LinuxMint.com.ru

Да, кстати....доступ к ресурсам почему то только по ip работает...

В фаерволе для подсети 77.88.1.0/24 разрешено всё...

madesta писал(а): ↑

21 ноя 2020, 19:34

Всегда полагал, что DNS работает с именами узлов в виде хост.домен, например:

В целом верно. Но!
Есть полная и краткая запись. Полная выглядит так: "хост.домен." На конце - точка. А если этой точки там нет - это краткая запись. А у нее есть понятие "домен по умолчанию", которым считается тот домен который в специальной директиве у DNS сервера прописан. Практически всегда - домен основной зоны ради которой сервер заведен. Т.е. пишешь ему запрос просто "хост" а он понимает его как "хост.домен." и отвечает соответственно.

madesta писал(а): ↑

21 ноя 2020, 19:34

А в firewall MikroTik имеется правило, которое разрешает доступ к DNS при обращении по vpn?

У него в приведенных выше ответах, был и ответ от офисного DNS сервера при явном обращении по его IP. Вряд ли тут в фаерволле дело.

Sulfur писал(а): ↑

22 ноя 2020, 00:58

Да, кстати....доступ к ресурсам почему то только по ip работает...

Потому, что локальный кеширующий DNS на офисный не переключается с подключением vpn, а общеинтернетовские серверы, разумеется, по локальную зону которою офисный сервер обслуживает знать не знают. Связи же между машинами это не мешает, т.к IP - первичен, а DNS - сервис-надстройка поверх, нужный в основном людям, да AD. Все остальные без него легко обходятся.

Вот кстати хорошая выдержка:

При попытке выполнить команду ping nashamasha, Windows (именно Windows) не обращается к DNS вообще для получения IP адреса компа nashamasha, а прибегает к протоколу NetBios, который броадкастом рассылает запрос по всей подсети, авось nashamasha ответит и сообщит свой IP. Если компьютер ответил, то имя успешно разрешается соответствующим IP. Более того, при разрешении имен, у которых нету домена (то есть точка и чего-то-чего-то), Windows, по-умолчанию, не обращается к серверу DNS вообще. И поэтому, если вы добавляете в микротик статические записи, когда имя хоста состоит из одного слова, то ничего не работает в Windows сетях. Майкрософт "точку и чего-то-чего-то" называет "расширением имени домена".

И получается, когда у меня для vpn отдельная подсеть, чтобы например пропинговать хост по имени или например зайти по rdp используя имя хоста, то в моей ситуации надо в статических записях dns на микротике указать имена хостов с точкой..Ну или wins сервер поднимать.

Slant, вот хотел у вас спросить...никак не могу до конца понять как работает эта маршрутизация...Я снимаю галочку с "Использовать это подключение только для ресурсов в этой сети". Получаю вот такие маршруты: Удаленная сеть видна, пинги идут по ip..Как Вы мне обьясняли это обуславливается вот этим маршрутом - 77.88.1.1 dev ppp0 proto kernel scope link src 77.88.1.70 metric 50
Но как он видит удаленную сеть, если нет маршрута для 192.168.0.0/24 и шлюза к нему 77.88.1.1?!?!

Sulfur писал(а): ↑

22 ноя 2020, 16:04

Но как он видит удаленную сеть, если нет маршрута для 192.168.0.0/24 и шлюза к нему 77.88.1.1?!?!

Вот как:

Sulfur писал(а): ↑

22 ноя 2020, 16:04

default dev ppp0 proto static scope link metric 50

Маршрут по умолчанию направляет ВСЕ что не описано явно в других строчках именно туда - через vpn.

Sulfur писал(а): ↑

22 ноя 2020, 14:16

И получается, когда у меня для vpn отдельная подсеть, чтобы например пропинговать хост по имени или например зайти по rdp используя имя хоста, то в моей ситуации надо в статических записях dns на микротике указать имена хостов с точкой.

