Не видно клиентов по имени хоста по OpenVPN
-
@pigbrother said in Не видно клиентов по имени хоста по OpenVPN:
если у вас есть AD с DNS попробуйте предавать клиентам адрес(а) этих DNS, указав их либо в
Client Specific Overrides
либо в настройках сервера OVPN
И да, вам точно нужно запихивать весь интернет-трафик клиентов в туннель?т.е. мне нужно в Client Specific Overrides в Client Settings > чекбокс Provide a DNS server list to clients и указать там pfSense (который у меня 192.168.1.1)?
А почему тогда в настройках OVPN сервера в Advanced Client Settings > DNS Server enable клиенты напрочь не видят DNS pfSense?Да, именно это и нужно.
-
@luha Вы через VPN какого рода работой занимаетесь? Может в браузере открываете странички или что именно вам надо делать, к ресурсам SMB подключиться... ещё что... какого рода доступ?
SMB в удаленном LAN нужно, облако там с рэйдом.
-
Если SMB то проверьте как настроен WINS в сервере OVPN
P.S. Для других случаев есть другие особенности.
-
@luha Так ведь в настройке сервера OVPN в pfSense ничего про WINS нет?!
Вот такой он у меня:
-
Как это нету?! Вон же белым по серому - NetBIOS ... бла-бла ... (including WINS)
-
Виноват, не доглядел(
За наводку спасибо!
Похоже мне надо еще одно правило для OVPN добавить, т.к. сейчас, без указания сторонних DNS Google напр. 8.8.8.8 и 8.8.4.4 ничего не работает.
Почему-то клиенты все равно напрочь не видят DNS от pfSense.
Сейчас в rules:
-
Я же спрашивал. Какого рода планируется деятельность через VPN. Что у вас кроме SMB будет? Для чего нужны дополнительные DNS?
-
Кроме SMB, доступ в LAN и Инет
-
Для начала в браузере выключить в настройках безопасности левый DNS на который у вас крадут куда вы ходите. Опция называется "безопасный DNS" или типа того. Точно есть в хроме и эдже.
-
@luha Это выключено само собой.
-
На счёт встроенного в pfsense сервера DNS не уверен что это правильно в случае доступа к www ресурсам. Оставьте там только гугловские сервера и проверьте в настройках pfsense является ли он резолвером DNS и чтобы ему самому тоже было указано где брать.
На внутренний DNS сервер записывают данные типа адрес-хост чтобы из локальной сети можно было открыть страничку с сервера из этой же локальной сети. На внешние www из локальной и так ходят по внешним адресам. Если у вас в локалке нет серверов у которых различаются внешний и внутренние адреса то вам не надо придумывать никакого локального DNS.
-
Сделал так:
Но по хосту как не коннектилось так и не хочет (С 2 DNS от Google не все открывается, что хочется. Поэтому из Cloudflare еще пришлось взять.
-
Не правильно.
DNS Server 1 - установи внешний или вообще выключи эту функцию. Если нет внутри локалки серверов с названиями то это не нужно вообще.NTP - зачем ты указал там этот сервер? NTP это сервер времени, он должен существовать в реальности и действовать как сервер времени.
WINS - ты просто с головы вписываешь. Как и в случае с NTP сервер WINS должен существовать и функционировать. Ты его настраивал? Или у тебя в сети дикий WINS.
-
DNS Server 1 я указал потому что это pfSense и он укажет пользователям названия других серваков в сети.
NTP я указал потому что OVPN клиенты синхронизируют по нему время. pfSense его в действительности получает с pool.ntp.org
WINS я не настраивал вообще. Не думал, что придется с ним возиться только из-за того, чтобы указывать хост вместо IP.
-
Сервер времени обычно нужен для удалённого доступа к АД, например чтобы залогиниться время с сервером АД не должно отличаться более чем на +/- 5 минут. В большинстве случаев актуальность и синхронность времени не требуется. Для проверки сертификата главное чтобы он был не просрочен... тоесть вообще точное время не важно.
Протокол SMB не использует DNS. Он использует сервер WINS, который и является тем самым списком названий компьютеров и делает их видимыми в сетевом окружении. По умолчанию в локальной сети сервером WINS случайно выбирается первый попавшийся компьютер, который назначается браузером имён. Нормальные админы жёстко выбирают конкретный сервер под это и в DHCP его указывают как сервер WINS. Вообще протокол SMB вроде как в первых версиях уже всё.
