Не пойму как работает vpn подключение

[Sulfur]

Да, кстати....доступ к ресурсам почему то только по ip работает...

В фаерволе для подсети 77.88.1.0/24 разрешено всё...

[slant]

Всегда полагал, что DNS работает с именами узлов в виде хост.домен, например:

В целом верно. Но!
Есть полная и краткая запись. Полная выглядит так: "хост.домен." На конце - точка. А если этой точки там нет - это краткая запись. А у нее есть понятие "домен по умолчанию", которым считается тот домен который в специальной директиве у DNS сервера прописан. Практически всегда - домен основной зоны ради которой сервер заведен. Т.е. пишешь ему запрос просто "хост" а он понимает его как "хост.домен." и отвечает соответственно.

А в firewall MikroTik имеется правило, которое разрешает доступ к DNS при обращении по vpn?

У него в приведенных выше ответах, был и ответ от офисного DNS сервера при явном обращении по его IP. Вряд ли тут в фаерволле дело.

Да, кстати....доступ к ресурсам почему то только по ip работает...

Потому, что локальный кеширующий DNS на офисный не переключается с подключением vpn, а общеинтернетовские серверы, разумеется, по локальную зону которою офисный сервер обслуживает знать не знают. Связи же между машинами это не мешает, т.к IP - первичен, а DNS - сервис-надстройка поверх, нужный в основном людям, да AD. Все остальные без него легко обходятся.

[Sulfur]

Вот кстати хорошая выдержка:

При попытке выполнить команду ping nashamasha, Windows (именно Windows) не обращается к DNS вообще для получения IP адреса компа nashamasha, а прибегает к протоколу NetBios, который броадкастом рассылает запрос по всей подсети, авось nashamasha ответит и сообщит свой IP. Если компьютер ответил, то имя успешно разрешается соответствующим IP. Более того, при разрешении имен, у которых нету домена (то есть точка и чего-то-чего-то), Windows, по-умолчанию, не обращается к серверу DNS вообще. И поэтому, если вы добавляете в микротик статические записи, когда имя хоста состоит из одного слова, то ничего не работает в Windows сетях. Майкрософт "точку и чего-то-чего-то" называет "расширением имени домена".

И получается, когда у меня для vpn отдельная подсеть, чтобы например пропинговать хост по имени или например зайти по rdp используя имя хоста, то в моей ситуации надо в статических записях dns на микротике указать имена хостов с точкой..Ну или wins сервер поднимать.

[Sulfur]

Slant, вот хотел у вас спросить...никак не могу до конца понять как работает эта маршрутизация...Я снимаю галочку с "Использовать это подключение только для ресурсов в этой сети". Получаю вот такие маршруты:

sulfur@Asus:~$ ip r
default dev ppp0 proto static scope link metric 50
default via 192.168.1.1 dev enp3s0 proto dhcp metric 100
77.88.1.1 dev ppp0 proto kernel scope link src 77.88.1.70 metric 50
169.254.0.0/16 dev enp3s0 scope link metric 1000
192.168.1.0/24 dev enp3s0 proto kernel scope link src 192.168.1.101 metric 100
192.168.1.1 dev enp3s0 proto static scope link metric 100
194.28.213.153 via 192.168.1.1 dev enp3s0 proto static metric 100

Удаленная сеть видна, пинги идут по ip..Как Вы мне обьясняли это обуславливается вот этим маршрутом - 77.88.1.1 dev ppp0 proto kernel scope link src 77.88.1.70 metric 50
Но как он видит удаленную сеть, если нет маршрута для 192.168.0.0/24 и шлюза к нему 77.88.1.1?!?!

[slant]

Но как он видит удаленную сеть, если нет маршрута для 192.168.0.0/24 и шлюза к нему 77.88.1.1?!?!

Вот как:

default dev ppp0 proto static scope link metric 50

Маршрут по умолчанию направляет ВСЕ что не описано явно в других строчках именно туда - через vpn.

И получается, когда у меня для vpn отдельная подсеть, чтобы например пропинговать хост по имени или например зайти по rdp используя имя хоста, то в моей ситуации надо в статических записях dns на микротике указать имена хостов с точкой.

НЕТ. Проблема в том, что КЛИЕНТ не меняет сервер DNS на который обращается за переводом DNS имени в IP. Как я говорил решается двумя разными путями:
1. Сервер VPN может передавать клиенту маршруты к внутренним сетям и адреса серверов DNS которые следует использовать после подключения. Это настройка на стороне сервера.
2. Клиенту/локальной системе вписать маршруты и адреса DNS, и условия для переключения на них. Это настройка на стороне клиента.

