Страница 1 из 2
Не пойму как работает vpn подключение
Добавлено: 20 ноя 2020, 14:11
Sulfur
Всем привет! На микротике развернут vpn сервер l2tp+ipsec. Моя домашняя сеть: 192.168.1.0/24. Сеть vpn: 77.88.1.0/24. Сеть офиса: 192.168.0.0/24. На домашнем пк настроил подключение, ставлю галочку на "Использовать это подключение только для ресурсов в этой сети". Подключение происходит. Однако ресурсы удаленной сети недоступны(не пингуются, по rdp не подключаются). Вывод команды systemd-resolve --status:
Код: Выделить всё
Link 6 (ppp0)
Current Scopes: none
LLMNR setting: yes
MulticastDNS setting: no
DNSSEC setting: no
DNSSEC supported: no
Link 2 (enp3s0)
Current Scopes: DNS
LLMNR setting: yes
MulticastDNS setting: no
DNSSEC setting: no
DNSSEC supported: no
DNS Servers: 192.168.1.1
DNS Domain: ~.
Вижу, что для линка ppp0 почему то нет днс.. На всякий случай показываю вывод команды ifconfig:
Код: Выделить всё
sulfur@Asus:~$ ifconfig
enp3s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.1.101 netmask 255.255.255.0 broadcast 192.168.1.255
inet6 fe80::3136:ca5f:5a72:dd8d prefixlen 64 scopeid 0x20<link>
ether c8:60:00:dd:d3:04 txqueuelen 1000 (Ethernet)
RX packets 30058 bytes 31560701 (31.5 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 15569 bytes 1994410 (1.9 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
loop txqueuelen 1000 (Локальная петля (Loopback))
RX packets 1102 bytes 93567 (93.5 KB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 1102 bytes 93567 (93.5 KB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
ppp0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST> mtu 1400
inet 77.88.1.21 netmask 255.255.255.255 destination 77.88.1.22
ppp txqueuelen 3 (Протокол PPP (Point-to-Point Protocol))
RX packets 6 bytes 68 (68.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 28 bytes 3672 (3.6 KB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
Далее я снимаю галочку с "Использовать это подключение только для ресурсов в этой сети" и переподключаюсь. Ресурсы удаленной сети становятся доступными. Пинги идут, rdp работает. Но примечательно, при выполнении вот такой момент:
Код: Выделить всё
sulfur@Asus:~$ nslookup server6
Server: 127.0.0.53
Address: 127.0.0.53#53
** server can't find server6: SERVFAIL
Ответ почему то с локального резольвера.. Выполняю так с указанием днс:
Код: Выделить всё
sulfur@Asus:~$ nslookup server6 192.168.0.1
Server: 192.168.0.1
Address: 192.168.0.1#53
Non-authoritative answer:
Name: server6
Address: 192.168.0.106
Всё работает... Вот вывод команды systemd-resolve --status:
Код: Выделить всё
Link 7 (ppp0)
Current Scopes: DNS
LLMNR setting: yes
MulticastDNS setting: no
DNSSEC setting: no
DNSSEC supported: no
DNS Servers: 192.168.0.1
DNS Domain: ~.
Link 2 (enp3s0)
Current Scopes: none
LLMNR setting: yes
MulticastDNS setting: no
DNSSEC setting: no
DNSSEC supported: no
Видно что днс для линка ppp0 есть..но почему так происходит?!Может конечно много лишнего написал, но что-то не могу понять куда копать
Не пойму как работает vpn подключение
Добавлено: 20 ноя 2020, 16:13
madesta
М.б. ваша локальная маршрутизация не знает, что если идёт запрос на сеть vpn или на домен ЛВС вашей организации, то пакеты нужно отправлять в подключение по vpn? ЛВС вашей удаленной сети имеет какое-либо доменное имя или там распознавание имен узлов без DNS? Возможность иметь дома MikroTik типа RB931, RB951 или hEX lite никак не реализовать?
Не пойму как работает vpn подключение
Добавлено: 20 ноя 2020, 16:30
Sulfur
За маршрут тоже думал..но что-то не пойму как он должен выглядеть в моей ситуации...Домена в удаленной сети нет. На микротике статические dns записи указаны.
Не пойму как работает vpn подключение
Добавлено: 20 ноя 2020, 16:49
slant
Sulfur писал(а): ↑20 ноя 2020, 14:11
Однако ресурсы удаленной сети недоступны(не пингуются, по rdp не подключаются). Вывод команды systemd-resolve --status:
Если ресурсы не пингуются - с dns заморачиваться рано. У вас с маршрутами, по всей видимости, проблема.
Покажите вывод
ip r для двух случаев - при подключении с "Использовать это подключение только для ресурсов в этой сети" и без этой галки. Сравним маршруты и посмотрим...
