PPTP и разрешение имен на клиентах



  • pfSense 2.1
    Настроил PPTP сервер. С удаленной машины подключаюсь, и если обращаться по IP во внутреннюю сеть - то все работает.
    Как сделать так, чтобы работало разрешение имен? DNS клиентам раздаю, но имена компов не разрешаются.
    Подскажите.



  • У вас домен , как я понимаю. Правила fw на PPTP покажите.



  • Да, домен.
    Правило приложил к сообщению.




  • DNS клиентам раздаю, но имена компов не разрешаются.

    Т.е. вы раздаете адрес внутреннего DNS сервера подключающимся по PPTP удаленным клиентам ? А клиенты DNS-сервер пингуют?
    Команда nslookup <имя-машины-в-вашей-внутренней-сети> на удаленном подключившемся клиенте что говорит?

    P.s. Скрин правил fw на LAN можно ?



  • Т.е. вы раздаете адрес внутреннего DNS сервера подключающимся по PPTP удаленным клиентам ?

    Да.

    А клиенты DNS-сервер пингуют?

    Пинги не идут.

    Команда nslookup <имя-машины-в-вашей-внутренней-сети> <ip-адрес-вашего-dns-сервера>на удаленном подключившемся клиенте что говорит?</ip-адрес-вашего-dns-сервера>

    C:\Users\user>nslookup s2008 192.168.10.201
    ╤хЁтхЁ:  dcserver.group.local
    Address:  192.168.10.201

    *** dcserver.group.local не удалось найти s2008: Server failed

    Скрин правил fw на LAN можно ?

    Прикладываю.




  • Пинги не идут.

    Они и не будут идти. У вас на PPTP не разрешен ICMP. Разрешите (временно) на PPTP ВСЕ протоколы.

    Далее , последнее активное правило на LAN - оно лишнее и бестолковое, т.е. толку от него - нуль. Советую (временно) разрешить на LAN все протоколы, поставив это правило самым верхним.

    Вопрос - не пересекаются ли адреса сетей ваших PPTP-клиентов с вашей LAN? Какую адресацию получают ваши клиенты при подключении?
    Нарисуйте схему сети с адресами (адрес dns-сервера на ней укажите обязательно). Уверен на 99,9 %, что pfsense - не причем.



  • Далее , последнее активное правило на LAN - оно лишнее и бестолковое, т.е. толку от него - нуль. Советую (временно) разрешить на LAN все протоколы, поставив это правило самым верхним.

    Это правило заворачивает пользователей локальной сети на прокси!
    А правила которые идут перед последним активным - позволяют пропускать часть ПК/оборудования в обход прокси.

    По остальному попробую, спасибо!

    Они и не будут идти. У вас на PPTP не разрешен ICMP. Разрешите (временно) на PPTP ВСЕ протоколы.

    Разрешил все протоколы - пинги пошли. Но имена ПК не разрешаются.

    Схему сети прилагаю.




  • @Angel_19:

    Далее , последнее активное правило на LAN - оно лишнее и бестолковое, т.е. толку от него - нуль. Советую (временно) разрешить на LAN все протоколы, поставив это правило самым верхним.

    Это правило заворачивает пользователей локальной сети на прокси!
    А правила которые идут перед последним активным - позволяют пропускать часть ПК/оборудования в обход прокси.

    По остальному попробую, спасибо!

    С какой радости ? Правила по заворачиванию пишутся в NAT (port forward etc.) . И зачем заворачивать (а заворачивается ли вообще?), если есть прозрачный режим работы в сквиде?! Т.е. все обращения на 80-ый порт "заворачиваются" на порт прокси автоматом?

    Ну и накручено у вас там  :'(

    P.s. Попробуйте выдавать РРТР-клиентам адреса из вашей LAN-сети при их подключении, предварительно выделив им незанятый диапазон.



  • Попробуйте выдавать РРТР-клиентам адреса из вашей LAN-сети при их подключении, предварительно выделив им незанятый диапазон.

    Так все и происходит.

    Схема сети в моём предыдущем сообщении.



  • Сперва действия по правилам fw на LAN и PPTP выполните.

    Далее, по выводу команды nslookup :

    C:\Users\user>nslookup s2008 192.168.10.201
    ╤хЁтхЁ:  dcserver.group.local
    Address:  192.168.10.201

    *** dcserver.group.local не удалось найти s2008: Server failed

    Могу поздравить. Доступ к DNS серверу у ваших внешних клиентов имеется. У вас сам сервер DNS не может "разрешить" имя s2008 в IP-адрес. Разве это не видно?
    Причем здесь pfsense ? Этот s2008 вообще домене или в раб. группе? Если в раб. группе - поднимите еще и службу WINS на DC или создайте принудительно A-запись для этого сервера.

    Что говорит в таком случае команда  nslookup s2008.group.local 192.168.10.201  извне и внутри вашей LAN ?

    Вобщем разберитесь с DNS. Врядли pfsense здесь виноват.



  • Врядли pfsense здесь виноват.

    Я pfSense ни в чем и не обвиняю! Прошу помощи…

    Что говорит в таком случае команда  nslookup s2008.group.local 192.168.10.201  извне и внутри вашей LAN ?

    Извне:

    C:\Users\Roman>nslookup s2008.group.local 192.168.10.201
    ╤хЁтхЁ:  dcserver.group.local
    Address:  192.168.10.201

    ╚ь :    s2008.group.local
    Address:  192.168.10.200

    C:\Users\Roman>ping s2008
    При проверке связи не удалось обнаружить узел s2008.
    Проверьте имя узла и повторите попытку.

    Внутри:

    C:\Users\Администратор.GROUP>nslookup s2008.group.local 192.168.10.201
    ╤хЁтхЁ:  dcserver.group.local
    Address:  192.168.10.201

    ╚ь :    s2008.group.local
    Address:  192.168.10.200

    C:\Users\Администратор.GROUP>ping s2008

    Обмен пакетами с s2008.group.local [192.168.10.200] с 32 байтами данных:
    Ответ от 192.168.10.200: число байт=32 время<1мс TTL=128
    Ответ от 192.168.10.200: число байт=32 время<1мс TTL=128
    Ответ от 192.168.10.200: число байт=32 время<1мс TTL=128
    Ответ от 192.168.10.200: число байт=32 время<1мс TTL=128

    Статистика Ping для 192.168.10.200:
        Пакетов: отправлено = 4, получено = 4, потеряно = 0
        (0% потерь)
    Приблизительное время приема-передачи в мс:
        Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек



  • Ув. Angel_19
    Ваши вопросы по настройке DNS на платформе Windows выходят за рамки этого форума. Сходите на ixbt, opennet etc.

    P.s. Ваши клиенты в ваш домен не входят. Хотите - включайте WINS на DC, указывайте адрес WINS-сервера в настройках PPTP на pfsense и явно указывайте адрес WINS-сервера (192.168.10.201) в настройках сетевых подключений на серверах\раб. станциях в вашей LAN. После того как ваши локальные машины зарег-ся в WINS - вы сможете обращаться к ним по коротким именам.

    Вариант 2.  Вручную на каждом удаленном клиенте в сетевых настройках указать явно DNS-суффикс - group.local

    Не хотите настраивать? Тогда в чем проблема вашим удаленным клиентам обращаться по FQDN к вашим локальным машинам?  Т.е. xxx.group.local вместо просто xxx ?



  • werter - спасибо. Помогли! Все ваши советы учту.


Log in to reply