Не пойму как работает vpn подключение
Как правильно задавать вопросы Правильно сформулированный вопрос и его грамотное оформление способствует высокой вероятности получения достаточно содержательного и по существу ответа. Общая рекомендация по составлению тем: 1. Для начала воспользуйтесь поиском форума. 2. Укажите версию ОС вместе с разрядностью. Пример: LM 19.3 x64, LM Sarah x32 3. DE. Если вопрос касается двух, то через запятую. (xfce, KDE, cinnamon, mate) 4. Какое железо. (достаточно вывод
inxi -Fxz
в спойлере (как пользоваться спойлером смотрим здесь)) или же дать ссылку на hw-probe 5. Суть. Желательно с выводом консоли, логами. 6. Скрин. Просьба указывать 2, 3 и 4 независимо от того, имеет ли это отношение к вопросу или нет. Так же не забываем об общих правилах Как пример вот
-
Автор темы - Сообщения: 92
- Зарегистрирован: 07 окт 2019, 10:44
- Решено: 3
- Благодарил (а): 12 раз
- Контактная информация:
Не пойму как работает vpn подключение
Да, кстати....доступ к ресурсам почему то только по ip работает...
В фаерволе для подсети 77.88.1.0/24 разрешено всё...
В фаерволе для подсети 77.88.1.0/24 разрешено всё...
-
- Сообщения: 4506
- Зарегистрирован: 21 июн 2017, 18:09
- Решено: 99
- Благодарил (а): 51 раз
- Поблагодарили: 1993 раза
- Контактная информация:
Не пойму как работает vpn подключение
В целом верно. Но!
Есть полная и краткая запись. Полная выглядит так: "хост.домен." На конце - точка. А если этой точки там нет - это краткая запись. А у нее есть понятие "домен по умолчанию", которым считается тот домен который в специальной директиве у DNS сервера прописан. Практически всегда - домен основной зоны ради которой сервер заведен. Т.е. пишешь ему запрос просто "хост" а он понимает его как "хост.домен." и отвечает соответственно.
У него в приведенных выше ответах, был и ответ от офисного DNS сервера при явном обращении по его IP. Вряд ли тут в фаерволле дело.
Потому, что локальный кеширующий DNS на офисный не переключается с подключением vpn, а общеинтернетовские серверы, разумеется, по локальную зону которою офисный сервер обслуживает знать не знают. Связи же между машинами это не мешает, т.к IP - первичен, а DNS - сервис-надстройка поверх, нужный в основном людям, да AD. Все остальные без него легко обходятся.
-
Автор темы - Сообщения: 92
- Зарегистрирован: 07 окт 2019, 10:44
- Решено: 3
- Благодарил (а): 12 раз
- Контактная информация:
Не пойму как работает vpn подключение
Вот кстати хорошая выдержка:
И получается, когда у меня для vpn отдельная подсеть, чтобы например пропинговать хост по имени или например зайти по rdp используя имя хоста, то в моей ситуации надо в статических записях dns на микротике указать имена хостов с точкой..Ну или wins сервер поднимать.При попытке выполнить команду ping nashamasha, Windows (именно Windows) не обращается к DNS вообще для получения IP адреса компа nashamasha, а прибегает к протоколу NetBios, который броадкастом рассылает запрос по всей подсети, авось nashamasha ответит и сообщит свой IP. Если компьютер ответил, то имя успешно разрешается соответствующим IP. Более того, при разрешении имен, у которых нету домена (то есть точка и чего-то-чего-то), Windows, по-умолчанию, не обращается к серверу DNS вообще. И поэтому, если вы добавляете в микротик статические записи, когда имя хоста состоит из одного слова, то ничего не работает в Windows сетях. Майкрософт "точку и чего-то-чего-то" называет "расширением имени домена".
-
Автор темы - Сообщения: 92
- Зарегистрирован: 07 окт 2019, 10:44
- Решено: 3
- Благодарил (а): 12 раз
- Контактная информация:
Не пойму как работает vpn подключение
Slant, вот хотел у вас спросить...никак не могу до конца понять как работает эта маршрутизация...Я снимаю галочку с "Использовать это подключение только для ресурсов в этой сети". Получаю вот такие маршруты:
Удаленная сеть видна, пинги идут по ip..Как Вы мне обьясняли это обуславливается вот этим маршрутом - 77.88.1.1 dev ppp0 proto kernel scope link src 77.88.1.70 metric 50
Но как он видит удаленную сеть, если нет маршрута для 192.168.0.0/24 и шлюза к нему 77.88.1.1?!?!
