальной сети. Насколько полноценно это будет работать - не проверял.

cowan

@luha Что за бредни ты несешь???
pfSense ясное дело работает не как полноценный DNS, а всего лишь перенаправляет запросы на вышестоящие DNS серверы которые указаны в General Setup, да еще и много где в других местах, как например у топикстартера в настройках OpenVPN сервера.
@maxyca Мне кажется у тебя вся затыка только в том, что где-то не проходят запросы на 53 порт pfSense. Хотя правила ты и добавил. Если есть возможность - протестируй с других компов. У меня на w10 x64 было пару лет назад кое что похожее. Через PowerShell удалось назначить сети OpenVPN статус Private network. После этого сеть стала видна.

luha

Есть же разница между DNS ретранслятором и DNS сервером (полноценным). Одно дело кэш собирать а другое владеть зонами.

Я вот намерянно не хочу писать что он работает как сервер DNS, хотя понимаю что ручками можно в него закидывать и зоны и записи и всё такое. Но раз явно функция не в этом то и разговора нет.

cowan

IMHO было все понятно по смыслу. В любом случае тут проблема не в этом.