Problema DNS su VPN



  • Ciao ho configurato una VPN punto punto con OPEN VPN.

    ho configuarato i due pfsense come Server Resolver Transparent.
    ho impostato i due pfsense con i server (general setap)
    server1 127.0.0.1
    server2 serverx (un server DNS che ho nella lan)
    server3 8.8.8.8

    i client viaggiano con impostato il server2 e navigano tranquillamente in internet, ma se devo raggiungere un ip dentro la VPN se digito l'ip numerico lo raggiungo tranquillamente se invece mete il nome no......
    ovviamente sto dicendo che il problema si verifica quando da un una rete VPN cerco di raggiungere l'ip dell'altra rete - all'interno della stessa lan tutto funziona con impostato il server2

    altra nota.... raggiungo tranquillamente tutto tra le due reti solo sembra ci sia qualche problema nel risolvere i nomi ip
    suggerimenti? Ho sbagliato qualche cosa?


  • LAYER 8

    usando TUN non è possibile, usando TAP la risoluzione dei nomi sulla vpn dovrebbe funzionare, quello che ti rimane da fare con TUN è:
    1 inserire i nomi staticamente nel tuo server dns e usare solo quello rimuovendo 127.0.0.1 e 8.8.8.8
    2 modificare il file host di windows associando i nomi e gli ip staticamente
    3 usare solo 127.0.0.1 e su unbound usare host overrides associando i nomi e gli ip staticamente



  • @kiokoman a questo punto meglio TUN o TAP?! Cosa dovrei fare per cambiare a TAP?! Così magari faccio le prove.

    Grazie ☺


  • LAYER 8

    non è detto che puoi e non è detto che ti semplifichi la vita, anzi... per renderla semplice TUN fa da router TAP fa da switch. lascia in TUN e scegli una delle 3 soluzioni ☺



  • Ciao @federicop

    ovviamente sto dicendo che il problema si verifica quando da un una rete VPN cerco di raggiungere l'ip dell'altra rete - all'interno della stessa lan tutto funziona con impostato il server2

    altra nota.... raggiungo tranquillamente tutto tra le due reti solo sembra ci sia qualche problema nel risolvere i nomi ip
    suggerimenti? Ho sbagliato qualche cosa?

    Questo è un problema generato da windows che risolve nomi dns incompleti mentre qualsiasi altro dns deve essere isturito.
    Sicuramente se provi a risolvere un nome host.dominio.it funziona, quello che non funziona è la risoluzione del nome incompleto host. In questo windows 10 peggiora le cose.
    Il primo suggerimento è usare nomi fqdn completi come dovrebbe essere se MS non avesse confuso le idee ad un mucchio di gente. Il secondo è provare ad impostare nel tuo server VPN le opzioni per il servizio netbios o se lo hai attivato sul DC il server wins. In windows originariamente (fino a windows 2000) non esisteva il dns ma una roba monca chiamata wins che insieme a netbios permtteva di risolvere i nomi delle macchine senza specificare il dominio anche perchè non era proprio previsto.
    Detto questo nel tuo server openvpn vai alla sezione Advanced Client Settings inserisci nella lista DNS l'ip del tuo dns interno, spunta l'opzione NetBios Enabled, come tipo di nodo imposta H e se cel'hai inserisci l'ip del server wins.

    Ciao Fabio


  • LAYER 8

    non ci sono quelle opzioni per il peer to peer ma solo per openvpn configurato per l'accesso remoto.



  • Scusa, mia svista, mi ero perso che fosse una site to site, in tal caso il broadcast su cui si basa netbios non funziona e quindi la risoluzione può avvenire solo usando fqdn completi.
    Fabio



  • ho sistemato, correggendo il link.

    seguendo questa segnalazione fatta da Fabio (Sicuramente se provi a risolvere un nome host.dominio.it funziona, quello che non funziona è la risoluzione del nome incompleto host) ho provato a modificare e fuziona.

    quindi grazie.

    ora l'unico e altro dubbio sta nel fatto che dal lato LAN server non riesco a raggiungere la pagina di accesso del nas LAN Client e nemmeno la cartella digitanto l'ip in esplora risorse.
    ovvero non riesco a raggingere i file sul nas Client. eppure funziona tutto.



  • @federicop nel nas è stato impostato il default gateway?



  • @fabio-vigano .... si è stato impostato.


Log in to reply