Не видно клиентов по имени хоста по OpenVPN
-
Ясно. Меня бы вы не взяли на работу. ;)
Короче да - можно для профилактики подсети придумать максимально уникальные на всех концах, главное чтобы bogon.
-
@luha
ВсЬО.
Едем к @maxyca в гости ) Пусть готовится. -
@werter да ладно долбить уже за 192.168.0.1, уже было дело, знаю, надо будет делать на другую сеть. Все руки не доходят просто. Устройств не особо много, но все в разных местах, вот и получается.... до лучших времен.
Если так интересно зачем у меня завернут весь траффик на VPN я отвечу. Подключаются к нему удаленно клиенты из
сраныхсетей и пр. Поэтому все через VPN идет.Ради теста снял чекбокс "Force all client-generated IPv4 traffic through the tunnel." в OVPN, в IPv4 Local network(s) стоит
любимая@werter
сеть 192.168.1.0/24. Тем не менее не видит удаленный клиент остальных компов в сети по хосту и все.Поэтому чекбокс "Force all client-generated IPv4 traffic through the tunnel." возвращается на свое законное место.
Надо изучить ссылку @werter https://docs.netgate.com/pfsense/en/latest/recipes/openvpn-nat-subnets-conflict.html на этот счет))
@luha он, всмысле @werter в меня уже бросал тряпки насчет
любимойсети 192.168.0.1 так что надо точно переделывать, а то под раздачу мы с тобой попадаемся еще раз )))Итог у меня все равно без результата, пока. Удаленные клиенты хосты в сетевом окружении не видят, диски подключаются только по IP. Все они на Win10, брандмауэр выключен, пингуются все хосты по IP.
-
@maxyca
При поднятие впн-туннеля на клиенте Виндовс спрашивает о типе сети. Надо выбирать Частная\Рабочая.И проверить, чтобы у ВСЕХ клиентов в сети конторы была Частная\Рабочая - НЕ ГОСТЕВАЯ.
Зы. Брандмауэр можно выключать только для Частная\Рабочая\Доменная сеть. Для Гостевая не надо.
-
@werter Это было сделано еще в самом начале. Для уверенности вообще брандмауэр был выключен и отключен антивир.
-
@maxyca
Совет @pigbrother касаемо DHCP выполнили? -
@werter Да, конечно.
Сети тоже проверил:
-
@maxyca
Перед проверкой всегда сбрасывать кеш ДНС - ipconfig /flushdns
На врямя проверки оставлять активным ОДНО сетевое подключение - на скрине их два. -
ipconfig /flushdns был сделан.
2 потому что Интернет по wifi приходит, а второе это как раз OpenVPN GUI. -
@maxyca
Попробуйте выполнить nslookup -q=ANY <имя-машины> <LAN-IP-pfsense>
Вывод покажите здесь. -
@maxyca
Откройте на пф доступ для овпн-клиентов к портам 53 TCP\UDP и 137 TCP\UDP (WINS - https://ru.wikipedia.org/wiki/Windows_Internet_Name_Service) -
@werter said in Не видно клиентов по имени хоста по OpenVPN:
nslookup -q=ANY
nslookup -q=ANY ubuntu 192.168.1.1
DNS request timed out.
timeout was 2 seconds.
╤хЁтхЁ: UnKnown
Address: 192.168.1.1DNS request timed out.
timeout was 2 seconds.
*** Превышено время ожидания запроса UnKnownp.s. Сеть пока не менял)) За тысячи км от нее нахожусь.
-
С самого пф имя машины разрешается?
-
Сейчас делаю:
nslookup ya.ru
DNS request timed out.В настройках OVPN:
Установлен чекбокс Provide a DNS server list to clients. Addresses may be IPv4 or IPv6.
C IP pfSense 192.168.1.1Если меняю на DNS Google, nslookup вывод корректный показывает.
В Rules для OVPN:
Я так понимаю смысла добавлять 53 TCP\UDP и 137 TCP\UDP нет, т.к. все должно проходить.
т.е. сейчас pfSense не работает как DNS получается? -
Тебе про это уже устали объяснять, что он не работает как DNS сервер. Чтобы у тебя появился DNS его, что логично, надо сначала создать. А чтобы в нём появились записи их, что тоже логично, надо туда внести.
Читай всю тему с начала. Внимательно. Уже все ответы даны на все твои вопросы. Я серьёзно.
-
@maxyca said in Не видно клиентов по имени хоста по OpenVPN:
т.е. сейчас pfSense не работает как DNS получается?
@luha said in Не видно клиентов по имени хоста по OpenVPN:
что он не работает как DNS сервер
Не поленюсь подвести итоги:
- pf "из коробки" работает как DNS-сервер, обеспечивая доступ клиентов LAN в интернет.
- pf "из коробки" не работает как DNS-сервер локальной сети.
- Есть способ, описанный мной выше, как попытаться заставить pf быть DNS-сервером локальной сети для своих DHCP-клиентов локальной сети. Насколько полноценно это будет работать - не проверял.
-
@luha Что за бредни ты несешь???
pfSense ясное дело работает не как полноценный DNS, а всего лишь перенаправляет запросы на вышестоящие DNS серверы которые указаны в General Setup, да еще и много где в других местах, как например у топикстартера в настройках OpenVPN сервера.
@maxyca Мне кажется у тебя вся затыка только в том, что где-то не проходят запросы на 53 порт pfSense. Хотя правила ты и добавил. Если есть возможность - протестируй с других компов. У меня на w10 x64 было пару лет назад кое что похожее. Через PowerShell удалось назначить сети OpenVPN статус Private network. После этого сеть стала видна. -
Есть же разница между DNS ретранслятором и DNS сервером (полноценным). Одно дело кэш собирать а другое владеть зонами.
Я вот намерянно не хочу писать что он работает как сервер DNS, хотя понимаю что ручками можно в него закидывать и зоны и записи и всё такое. Но раз явно функция не в этом то и разговора нет.
-
IMHO было все понятно по смыслу. В любом случае тут проблема не в этом.
-
@maxyca
-
Проверить какие интерфейсы слушает unbound на пф. Должен быть lan, loopback, ovpn (если есть).
-
Попробовать в правиле fw на интерфейсе ovpn - protocol - TCP\UDP, dst - This firewall, port - 53
-
После поднятия впн на клиенте сделать telnet <впн-ip-пф> 53 или telnet <лан-ip-пф> 53
-