В этих вариантах сервер DNS не участвует, его трогать не надо. Только сервер VPN. Или клиент.

Представь себе... ну скажем, библиотеку. Обычную с бумажными книгами. Как их выдают - видели? Сначала роешься в картотеке с карточками, потом даешь карточку, и тебе выдают книгу. Так вот, книга здесь - это IP адрес, а карточка - DNS имя. Библиотекарь(и) - DNS сервер(а). А VPN - это телефонный звонок в другую библиотеку.
У тебя ситуация - ты копался в карточках в одной библиотеке, потом позвонил в другую и пытаешься у них получить книгу по здешней карточке. Или знаешь, что там у них вроде бы должна быть интересная книга, хочешь найти... но копаешься в местной картотеке, где естественно нету на нее карточки. А нужно не копаться здесь, а по телефону спросить тамошнего библиотекаря посмотреть в тамошней картотеке.
Как-то так.

[madesta]

Т.е. пишешь ему запрос просто "хост" а он понимает его как "хост.домен." и отвечает соответственно.

Это да, но автор, вроде бы, указывал, что офисная сеть у него не имеет доменного имени.
Когда у меня была такая конструкция (правда мне было проще по причине того, что на обоих концах канала vpn столяло по микротику), то в локальном DNS [на домашнем микротике] были прописаны записи узлов, которые нужно было мониторить по vpn. Если автору темы нужно обращаться к паре-тройке узлов именно по имени, то, может быть, на домашнем компе можно было бы по-быстрому прописать их в /etc/hosts ? Как правило, вроде бы, серверы всегда имеют статику. А если даже и динамику, то в силу круглосуточной работы постоянно получают один и тот же IP.

то в моей ситуации надо в статических записях dns на микротике указать имена хостов с точкой..Ну или wins сервер поднимать.

А разве wins работает через машрутизацию?
Что касается точки на конце, то, откровенно сказать, не знаю. У меня точек на конце нет.

Пояснение к рисунку. Записи H-1, H-3, H-4, H-5 являются компьютерами домашней сети и их IP внесены динамически от dhcp микротика через скрипт.

[Sulfur]

У меня подсеть удаленного офиса 192.168.0.0/24, а подсеть для vpn 77.88.1.0/24. Если я перенаправляю весь трафик через удаленный шлюз, то systemd-resolve --status говорит мне о том, что у меня dns 192.168.0.1(тот который раздает мой vpn сервер на микротике).И в этой ситуации например ping server6 у меня не работает, а ping server6.alampa(я так в статике на микротике написал) - работает. Вот выполение nslookup еще

sulfur@Asus:~$ nslookup server6
Server: 127.0.0.53
Address: 127.0.0.53#53

** server can't find server6: SERVFAIL

sulfur@Asus:~$ nslookup server6.alampa
Server: 127.0.0.53
Address: 127.0.0.53#53

Non-authoritative answer:
Name: server6.alampa
Address: 192.168.0.106

В обоих случаях, как видно, ответ со 127.0.0.53 приходит....а systemd-resolve --status показывает это

Link 34 (ppp0)
Current Scopes: DNS
LLMNR setting: yes
MulticastDNS setting: no
DNSSEC setting: no
DNSSEC supported: no
DNS Servers: 192.168.0.1
DNS Domain: ~.

Link 2 (enp3s0)
Current Scopes: none
LLMNR setting: yes
MulticastDNS setting: no
DNSSEC setting: no
DNSSEC supported: no

[slant]

А разве wins работает через машрутизацию?

WINS - работает. Более того, он для этого и служит, как одна из причин его существования. Т.к. без него, базовым механизмом разрешения имен для SAMBA являются широковещательные запросы, а вот они только в пределах сети. А в большой компании часто более одной сети, общаться же между ними виндам как-то надо...
Только здесь нужно именно DNS наладить, т.к. WINS - это для SAMBA а не всей системы.

[slant]

DNS Domain: ~.

Вот эта строчка говорит о том, что "домен по умолчанию" отсутствует в конфигурации. В таком случае запрос можно/нужно делать только по полному имени, вместе с доменом. Что у тебя и работает: nslookup server6.alampa.
Попробуй так:
systemd-resolve --search=yes --set-domain=alampa. --set-dns=<SERVER_IP>
где <SERVER_IP> - адрес офисного DNS сервера. Команду давать разумеется после подключения VPN.

