Возникла такая проблема
Windows клиент подключается к OpenVPN серверу первый раз, все проходит на УРА
Ему пушится несколько маршрутов и днс сервер в локалке за VPN
В конфиге клиента указанно доменное имя сервера ( blablabla.ru у которого IP 101.102.103.104)
После отключения и повторного подключения клиент OpenVPN пытается подключится к локальному адресу blablabla.ru с адресом 192.168.0.1
Т.е. резолвит адрес blablabla.ru из локалки
Чистка кэшей днс не помогает... Может есть какой внутренний кэш OpenVPN-клиента?----
Конфиг клиента
----tls-client
proto tcp-client
remote blablabla.ru
dev tun
port 1196
pull
tls-auth ta.key 1
ca ca.crt
pkcs12 client.p12
cipher AES-256-CBC
comp-lzo
----
Конфиг сервера
----mode server
tls-server
proto tcp
dev tun
port 1196
daemon
tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
crl-verify /etc/openvpn/easy-rsa/crl.pem
duplicate-cn
tcp-queue-limit 256
verb 2
cipher AES-256-CBC
persist-key
log-append /var/log/openvpn/ovpn.log
status /var/log/openvpn/ovpn-status.log
#persist-tun
comp-lzo
#route-delay 3
client-config-dir /etc/openvpn/ccd
server 10.10.4.0 255.255.255.0
route 192.168.0.0 255.255.255.0
route 10.10.4.0 255.255.255.0
push "route 192.168.0.0 255.255.255.0"
push "dhcp-option DNS 192.168.0.1"
push "dhcp-option DOMAIN local"
keepalive 5 60
client-to-clientБуду жутко благодарен за помощь!
> Ему пушится несколько маршрутов и днс сервер в локалке за VPN
> После отключения и повторного подключения клиент OpenVPN пытается подключится к локальному
> адресу blablabla.ru с адресом 192.168.0.1
> Т.е. резолвит адрес blablabla.ru из локалки
> Чистка кэшей днс не помогает... Может есть какой внутренний кэш OpenVPN-клиента?
> ----
> Конфиг сервера
> ----
> push "dhcp-option DNS 192.168.0.1"т.е. и dns и blablabla - 192.168.0.1? Так может он лезет не на openvpn сервер блабла, а на dns с таким же именем, застрявший в установках TAP-Windows адаптера? Наверное видно при отключенном openvpn по ipconfig /all... Просто предположил...
>[оверквотинг удален]
>> Т.е. резолвит адрес blablabla.ru из локалки
>> Чистка кэшей днс не помогает... Может есть какой внутренний кэш OpenVPN-клиента?
>> ----
>> Конфиг сервера
>> ----
>> push "dhcp-option DNS 192.168.0.1"
> т.е. и dns и blablabla - 192.168.0.1? Так может он лезет не
> на openvpn сервер блабла, а на dns с таким же именем,
> застрявший в установках TAP-Windows адаптера? Наверное видно при отключенном openvpn по
> ipconfig /all... Просто предположил...да у днс и блабла одинаковый локальный айпи, но есть еще внешний
при повторном подключении клиент стучится на локальный, а не на внешнийНе понятно вот что, в TUN-интерфейсе даже если бы и был адрес локального днс, то он ничего бы не отдал, т.к. впн не может подключиться и соответственно днс не доступен
Что же такое отдает адрес именно локальный... =\
DNS кеш есть только у системы.
Запустите nslookup, он покажет текущий используемый DNS сервер. Отсюда и пляшите
> DNS кеш есть только у системы.
> Запустите nslookup, он покажет текущий используемый DNS сервер. Отсюда и пляшитеnslookup показывает адрес домашнего вайфай роутера пользователя, т.е. все запросы идут к нему
ping blablabla.ru показывает локальный адрес 192.168.0.1
как очистить кеш там, кроме перезагрузки, я не знаю... Да и проявляется такая проблема на разных моделях роутеров.
>> DNS кеш есть только у системы.
>> Запустите nslookup, он покажет текущий используемый DNS сервер. Отсюда и пляшите
> nslookup показывает адрес домашнего вайфай роутера пользователя, т.е. все запросы идут
> к нему
> ping blablabla.ru показывает локальный адрес 192.168.0.1
> как очистить кеш там, кроме перезагрузки, я не знаю... Да и проявляется
> такая проблема на разных моделях роутеров.кеш сам чистится должен, когда ттл зоны заканчивается.
Роутер все правильно делает - в кеше есть запись: он ее и использует.
Тут вопросы к дизайну а не к оборудованию
> Конфиг клиента
> remote blablabla.ruА что, отдельный хостнейм для ovpn-сервера религия создать не позволяет?
>> Конфиг клиента
>> remote blablabla.ru
> А что, отдельный хостнейм для ovpn-сервера религия создать не позволяет?там указан домен 3 уровня, который ведет только на один внешний адрес.
Как раз позволяет :)
>>> Конфиг клиента
>>> remote blablabla.ru
>> А что, отдельный хостнейм для ovpn-сервера религия создать не позволяет?
