LINUX.ORG.RU
решено ФорумAdmin

Centos 6.4 проблемы DNS + openvpn

 , ,


0

1

Здравствуйте! У меня проблема по настройке сервера, проблема заключается в том что от клиента по openvpn не пингуются машины за сервером по ИМЕНИ, по IP все нормально работает и пингуется, прошу сразу прощения, я не особо бум бум что нужно предоставить по информации, все не выкладываю что бы не было помойки, скажите что нужно выложить я выложу, заранее спасибо, уже все перепробовал, немогу понять в чем дело.



Последнее исправление: cetjs2 (всего исправлений: 1)
Доступ к серверу Apache из локальной сети
IPTABLES Проблема проброса портов

1 2 3

ДНС значит не доступен. Не резольвятся хосты.

anonymous
()

eth0 - смотрит на модем 192.168.100.245
eth1 - локальная сеть за сервером, 192.168.1.99
tap0 - интерфейс openVPN
установлен bind, в resolv.conf - nameserver 192.168.1.99

Файл named.conf

options {
        listen-on {127.0.0.1; 192.168.1.99; 10.10.10.1;};
        forwarders {8.8.8.8;};
        allow-query {localhost; 192.168.1.0/24; 10.10.10.0/24;};
        };


 key "rndc-key" {
       algorithm hmac-md5;
       secret "AHZb0qdXXyjtO4RxEBjeww==";
 };

 controls {
       inet 127.0.0.1 port 953
               allow { 127.0.0.1; } keys { "rndc-key"; };
 };


zone "local.com" {
        type master;
        file "/var/named/local.com.hosts";
        };
zone "1.168.192.in-addr.arpa" {
        type master;
        file "/var/named/192.168.1.rev";
        };

Файл local.com.hosts 

$ttl 38400
local.com.      IN      SOA     srv-proxy.local.com. support.avpv.kz. (
                        1400667047
                        10800
                        3600
                        604800
                        38400 )
local.com.      IN      NS      srv-proxy.local.com.
srv-proxy.local.com.    IN      A       192.168.1.99
local.com.      IN      A       192.168.1.99
192.168.1.99.local.com. IN      PTR     srv-proxy
192.168.1.99.local.com. IN      PTR     local.com

Файл 192.168.1.rev 

$ttl 38400
1.168.192.in-addr.arpa. IN      SOA     srv-proxy.local.com. support.avpv.kz. (
                        1400667387
                        10800
                        3600
                        604800
                        38400 )
1.168.192.in-addr.arpa. IN      NS      srv-proxy.local.com.
99.1.168.192.in-addr.arpa.      IN      PTR     srv-proxy.
99.1.168.192.in-addr.arpa.      IN      PTR     local.com.

Правила iptables 

*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
#-A POSTROUTING -s 192.168.1.0/24 -d 10.10.10.0/24 -j MASQUERADE
-A POSTROUTING -s 10.10.10.101 -o eth1 -d 192.168.1.0/24 -j MASQUERADE
-A POSTROUTING -s 10.10.10.102 -o eth1 -d 192.168.1.0/24 -j MASQUERADE
-A POSTROUTING -s 10.10.10.103 -o eth1 -d 192.168.1.0/24 -j MASQUERADE
-A POSTROUTING -s 10.10.10.104 -o eth1 -d 192.168.1.0/24 -j MASQUERADE
-A POSTROUTING -s 10.10.10.105 -o eth1 -d 192.168.1.0/24 -j MASQUERADE
-A POSTROUTING -o eth0 -s 10.10.10.0/24 -j SNAT --to-source 192.168.100.245
-A POSTROUTING -s 10.10.10.0/24 -o eth1 -j MASQUERADE

-A PREROUTING -p tcp -m tcp -d 192.168.100.245 --dport 8888 -j DNAT --to-destination 192.168.1.78:8888
-A POSTROUTING -p tcp -m tcp -s 192.168.1.78 --sport 8888 -j SNAT --to-source 192.168.100.245:8888

-A PREROUTING -p tcp -m tcp -d 192.168.100.245 --dport 65432 -j DNAT --to-destination 192.168.1.27:65432
-A POSTROUTING -p tcp -m tcp -s 192.168.1.27 --sport 65432 -j SNAT --to-source 192.168.100.245:65432