[Sulfur]

sulfur@Asus:~$ systemd-resolve --search=yes --set-domain=alampa. --set-dns=192.168.0.1
--set-dns=, --set-domain=, --set-llmnr=, --set-mdns=, --set-dnssec=, --set-nta= and --revert require --interface=.

[slant]

--interface=ppp0 добавь.

[Sulfur]

Ничего не выводит..Немного не по теме хотел спросить, а почему у меня например в windows 7, если я также по vpn подключаюсь,у меня nslookup server6 отрабатывает, без указания домена?!

[slant]

Немного не по теме хотел спросить, а почему у меня например в windows 7, если я также по vpn подключаюсь,у меня nslookup server6 отрабатывает, без указания домена?!

Действительно не по теме. Да еще вопрос бессмысленный, без исходных данных - телепатией не владею. Чтобы ответить - с винды нужны данные о том же, о чем мы тут собирали. Только вот я ее живьем более года назад последний раз видел - у же не помню где там и что посмотреть можно.

Ничего не выводит..

Ну, само по себе и не должно, по идее - значит команда принята раз ошибки нету. После нее systemd-resolve --status смотри.

[Sulfur]

Получилось, спасибо!После ребута правда слетело)

[Sulfur]

Установил пакет resolvconf, подключился к vpn и система стала подхватывать dns...вот вывод /etc/resolv.conf:

sulfur@Asus:~$ cat /etc/resolv.conf
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
# 127.0.0.53 is the systemd-resolved stub resolver.
# run "systemd-resolve --status" to see details about the actual nameservers.

nameserver 192.168.0.1
nameserver 127.0.0.53

Ресурсы удаленной сети пингуются и резолвятся без доменного имени:

sulfur@Asus:~$ nslookup server6
Server: 192.168.0.1
Address: 192.168.0.1#53

Non-authoritative answer:
Name: server6
Address: 192.168.0.106

sulfur@Asus:~$ ping server6
PING server6 (192.168.0.106) 56(84) bytes of data.
64 bytes from server6.alampa (192.168.0.106): icmp_seq=1 ttl=127 time=2.20 ms
64 bytes from server6.alampa (192.168.0.106): icmp_seq=2 ttl=127 time=2.24 ms

Незнаю конечно насколько правильно это всё

[slant]

Раз работает - значит правильно.

[madesta]

И поэтому, если вы добавляете в микротик статические записи, когда имя хоста состоит из одного слова, то ничего не работает в Windows сетях.

Хотя проблема уже решена, но, в качестве лирического отступления, добавлю к цитате комментарий. Не только в Windows, у меня в Linux тоже без доменного имени не работает. Если обратить внимание на дефолтную настройку MikroTik, то в его DNS уже имеется запись router.lan, указывающая на IP 192.168.88.1 Как видно, запись состоит из имени узла router и домена lan

[Sulfur]

Я домен никакой не добавлял в dns.. Только установил этот пакет.. как оно мне разрешает пинги и резолвит только по имени-пока не ясно

[madesta]

Я домен никакой не добавлял в dns. Только установил этот пакет

Вы пакет в Linux или в MikroTik имеете в виду? В MikroTik такого пакета не встречал, так как он по-моему, интегрирован в пакет system.
Само по себе в DNS MikroTik ничего не добавляется. В настройке по умолчанию (default) там будет только одна запись, указывающая на сам роутер - router.lan Все остальные записи в DNS MikroTik добавляются руками или специальным скриптом, написанным для MikroTik. Сам DNS MikroTik по умолчанию работает как кэширующий DNS сервер. Если ваш офисный DNS является главнее DNS MikroTik-а, то на MiktroTik нужно делать дополнительные телодвижения, чтобы для разрешения имен узлов узел.alampa он отправлял запросы на офисный DNS или вносить самому записи в DNS MikroTik. Хотя как по мне, если нет AD, то с такой задачей справится и сама связка DHCP/DNS MikroTik. Но это уже отдельная тема за рамками заданного вами вопроса о VPN. Если имеется необходимость подключаться только к нескольким узлам офиса, да ещё к тем, которые статические, то, на мой взгляд, проще их прописать себе на компьютер в /etc/hosts
В принципе же slant вам помог и теперь, насколько понимаю, VPN у вас работает как надо. Или что-то не так?

[Sulfur]

Про пакет в mint имел ввиду. Офис маленький. Dns + dhcp на микротике. А так да, slant очень помог разобраться. Всё работает.Спасибо.