DNS это для того чтобы можно было пинговать по имени хоста. Если такое надо то в локальной сети ставится сервер DNS, садится админ и заполняет домены адресами.
Я так понимаю ничего из описанного у вас не наблюдается. Ну так и как оно должно работать?
-
@luha said in Не видно клиентов по имени хоста по OpenVPN:
DNS, садится админ и заполняет домены адресами
Спасибо, пошел заполнять табличку. К утру не ждите....
-
:)
Не, ну ты просто указываешь роутер сервером DNS, а откуда в нём возьмутся нужные тебе записи о именах в локальной сети? Он сам из внешних тягает.
Я вот не уверен что действительно верно понял задачу, но если ты пытаешься в сети найти по имени компьютер то надо сначала найти какой из этих компьютеров являетс в настоящее время актуальным сервером этих имён! Его и указывать.
Возьми и просто в локальный hosts забей имена и делов. Главное не забыть в DHCP зарезервировать IP ато со временем послетает.
-
@luha said in Не видно клиентов по имени хоста по OpenVPN:
Если SMB то проверьте как настроен WINS в сервере OVPN
WINS для обращения по именам не нужен. Для этого достаточно NetBIOS. Иначе вы бы не видели пк в "сетевом окружении" в обычной домашней сети без всяких WINS и DNS - серверов.
Для чего же в своё время потребовался NetBIOS? Для осуществления возможности взаимодействия станций в небольших (локальных) сетях. Что включает в себя возможность взаимодействия по сети? Это назначение станции сетевого имени, по которому она будет доступна в сети, это возможность найти станцию в сети по её имени, возможность соединиться с ресурсами станции и начать с обмениваться с ними данными. Это и возможность получить список сетевых станций, которые подключены к сегменту сети и многое другое, что может быть определено термином "сетевое взаимодействие".@luha said in Не видно клиентов по имени хоста по OpenVPN:
Не, ну ты просто указываешь роутер сервером DNS,
Да, клиенту, повторю, нужно передать ip DNS, способный разрешать имена в LAN, к которой подключается клиент OVPN.
Этим IP может быть (а может и не быть) IP pfSense, все зависит от того, как сконфигурирована сеть.
Если в сети нет сервера DNS, разрешения имен для клиента работать не будет.
Почему не работает разрешение имен при включении поддержки netbios в OVPN - не знаю.
-
@pigbrother
Я нашел вот что: https://docs.netgate.com/pfsense/en/latest/troubleshooting/openvpn-client-smb.htmlEnable NetBIOS over TCP/IP. Непонятно и мне, почему после этого нельзя по хосту обращаться в LAN, а только по IP ((
-
@maxyca said in Не видно клиентов по имени хоста по OpenVPN:
Непонятно и мне, почему после этого нельзя по хосту обращаться в LAN, а только по IP ((
Возможность обращаться по имени - это только часть функционала netbios.
Повторю без спойлера:Для чего же в своё время потребовался NetBIOS? Для осуществления возможности взаимодействия станций в небольших (локальных) сетях. Что включает в себя возможность взаимодействия по сети? Это назначение станции сетевого имени, по которому она будет доступна в сети, это возможность найти станцию в сети по её имени, возможность соединиться с ресурсами станции и начать с обмениваться с ними данными. Это и возможность получить список сетевых станций, которые подключены к сегменту сети и многое другое, что может быть определено термином "сетевое взаимодействие".
http://datadump.ru/netbios-over-tcpip/т.е. доступ вида
\192.168.x.x\share
тоже предоставляется средствами NetBIOS. И да, доступ по IP работает даже если в OVPN поддержку NetBIOS не включать.
Хотите обращаться по имени - отдавайте клиенту DNS, способный разрешать имена в LAN .В NetBIOS есть такое понятие, как Тип узла NetBIOS (NodeType). По ссылке выше они описываются.
Вот оно и работает либо через широковещательные сообщения, либо через WINS.
Так как WINS у вас нет, а широковещательные сообщения в режиме tun не работают - нет и разрешения имен.