-A PREROUTING -p tcp -m tcp -d 192.168.100.245 --dport 9095 -j DNAT --to-destination 192.168.1.27:9095
-A POSTROUTING -p tcp -m tcp -s 192.168.1.27 --sport 9095 -j SNAT --to-source 192.168.100.245:9095

-A PREROUTING -p tcp -m tcp -d 192.168.100.245 --dport 9091 -j DNAT --to-destination 192.168.1.33:9091
-A POSTROUTING -p tcp -m tcp -s 192.168.1.33 --sport 9091 -j SNAT --to-source 192.168.100.245:9091


COMMIT
# Completed on Wed Apr 16 17:40:19 2014
# Generated by iptables-save v1.4.7 on Wed Apr 16 17:40:19 2014
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A FORWARD -s 10.10.10.0/24 -d 10.10.10.0/24 -i eth0 -o tap0 -j ACCEPT
-A INPUT -i tap0 -j ACCEPT
-A OUTPUT -o tap0 -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -d 10.10.10.0/24 -i eth0 -j ACCEPT
# -A FORWARD -s 192.168.100.0/24 -d 192.168.1.0/24 -j DROP
-A INPUT -s 10.10.10.0/24 -i eth1 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state ! -i eth0 --state NEW -j ACCEPT
-A FORWARD -m state -i eth0 -o eth1 --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j ACCEPT
-A FORWARD -i eth0 -o tap0 -j ACCEPT
-A FORWARD -i tap0 -o eth0 -j ACCEPT
-A FORWARD -s 10.10.10.0/24 -d 192.168.1.0/24 -i tap0 -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -j ACCEPT
-A FORWARD -m state -d 192.168.1.0/24 --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Wed Apr 16 17:40:19 2014
# Generated by iptables-save v1.4.7 on Wed Apr 16 17:40:19 2014
*mangle
:PREROUTING ACCEPT [77844:32095033]
:INPUT ACCEPT [3586:418566]
:FORWARD ACCEPT [73469:31621752]
:OUTPUT ACCEPT [1529:264396]
:POSTROUTING ACCEPT [75056:31895566]
COMMIT

qunn
() автор топика
Ответ на: комментарий от qunn

Что не так не соображу....повторю вопрос почему клиент из 10.10.10.0/24 не пингует сеть за сервером в сторону 192.168.1.0/24 по именам, по IP пингует....я не скажу что я совсем дерево, но я дерево))) ибо настройки по мануалам делал.

qunn
() автор топика
Ответ на: комментарий от xtraeft

Да конечно извините, сглупил не выложил vpn конфиги

server.conf 

port 1194
proto udp
dev tap
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh2048.pem
server 10.10.10.0 255.255.255.0
route 192.168.1.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0 10.10.10.1"
push "route 192.168.1.0 255.255.255.0 192.168.1.1"
#push "route-gateway 10.10.10.1"
push "dhcp-option DNS 10.10.10.1"
push "dhcp-option DNS 192.168.1.99"
client-to-client
client-config-dir /etc/openvpn/ccd
ifconfig-pool-persist ipp.txt
keepalive 10 30
user nobody
#comp-lzo
group nobody
persist-key
persist-tun
log /var/log/openvpn.log
verb 3

client 

client
dev tap
proto udp
remote ***.***.***.*** 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert admin3.crt
key admin3.key
ns-cert-type server
verb 3

Конфиг клиента в ccd 

ifconfig-push 10.10.10.101 255.255.255.0
iroute 192.168.1.0 255.255.255.0

qunn
() автор топика
Ответ на: комментарий от prizident

Насчет ссылки на вики, непонял половину, это получается скрипт для resolv? с английским проблемы, но половину понял, но не понял что делает и смысл его, можете дать комментарии?

qunn
() автор топика
Ответ на: комментарий от qunn

нужно смотреть какие днс на клиенте, openvpn их может пушить, но что будет происходить на клиенте не знает никто. вообще это чисто проблема со стороны клиента, оттуда ее и надо дебажить. nslookup хотя бы пробовали запускать на клиентах? что при этом в логах ДНС сервера видно?

prizident ★★★★★
()
Ответ на: комментарий от prizident

в логах ничего нет, точнее скорее всего у меня они не включены, что то найти не могу, на клиенте пишутся адреса на адаптере которые я укажу, в качестве адресов я указывал адрес openvpn сервера а так же интерфейса на который dns сервер настраивал, но толку не было, хотя в свойствах адаптера они были прописаны в качестве основного и вторичного DNS. nslookup, пробовал что то такое, но не разобрался в том что выдает, сегодня еще раз попробую вечером скажу результат.

