Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    PPTP и разрешение имен на клиентах

    Russian
    2
    13
    2680
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      Angel_19 last edited by

      pfSense 2.1
      Настроил PPTP сервер. С удаленной машины подключаюсь, и если обращаться по IP во внутреннюю сеть - то все работает.
      Как сделать так, чтобы работало разрешение имен? DNS клиентам раздаю, но имена компов не разрешаются.
      Подскажите.

      1 Reply Last reply Reply Quote 0
      • werter
        werter last edited by

        У вас домен , как я понимаю. Правила fw на PPTP покажите.

        1 Reply Last reply Reply Quote 0
        • A
          Angel_19 last edited by

          Да, домен.
          Правило приложил к сообщению.


          1 Reply Last reply Reply Quote 0
          • werter
            werter last edited by

            DNS клиентам раздаю, но имена компов не разрешаются.

            Т.е. вы раздаете адрес внутреннего DNS сервера подключающимся по PPTP удаленным клиентам ? А клиенты DNS-сервер пингуют?
            Команда nslookup <имя-машины-в-вашей-внутренней-сети> на удаленном подключившемся клиенте что говорит?

            P.s. Скрин правил fw на LAN можно ?

            1 Reply Last reply Reply Quote 0
            • A
              Angel_19 last edited by

              Т.е. вы раздаете адрес внутреннего DNS сервера подключающимся по PPTP удаленным клиентам ?

              Да.

              А клиенты DNS-сервер пингуют?

              Пинги не идут.

              Команда nslookup <имя-машины-в-вашей-внутренней-сети> <ip-адрес-вашего-dns-сервера>на удаленном подключившемся клиенте что говорит?</ip-адрес-вашего-dns-сервера>

              C:\Users\user>nslookup s2008 192.168.10.201
              ╤хЁтхЁ:  dcserver.group.local
              Address:  192.168.10.201

              *** dcserver.group.local не удалось найти s2008: Server failed

              Скрин правил fw на LAN можно ?

              Прикладываю.


              1 Reply Last reply Reply Quote 0
              • werter
                werter last edited by

                Пинги не идут.

                Они и не будут идти. У вас на PPTP не разрешен ICMP. Разрешите (временно) на PPTP ВСЕ протоколы.

                Далее , последнее активное правило на LAN - оно лишнее и бестолковое, т.е. толку от него - нуль. Советую (временно) разрешить на LAN все протоколы, поставив это правило самым верхним.

                Вопрос - не пересекаются ли адреса сетей ваших PPTP-клиентов с вашей LAN? Какую адресацию получают ваши клиенты при подключении?
                Нарисуйте схему сети с адресами (адрес dns-сервера на ней укажите обязательно). Уверен на 99,9 %, что pfsense - не причем.

                1 Reply Last reply Reply Quote 0
                • A
                  Angel_19 last edited by

                  Далее , последнее активное правило на LAN - оно лишнее и бестолковое, т.е. толку от него - нуль. Советую (временно) разрешить на LAN все протоколы, поставив это правило самым верхним.

                  Это правило заворачивает пользователей локальной сети на прокси!
                  А правила которые идут перед последним активным - позволяют пропускать часть ПК/оборудования в обход прокси.

                  По остальному попробую, спасибо!

                  Они и не будут идти. У вас на PPTP не разрешен ICMP. Разрешите (временно) на PPTP ВСЕ протоколы.

                  Разрешил все протоколы - пинги пошли. Но имена ПК не разрешаются.

                  Схему сети прилагаю.


                  1 Reply Last reply Reply Quote 0
                  • werter
                    werter last edited by

                    @Angel_19:

                    Далее , последнее активное правило на LAN - оно лишнее и бестолковое, т.е. толку от него - нуль. Советую (временно) разрешить на LAN все протоколы, поставив это правило самым верхним.

                    Это правило заворачивает пользователей локальной сети на прокси!
                    А правила которые идут перед последним активным - позволяют пропускать часть ПК/оборудования в обход прокси.

                    По остальному попробую, спасибо!

                    С какой радости ? Правила по заворачиванию пишутся в NAT (port forward etc.) . И зачем заворачивать (а заворачивается ли вообще?), если есть прозрачный режим работы в сквиде?! Т.е. все обращения на 80-ый порт "заворачиваются" на порт прокси автоматом?

                    Ну и накручено у вас там  :'(

                    P.s. Попробуйте выдавать РРТР-клиентам адреса из вашей LAN-сети при их подключении, предварительно выделив им незанятый диапазон.

                    1 Reply Last reply Reply Quote 0
                    • A
                      Angel_19 last edited by

                      Попробуйте выдавать РРТР-клиентам адреса из вашей LAN-сети при их подключении, предварительно выделив им незанятый диапазон.

                      Так все и происходит.

