• Zarejestrowany: 2014-10-18
  • Posty: 144

Temat: OpenVPN TUN dostęp po nazwie do komputerów w sieci

Witam, temat pojawiał się w różnych formach tu na forum. Skorzystałem z informacji tam udzielonych jednak wciąż nie mogę sprawić żebym mógł uruchamiać zasoby komputera z sieci lokalnej po nazwie przez OpenVPN, czy też uruchomić pulpit zdalny po nazwie (po ip wchodzę na zasób bez problemu jak i łączę się przed Pulpit zdalny). Wyłączałem firewall na Windowsie, nie pomogło. Nazwa działa tylko w przypadku Samby, jednak z nią mam taki problem, że nie jest widziana w udziałach sieciowych Windows 10 1809.

Moje ustawienia,
firewall:

config defaults
    option syn_flood '1'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'REJECT'

config zone
    option name 'lan'
    list network 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'

config zone
    option name 'wan'
    list network 'wan'
    list network 'wan6'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
    option mtu_fix '1'

config forwarding
    option src 'lan'
    option dest 'wan'

config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-IGMP'
    option src 'wan'
    option proto 'igmp'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-DHCPv6'
    option src 'wan'
    option proto 'udp'
    option src_ip 'fc00::/6'
    option dest_ip 'fc00::/6'
    option dest_port '546'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-MLD'
    option src 'wan'
    option proto 'icmp'
    option src_ip 'fe80::/10'
    list icmp_type '130/0'
    list icmp_type '131/0'
    list icmp_type '132/0'
    list icmp_type '143/0'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Input'
    option src 'wan'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    list icmp_type 'router-solicitation'
    list icmp_type 'neighbour-solicitation'
    list icmp_type 'router-advertisement'
    list icmp_type 'neighbour-advertisement'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Forward'
    option src 'wan'
    option dest '*'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-IPSec-ESP'
    option src 'wan'
    option dest 'lan'
    option proto 'esp'
    option target 'ACCEPT'

config rule
    option name 'Allow-ISAKMP'
    option src 'wan'
    option dest 'lan'
    option dest_port '500'
    option proto 'udp'
    option target 'ACCEPT'

config include
    option path '/etc/firewall.user'

config rule
    option name 'transmission'
    option src 'wan'
    option target 'ACCEPT'
    option proto 'tcp'
    option dest_port '51413'

config rule
    option name 'transmission_wan'
    option src 'wan'
    option target 'ACCEPT'
    option proto 'tcp'
    option dest_port '9091'

config zone
    option name 'vpn'
    option input 'ACCEPT'
    option forward 'ACCEPT'
    option output 'ACCEPT'
    option network 'vpn'
    option masq '1'

config forwarding
    option src 'vpn'
    option dest 'wan'

config rule
    option name 'OpenVPN'
    option target 'ACCEPT'
    option src 'wan'
    option proto 'udp'
    option dest_port '1194'

config forwarding
    option src 'vpn'
    option dest 'lan'

config forwarding
    option src 'lan'
    option dest 'vpn'

OpenVPN:

config openvpn 'home'
    option enabled '1'
    option dev 'tun0'
    option port '1194'
    option proto 'udp'
    option log '/tmp/openvpn.log'
    option verb '3'
    option ca '/etc/easy-rsa/pki/ca.crt'
    option cert '/etc/easy-rsa/pki/issued/server.crt'
    option key '/etc/easy-rsa/pki/private/server.key'
    option server '10.8.0.0 255.255.255.0'
    option dh '/etc/easy-rsa/pki/dh.pem'
    list push 'route 192.168.88.0 255.255.255.0'
    list push 'dhcp-option WINS 192.168.88.1'
    option keepalive '10 120'