qunn
() автор топика
Ответ на: комментарий от prizident

nslookup показал что:

Server: UnKnown
Address: 10.10.10.1

Прописал «server local.com» определил адрес как 192.168.1.99, что дальше делать ума не приложу, пните а? подкажите.....что то я запутался совсем, как сделать что бы мой сервер vpn был dns сервером для клиента? или я неправильно вопрос задал?

qunn
() автор топика
Ответ на: комментарий от qunn

Включить логи на клиенте и показать их нам (момент подключения клиента к серверу), особенно строчку про пуш днс.

xtraeft ★★☆☆
()
Ответ на: комментарий от prizident

Да и еще заметил особенность, local.com пингует с клиента и определяет его IP адрес как он есть 192.168.1.99....теперь я окончательно запутался, то есть dns работает на клиенте? ребята хелп....

qunn
() автор топика
Ответ на: комментарий от xtraeft

Да конечно вот логи клиента, они ведутся:

Mon Sep 08 20:56:31 2014 [server] Peer Connection Initiated with [AF_INET]***.***.***.***:1194
Mon Sep 08 20:56:32 2014 MANAGEMENT: >STATE:1410188192,GET_CONFIG,,,
Mon Sep 08 20:56:33 2014 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Mon Sep 08 20:56:33 2014 PUSH: Received control message: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0 10.10.10.1,route 192.168.1.0 255.255.255.0 192.168.1.1,route-gateway 192.168.1.99,dhcp-option DNS 192.168.1.99,dhcp-option WINS 192.168.1.99,route-gateway 10.10.10.1,ping 10,ping-restart 30,ifconfig 10.10.10.103 255.255.255.0'
Mon Sep 08 20:56:33 2014 OPTIONS IMPORT: timers and/or timeouts modified
Mon Sep 08 20:56:33 2014 OPTIONS IMPORT: --ifconfig/up options modified
Mon Sep 08 20:56:33 2014 OPTIONS IMPORT: route options modified
Mon Sep 08 20:56:33 2014 OPTIONS IMPORT: route-related options modified
Mon Sep 08 20:56:33 2014 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Mon Sep 08 20:56:33 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Mon Sep 08 20:56:33 2014 MANAGEMENT: >STATE:1410188193,ASSIGN_IP,,10.10.10.103,
Mon Sep 08 20:56:33 2014 open_tun, tt->ipv6=0
Mon Sep 08 20:56:33 2014 TAP-WIN32 device [Подключение по локальной сети 2] opened: \\.\Global\{22CA85C3-CA3F-46CF-94BE-5C7F999DA242}.tap
Mon Sep 08 20:56:33 2014 TAP-Windows Driver Version 9.9 
Mon Sep 08 20:56:33 2014 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.10.10.103/255.255.255.0 on interface {22CA85C3-CA3F-46CF-94BE-5C7F999DA242} [DHCP-serv: 10.10.10.0, lease-time: 31536000]
Mon Sep 08 20:56:33 2014 Successful ARP Flush on interface [17] {22CA85C3-CA3F-46CF-94BE-5C7F999DA242}
Mon Sep 08 20:56:38 2014 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Mon Sep 08 20:56:38 2014 Route: Waiting for TUN/TAP interface to come up...
Mon Sep 08 20:57:08 2014 MANAGEMENT: >STATE:1410188228,ADD_ROUTES,,,
Mon Sep 08 20:57:08 2014 C:\Windows\system32\route.exe ADD 192.168.1.0 MASK 255.255.255.0 10.10.10.1
Mon Sep 08 20:57:08 2014 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Mon Sep 08 20:57:08 2014 Route addition via IPAPI succeeded [adaptive]
Mon Sep 08 20:57:08 2014 C:\Windows\system32\route.exe ADD 192.168.1.0 MASK 255.255.255.0 192.168.1.1
Mon Sep 08 20:57:08 2014 Warning: route gateway is not reachable on any active network adapters: 192.168.1.1
Mon Sep 08 20:57:08 2014 Route addition via IPAPI failed [adaptive]