> Как раз позволяет :)
> там указан домен 3 уровня, который ведет только на один внешний адрес.Вы сами себе противоречите:
>да у днс и блабла одинаковый локальный айпи, но есть еще внешний
>при повторном подключении клиент стучится на локальный, а не на внешний
> Т.е. резолвит адрес blablabla.ru из локалки---------------
PS> мне вообще не понятно, нафига делать разные IP-адреса для одинаковых хостнеймов.
>[оверквотинг удален]
>>> А что, отдельный хостнейм для ovpn-сервера религия создать не позволяет?
>> Как раз позволяет :)
>> там указан домен 3 уровня, который ведет только на один внешний адрес.
> Вы сами себе противоречите:
>>да у днс и блабла одинаковый локальный айпи, но есть еще внешний
>>при повторном подключении клиент стучится на локальный, а не на внешний
>> Т.е. резолвит адрес blablabla.ru из локалки
> ---------------
> PS> мне вообще не понятно, нафига делать разные IP-адреса для одинаковых
> хостнеймов.Возможно мы друг друга не допоняли
На ovpn-сервере 2 сетевые карточки
1 - в локалку
2 - в интернет
На этом сервере настроен днс
Т.е. из локальной сети резоливится один айпи, из интернета другой
Доменное имя этого сервера blablabla.ru, из локалки резолвится как 192.168.0.1, из интерента 101.102.103.104
Вот как-то так :)
>[оверквотинг удален]
>> хостнеймов.
> Возможно мы друг друга не допоняли
> На ovpn-сервере 2 сетевые карточки
> 1 - в локалку
> 2 - в интернет
> На этом сервере настроен днс
> Т.е. из локальной сети резоливится один айпи, из интернета другой
> Доменное имя этого сервера blablabla.ru, из локалки резолвится как 192.168.0.1, из интерента
> 101.102.103.104
> Вот как-то так :)remote blablabla.ru меняете на remote vpn.blablabla.ru, в dns на vpn.blablabla.ru только 101.102.103.104
на win машине как смотреть и чистить кеш можно прочитать по ipconfig /?
> На этом сервере настроен днс
> Т.е. из локальной сети резоливится один айпи, из интернета другой
> Доменное имя этого сервера blablabla.ru, из локалки резолвится как 192.168.0.1, из интерента
> 101.102.103.104
> Вот как-то так :)Вот как-то так. А нахрена?
>> На этом сервере настроен днс
>> Т.е. из локальной сети резоливится один айпи, из интернета другой
>> Доменное имя этого сервера blablabla.ru, из локалки резолвится как 192.168.0.1, из интерента
>> 101.102.103.104
>> Вот как-то так :)
> Вот как-то так. А нахрена?Не заворачивать же на самого себя ОФИС ---> ИНЕТ ---> ОФИС
>>> На этом сервере настроен днс
>>> Т.е. из локальной сети резоливится один айпи, из интернета другой
>>> Доменное имя этого сервера blablabla.ru, из локалки резолвится как 192.168.0.1, из интерента
>>> 101.102.103.104
>>> Вот как-то так :)
>> Вот как-то так. А нахрена?
> Не заворачивать же на самого себя ОФИС ---> ИНЕТ ---> ОФИСа нужный маршрут при подключении передать на клиента - не ?
>>>> На этом сервере настроен днс
>>>> Т.е. из локальной сети резоливится один айпи, из интернета другой
>>>> Доменное имя этого сервера blablabla.ru, из локалки резолвится как 192.168.0.1, из интерента
>>>> 101.102.103.104
>>>> Вот как-то так :)
>>> Вот как-то так. А нахрена?
>> Не заворачивать же на самого себя ОФИС ---> ИНЕТ ---> ОФИС
> а нужный маршрут при подключении передать на клиента - не ?Дело то совсем не в этом
Все работает при первом подключении. Маршруты и прочее все просто супер. А вот при повторном не работает тк не может подключиться к локальному адресу который впринципе фигурировать не должен ни где
>[оверквотинг удален]
>>>>> Т.е. из локальной сети резоливится один айпи, из интернета другой
>>>>> Доменное имя этого сервера blablabla.ru, из локалки резолвится как 192.168.0.1, из интерента
>>>>> 101.102.103.104
>>>>> Вот как-то так :)
>>>> Вот как-то так. А нахрена?
>>> Не заворачивать же на самого себя ОФИС ---> ИНЕТ ---> ОФИС
>> а нужный маршрут при подключении передать на клиента - не ?
> Все работает при первом подключении. Маршруты и прочее все просто супер. А
> вот при повторном не работает тк не может подключиться к локальному
> адресу который впринципе фигурировать не должен ни гдеЕсли он не должен нигде фигурировать, то зачем он фигурирует в DNS зоне?
> Дело то совсем не в этомДело как раз таки в этом, в том, что вы сами себе разложили грабли и упорно хотите всем доказать, что они не твердые и не острые.
я выше все изложил. Автор ССЗБ.