И до кучи - вывод
ip a - тоже при подключенном vpn. Чтобы в новом формате сводку по интерфейсам видеть сразу, а не только в выводе ifconfig.
Не пойму как работает vpn подключение
Добавлено: 20 ноя 2020, 17:06
Sulfur
slant писал(а): ↑20 ноя 2020, 16:49
Sulfur писал(а): ↑20 ноя 2020, 14:11
Однако ресурсы удаленной сети недоступны(не пингуются, по rdp не подключаются). Вывод команды systemd-resolve --status:
Если ресурсы не пингуются - с dns заморачиваться рано. У вас с маршрутами, по всей видимости, проблема.
Покажите вывод
ip r для двух случаев - при подключении с "Использовать это подключение только для ресурсов в этой сети" и без этой галки. Сравним маршруты и посмотрим...
И до кучи - вывод
ip a - тоже при подключенном vpn. Чтобы в новом формате сводку по интерфейсам видеть сразу, а не только в выводе ifconfig.
Пожалуйста)
ip r Снятая галочка
Код: Выделить всё
sulfur@Asus:~$ ip route
default dev ppp0 proto static scope link metric 50
default via 192.168.1.1 dev enp3s0 proto dhcp metric 20100
77.88.1.4 dev ppp0 proto kernel scope link src 77.88.1.3 metric 50
169.254.0.0/16 dev enp3s0 scope link metric 1000
192.168.1.0/24 dev enp3s0 proto kernel scope link src 192.168.1.101 metric 100
192.168.1.1 dev enp3s0 proto static scope link metric 100
194.28.213.153 via 192.168.1.1 dev enp3s0 proto static metric 100
ip r Активная галочка
Код: Выделить всё
sulfur@Asus:~$ ip route
default via 192.168.1.1 dev enp3s0 proto dhcp metric 100
77.88.1.3 dev ppp0 proto kernel scope link src 77.88.1.2 metric 50
169.254.0.0/16 dev enp3s0 scope link metric 1000
192.168.1.0/24 dev enp3s0 proto kernel scope link src 192.168.1.101 metric 100
192.168.1.1 dev enp3s0 proto static scope link metric 100
194.28.213.153 via 192.168.1.1 dev enp3s0 proto static metric 100
ip a Снятая галочка
Код: Выделить всё
sulfur@Asus:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: enp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether c8:60:00:dd:d3:04 brd ff:ff:ff:ff:ff:ff
inet 192.168.1.101/24 brd 192.168.1.255 scope global dynamic noprefixroute enp3s0
valid_lft 7189sec preferred_lft 7189sec
inet6 fe80::3136:ca5f:5a72:dd8d/64 scope link noprefixroute
valid_lft forever preferred_lft forever
7: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1400 qdisc fq_codel state UNKNOWN group default qlen 3
link/ppp
inet 77.88.1.1 peer 77.88.1.4/32 scope global ppp0
valid_lft forever preferred_lft forever
ip a Активная галочка
Код: Выделить всё
sulfur@Asus:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: enp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether c8:60:00:dd:d3:04 brd ff:ff:ff:ff:ff:ff
inet 192.168.1.101/24 brd 192.168.1.255 scope global dynamic noprefixroute enp3s0
valid_lft 7187sec preferred_lft 7187sec
inet6 fe80::3136:ca5f:5a72:dd8d/64 scope link noprefixroute
valid_lft forever preferred_lft forever
8: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1400 qdisc fq_codel state UNKNOWN group default qlen 3
link/ppp
inet 77.88.1.73 peer 77.88.1.1/32 scope global ppp0
valid_lft forever preferred_lft forever
Не пойму как работает vpn подключение
Добавлено: 20 ноя 2020, 17:21
rogoznik
Sulfur, настоятельно рекомендую изучить тему
Панель форматирования текста в темах/ответах
Не пойму как работает vpn подключение
Добавлено: 20 ноя 2020, 17:24
slant
Sulfur писал(а): ↑20 ноя 2020, 17:06
192.168.1.0/24 dev enp3s0 proto kernel scope link src 192.168.1.101 metric 100
Вот этот маршрут у вас неправильный получается (в обоих случаях, просто в одном из них до него не доходит дело).
В сеть 192.168.1.0/24 должны направляться пакеты через ppp0 (dev ppp0). Когда галка снята, его перекрывает
default dev ppp0 proto static scope link metric 50 с меньшей метрикой, потому все работает.
Тут либо править настройку маршрутов vpn сервера которые он отдает клиенту (на стороне сервера), либо на клиенте в NM для соединения прописать статически маршрут для 192.168.1.0/24 - чтобы через соединение vpn пакеты
туда шли, а не в ethernet enp3s0.