Mon Sep 08 20:57:08 2014 Route addition fallback to route.exe
Mon Sep 08 20:57:08 2014 env_block: add PATH=C:\Windows\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
SYSTEM ROUTING TABLE
0.0.0.0 0.0.0.0 192.168.2.1 p=0 i=11 t=4 pr=3 a=11991 h=0 m=20/0/0/0/0
10.10.10.0 255.255.255.0 10.10.10.103 p=0 i=17 t=3 pr=3 a=27 h=0 m=286/0/0/0/0
10.10.10.103 255.255.255.255 10.10.10.103 p=0 i=17 t=3 pr=3 a=27 h=0 m=286/0/0/0/0
10.10.10.255 255.255.255.255 10.10.10.103 p=0 i=17 t=3 pr=3 a=27 h=0 m=286/0/0/0/0
127.0.0.0 255.0.0.0 127.0.0.1 p=0 i=1 t=3 pr=3 a=12012 h=0 m=306/0/0/0/0
127.0.0.1 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=3 a=12012 h=0 m=306/0/0/0/0
127.255.255.255 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=3 a=12012 h=0 m=306/0/0/0/0
192.168.0.0 255.255.0.0 10.10.10.1 p=0 i=17 t=4 pr=3 a=27 h=0 m=31/0/0/0/0
192.168.1.0 255.255.255.0 10.10.10.1 p=0 i=17 t=4 pr=3 a=0 h=0 m=30/0/0/0/0
192.168.1.0 255.255.255.0 192.168.1.1 p=0 i=17 t=4 pr=3 a=0 h=0 m=31/0/0/0/0
192.168.2.0 255.255.255.0 192.168.2.100 p=0 i=11 t=3 pr=3 a=11991 h=0 m=276/0/0/0/0
192.168.2.100 255.255.255.255 192.168.2.100 p=0 i=11 t=3 pr=3 a=11991 h=0 m=276/0/0/0/0
192.168.2.255 255.255.255.255 192.168.2.100 p=0 i=11 t=3 pr=3 a=11991 h=0 m=276/0/0/0/0
224.0.0.0 240.0.0.0 127.0.0.1 p=0 i=1 t=3 pr=3 a=12012 h=0 m=306/0/0/0/0
224.0.0.0 240.0.0.0 192.168.2.100 p=0 i=11 t=3 pr=3 a=12002 h=0 m=276/0/0/0/0
224.0.0.0 240.0.0.0 10.10.10.103 p=0 i=17 t=3 pr=3 a=12002 h=0 m=286/0/0/0/0
255.255.255.255 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=3 a=12012 h=0 m=306/0/0/0/0
255.255.255.255 255.255.255.255 192.168.2.100 p=0 i=11 t=3 pr=3 a=12002 h=0 m=276/0/0/0/0
255.255.255.255 255.255.255.255 10.10.10.103 p=0 i=17 t=3 pr=3 a=12002 h=0 m=286/0/0/0/0
SYSTEM ADAPTER LIST
TAP-Windows Adapter V9
  Index = 17
  GUID = {22CA85C3-CA3F-46CF-94BE-5C7F999DA242}
  IP = 10.10.10.103/255.255.255.0 
  MAC = 00:ff:22:ca:85:c3
  GATEWAY = 0.0.0.0/255.255.255.255 
  DHCP SERV = 10.10.10.0/255.255.255.255 
  DHCP LEASE OBTAINED = Mon Sep 08 20:56:41 2014
  DHCP LEASE EXPIRES  = Tue Sep 08 20:56:41 2015
  PRI WINS = 192.168.1.99/255.255.255.255 
  SEC WINS =  
  DNS SERV = 10.10.10.1/255.255.255.255 192.168.1.99/255.255.255.255 
Realtek PCIe GBE Family Controller
  Index = 11
  GUID = {8188A730-2EB8-4556-9AF9-E78900F56B24}
  IP = 192.168.2.100/255.255.255.0 
  MAC = 00:25:22:cc:51:4d
  GATEWAY = 192.168.2.1/255.255.255.255 
  DHCP SERV = 192.168.2.1/255.255.255.255 
  DHCP LEASE OBTAINED = Mon Sep 08 17:37:28 2014
  DHCP LEASE EXPIRES  = Tue Sep 09 17:37:28 2014
  DNS SERV = 192.168.2.1/255.255.255.255 
Kerio Virtual Network Adapter
  Index = 14
  GUID = {2244B3E1-7FBE-492F-923D-7B08E8BEB135}
  IP = 0.0.0.0/0.0.0.0 
  MAC = 44:45:53:54:4f:53
  GATEWAY = 0.0.0.0/255.255.255.255 
  DHCP SERV =  
  DHCP LEASE OBTAINED = Mon Sep 08 20:57:08 2014
  DHCP LEASE EXPIRES  = Mon Sep 08 20:57:08 2014
  DNS SERV =  
Mon Sep 08 20:57:08 2014 Initialization Sequence Completed With Errors ( see http://openvpn.net/faq.html#dhcpclientserv )
Mon Sep 08 20:57:08 2014 MANAGEMENT: >STATE:1410188228,CONNECTED,ERROR,10.10.10.103,***.***.***.***
qunn
() автор топика
Ответ на: комментарий от xtraeft