sulfur@Asus:~$ ip r
default dev ppp0 proto static scope link metric 50
default via 192.168.1.1 dev enp3s0 proto dhcp metric 100
77.88.1.1 dev ppp0 proto kernel scope link src 77.88.1.70 metric 50
169.254.0.0/16 dev enp3s0 scope link metric 1000
192.168.1.0/24 dev enp3s0 proto kernel scope link src 192.168.1.101 metric 100
192.168.1.1 dev enp3s0 proto static scope link metric 100
194.28.213.153 via 192.168.1.1 dev enp3s0 proto static metric 100
default dev ppp0 proto static scope link metric 50
default via 192.168.1.1 dev enp3s0 proto dhcp metric 100
77.88.1.1 dev ppp0 proto kernel scope link src 77.88.1.70 metric 50
169.254.0.0/16 dev enp3s0 scope link metric 1000
192.168.1.0/24 dev enp3s0 proto kernel scope link src 192.168.1.101 metric 100
192.168.1.1 dev enp3s0 proto static scope link metric 100
194.28.213.153 via 192.168.1.1 dev enp3s0 proto static metric 100
Но как он видит удаленную сеть, если нет маршрута для 192.168.0.0/24 и шлюза к нему 77.88.1.1?!?!
-
- Сообщения: 4506
- Зарегистрирован: 21 июн 2017, 18:09
- Решено: 99
- Благодарил (а): 51 раз
- Поблагодарили: 1993 раза
- Контактная информация:
Не пойму как работает vpn подключение
Вот как:
Маршрут по умолчанию направляет ВСЕ что не описано явно в других строчках именно туда - через vpn.
НЕТ. Проблема в том, что КЛИЕНТ не меняет сервер DNS на который обращается за переводом DNS имени в IP. Как я говорил решается двумя разными путями:
1. Сервер VPN может передавать клиенту маршруты к внутренним сетям и адреса серверов DNS которые следует использовать после подключения. Это настройка на стороне сервера.
2. Клиенту/локальной системе вписать маршруты и адреса DNS, и условия для переключения на них. Это настройка на стороне клиента.
В этих вариантах сервер DNS не участвует, его трогать не надо. Только сервер VPN. Или клиент.
Представь себе... ну скажем, библиотеку. Обычную с бумажными книгами. Как их выдают - видели? Сначала роешься в картотеке с карточками, потом даешь карточку, и тебе выдают книгу. Так вот, книга здесь - это IP адрес, а карточка - DNS имя. Библиотекарь(и) - DNS сервер(а). А VPN - это телефонный звонок в другую библиотеку.
У тебя ситуация - ты копался в карточках в одной библиотеке, потом позвонил в другую и пытаешься у них получить книгу по здешней карточке. Или знаешь, что там у них вроде бы должна быть интересная книга, хочешь найти... но копаешься в местной картотеке, где естественно нету на нее карточки. А нужно не копаться здесь, а по телефону спросить тамошнего библиотекаря посмотреть в тамошней картотеке.
Как-то так.
-
- Сообщения: 2018
- Зарегистрирован: 11 июн 2017, 21:47
- Решено: 30
- Откуда: BY
- Благодарил (а): 79 раз
- Поблагодарили: 434 раза
- Контактная информация:
Не пойму как работает vpn подключение
Это да, но автор, вроде бы, указывал, что офисная сеть у него не имеет доменного имени.
Когда у меня была такая конструкция (правда мне было проще по причине того, что на обоих концах канала vpn столяло по микротику), то в локальном DNS [на домашнем микротике] были прописаны записи узлов, которые нужно было мониторить по vpn. Если автору темы нужно обращаться к паре-тройке узлов именно по имени, то, может быть, на домашнем компе можно было бы по-быстрому прописать их в /etc/hosts ? Как правило, вроде бы, серверы всегда имеют статику. А если даже и динамику, то в силу круглосуточной работы постоянно получают один и тот же IP.
А разве wins работает через машрутизацию?
Что касается точки на конце, то, откровенно сказать, не знаю. У меня точек на конце нет.
Пояснение к рисунку. Записи H-1, H-3, H-4, H-5 являются компьютерами домашней сети и их IP внесены динамически от dhcp микротика через скрипт.