Не пойму как работает vpn подключение
Добавлено: 20 ноя 2020, 17:32
Sulfur
slant писал(а): ↑20 ноя 2020, 17:24
Sulfur писал(а): ↑20 ноя 2020, 17:06
192.168.1.0/24 dev enp3s0 proto kernel scope link src 192.168.1.101 metric 100
Вот этот маршрут у вас неправильный получается (в обоих случаях, просто в одном из них до него не доходит дело).
В сеть 192.168.1.0/24 должны направляться пакеты через ppp0 (dev ppp0). Когда галка снята, его перекрывает
default dev ppp0 proto static scope link metric 50 с меньшей метрикой, потому все работает.
Тут либо править настройку маршрутов vpn сервера которые он отдает клиенту (на стороне сервера), либо на клиенте в NM для соединения прописать статически маршрут для 192.168.1.0/24 - чтобы через соединение vpn пакеты
туда шли, а не в ethernet enp3s0.
Не совсем понял...ведь сеть 192.168.1.0/24 это моя домашняя локальная сеть...
Не пойму как работает vpn подключение
Добавлено: 20 ноя 2020, 17:38
slant
Sulfur писал(а): ↑20 ноя 2020, 17:32
Не совсем понял...ведь сеть 192.168.1.0/24 это моя домашняя локальная сеть...
Упс, виноват. Это у вас офисная сеть 192.168.
0.0/24, а у меня обычно наоборот - домашняя, а офисные от единицы и выше.
Тогда все еще проще - у вас просто нету маршрута в офисную сеть, за исключением того что "по умолчанию" добавляется. Рецепт тот же самый только для 192.168.0.0/24
Не пойму как работает vpn подключение
Добавлено: 20 ноя 2020, 17:41
Sulfur
slant писал(а): ↑20 ноя 2020, 17:38
Sulfur писал(а): ↑20 ноя 2020, 17:32
Не совсем понял...ведь сеть 192.168.1.0/24 это моя домашняя локальная сеть...
Упс, виноват. Это у вас офисная сеть 192.168.
0.0/24, а у меня обычно наоборот - домашняя, а офисные от единицы и выше.
Тогда все еще проще - у вас просто нету маршрута в офисную сеть, за исключением того что "по умолчанию" добавляется. Рецепт тот же самый только для 192.168.0.0/24
эмм,а что тогда с маршрутами делать?!все необходимые маршруты получается есть?!
Не пойму как работает vpn подключение
Добавлено: 20 ноя 2020, 17:43
symon2014
Sulfur,
| ! | Сообщение из: symon2014 |
| Завязываем с чрезмерным цитированием. Форум не инфицирован склерозом. |
Не пойму как работает vpn подключение
Добавлено: 20 ноя 2020, 17:49
slant
Sulfur писал(а): ↑20 ноя 2020, 17:41
эмм,а что тогда с маршрутами делать?!все необходимые маршруты получается есть?!
В том то и дело, что не все.
Галка "Использовать это подключение только для ресурсов в этой сети" имеет в виду сеть самого vpn - 77.88.1.0/24. Это вот эта строчка:
77.88.1.3 dev ppp0 proto kernel scope link src 77.88.1.2 metric 50
А маршрут(ы) в офисную сеть должен выдать сервер, т.к. хрен его знает, сколько там на самом деле за сервером сетей - может десяток разных? И никак их адреса заранее узнать нельзя "чисто логически". Потому, либо маршрут(ы) должен дать сервер, либо его нужно вписать статически вручную - в свойствах соединения VPN. Ну или терпеть перенаправление всего трафика через VPN маршрутом "по умолчанию" (только его можно сформировать "логически", исходя из остальной конфигурации).
Не пойму как работает vpn подключение
Добавлено: 20 ноя 2020, 17:51
Sulfur
Спасибо большое за разъяснения
Буду ковырять
Не пойму как работает vpn подключение
Добавлено: 21 ноя 2020, 13:04
Sulfur
Статический маршрут вписал, всё работает. Но вот проблема при выполнении nslookup осталась.
sulfur@Asus:~$ nslookup Sql_server
Server: 127.0.0.53
Address: 127.0.0.53#53
** server can't find Sql_server: SERVFAIL
sulfur@Asus:~$ nslookup Sql_server 192.168.0.1
Server: 192.168.0.1
Address: 192.168.0.1#53
Non-authoritative answer:
Name: sql_server
Address: 192.168.0.3
Не пойму как работает vpn подключение
Добавлено: 21 ноя 2020, 13:17
slant
Теперь можно и с DNS разбираться, но решение то же самое. Адреса DNS серверов тоже должен либо выдавать сервер VPN, либо их тоже надо вписать в свойства соединения клиенту вручную. Но даже в этом случае, могут быть накладки с переключением - DNS система на такое переключение не слишком рассчитана.