Видел ошибку Warning ругался на gateway и что инициализация в конце закончена с ошибками, я так думаю это на то что шлюз не присвоился, или я ошибаюсь? я как бы это во внимание не брал про шлюз....

qunn
() автор топика
Ответ на: комментарий от qunn

Я немного о другом скажу, но все таки закинь в конфиг клиента:

route-delay 5

route-method exe

Это проблему с днс вряд ли решит, но лишним не будет.

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

сделал, но ничего не понял, еще гуглю эти параметры, лог подключения такой же....но local.com пингует и видит сервер, а дальше сервера по именам не видит....что же за крот такой скрывается....

qunn
() автор топика
Ответ на: комментарий от xtraeft

я его вообще удалил, все тоже самое, при попытке пропинговать по имени к примеру сервера srv-proxy пишет что такой узел не найден, но local.com пингует

qunn
() автор топика
Ответ на: комментарий от xtraeft

конечно я понимаю может быть наглостью, но я могу дать доступ по tamviewer, ибо я реально уже голову сломал, уже месяц бьюсь с этим, я просто понимаю как тяжело через форум смотреть и анализировать проблему не видя всего и того что нужно

qunn
() автор топика
Ответ на: комментарий от xtraeft

ICQ 233930692, буду очень рад помощи

qunn
() автор топика
Ответ на: комментарий от qunn

Извини, мне не до этого сейчас, да и я навскидку не скажу, где проблема в твоей конфигурации.

P.S. как то странно ты керио удалил, раз его интерфейс в системе остался.

xtraeft ★★☆☆
()
Последнее исправление: xtraeft (всего исправлений: 1)
Ответ на: комментарий от xtraeft

нет, ты все верно сказал, я после твоих слов удалил, ну не сегодня я готов даже заплатить скудную студенческую сумму за помощь))) а то я дерево в тупике, а направить в нужную сторону некому(((( а то просто через форум как то мало активных пользователей

qunn
() автор топика

погуглил немного, похоже в каких-то случая (где используется static key, хз что это, но вроде как сабж не попадает туда) есть бага с назначением DNS на клиенте. чтобы проверить днс можно вручную прописать в свойствах подключения свой днс сервер и проверить как работает.

http://serverfault.com/questions/564571/set-dns-server-on-client-when-using-s...

prizident ★★★★★
()
Ответ на: комментарий от prizident

если я правильно прочитал и понял то там используется метод point-to-point что не для меня, так как у меня сервер 1 а клиентов 7, и только 3 из них имеют доступ к сети за сервером с помощью iptables, а point-to-point по другому работает и как я читал что просто соединяет 2 компа между собой давая доступ в обе стороны, или что то такое.....так в сетевом интерфейсе винды (тоесть клиента) DNS присваивается, но вот только почему то непашет, кстати, у меня все имена компов в сети за сервером лежат в hosts, так вот local.com тоже в hosts прописан как 192.168.1.99, и вот парадокс local.com пингуется и определяется от клиента по имени, а вот другие компы нет....так получается что dns работает только до сервера а после нет? я запутался....

qunn
() автор топика
Ответ на: комментарий от qunn

я совсем запутался, не пингуется или не резолвится или непонятно что происходит. включи логи в бинде посмотри что он пишет.

prizident ★★★★★
()
Ответ на: комментарий от prizident

Включил логи в bind, логи чистые (настраивал вот так как на примере http://rusua.org.ua/2013/02/01/nastrojka-logov-demona-bind9-named-ili-peresta...)

