Не видно клиентов по имени хоста по OpenVPN
-
На счёт встроенного в pfsense сервера DNS не уверен что это правильно в случае доступа к www ресурсам. Оставьте там только гугловские сервера и проверьте в настройках pfsense является ли он резолвером DNS и чтобы ему самому тоже было указано где брать.
На внутренний DNS сервер записывают данные типа адрес-хост чтобы из локальной сети можно было открыть страничку с сервера из этой же локальной сети. На внешние www из локальной и так ходят по внешним адресам. Если у вас в локалке нет серверов у которых различаются внешний и внутренние адреса то вам не надо придумывать никакого локального DNS.
-
Сделал так:
Но по хосту как не коннектилось так и не хочет (С 2 DNS от Google не все открывается, что хочется. Поэтому из Cloudflare еще пришлось взять.
-
Не правильно.
DNS Server 1 - установи внешний или вообще выключи эту функцию. Если нет внутри локалки серверов с названиями то это не нужно вообще.NTP - зачем ты указал там этот сервер? NTP это сервер времени, он должен существовать в реальности и действовать как сервер времени.
WINS - ты просто с головы вписываешь. Как и в случае с NTP сервер WINS должен существовать и функционировать. Ты его настраивал? Или у тебя в сети дикий WINS.
-
DNS Server 1 я указал потому что это pfSense и он укажет пользователям названия других серваков в сети.
NTP я указал потому что OVPN клиенты синхронизируют по нему время. pfSense его в действительности получает с pool.ntp.org
WINS я не настраивал вообще. Не думал, что придется с ним возиться только из-за того, чтобы указывать хост вместо IP.
-
Сервер времени обычно нужен для удалённого доступа к АД, например чтобы залогиниться время с сервером АД не должно отличаться более чем на +/- 5 минут. В большинстве случаев актуальность и синхронность времени не требуется. Для проверки сертификата главное чтобы он был не просрочен... тоесть вообще точное время не важно.
Протокол SMB не использует DNS. Он использует сервер WINS, который и является тем самым списком названий компьютеров и делает их видимыми в сетевом окружении. По умолчанию в локальной сети сервером WINS случайно выбирается первый попавшийся компьютер, который назначается браузером имён. Нормальные админы жёстко выбирают конкретный сервер под это и в DHCP его указывают как сервер WINS. Вообще протокол SMB вроде как в первых версиях уже всё.
DNS это для того чтобы можно было пинговать по имени хоста. Если такое надо то в локальной сети ставится сервер DNS, садится админ и заполняет домены адресами.
Я так понимаю ничего из описанного у вас не наблюдается. Ну так и как оно должно работать?
-
@luha said in Не видно клиентов по имени хоста по OpenVPN:
DNS, садится админ и заполняет домены адресами
Спасибо, пошел заполнять табличку. К утру не ждите....
-
:)
Не, ну ты просто указываешь роутер сервером DNS, а откуда в нём возьмутся нужные тебе записи о именах в локальной сети? Он сам из внешних тягает.
Я вот не уверен что действительно верно понял задачу, но если ты пытаешься в сети найти по имени компьютер то надо сначала найти какой из этих компьютеров являетс в настоящее время актуальным сервером этих имён! Его и указывать.
Возьми и просто в локальный hosts забей имена и делов. Главное не забыть в DHCP зарезервировать IP ато со временем послетает.
-
@luha said in Не видно клиентов по имени хоста по OpenVPN:
Если SMB то проверьте как настроен WINS в сервере OVPN
WINS для обращения по именам не нужен. Для этого достаточно NetBIOS. Иначе вы бы не видели пк в "сетевом окружении" в обычной домашней сети без всяких WINS и DNS - серверов.
Для чего же в своё время потребовался NetBIOS? Для осуществления возможности взаимодействия станций в небольших (локальных) сетях. Что включает в себя возможность взаимодействия по сети? Это назначение станции сетевого имени, по которому она будет доступна в сети, это возможность найти станцию в сети по её имени, возможность соединиться с ресурсами станции и начать с обмениваться с ними данными. Это и возможность получить список сетевых станций, которые подключены к сегменту сети и многое другое, что может быть определено термином "сетевое взаимодействие".
@luha said in Не видно клиентов по имени хоста по OpenVPN:
Не, ну ты просто указываешь роутер сервером DNS,
Да, клиенту, повторю, нужно передать ip DNS, способный разрешать имена в LAN, к которой подключается клиент OVPN.
Этим IP может быть (а может и не быть) IP pfSense, все зависит от того, как сконфигурирована сеть.
Если в сети нет сервера DNS, разрешения имен для клиента работать не будет.
Почему не работает разрешение имен при включении поддержки netbios в OVPN - не знаю.
-
@pigbrother
Я нашел вот что: https://docs.netgate.com/pfsense/en/latest/troubleshooting/openvpn-client-smb.htmlEnable NetBIOS over TCP/IP. Непонятно и мне, почему после этого нельзя по хосту обращаться в LAN, а только по IP ((
-
@maxyca said in Не видно клиентов по имени хоста по OpenVPN:
Непонятно и мне, почему после этого нельзя по хосту обращаться в LAN, а только по IP ((
Возможность обращаться по имени - это только часть функционала netbios.
Повторю без спойлера:Для чего же в своё время потребовался NetBIOS? Для осуществления возможности взаимодействия станций в небольших (локальных) сетях. Что включает в себя возможность взаимодействия по сети? Это назначение станции сетевого имени, по которому она будет доступна в сети, это возможность найти станцию в сети по её имени, возможность соединиться с ресурсами станции и начать с обмениваться с ними данными. Это и возможность получить список сетевых станций, которые подключены к сегменту сети и многое другое, что может быть определено термином "сетевое взаимодействие".
http://datadump.ru/netbios-over-tcpip/т.е. доступ вида
\192.168.x.x\share
тоже предоставляется средствами NetBIOS. И да, доступ по IP работает даже если в OVPN поддержку NetBIOS не включать.