                      Схема сети в моём предыдущем сообщении.

                      1 Reply Last reply Reply Quote 0
                      • werter
                        werter last edited by

                        Сперва действия по правилам fw на LAN и PPTP выполните.

                        Далее, по выводу команды nslookup :

                        C:\Users\user>nslookup s2008 192.168.10.201
                        ╤хЁтхЁ:  dcserver.group.local
                        Address:  192.168.10.201

                        *** dcserver.group.local не удалось найти s2008: Server failed

                        Могу поздравить. Доступ к DNS серверу у ваших внешних клиентов имеется. У вас сам сервер DNS не может "разрешить" имя s2008 в IP-адрес. Разве это не видно?
                        Причем здесь pfsense ? Этот s2008 вообще домене или в раб. группе? Если в раб. группе - поднимите еще и службу WINS на DC или создайте принудительно A-запись для этого сервера.

                        Что говорит в таком случае команда  nslookup s2008.group.local 192.168.10.201  извне и внутри вашей LAN ?

                        Вобщем разберитесь с DNS. Врядли pfsense здесь виноват.

                        1 Reply Last reply Reply Quote 0
                        • A
                          Angel_19 last edited by

                          Врядли pfsense здесь виноват.

                          Я pfSense ни в чем и не обвиняю! Прошу помощи…

                          Что говорит в таком случае команда  nslookup s2008.group.local 192.168.10.201  извне и внутри вашей LAN ?

                          Извне:

                          C:\Users\Roman>nslookup s2008.group.local 192.168.10.201
                          ╤хЁтхЁ:  dcserver.group.local
                          Address:  192.168.10.201

                          ╚ь :    s2008.group.local
                          Address:  192.168.10.200

                          C:\Users\Roman>ping s2008
                          При проверке связи не удалось обнаружить узел s2008.
                          Проверьте имя узла и повторите попытку.

                          Внутри:

                          C:\Users\Администратор.GROUP>nslookup s2008.group.local 192.168.10.201
                          ╤хЁтхЁ:  dcserver.group.local
                          Address:  192.168.10.201

                          ╚ь :    s2008.group.local
                          Address:  192.168.10.200

                          C:\Users\Администратор.GROUP>ping s2008

                          Обмен пакетами с s2008.group.local [192.168.10.200] с 32 байтами данных:
                          Ответ от 192.168.10.200: число байт=32 время<1мс TTL=128
                          Ответ от 192.168.10.200: число байт=32 время<1мс TTL=128
                          Ответ от 192.168.10.200: число байт=32 время<1мс TTL=128
                          Ответ от 192.168.10.200: число байт=32 время<1мс TTL=128

                          Статистика Ping для 192.168.10.200:
                              Пакетов: отправлено = 4, получено = 4, потеряно = 0
                              (0% потерь)
                          Приблизительное время приема-передачи в мс:
                              Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек

                          1 Reply Last reply Reply Quote 0
                          • werter
                            werter last edited by

                            Ув. Angel_19
                            Ваши вопросы по настройке DNS на платформе Windows выходят за рамки этого форума. Сходите на ixbt, opennet etc.

                            P.s. Ваши клиенты в ваш домен не входят. Хотите - включайте WINS на DC, указывайте адрес WINS-сервера в настройках PPTP на pfsense и явно указывайте адрес WINS-сервера (192.168.10.201) в настройках сетевых подключений на серверах\раб. станциях в вашей LAN. После того как ваши локальные машины зарег-ся в WINS - вы сможете обращаться к ним по коротким именам.

                            Вариант 2.  Вручную на каждом удаленном клиенте в сетевых настройках указать явно DNS-суффикс - group.local

                            Не хотите настраивать? Тогда в чем проблема вашим удаленным клиентам обращаться по FQDN к вашим локальным машинам?  Т.е. xxx.group.local вместо просто xxx ?

                            1 Reply Last reply Reply Quote 0
                            • A
                              Angel_19 last edited by

                              werter - спасибо. Помогли! Все ваши советы учту.

                              1 Reply Last reply Reply Quote 0
                              • First post
                                Last post

                              Products

                              • Platform Overview
                              • TNSR
                              • pfSense
                              • Appliances

                              Services

                              • Training
                              • Professional Services

                              Support

                              • Subscription Plans
                              • Contact Support
                              • Product Lifecycle
                              • Documentation

                              News

                              • Media Coverage
                              • Press
                              • Events

                              Resources

                              • Blog
                              • FAQ
                              • Find a Partner
                              • Resource Library
                              • Security Information

                              Company

                              • About Us
                              • Careers
                              • Partners
                              • Contact Us
                              • Legal
                              Our Mission

                              We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

                              Subscribe to our Newsletter

                              Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

                              © 2021 Rubicon Communications, LLC | Privacy Policy