В общем объясню ситуацию заного:
стоит сервер openvpn, к нему подключаются клиенты, так вот, от клиента я пингую машины за сервером, пингую по IP все нормально идет, находит, начинаю пинговать по имени машины например CompIvan то пишет что заданный узел не найден, пингую от клиента по имени сервера srv-proxy что бы пропинговать сервер, но ситуация такая же не определяет его, использую имя которое прописывал в named.conf - local.com, с этим именем пингуется сервер и даже определяет его IP как положено, конфиги DNS и постального я в начале поста выложил.....я сам немного не понимаю, вроде как бы все пингуется, но по имени не пингуется, точнее не преобразует адреса в IP или же попросту виндовозная клиентская машина не может найти где искать это имя....

qunn
() автор топика
Ответ на: комментарий от prizident

[root@srv-proxy var]# nslookup local.com 192.168.1.99 Server: 192.168.1.99 Address: 192.168.1.99#53

Name: local.com Address: 192.168.1.99

это значит что DNS на сервере работает? правильно?

qunn
() автор топика
Ответ на: комментарий от prizident

Да и еще если прописываю на винде у клиента в Hosts адрес и имя, то потом по vpn я могу найти машину по имени, ребята чувствую мы близко к разгадке))) я пока что в тупике))) есть идеи?)))

qunn
() автор топика
Ответ на: комментарий от qunn

какими то произвольными действиями мне удалось добиться того что теперь от клиента я пингую по имени сервера srv-proxy и он пингуется и определяет адрес 10.10.10.1 как адрес ovpn сервера, при пинговании local.com определяется адрес интерфейса смотрящего в сеть 192.168.1.99, но дальше за сетью имена не пингуются, хотя так же если в файл hosts запихать имена и айпишники то все норм, но я немогу так всем клиентам сделать.....ребята, куда вы пропали?)) помогите докопаться до истины)))

qunn
() автор топика
Ответ на: комментарий от qunn

Берём совочек и начинаем с dig hostname. Потом смотрим man dig и указываем дигу руками днс-сервер для запроса. Сравниваем два выхлопа, думаем, отписываемся на ЛОР.

Ну, это всё, если openvpn-клиент на линуксе.

dhameoelin ★★★★★
()
Последнее исправление: dhameoelin (всего исправлений: 1)
Ответ на: комментарий от dhameoelin

Нет, клиенты Windows все, сервер centos 6.5

вот ipconfig /all клиента: 

C:\Users\qwer>ipconfig /all

Настройка протокола IP для Windows

   Имя компьютера  . . . . . . . . . : qwerstv
   Основной DNS-суффикс  . . . . . . :
   Тип узла. . . . . . . . . . . . . : Гибридный
   IP-маршрутизация включена . . . . : Нет
   WINS-прокси включен . . . . . . . : Нет

Ethernet adapter Подключение по локальной сети 2:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : TAP-Windows Adapter V9
   Физический адрес. . . . . . . . . : 00-FF-22-CA-85-C3
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   Локальный IPv6-адрес канала . . . : fe80::bd4b:461f:f3b3:7821%16(Основной)
   IPv4-адрес. . . . . . . . . . . . : 10.10.10.103(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Аренда получена. . . . . . . . . . : 10 сентября 2014 г. 11:42:37
   Срок аренды истекает. . . . . . . . . . : 10 сентября 2015 г. 11:42:36
   Основной шлюз. . . . . . . . . :
   DHCP-сервер. . . . . . . . . . . : 10.10.10.0
   IAID DHCPv6 . . . . . . . . . . . : 453050146
   DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-17-93-36-66-00-25-22-CC-51-4D

   DNS-серверы. . . . . . . . . . . : 192.168.1.99
                                       192.168.1.99
   Основной WINS-сервер. . . . . . . : 192.168.1.99
   NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Подключение по локальной сети:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
   Физический адрес. . . . . . . . . : 00-25-22-CC-51-4D
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 192.168.2.100(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Аренда получена. . . . . . . . . . : 10 сентября 2014 г. 8:30:19
   Срок аренды истекает. . . . . . . . . . : 11 сентября 2014 г. 8:30:18
   Основной шлюз. . . . . . . . . : 192.168.2.1
   DHCP-сервер. . . . . . . . . . . : 192.168.2.1
   DNS-серверы. . . . . . . . . . . : 192.168.2.1
                                       0.0.0.0
   NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{22CA85C3-CA3F-46CF-94BE-5C7F999DA242}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv6-адрес. . . . . . . . . . . . : 2001:0:9d38:90d7:c38:21a7:3f57:fd9b(Основ
ной)
   Локальный IPv6-адрес канала . . . : fe80::c38:21a7:3f57:fd9b%14(Основной)
   Основной шлюз. . . . . . . . . : ::
   NetBios через TCP/IP. . . . . . . . : Отключен