Кроме того, nslookup это не только запрос именно dns имен, но еще и samba - а эти имена разрешаются через широковещательные запросы и в другую сеть не видны вообще. Если это все-таки требуется - есть служба WINS, только ее сначала поднять надо в сети. Короткое имя вроде sql_server - это может быть именно таким именем, тогда его в DNS искать бесполезно, и через VPN без WINS его увидеть тоже не получится.
Хотя судя по тому что на:
ответ есть - не наш случай. Значит просто нужно вписать адрес DNS сервера 192.168.0.1 vpn серверу или клиенту.
Не пойму как работает vpn подключение
Добавлено: 21 ноя 2020, 13:25
Sulfur
dns сервер поднят на микротике...и адрес его вписал на раздачу клиентам..по идее)))
Пробовал в NM писать руками адрес 192.168.0.1, но результата нет, резолвит с 127.0.0.53 также...
Не пойму как работает vpn подключение
Добавлено: 21 ноя 2020, 14:30
slant
127.0.0.53 - это локальный кеширующий сервер самой системы. Скорее всего реализованный в systemd. В частности из-за таких нюансов DNS и не слишком приспособлена к быстрому переходу на другую ветку серверов в которой есть свои локальные адреса. (а sql_server - это локальный адрес офисной сети).
Я, честно говоря, не слишком вникал как можно его заставить менять адрес аплинка при подключении нового vpn, т.к. сам для подобного обычно использую dnsmasq - он много чего умеет. Так что здесь вам придется искать и гуглить самостоятельно - могу только направить куда именно: systemd-resolved, resolv.conf, /etc/ppp/resolv.conf и конфиги NM.
Не пойму как работает vpn подключение
Добавлено: 21 ноя 2020, 14:36
Sulfur
Спасибо большое!
Не пойму как работает vpn подключение
Добавлено: 21 ноя 2020, 19:14
Sulfur
Когда я снимаю галочку с "Использовать это подключение только для ресурсов в этой сети", у меня получается вот такой список маршрутов:
default dev ppp0 proto static scope link metric 50
default via 192.168.1.1 dev enp3s0 proto dhcp metric 100
77.88.1.1 dev ppp0 proto kernel scope link src 77.88.1.81 metric 50
169.254.0.0/16 dev enp3s0 scope link metric 1000
192.168.1.0/24 dev enp3s0 proto kernel scope link src 192.168.1.101 metric 100
192.168.1.1 dev enp3s0 proto static scope link metric 100
194.28.213.153 via 192.168.1.1 dev enp3s0 proto static metric 100
Понимаю что при таком раскладе я использую интернет офиса, а не свой..Но каким образом я вижу сеть 192.168.0.0/24?!Ведь ресурсы сети пингуются, rdp работает..
Не пойму как работает vpn подключение
Добавлено: 21 ноя 2020, 19:34
madesta
Sulfur писал(а): ↑21 ноя 2020, 13:04
проблема при выполнении nslookup осталась
Всегда полагал, что DNS работает с именами узлов в виде
хост.домен, например:
nslookup linuxmint
Server: 127.0.0.53
Address: 127.0.0.53#53
** server can't find linuxmint: SERVFAIL
nslookup linuxmint.com.ru
Server: 127.0.0.53
Address: 127.0.0.53#53
Non-authoritative answer:
Name: linuxmint.com.ru
Address: 185.224.249.23
Name: linuxmint.com.ru
Address: 2a0d:8400::24
Поэтому даже в своей домашней сети с роутером MikroTik его DHCP узлам выдаёт имя домена vot и автоматически (через скрипт) регистрирует их в DNS MikroTik:
nslookup H-4.vot
Server: 127.0.0.53
Address: 127.0.0.53#53
Non-authoritative answer:
Name: H-4.vot
Address: 192.168.224.87
nslookup H-4
Server: 127.0.0.53
Address: 127.0.0.53#53
Non-authoritative answer:
Name: H-4.vot
Address: 192.168.224.87
Sulfur писал(а): ↑21 ноя 2020, 19:14
Но каким образом я вижу сеть 192.168.0.0/24
У меня имеется подозрение, что вы ресурсы сети видите только при обращении по адресам ip, а не к именам узлов.
Sulfur писал(а): ↑21 ноя 2020, 13:25
и адрес его вписал на раздачу клиентам..по идее
А в firewall MikroTik имеется правило, которое разрешает доступ к DNS при обращении по vpn? Потому как, по-моему, по умолчанию firewall дропает input запросы по upd на 53 порт кроме адресного пространства LAN, в котором прописана только ЛВС (офиса).