Клиент OpenVPN не видит LAN за pfsense



  • Похоже, у меня период задания тривиальных вопросов.
    Поднял OpenVPN сервер.
    Все машины пингуются, pfsense через браузер видно, но расшаренные папки нет.
    Поиск показал тьму ссылок, но все как-то невнятно.

    Конфиг клиента прилагаю:

    dev tun
    persist-tun
    persist-key
    cipher BF-CBC
    auth SHA256
    tls-client
    client
    resolv-retry infinite
    remote ... 34447 udp
    lport 0
    verify-x509-name "vpnuser" name
    auth-user-pass
    pkcs12 pfsense-udp-34447-vpnuser.p12
    tls-auth pfsense-udp-34447-vpnuser-tls.key 1



  • Не видно компьютеров в сетевом окружении?
    А доступ с прямым указанием типа \192.168.0.1\share есть? Если нет - включить поддержку netbios в OpenVPN: Client Specific Override, хотя на практике работает и без нее. Если там же передать клиенту DNS удаленной сети будет возможен доступ вида \host.localdomain\share, но, опять же, без видимости в сетевом окружении.

    Для видимости компьютеров в сетевом окружении OpenVPN должен быть поднят на tap-интерфейсе, и, насколько помнится, нужен WINS-сервер.

    И еще - брандмауэр Windows\сторонний брандмауэр\антивирус могут блокировать доступ к сетевым ресурсам из другой подсети.



  • @pigbrother:

    А доступ с прямым указанием типа \192.168.0.1\share есть? Если нет - включить поддержку netbios в OpenVPN: Client Specific Override, хотя на практике работает и без нее.

    Прямого доступа нет
    Enable NetBIOS over TCP/IP на сервере включен.

    @pigbrother:

    Для видимости компьютеров в сетевом окружении OpenVPN должен быть поднят на tap-интерфейсе, и, насколько помнится, нужен WINS-сервер.

    При попытке выставить tap - сервер не стартует. WINS в сети есть.

    @pigbrother:

    И еще - брандмауэр Windows\сторонний брандмауэр\антивирус могут блокировать доступ к сетевым ресурсам из другой подсети.

    Касперский на клиенте отключен.



  • Правило
    Firewall-Rules-OpenVPN

              • none
                присутствует?

    Можно ли с клиента законнектится телнетом на 389 порт доменного контроллера либо на 110\25\еще какой-нибудь TCP порт компьютера с соответствующей службой  в удаленной сети?



  • @pigbrother:

    Правило
    Firewall-Rules-OpenVPN

              • none
                присутствует?

    Да
    @pigbrother:

    Можно ли с клиента законнектится телнетом на 389 порт доменного контроллера либо на 110\25\еще какой-нибудь TCP порт компьютера с соответствующей службой  в удаленной сети?

    WINSCP на 22 - Да



  • WINSCP на 22 - Да

    Это порт НЕ pfsense?

    Больше в сети за pfsense нет компьютеров, к портам TCP(службам) которых можно попытаться приконектиться телнетом? Или запустить элементарный порт-сканнер?

    Смысл вопроса - блокируются\недоступны только порты netbios или все, отличные от ICMP (ping, как вы говорили, до компьютеров доходит)



  • @pigbrother:

    WINSCP на 22 - Да
    Это порт НЕ pfsense?

    Не pfsense.
    Скан сети показывает что есть компьютеры в сети (учитывая нерабочее время их немного)
    Сканирование извне.



  • Скан сети показывает что есть компьютеры в сети

    И что покажет команда вида
    telnet 192.168.0.1 139
    запущенная с удаленного клиента?
    "Провалится" ли телнет в черное окно?



  • @pigbrother:

    Скан сети показывает что есть компьютеры в сети

    И что покажет команда вида
    telnet 192.168.0.1 139
    запущенная с удаленного клиента?
    "Провалится" ли телнет в черное окно?

    Если я правильно понял -провалился.
    На одной из машин отвечает IIS.



  • Если я правильно понял -провалился.
    На одной из машин отвечает IIS.

    Провалился - нет сообщений про ошибку подключения, черное окно с мигающим курсором.

    IIS отвечает на 139 порту?

    Если конкретный PC отвечает на подключение по порту TCP 139 с удаленного клиента - pfsense\OpenVPN, скорее всего, НЕ являются источником проблемы.
    https://ru.wikipedia.org/wiki/NetBIOS_over_TCP/IP
    Для чистоты эксперимента  - отключите на удаленном компьютере брандмауэр полностью.



  • Провалился - нет сообщений про ошибку подключения, черное окно с мигающим курсором.
    Да

    IIS отвечает на 139 порту?

    The requested URL /139 was not found on this server.

    Для чистоты эксперимента  - отключите на удаленном компьютере брандмауэр полностью.
    Я не на работе :(
    Но сумел на одной из машин отключить касперского - тоже провал.



  • Ни одна машина недоступна по RDP?
    Заодно проверите доступность порта RDP (3389).



  • Ни одна машина недоступна по RDP?
    Я всюду отключаю.

    Заодно проверите доступность порта RDP (3389).
    Провал

    Да, переписку я сейчас веду через OpenVPN.

    Открыл для себя
    Diagnostics: Test Port

    Connection to ..*.4 139 port [tcp/netbios-ssn] succeeded!

    3389
    Connection failed (Refused/Timeout)



  • Ни одна машина недоступна по RDP?
    Я всюду отключаю.

    3389
    Connection failed (Refused/Timeout)

    Логично.



  • Почитав на сон грядущий о tun/tap решил что стоит поэкспериментировать с tap.
    Можете дать ссылку?



  • @ABBaz:

    Почитав на сон грядущий о tun/tap решил что стоит поэкспериментировать с tap.
    Можете дать ссылку?

    https://forum.pfsense.org/index.php?topic=46984.0
    http://sclabs.blogspot.co.uk/2012/05/openvpn-bridge-with-pfsense-201.html


Log in to reply