НЕТ. Проблема в том, что КЛИЕНТ не меняет сервер DNS на который обращается за переводом DNS имени в IP. Как я говорил решается двумя разными путями:
1. Сервер VPN может передавать клиенту маршруты к внутренним сетям и адреса серверов DNS которые следует использовать после подключения. Это настройка на стороне сервера.
2. Клиенту/локальной системе вписать маршруты и адреса DNS, и условия для переключения на них. Это настройка на стороне клиента.

В этих вариантах сервер DNS не участвует, его трогать не надо. Только сервер VPN. Или клиент.

Представь себе... ну скажем, библиотеку. Обычную с бумажными книгами. Как их выдают - видели? Сначала роешься в картотеке с карточками, потом даешь карточку, и тебе выдают книгу. Так вот, книга здесь - это IP адрес, а карточка - DNS имя. Библиотекарь(и) - DNS сервер(а). А VPN - это телефонный звонок в другую библиотеку.
У тебя ситуация - ты копался в карточках в одной библиотеке, потом позвонил в другую и пытаешься у них получить книгу по здешней карточке. Или знаешь, что там у них вроде бы должна быть интересная книга, хочешь найти... но копаешься в местной картотеке, где естественно нету на нее карточки. А нужно не копаться здесь, а по телефону спросить тамошнего библиотекаря посмотреть в тамошней картотеке.
Как-то так.

slant писал(а): ↑

22 ноя 2020, 13:32

Т.е. пишешь ему запрос просто "хост" а он понимает его как "хост.домен." и отвечает соответственно.

Это да, но автор, вроде бы, указывал, что офисная сеть у него не имеет доменного имени.
Когда у меня была такая конструкция (правда мне было проще по причине того, что на обоих концах канала vpn столяло по микротику), то в локальном DNS [на домашнем микротике] были прописаны записи узлов, которые нужно было мониторить по vpn. Если автору темы нужно обращаться к паре-тройке узлов именно по имени, то, может быть, на домашнем компе можно было бы по-быстрому прописать их в /etc/hosts ? Как правило, вроде бы, серверы всегда имеют статику. А если даже и динамику, то в силу круглосуточной работы постоянно получают один и тот же IP.

Sulfur писал(а): ↑

22 ноя 2020, 14:16

то в моей ситуации надо в статических записях dns на микротике указать имена хостов с точкой..Ну или wins сервер поднимать.

А разве wins работает через машрутизацию?
Что касается точки на конце, то, откровенно сказать, не знаю. У меня точек на конце нет.
Пояснение к рисунку. Записи H-1, H-3, H-4, H-5 являются компьютерами домашней сети и их IP внесены динамически от dhcp микротика через скрипт.

У меня подсеть удаленного офиса 192.168.0.0/24, а подсеть для vpn 77.88.1.0/24. Если я перенаправляю весь трафик через удаленный шлюз, то systemd-resolve --status говорит мне о том, что у меня dns 192.168.0.1(тот который раздает мой vpn сервер на микротике).И в этой ситуации например ping server6 у меня не работает, а ping server6.alampa(я так в статике на микротике написал) - работает. Вот выполение nslookup еще В обоих случаях, как видно, ответ со 127.0.0.53 приходит....а systemd-resolve --status показывает это

madesta писал(а): ↑

22 ноя 2020, 17:51

А разве wins работает через машрутизацию?

WINS - работает. Более того, он для этого и служит, как одна из причин его существования. Т.к. без него, базовым механизмом разрешения имен для SAMBA являются широковещательные запросы, а вот они только в пределах сети. А в большой компании часто более одной сети, общаться же между ними виндам как-то надо...
Только здесь нужно именно DNS наладить, т.к. WINS - это для SAMBA а не всей системы.

Sulfur писал(а): ↑

22 ноя 2020, 18:31

DNS Domain: ~.