-
Автор темы - Сообщения: 92
- Зарегистрирован: 07 окт 2019, 10:44
- Решено: 3
- Благодарил (а): 12 раз
- Контактная информация:
Не пойму как работает vpn подключение
У меня подсеть удаленного офиса 192.168.0.0/24, а подсеть для vpn 77.88.1.0/24. Если я перенаправляю весь трафик через удаленный шлюз, то systemd-resolve --status говорит мне о том, что у меня dns 192.168.0.1(тот который раздает мой vpn сервер на микротике).И в этой ситуации например ping server6 у меня не работает, а ping server6.alampa(я так в статике на микротике написал) - работает. Вот выполение nslookup еще
В обоих случаях, как видно, ответ со 127.0.0.53 приходит....а systemd-resolve --status показывает это
sulfur@Asus:~$ nslookup server6
Server: 127.0.0.53
Address: 127.0.0.53#53
** server can't find server6: SERVFAIL
sulfur@Asus:~$ nslookup server6.alampa
Server: 127.0.0.53
Address: 127.0.0.53#53
Non-authoritative answer:
Name: server6.alampa
Address: 192.168.0.106
Server: 127.0.0.53
Address: 127.0.0.53#53
** server can't find server6: SERVFAIL
sulfur@Asus:~$ nslookup server6.alampa
Server: 127.0.0.53
Address: 127.0.0.53#53
Non-authoritative answer:
Name: server6.alampa
Address: 192.168.0.106
Link 34 (ppp0)
Current Scopes: DNS
LLMNR setting: yes
MulticastDNS setting: no
DNSSEC setting: no
DNSSEC supported: no
DNS Servers: 192.168.0.1
DNS Domain: ~.
Link 2 (enp3s0)
Current Scopes: none
LLMNR setting: yes
MulticastDNS setting: no
DNSSEC setting: no
DNSSEC supported: no
Current Scopes: DNS
LLMNR setting: yes
MulticastDNS setting: no
DNSSEC setting: no
DNSSEC supported: no
DNS Servers: 192.168.0.1
DNS Domain: ~.
Link 2 (enp3s0)
Current Scopes: none
LLMNR setting: yes
MulticastDNS setting: no
DNSSEC setting: no
DNSSEC supported: no
-
- Сообщения: 4506
- Зарегистрирован: 21 июн 2017, 18:09
- Решено: 99
- Благодарил (а): 51 раз
- Поблагодарили: 1993 раза
- Контактная информация:
Не пойму как работает vpn подключение
WINS - работает. Более того, он для этого и служит, как одна из причин его существования. Т.к. без него, базовым механизмом разрешения имен для SAMBA являются широковещательные запросы, а вот они только в пределах сети. А в большой компании часто более одной сети, общаться же между ними виндам как-то надо...
Только здесь нужно именно DNS наладить, т.к. WINS - это для SAMBA а не всей системы.
-
- Сообщения: 4506
- Зарегистрирован: 21 июн 2017, 18:09
- Решено: 99
- Благодарил (а): 51 раз
- Поблагодарили: 1993 раза
- Контактная информация:
Не пойму как работает vpn подключение
Вот эта строчка говорит о том, что "домен по умолчанию" отсутствует в конфигурации. В таком случае запрос можно/нужно делать только по полному имени, вместе с доменом. Что у тебя и работает:
nslookup server6.alampa
.Попробуй так:
systemd-resolve --search=yes --set-domain=alampa. --set-dns=<SERVER_IP>
где <SERVER_IP> - адрес офисного DNS сервера. Команду давать разумеется после подключения VPN.
-
Автор темы - Сообщения: 92
- Зарегистрирован: 07 окт 2019, 10:44
- Решено: 3
- Благодарил (а): 12 раз
- Контактная информация:
Не пойму как работает vpn подключение
sulfur@Asus:~$ systemd-resolve --search=yes --set-domain=alampa. --set-dns=192.168.0.1
--set-dns=, --set-domain=, --set-llmnr=, --set-mdns=, --set-dnssec=, --set-nta= and --revert require --interface=.
--set-dns=, --set-domain=, --set-llmnr=, --set-mdns=, --set-dnssec=, --set-nta= and --revert require --interface=.
-
Автор темы - Сообщения: 92
- Зарегистрирован: 07 окт 2019, 10:44
- Решено: 3
- Благодарил (а): 12 раз
- Контактная информация:
Не пойму как работает vpn подключение
Ничего не выводит..Немного не по теме хотел спросить, а почему у меня например в windows 7, если я также по vpn подключаюсь,у меня nslookup server6 отрабатывает, без указания домена?!
-
- Сообщения: 4506
- Зарегистрирован: 21 июн 2017, 18:09
- Решено: 99
- Благодарил (а): 51 раз
- Поблагодарили: 1993 раза
- Контактная информация:
Не пойму как работает vpn подключение
Действительно не по теме. Да еще вопрос бессмысленный, без исходных данных - телепатией не владею. Чтобы ответить - с винды нужны данные о том же, о чем мы тут собирали. Только вот я ее живьем более года назад последний раз видел - у же не помню где там и что посмотреть можно.
