OVPN и DNS

[artem-moskvin]

Иногда OpenVPN не проталкивает клиенту DNS.
Конфиг под спойлером:

(Нажмите, чтобы показать/скрыть)

port 1194 # Порт на котором сервер будет принимать соединения
#local 10.10.10.1 # Адрес, на котором будет висеть openvpn сервер
proto tcp # Протокол. Можно поставить tcp или udp. Протокол udp работает побыстрей, но не всегда применим.
dev tun0 # Устройство туннеля
server 10.10.13.0 255.255.255.0 # Виртуальная сеть, которая будет установлена между клиентом и сервером

# Ключи и сертификаты
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/root.crt
key /etc/openvpn/keys/root.key
dh /etc/openvpn/keys/dh1024.pem
tls-auth /etc/openvpn/keys/tls.key 0 # На стороне сервера 0, на стороне клиента 1
crl-verify /etc/openvpn/keys/crl.pem

cipher AES-256-CBC # Алгоритм шифрования, в данном случае 256-битный AES
;user nobody # Пользователь от которого будет работать OpenVPN сервер
;group nobody # Группа
status /etc/openvpn/log/status.log
log-append /etc/openvpn/log/openvpn.log
verb 5 # Уровень логгирования
mute 20 # Не выводить повторять сообщение после 20 повторов
max-clients 5 # Максимальное количество клиентов
keepalive 10 120 # Каждые 10 секунд слать пинг, по истечении таймаута 120 секунд, перезапустить туннель
client-config-dir /etc/openvpn/ccd # Директория для индивидуальных настроек каждого клиента
client-to-client
tls-server # Явное указание, что данный хост является TLS сервером
comp-lzo # Сжатие трафика
persist-key # Не трогать tun устройство при перезапуске openvpn сервера
persist-tun # Не перечитывать файлы ключей при перезапуске туннеля
push "redirect-gateway def1" # Протолкнуть клиенту новый шлюз по умолчанию
push "dhcp-option DNS 192.168.1.20" # Назначить для клиента DNS сервер

В большинстве сетях проталкивается, но в некоторых -- нет, приходится вручную писать DNS в параметрах физического адаптера после установки соединения.

[fisher74]

А почему клиентский конфиг не показываете?
И раз разговор про сЕти пошёл, а не про отдельные хосты, то видимо нужно смотреть ещё в настройки самого DNS-сервера и правила iptables. И рассматривать конкретные ситуации, а не виртуальные кариесы.

[artem-moskvin]

DNS Server -- роутер. Единственное, что он делает -- резолвит server.artem-moskvin.tk 192.168.1.215. А все остальное -- DNS провайдера.

Конфиг клиента:

(Нажмите, чтобы показать/скрыть)

client
remote server.artem-moskvin.tk 1194 # Адрес и порт OpenVPN сервера
proto tcp # Протокол, должен совпадать с сервером
dev tun # Устройство
redirect-gateway def1
# Сертификаты и ключи
ca ca.crt
dh dh1024.pem
cert artem-moskvin.crt
key artem-moskvin.key
tls-auth tls.key 1
cipher AES-256-CBC #Алгоритм шифрования, должен совпадать с серверным
verb 3
mute 20
keepalive 10 120
comp-lzo
persist-key
persist-tun
resolv-retry infinite
nobind

[fisher74]

Или я не совсем понял, или Вы в подмене адресов запутались: 192.168.1.20 - это основной DNS-сервер или специализированный для клиентов VPN?
Этот конфиг у всех одинаков или на конкретной машине с проблемами? Версии клиента одинаковы на больных и здоровых?

[artem-moskvin]

Или я не совсем понял, или Вы в подмене адресов запутались: 192.168.1.20 - это основной DNS-сервер или специализированный для клиентов VPN?
Этот конфиг у всех одинаков или на конкретной машине с проблемами? Версии клиента одинаковы на больных и здоровых?

Это основной DNS сервер для всей сети.

[fisher74]

Тогда зачем его передавать, если он в системе клиента уже есть?

[artem-moskvin]

Тогда зачем его передавать, если он в системе клиента уже есть?

В системе удаленного клиента его нет.

[fisher74]

Ясно. Тогда все предыдущие неосвещённые вопросы в силе.
И ещё: у больных клиентов случайно локалка не 192.168.1.0/24?

[artem-moskvin]

Ясно. Тогда все предыдущие неосвещённые вопросы в силе.
И ещё: у больных клиентов случайно локалка не 192.168.1.0/24?

Больной клиент один. Это ноутбук. Один и тот же ноутбук, который бывает в разных сетях.
Да, локалка там 192.168.1.0/24. Gateway -- 192.168.1.1. В сети сервера Gateway -- 192.168.1.20.

[fisher74]

Да, локалка там 192.168.1.0/24.

Ответ, я думаю, Вы уже поняли. Неудачное решение админа применения одной из самых распространённых подсетей для домашнего пользования в качестве подсети для подключения по VPN.
Решения 2:
1. сменить локалку у клиента
2. сменить локалку сети VPN

[artem-moskvin]

Да, локалка там 192.168.1.0/24.

Ответ, я думаю, Вы уже поняли. Неудачное решение админа применения одной из самых распространённых подсетей для домашнего пользования в качестве подсети для подключения по VPN.
Решения 2:
1. сменить локалку у клиента
2. сменить локалку сети VPN

Ок! Спасибо!
Пользователь решил продолжить мысль 13 Ноября 2012, 13:56:09:

Да, локалка там 192.168.1.0/24.

Ответ, я думаю, Вы уже поняли. Неудачное решение админа применения одной из самых распространённых подсетей для домашнего пользования в качестве подсети для подключения по VPN.
Решения 2:
1. сменить локалку у клиента
2. сменить локалку сети VPN

Ок! Спасибо!

Стоп. Т.е. неудачный выбор 10.10.13.0/24?

[fisher74]

Cети за VPN. Ведь по VPN подключаются именно к ней (192.168.1.0/24)

[artem-moskvin]

Cети за VPN. Ведь по VPN подключаются именно к ней (192.168.1.0/24)

Т.е. рекомендуется сменить 192.168.1.0/24 на что-то типа 10.11.0.0/24?

[fisher74]

Вполне достойная замена. Не обязательно 10, можно какую-нибудь 192.168.154.0/24. Просто 0 и 1 очень часто даже домашними роутерами по дефолту используются

[artem-moskvin]

Вполне достойная замена. Не обязательно 10, можно какую-нибудь 192.168.154.0/24. Просто 0 и 1 очень часто даже домашними роутерами по дефолту используются

Огромное спасибо!