DHCP:

config dnsmasq
    option domainneeded '1'
    option localise_queries '1'
    option rebind_protection '1'
    option rebind_localhost '1'
    option local '/lan/'
    option domain 'lan'
    option expandhosts '1'
    option authoritative '1'
    option readethers '1'
    option leasefile '/tmp/dhcp.leases'
    option resolvfile '/tmp/resolv.conf.auto'
    option nonwildcard '1'
    option localservice '1'

config dhcp 'lan'
    option interface 'lan'
    option start '100'
    option limit '150'
    option leasetime '12h'
    option dhcpv6 'server'
    option ra 'server'
    option ra_management '1'
    list dhcp_option '44,192.168.88.1'
    list dhcp_option '45,192.168.88.1'
    list dhcp_option '46,8'
    list dhcp_option '47'

config dhcp 'wan'
    option interface 'wan'
    option ignore '1'

config odhcpd 'odhcpd'
    option maindhcp '0'
    option leasefile '/tmp/hosts/odhcpd'
    option leasetrigger '/usr/sbin/odhcpd-update'
    option loglevel '4'

config host
    option name 'DESKTOP-KARNAS'
    option dns '1'
    option mac 'D0:50:99:2E:3C:C1'
    option ip '192.168.88.100'
    option leasetime '12h'
    option duid '0001000122a45289d050992e3cc1'

config host
    option name 'ASUS-BOBOWSCY'
    option dns '1'
    option mac '94:0C:6D:A0:E7:53'
    option ip '192.168.88.101'
    option leasetime '12h'

Samba

[global]
    netbios name = OpenWrt 
    display charset = UTF-8
    interfaces = lo br-lan 
    server string = OpenWrt
    unix charset = UTF-8
    workgroup = WORKGROUP
    bind interfaces only = yes
    deadtime = 30
    enable core files = no
    invalid users = root
    local master = no
    map to guest = Bad User
    max protocol = SMB2
    min receivefile size = 16384
    null passwords = yes
    passdb backend = smbpasswd
    security = user
    smb passwd file = /etc/samba/smbpasswd
    use sendfile = yes
    wins support = yes
    os level = 20
    name resolve order = wins lmhosts hosts bcast
    browseable = yes
    domain master = yes
    writeable = yes
[OpenWrt_Gosc]
    path = /mnt/samsung/files
    read only = yes
    guest ok = yes
    create mask = 0777
    directory mask = 0777
    browseable = yes

[OpenWrt_Uprawnienia]
    path = /mnt/samsung/files
    valid users = openwrt
    read only = no
    guest ok = no
    create mask = 0777
    directory mask = 0777
    browseable = yes

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,963

Odp: OpenVPN TUN dostęp po nazwie do komputerów w sieci

W sensie klient openvpn nie rozpoznaje nazwy hostów w zdalnej sieci? A wysyłasz mu ip routera jako dns?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez karnasw

  • Zarejestrowany: 2014-10-18
  • Posty: 144

Odp: OpenVPN TUN dostęp po nazwie do komputerów w sieci

Dokładnie tak, nie rozpoznaje nazw hostów.
Dodałem do konfiguracji openvpn list push 'dhcp-option DNS 192.168.88.1', nie pomogło, czy to nie o to chodzi?

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,963

Odp: OpenVPN TUN dostęp po nazwie do komputerów w sieci

Teraz zobacz czy klient faktycznie posługuje się tym dnsem. I zobacz na routerze czy on w ogóle rozpoznaje nazwy którymi się chcesz posłużyć.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez karnasw

  • Zarejestrowany: 2014-10-18
  • Posty: 144

Odp: OpenVPN TUN dostęp po nazwie do komputerów w sieci

Klient (komp na którym jest zasób samba) jest pod tym DNSem

   Connection-specific DNS Suffix  . : lan
   Description . . . . . . . . . . . : Intel(R) Ethernet Connection (2) I218-V
   Physical Address. . . . . . . . . : D0-50-99-2E-3C-C1
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   IPv6 Address. . . . . . . . . . . : fdda:3fdf:15e0::100(Preferred)
   Lease Obtained. . . . . . . . . . : niedziela, 3 marca 2019 18:02:54
   Lease Expires . . . . . . . . . . : czwartek, 10 kwietnia 2155 02:32:51
   IPv6 Address. . . . . . . . . . . : fdda:3fdf:15e0:0:c56a:2ae0:c102:4271(Preferred)
   Temporary IPv6 Address. . . . . . : fdda:3fdf:15e0:0:e9c3:e95b:7c5d:425d(Preferred)
   Link-local IPv6 Address . . . . . : fe80::c56a:2ae0:c102:4271%12(Preferred)
   IPv4 Address. . . . . . . . . . . : 192.168.88.100(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Lease Obtained. . . . . . . . . . : niedziela, 3 marca 2019 18:02:53
   Lease Expires . . . . . . . . . . : poniedziałek, 4 marca 2019 06:02:53
   Default Gateway . . . . . . . . . : 192.168.88.1
   DHCP Server . . . . . . . . . . . : 192.168.88.1
   DHCPv6 IAID . . . . . . . . . . . : 131092633
   DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-22-A4-52-89-D0-50-99-2E-3C-C1
   DNS Servers . . . . . . . . . . . : fdda:3fdf:15e0::1
                                       192.168.88.1
                                       fdda:3fdf:15e0::1
   Primary WINS Server . . . . . . . : 192.168.88.1
   NetBIOS over Tcpip. . . . . . . . : Enabled

