[Windows Server 2019] OpenVPN na Mikrotiku i problem z nazwami hostów

Witam,

Skonfigurowałem OpenVPN na routerze Mikrotik wg. tego poradnika:

Tunel działa, połączenie się zestawia, pinguje hosty po drugiej stronie, jedyne co mi nie działa to rozwiązywanie nazw hostów z systemami Windows, a szczególnie zależy mi na Windows Server 2019 na którym jest zainstalowana Optima (chciałbym połączyć się z Optimą z domu).

W jaki sposób mógłbym rozwiązać ten problem?

pozdrawiam

Choćby w prosty sposób, dodając wpis do pliku hosts.

Nie mam mikrotika, ale zdaje mi się, że musisz w profilu PPP podać serwer DNS swojej sieci firmowej.

Użyć IPSec zamiast OpenVPN, który na MT akurat nie jest jeszcze w pełni zaimplementowany. Zrobić split include do podsieci i policy oraz ustawić sobie w split include serwer DNS i sufix DNS. Potem na firewallu musisz zezwolić na połączenia 53/udp z połączeń IPSec.

OpenVPN na MT średnio się sprawdza, jak pisałem ze względu na niepełne wdrożenie rozwiązania. Jeśli nie ogarniasz IPSec, zawsze możesz uruchomić L2TP/IPSec.

Jeśli już musi być OVPN, DNS masz puszczony w tunelu? Firewall nie blokuje Ci 53/udp?

to działa, ale muszę dodawać wpisy na każdym komputerze, który będzie się łączył z VPN.

W sieci niema serwera DNS. W konfiguracji VPN, w DNS wpisuję IP routera, a on pobiera DNS’y z modemu. Nawet zastanawiałem się czy, nie postawić jakiegoś DNS’a na mikrotiku lub na Windows Server.

L2TP/IPSec mam uruchomiony, ale na nim też są problemy z rozwiązywaniem nazw. Dodatkowo jak się z nim łącze, to na parę sekund odcina mi internet na komputerze domowym. Trochę to wygląda tak, jakby karta sieciowa się przełączała i zaczynała korzystać z “internetu firmowego” .
A użytkownicy domowi, którzy korzystają z łącza Orange to, po podłączeniu do tego tunelu, w ogóle nie mają internetu :thinking:

Otworzyłem dziś port 53 na routerze i nadal bez zmian.

Widocznie masz włączoną opcje używania bramy domyślnej sieci zdalnej. Dlatego następuje chwilowe rozłączenie internetu i jednocześnie cały ruch jest rutowany przez router, który jest serwerem vpn.
Z l2tp/IPsec dotąd nie miałem nigdy problemów, poza tym związanym z wadą tego protokołu, gdzie nie może być wielu sesji z pojedynczego IP czy niezbędna jedna zmiana w cmd gdy mikrotik jest w nat innego routera.
Samo otwarcie portu 53 nic ci nie da, musiałbyś zadziałać wg wskazówek @roobal.

1lajk

Bez DNSa to będzie trudno (patrz plik hosts).

Po pierwsze, jeśli nie korzystasz z DNS na Mikrotiku, to nie dziwne, że nie działa.

Po drugie, tak L2TP niestety zmienia Ci trasę domyślną i cały ruch leci przez firmę. Dlatego właśnie lepszy jest IPSec, daje Ci mnóstwo możliwości. Wbrew pozorom łatwiej skonfigurować IPSec, niż OVPN. Do tego IPSec działa na L3, a nie na L4 jak OVPN czy SSTP.

Tylko nie otwieraj 53/udp dla świata, bo po pierwsze zajadą Ci Mikrotika, po drugie ktoś może robić DDoS na inne DNSy z Twojego IP.

Jeśli nie korzystasz z DNS na MT, otwatcie portu nic Ci nie da. Tak samo jeśli nie masz DNS w sieci i tu reguła forward wtedy musi być.

Uruchomiłem usługę DNS na Mikrotiku, dodałem statyczne nazwy w postaci “nazwahosta.lan”, ale nic to nie pomogło. Gdzieś tam czytałem, że Optima ma w ogóle problemy z VPN’ami i działa tylko sztuczka z plikiem hosts.
Pulpit zdalny po VPN też nie działa, chociaż to nie jest taka priorytetowa sprawa. Przy próbie połączenie przez VPN pojawia się komunikat:

Usługa Pulpit zdalny nie może odnaleźć komputera „S1”. Może to oznaczać, że komputer „S1” nie należy do określonej sieci. Sprawdź nazwę komputera i domeny, z którą próbujesz się połączyć. "

Jeśli to istotne, to w sieci nie mam domeny w sensie, nie potrzebuję podnoszenia serwera do roli kontrolera domeny.