Хотите обращаться по имени - отдавайте клиенту DNS, способный разрешать имена в LAN .В NetBIOS есть такое понятие, как Тип узла NetBIOS (NodeType). По ссылке выше они описываются.
Вот оно и работает либо через широковещательные сообщения, либо через WINS.
Так как WINS у вас нет, а широковещательные сообщения в режиме tun не работают - нет и разрешения имен. -
Про DNS и зачем он нужен в частной локальной сети.
В частной сети (пусть это будет называться LAN) адреса IP также из частного диапазона. Таких адресов одинаковых в мире много. Внешние (гугловские или другие) сервера DNS частные адреса не обслуживают. Чтобы пинговать по имени в сети LAN надо в этой сети запустить местный локальный DNS сервер, в котором будут прописаны названия и ip из вашего диапазона. Если к такой сети подключиться из-вне по VPN и захотеть по имени пинговать нужно чтобы внешний компьютер за VPN-ом использовал локальный DNS сервер из сети LAN, а иначе откуда ему взять информацию. Самый частый случай применения DNS сервера в локальной сети это когда есть сервера www, у каждого один ip, но они могут в зависимости от домена отобразить разные сайты.
Про сетевое окружение компьютеров.
В свойствах компьютера можно указать его название. Запуская сетевое окружение можно увидеть компьютеры в вашей локальной сети и их названия. Это потому что компьютеры выбрали одного из них и выслали ему свои названия. Компьютер составил списочек и вот так не особо мудря они и видят друг-дружку в этой сети...
-
@luha said in Не видно клиентов по имени хоста по OpenVPN:
пусть это будет называться LAN
Правильнее сказать - это один широковещательный домен, в котором имена могут разрешаться средствами NetBIOS без использования wins.
Ссылку привел выше/ -
Я пытаюсь простым языком объяснить принцип чтобы человек разобрался.
Там, кстати, на моём скрине вбит 192.168.1.1 для NTP и WINS - это потому что у нас есть такой сервер и он действительно работает как NTP и WINS и DNS тоже. Роутер у нас с другим адресом, на двоечку заканчивается. Так сделано чтобы ускорить инициализацию клиентов.
-
@luha said in Не видно клиентов по имени хоста по OpenVPN:
Я пытаюсь простым языком объяснить принцип чтобы человек разобрался
Я тоже.
-
Я всегда считал, что pfSense как раз и является локальным DNS в частной сети? Или у меня не все в порядке с настройками, раз он не передает имена хостов?
-
@maxyca said in Не видно клиентов по имени хоста по OpenVPN:
Я всегда считал, что pfSense как раз и является локальным DNS в частной сети? Или у меня не все в порядке с настройками, раз он не передает имена хостов?
По-умолчанию pfSense указывает себя в качестве DNSа только DHCP клиентам.
В случае с IPsec/OpenVPN зависит от настроек.
Надо указать IP pfSense в качестве DNSа вручную. -
@viktor_g said in Не видно клиентов по имени хоста по OpenVPN:
По-умолчанию pfSense указывает себя в качестве DNSа только DHCP клиентам.
Однако даже в этом случае для разрешения имен локальных хостов надо включить в настройках DHCP
Enable registration of DHCP client names in DNS
и
Register DHCP leases in DNS forwarder
If this option is set, IPv4 DHCP static mappings will be registered in the DNS forwarder so that their name can be resolved. The domain in System: General Setup should also be set to the proper value.или аналогично:
Register DHCP leases in the DNS Resolver:
If this option is set, then machines that specify their hostname when requesting an IPv4 DHCP lease will be registered in the DNS Resolver so that their name can be resolved. The domain in System > General Setup should also be set to the proper value.
По умолчанию эти настройки выключены, т.е. pfSense не будет разрешать адреса DHCP-клиентов.
-
@maxyca said in Не видно клиентов по имени хоста по OpenVPN:
Я всегда считал, что pfSense как раз и является локальным DNS в частной сети? Или у меня не все в порядке с настройками, раз он не передает имена хостов?
Господа! Коллеги, дамы... жентльмены...
Очевидно что на лицо полное непонимание происходящего нашим заблудшим другом. Мне думается всё было неоднократно предоставлено в полном объёме и дальнейшая дискуссия преобретает характер демагогии.
-
@pigbrother said in Не видно клиентов по имени хоста по OpenVPN:
Однако даже в этом случае для разрешения имен локальных хостов надо включить в настройках DHCP
Enable registration of DHCP client names in DNS
и
Register DHCP leases in DNS forwarder
If this option is set, IPv4 DHCP static mappings will be registered in the DNS forwarder so that their name can be resolved. The domain in System: General Setup should also be set to the proper value.
или аналогично:
Register DHCP leases in the DNS Resolver:
If this option is set, then machines that specify their hostname when requesting an IPv4 DHCP lease will be registered in the DNS Resolver so that their name can be resolved. The domain in System > General Setup should also be set to the proper value.
По умолчанию эти настройки выключены, т.е. pfSense не будет разрешать адреса DHCP-клиентов.DNS Forwarder выключен. Используется DNS Resolver.
Чекбокс - Register DHCP leases in the DNS Resolver установлен. -
@luha Дядь, есть что сказать - говори. Нет ? Не строй из себя крутого админа ))