Router pokazuje nazwy w sieci. Będąc podłączonym do sieci bezpośrednio mogę normalnie wejść na zasób.

6 Odpowiedź przez karnasw (edytowany przez karnasw 2019-03-04 10:59:05)

  • Zarejestrowany: 2014-10-18
  • Posty: 144

Odp: OpenVPN TUN dostęp po nazwie do komputerów w sieci

Aktualizacja: Na notebooku z domeną włączyłem NTLMv2 według poradnika ze strony.
- uruchom secpol.msc
- wybierz "Local Policies > Security Options"
- otwórz "Network security: LAN Manager authentication level"
- zaznacz "Send LM & NTLM - use NTLMv2 security if negotiated" zamiast "Send NTLMv2 response only"
i wszystko działa. Nazwy nie działają tylko na androidzie i tylko na klientach. Sama nazwa udziału rotuera z sambą działa.

Sprawdziłem i jednak problem z nazwami jest na androidzie. Po IP łączy się do RDP i udziału SMB. Za to z notebooka łączę się do RDP po nazwie. Do zasobów samba na routerze i do zasobów klienta z notebooka nie mogę się połączyć bo jest jakiś problem z łączeniem z Windows 10 z domeną. Może ktoś zna rozwiązanie na to?

7 Odpowiedź przez karnasw

  • Zarejestrowany: 2014-10-18
  • Posty: 144

Odp: OpenVPN TUN dostęp po nazwie do komputerów w sieci

Eh, nie mam pojęcia już co jest nie tak. Dzisiaj próbowałem dostać się do zasobu SMB przez OpenVPN z Windows 10 1809 połączonym do domeny i niestety nie można się połączyć, jakby go nie widział. Wczoraj jeszcze wszystko grało. NTLMv2 włączone. Co może być jeszcze namieszane w W10?

8 Odpowiedź przez khain

  • khain
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-09-15
  • Posty: 328

Odp: OpenVPN TUN dostęp po nazwie do komputerów w sieci

1) Serwer openvpn nie wysyła info o serwerze DNS do klientów - brak w konfigu serwera:

push "dhcp-option DNS IP_serwera_DNS"
push "dhcp-option DOMAIN nazwa_domeny_w_LAN"

2) Serwer DNS masz ustawiony, aby odpowiadał na zapytania tylko z podsieci LAN. Zmień ustawienia w /etc/config/dhcp i przekręć usługę dnsmasq:

option localservice '0'
TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7

9 Odpowiedź przez karnasw (edytowany przez karnasw 2019-03-11 08:58:54)

  • Zarejestrowany: 2014-10-18
  • Posty: 144

Odp: OpenVPN TUN dostęp po nazwie do komputerów w sieci

khain napisał/a:

1) Serwer openvpn nie wysyła info o serwerze DNS do klientów - brak w konfigu serwera:

push "dhcp-option DNS IP_serwera_DNS"
push "dhcp-option DOMAIN nazwa_domeny_w_LAN"

2) Serwer DNS masz ustawiony, aby odpowiadał na zapytania tylko z podsieci LAN. Zmień ustawienia w /etc/config/dhcp i przekręć usługę dnsmasq:

option localservice '0'

Dziękuję, teraz i z telefonu i z kompa mam dostęp do urządzeń i do udziału na routerze po nazwie. Niestety w przypadku domeny na Windows 10 nie działa mi w ogóle połączenie do Samby, po nazwie i po IP, działa cała reszta, komputery w sieci lokalnej, RDP, uruchomienie Luci po nazwie. Czy ktoś ma jeszcze jakieś pomysły co zrobić, żeby komputer w domenie z Windows 10 otwierał zasób Samba z routera? Opcję "Send LM & NTLM - use NTLMv2 security if negotiated" włączałem, podziałało przez chwilę, a potem przestało.