Będę próbował jeszcze uruchomić IPsec, może akurat zadziała.

Nie wiadomo, czy mikrotik wypycha informacje o dns. Łatwo to sprawdzić w ipconfig /all. Jeśli nie to do konfiguracji klienta można dopisać dhcp-option DNS IP Serwera DNS

Nie wiem jak to wygląda przy IpSec, ale przy OpenVPN niektóre antywirusy blokują zewnętrzna DNSy po OpenVPN.

1lajk

O panie, trzeba było tak od razu. Optima ma problemy, gdy SQL jest w innej podsieci i trzeba rzeźbić z ODBC. Tak więc Optima ma prawo nie działać przez VPN i bez rzeźbienia w ODBC raczej nic nie zdziałasz.

I podstawowa zasada - aplikacje korzystające z SQL nie puszcza się VPNem, tylko ma się pod to serwer terminali.

Kontaktuj się ze swoim partnerem Comarch i niech rozwiążą Ci problem.

Nie chcę się reklamować, ale jeśli potrzebujesz pomocy, to mogę Ci pomóc, ale oczywiście na fakturę.

Co do pulpitu zdalnego, używasz nazwy NetBIOS, która nie działa między podsieciami. Ewentualnie problem rozwiązałby suffix DNS. Ile czasu pracujesz w IT?

W Twoim przypadku IPSec nie rozwiąże Twoich problemów.

Wypycha, jak to IPSec na każdym innym urządzeniu - taka jest specyfika IPSec. Nie ważne czy to Mikrotik, czy Cisco - działa tak samo. Dlatego IPsec z trzech powodów jest najlepszą opcją:

  1. Jest uniwersalny;
  2. Działa na L3;
  3. Daje największe możliwości.

Niestety OVPN jest trudniejszy w konfiguracji, działa na L4, jest mało popularny, co sprawia że na wielu urządzeniach jest niedorobiony lub nie ma go w ogóle i niestety SSTP w kwestii SSL-VPN bije go na głowę. O ile nie lubię rozwiązań Microsoftu, niestety SSTP z SSL-VPN jest w mojej opinii najlepszym rozwiązaniem i przede wszystkim mniej upierdliwym, niż OVPN, nawet na MT lepiej użyć SSTP, niż OVPN. Pomijam SSL-VPN na Cisco, bo to jak Cisco - vendor only.

1lajk

OpenVPN

Ok, sorki. Pisaliśmy o IPSec, myślałem że mowa o IPSec. W MT można wypchać DNS na OVPN.

Tak, wypycha.

“Wszyscy wiedzą, że czegoś nie da się zrobić, aż znajdzie się taki jeden, który nie wie, że się nie da, i on to robi.”

Działa z plikiem hosts.

Dzięki, spróbuję też tej metody.

Dzięki za propozycję, ale chciałbym “sam” rozwiązać problem.

Chyba za krótko. :wink:

Oczywiście wiem o NetBIOS. Mam dostęp również do innej sieci, gdzie routerem brzegowym jest TP-Link Archer C6. Na tym routerze OpenVPN można w prosty sposób uruchomić i … wszystko działa bez najmniejszego problemu. Niestety, albo i stety w przypadku mojej sieci nie mogłem użyć C6, bo mi wycinał ramki VLANów.

W przypadku C6 widzę (gdy użyję polecenia ipconfig /all), ze jest dodatkowy wpis:

NetBIOS over Tcpip

Nie pisałem, że się nie da, pisałem że trzeba rzeźbić.

Cieszy, że chcesz sam, ale jednak Optimę czy XLa trzeba znać bardzo dobrze i bez szkoleń Comarchu ciężko się w tym odnaleźć, szczególnie przy kwestiach wdrożeniowych. Osobiście nie wdrażam i nie zajmuję się Optimą poza instalacją i szykowaniem SQL, ale mam od tego kolegę, który się w tym specjalizuje.

Ważne, że masz chęci i ambicje :+1:

Ło panie :smiley:

Akurat z tym routerem miałem same problemy - w domu. Straszny badziew.