Вот эта строчка говорит о том, что "домен по умолчанию" отсутствует в конфигурации. В таком случае запрос можно/нужно делать только по полному имени, вместе с доменом. Что у тебя и работает: nslookup server6.alampa.
Попробуй так:
systemd-resolve --search=yes --set-domain=alampa. --set-dns=<SERVER_IP>
где <SERVER_IP> - адрес офисного DNS сервера. Команду давать разумеется после подключения VPN.

sulfur@Asus:~$ systemd-resolve --search=yes --set-domain=alampa. --set-dns=192.168.0.1
--set-dns=, --set-domain=, --set-llmnr=, --set-mdns=, --set-dnssec=, --set-nta= and --revert require --interface=.

--interface=ppp0 добавь.

Ничего не выводит..Немного не по теме хотел спросить, а почему у меня например в windows 7, если я также по vpn подключаюсь,у меня nslookup server6 отрабатывает, без указания домена?!

Sulfur писал(а): ↑

22 ноя 2020, 20:17

Немного не по теме хотел спросить, а почему у меня например в windows 7, если я также по vpn подключаюсь,у меня nslookup server6 отрабатывает, без указания домена?!

Действительно не по теме. Да еще вопрос бессмысленный, без исходных данных - телепатией не владею. Чтобы ответить - с винды нужны данные о том же, о чем мы тут собирали. Только вот я ее живьем более года назад последний раз видел - у же не помню где там и что посмотреть можно.

Sulfur писал(а): ↑

22 ноя 2020, 20:17

Ничего не выводит..

Ну, само по себе и не должно, по идее - значит команда принята раз ошибки нету. После нее systemd-resolve --status смотри.

Получилось, спасибо!После ребута правда слетело)

Установил пакет resolvconf, подключился к vpn и система стала подхватывать dns...вот вывод /etc/resolv.conf: Ресурсы удаленной сети пингуются и резолвятся без доменного имени: Незнаю конечно насколько правильно это всё

Раз работает - значит правильно.

Sulfur писал(а): ↑

22 ноя 2020, 14:16

И поэтому, если вы добавляете в микротик статические записи, когда имя хоста состоит из одного слова, то ничего не работает в Windows сетях.

Хотя проблема уже решена, но, в качестве лирического отступления, добавлю к цитате комментарий. Не только в Windows, у меня в Linux тоже без доменного имени не работает. Если обратить внимание на дефолтную настройку MikroTik, то в его DNS уже имеется запись router.lan, указывающая на IP 192.168.88.1 Как видно, запись состоит из имени узла router и домена lan

Я домен никакой не добавлял в dns.. Только установил этот пакет.. как оно мне разрешает пинги и резолвит только по имени-пока не ясно

Sulfur писал(а): ↑

23 ноя 2020, 14:02

Я домен никакой не добавлял в dns. Только установил этот пакет

Вы пакет в Linux или в MikroTik имеете в виду? В MikroTik такого пакета не встречал, так как он по-моему, интегрирован в пакет system.
Само по себе в DNS MikroTik ничего не добавляется. В настройке по умолчанию (default) там будет только одна запись, указывающая на сам роутер - router.lan Все остальные записи в DNS MikroTik добавляются руками или специальным скриптом, написанным для MikroTik. Сам DNS MikroTik по умолчанию работает как кэширующий DNS сервер. Если ваш офисный DNS является главнее DNS MikroTik-а, то на MiktroTik нужно делать дополнительные телодвижения, чтобы для разрешения имен узлов узел.alampa он отправлял запросы на офисный DNS или вносить самому записи в DNS MikroTik. Хотя как по мне, если нет AD, то с такой задачей справится и сама связка DHCP/DNS MikroTik. Но это уже отдельная тема за рамками заданного вами вопроса о VPN. Если имеется необходимость подключаться только к нескольким узлам офиса, да ещё к тем, которые статические, то, на мой взгляд, проще их прописать себе на компьютер в /etc/hosts
В принципе же slant вам помог и теперь, насколько понимаю, VPN у вас работает как надо. Или что-то не так?

Про пакет в mint имел ввиду. Офис маленький. Dns + dhcp на микротике. А так да, slant очень помог разобраться. Всё работает.Спасибо.