Ну, само по себе и не должно, по идее - значит команда принята раз ошибки нету. После нее
systemd-resolve --status
смотри.-
Автор темы - Сообщения: 92
- Зарегистрирован: 07 окт 2019, 10:44
- Решено: 3
- Благодарил (а): 12 раз
- Контактная информация:
Не пойму как работает vpn подключение
Установил пакет resolvconf, подключился к vpn и система стала подхватывать dns...вот вывод /etc/resolv.conf:
Ресурсы удаленной сети пингуются и резолвятся без доменного имени:
Незнаю конечно насколько правильно это всё
sulfur@Asus:~$ cat /etc/resolv.conf
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
# 127.0.0.53 is the systemd-resolved stub resolver.
# run "systemd-resolve --status" to see details about the actual nameservers.
nameserver 192.168.0.1
nameserver 127.0.0.53
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
# 127.0.0.53 is the systemd-resolved stub resolver.
# run "systemd-resolve --status" to see details about the actual nameservers.
nameserver 192.168.0.1
nameserver 127.0.0.53
sulfur@Asus:~$ nslookup server6
Server: 192.168.0.1
Address: 192.168.0.1#53
Non-authoritative answer:
Name: server6
Address: 192.168.0.106
sulfur@Asus:~$ ping server6
PING server6 (192.168.0.106) 56(84) bytes of data.
64 bytes from server6.alampa (192.168.0.106): icmp_seq=1 ttl=127 time=2.20 ms
64 bytes from server6.alampa (192.168.0.106): icmp_seq=2 ttl=127 time=2.24 ms
Server: 192.168.0.1
Address: 192.168.0.1#53
Non-authoritative answer:
Name: server6
Address: 192.168.0.106
sulfur@Asus:~$ ping server6
PING server6 (192.168.0.106) 56(84) bytes of data.
64 bytes from server6.alampa (192.168.0.106): icmp_seq=1 ttl=127 time=2.20 ms
64 bytes from server6.alampa (192.168.0.106): icmp_seq=2 ttl=127 time=2.24 ms
-
- Сообщения: 2018
- Зарегистрирован: 11 июн 2017, 21:47
- Решено: 30
- Откуда: BY
- Благодарил (а): 79 раз
- Поблагодарили: 434 раза
- Контактная информация:
Не пойму как работает vpn подключение
Хотя проблема уже решена, но, в качестве лирического отступления, добавлю к цитате комментарий. Не только в Windows, у меня в Linux тоже без доменного имени не работает. Если обратить внимание на дефолтную настройку MikroTik, то в его DNS уже имеется запись router.lan, указывающая на IP 192.168.88.1 Как видно, запись состоит из имени узла router и домена lan
-
Автор темы - Сообщения: 92
- Зарегистрирован: 07 окт 2019, 10:44
- Решено: 3
- Благодарил (а): 12 раз
- Контактная информация:
Не пойму как работает vpn подключение
Я домен никакой не добавлял в dns.. Только установил этот пакет.. как оно мне разрешает пинги и резолвит только по имени-пока не ясно
-
- Сообщения: 2018
- Зарегистрирован: 11 июн 2017, 21:47
- Решено: 30
- Откуда: BY
- Благодарил (а): 79 раз
- Поблагодарили: 434 раза
- Контактная информация:
Не пойму как работает vpn подключение
Вы пакет в Linux или в MikroTik имеете в виду? В MikroTik такого пакета не встречал, так как он по-моему, интегрирован в пакет system.
Само по себе в DNS MikroTik ничего не добавляется. В настройке по умолчанию (default) там будет только одна запись, указывающая на сам роутер - router.lan Все остальные записи в DNS MikroTik добавляются руками или специальным скриптом, написанным для MikroTik. Сам DNS MikroTik по умолчанию работает как кэширующий DNS сервер. Если ваш офисный DNS является главнее DNS MikroTik-а, то на MiktroTik нужно делать дополнительные телодвижения, чтобы для разрешения имен узлов
узел.alampa
он отправлял запросы на офисный DNS или вносить самому записи в DNS MikroTik. Хотя как по мне, если нет AD, то с такой задачей справится и сама связка DHCP/DNS MikroTik. Но это уже отдельная тема за рамками заданного вами вопроса о VPN. Если имеется необходимость подключаться только к нескольким узлам офиса, да ещё к тем, которые статические, то, на мой взгляд, проще их прописать себе на компьютер в /etc/hosts
В принципе же slant вам помог и теперь, насколько понимаю, VPN у вас работает как надо. Или что-то не так?
-
Автор темы - Сообщения: 92
- Зарегистрирован: 07 окт 2019, 10:44
- Решено: 3
- Благодарил (а): 12 раз
- Контактная информация:
Не пойму как работает vpn подключение
Про пакет в mint имел ввиду. Офис маленький. Dns + dhcp на микротике. А так да, slant очень помог разобраться. Всё работает.Спасибо.
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 11 гостей