Туннельный адаптер isatap.{8188A730-2EB8-4556-9AF9-E78900F56B24}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

qunn
() автор топика
Ответ на: комментарий от qunn

Молодец. Теперь tracert 192.168.1.99. И почему он у тебя указан дважды? Найди и убери дублирование.

И ещё - DNS-суффикс на сеть за VPN у тебя где? По полному имени (FQDN) попробуй к искомому хосту обратиться. Если нужный DNS ответит правильно, то мы нашли «проблему».

dhameoelin ★★★★★
()
Ответ на: комментарий от dhameoelin

убрал дублирование, эт я ставил, чтоб наверняка)))
DNS серверы 0.0.0.0 я так понимаю что просто я не назначал их ведь и так модем работает и интернет у клиента)))

Нашел ошибку такую в логах:

Wed Sep 10 22:20:38 2014 OpenVPN ROUTE: OpenVPN needs a gateway parameter for a --route option and no default was specified by either -route-gateway or --ifconfig options

Wed Sep 10 22:20:38 2014 OpenVPN ROUTE: failed to parse/resolve route for host/network: 192.168.1.0

Сделал tracert и пинговал: 

C:\Users\qwer>tracert 192.168.1.99

Трассировка маршрута к srv-proxy [192.168.1.99]
с максимальным числом прыжков 30:

  1    15 ms    15 ms    14 ms  srv-proxy [192.168.1.99]

Трассировка завершена.

C:\Users\qwer>ping local.com

Обмен пакетами с local.com [192.168.1.99] с 32 байтами данных:
Ответ от 192.168.1.99: число байт=32 время=14мс TTL=64

C:\Users\qwer>ping srv-proxy
При проверке связи не удалось обнаружить узел srv-proxy.
Проверьте имя узла и повторите попытку.

C:\Users\qwer>

Непонял, можешь как первокласснику объяснить?)))

И ещё - DNS-суффикс на сеть за VPN у тебя где? По полному имени (FQDN) попробуй к искомому хосту обратиться. Если нужный DNS ответит правильно, то мы нашли «проблему».

qunn
() автор топика
Ответ на: комментарий от dhameoelin

ну я имею ввиду не смысл этого всего, а как делать и на чьей стороне выполнять))) я просто воспринимаю все буквально)))а так я думаю смысл пойму))) я понимаю я горе сис.админ, но все приходит с жопытом ведь))) не все потеряно)) как то же все это поднял и работает, правда не совсем так как нужно)))

Это я выполнил на стороне клиента: 


C:\Users\qwer>google://fqdn
"google:" не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.

C:\Users\qwer>ping primaryserver.local.com

Обмен пакетами с primaryserver.local.com [63.251.207.31] с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.


C:\Users\qwer>ping srv-proxy.local.com

Обмен пакетами с srv-proxy.local.com [192.168.1.99] с 32 байтами данных:
Ответ от 192.168.1.99: число байт=32 время=13мс TTL=64
Ответ от 192.168.1.99: число байт=32 время=14мс TTL=64

qunn
() автор топика
Ответ на: комментарий от qunn

Так. Что такое FQDN ты знаешь, но шутку не понял. Надо лечить. Заметь, про отсутсвие жопыта и чугунные мозоли я не шутил. Ты, к сожалению, понимаешь далеко не все, что делаешь, но это не самая большая проблема. Самая большая проблема - ты делаешь то, что не понимаешь.

Какой DNS-сервер тебе отвечает? nslookup primaryserver.local.com 192.168.1.99

dhameoelin ★★★★★
()
Ответ на: комментарий от dhameoelin

Не спорю...ну а что делать, методом проб ошибок и обычного тыка понимание приходит неожиданно....как обычно это бывает... 

Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.

C:\Users\qwer>nslookup primaryserver.local.com 192.168.1.99
DNS request timed out.
    timeout was 2 seconds.
╤хЁтхЁ:  UnKnown
Address:  192.168.1.99

DNS request timed out.
    timeout was 2 seconds.
*** UnKnown не удалось найти primaryserver.local.com: Non-existent domain

C:\Users\qwer>nslookup srv-proxy.local.com 192.168.1.99
╤хЁтхЁ:  local.com
Address:  192.168.1.99

╚ь :     srv-proxy.local.com
Address:  192.168.1.99


C:\Users\qwer>

qunn
() автор топика
Ответ на: комментарий от qunn

Да я только за учебу, но тыкать надо после хотя бы краткого ознакомления с теорией.

Хост primaryserver, вообще, существует?

dhameoelin ★★★★★
()
Ответ на: комментарий от qunn

Вот с сервера: 

[root@srv-proxy ~]# ping primaryserver
PING PRIMARYSERVER (192.168.1.27) 56(84) bytes of data.
64 bytes from PRIMARYSERVER (192.168.1.27): icmp_seq=1 ttl=128 time=0.250 ms
64 bytes from PRIMARYSERVER (192.168.1.27): icmp_seq=2 ttl=128 time=0.213 ms

--- PRIMARYSERVER ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1186ms
rtt min/avg/max/mdev = 0.213/0.231/0.250/0.023 ms

qunn
() автор топика
Ответ на: комментарий от qunn 
C:\Users\qwer>ping primaryserver.local.com

Обмен пакетами с primaryserver.local.com [63.251.207.31] с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
[root@srv-proxy ~]# ping primaryserver
PING PRIMARYSERVER (192.168.1.27) 56(84) bytes of data.
64 bytes from PRIMARYSERVER (192.168.1.27): icmp_seq=1 ttl=128 time=0.250 ms
64 bytes from PRIMARYSERVER (192.168.1.27): icmp_seq=2 ttl=128 time=0.213 ms

А теперь угадай, работает ли у тебя DNS в VPN ;-)

dhameoelin ★★★★★
()

Итак, затянемся конфигами:

...

server 10.10.10.0 255.255.255.0
route 192.168.1.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0 10.10.10.1"
push "route 192.168.1.0 255.255.255.0 192.168.1.1"
#push "route-gateway 10.10.10.1"
push "dhcp-option DNS 10.10.10.1"
push "dhcp-option DNS 192.168.1.99"
...

Посмотри внимательно и подумай, что тут не так.

dhameoelin ★★★★★
()
Ответ на: комментарий от dhameoelin

Я бы сделал так: 

server 10.10.10.0 255.255.255.0 //так как мне нужен dhcp
route 192.168.1.0 255.255.255.0 // это нужно дабы видеть сеть 192.168.1.0
push "route 192.168.1.0 255.255.255.0 10.10.10.1" // Добавил дабы клиенты могли ходить на 10.10.10.0
push "route 192.168.1.0 255.255.255.0 192.168.1.1" // я добавил это недавно так как у меня там кое какие проблемы были связанные с программой VNC удаленное управление, и если я из сети сервера конектился к клиенту я не видел за ним сеть, точнее программа не видела, поэтому добавил
push "dhcp-option DNS 192.168.1.99" //оставил ради указания ДНС, но как понимаю нифига он его не видит....
Как то так, получается что эти две строчки мне точно не нудны: 
#push "route-gateway 10.10.10.1"
push "dhcp-option DNS 10.10.10.1"

qunn
() автор топика
Ответ на: комментарий от qunn

route 192.168.1.0 255.255.255.0 // это нужно дабы видеть сеть 192.168.1.0

Да ладно? И кто должен видеть эту сеть?

push "route 192.168.1.0 255.255.255.0 10.10.10.1" // Добавил дабы клиенты могли ходить на 10.10.10.0

Зачем им туда ходить?

push "route 192.168.1.0 255.255.255.0 192.168.1.1" // я добавил это недавно так как у меня там кое какие проблемы были связанные с программой VNC удаленное управление, и если я из сети сервера конектился к клиенту я не видел за ним сеть, точнее программа не видела, поэтому добавил

На клиенте сделай tracert до внутреннего IP primaryserver.

push "dhcp-option DNS 192.168.1.99" //оставил ради указания ДНС, но как понимаю нифига он его не видит....

Видит. Но не использует. Ты же не заставил ;-)

dhameoelin ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2 3
Доступ к серверу Apache из локальной сети
Admin
IPTABLES Проблема проброса портов