Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Сервер OpenVPN с Windows Radius и доменами., UniFi Network
 
#1
30.03.2025 17:02:00
Настраиваю систему с UDM-Pro-Max, Windows RADIUS и Windows Environment. У меня OpenVPN-сервер настроен на использование Windows RADIUS-сервера, который раньше был сконфигурирован для работы со старым файрволом Sophos, который использовал L2TP и SSL VPN (OpenVPN). Для настройки клиента я использовал OpenVPN-сервер для предоставления IP-адресов клиентам и добавил наши Windows DNS-серверы в качестве основных и дополнительных DNS-серверов. Пользователи могут подключаться без проблем. Однако они не могут получить доступ к своим компьютерам по имени, вместо этого им приходится использовать FQDN. То же самое происходит, если я пингую машины по имени, запрос заканчивается тайм-аутом, но если я пингую их по FQDN я получаю ответ. Если я выполняю NSlookup, я получаю первый DNS-сервер без ошибок, если я ввожу имя машины, это не удается, если я ввожу FQDN я получаю ответ. Если я открываю NSlookup на любом из моих DC, и ввожу имя машины, я получаю нужный мне ответ — IP-адрес машины. Кажется, есть разрыв между OpenVPN и DNS, который не позволяет не-FQDN проходить, и разрешает только FQDN. У кого-нибудь такой опыт был?

Спасибо,
 
 
 
#2
04.04.2025 13:44:00
Ну, технически мы не должны разворачивать VPN-доступ в корпоративной среде, потому что они больше не безопасны. Есть другие точки доступа, которые мы должны использовать вместо них и которые не требуют VPN. В случае, если нам всё же нужен VPN-доступ, их нужно настраивать многоуровнево. На YouTube есть видео, где говорят что-то вроде "безопасны ли сейчас VPN: спросите хакера" или что-то в этом роде. Я оказался в ситуации, когда владельцы этого бизнеса так убеждены, что VPN — это лучшее, что случалось с человечеством после хлеба, и что ничего другого не безопасно, что у меня особо нет выбора. Я мог бы уйти, но следующий парень просто сделает то, что я отказывался делать, или же я буду плыть по течению, жаловаться начальнику, сохраняя все свои письма в безопасном месте на случай, когда всё обернётся кошмаром, а это неизбежно. :) Ещё одна проблема с Ubiquiti OpenVPN — отсутствие возможности отключить пользователей от VPN. Что произойдёт, если пользователь забудет отключиться дома и его увольняют на следующий день? Или хотя бы опция таймаута, если сотрудник остаётся в сети на неопределённое время. Я сначала думал, что это зависит от Microsoft RADIUS-сервера, но, как выяснилось из сообщества OpenVPN, это не так, это зависит от самого OpenVPN-сервера. Спасибо.
 
 
 
#3
04.04.2025 07:29:00
В итоге получается вот что: 2 отдельные сети (Windows и OpenVPN) с одним DNS. Сеть Windows настроена с контроллером домена, DHCP и DNS, всё работает как надо. Сеть OpenVPN настроена со своим DHCP, но использует DNS из Windows. Проблема в том, что DHCP-сервер OpenVPN не обновляет информацию в DNS-сервере Windows и не выдает суффикс домена Windows клиентам OpenVPN. Как результат, клиенты OpenVPN воспринимают DNS-сервер Windows как DNS-сервер интернета, потому что не знают другого.

У меня сейчас нет доступа к UniFi-контроллеру, поэтому не могу проверить, можно ли указать суффикс домена, который выдает DHCP-сервер UniFi. Опция "dns-domain-suffix" – это то, о чем я говорил, когда упоминал о выдаче домена через OpenVPN. Я не использую OpenVPN-сервер UniFi, предпочитаю запускать свой на Linux-боксе, где у меня гораздо больше контроля.

Согласен, что опция "dns-domain-suffix" была бы неплоха в OpenVPN-сервере UniFi, но у Ubiquiti наверняка есть свои причины, почему она пока не включена.
 
 
 
#4
02.04.2025 11:17:00
Сервер OpenVPN работает на UDM-Pro-Max. DHCP-сервер хостится самим сервером OpenVPN. А DNS-сервера для DHCP-сервера хостятся нашими Windows DNS-серверами. Нет, OpenVPN Server не предоставляет доменное имя, такой опции нет в настройках на OpenVPN Server от Ubiquiti. Не уверен, как твои ссылки на localdomain здесь применимы, так как мы не используем файрвол-based DNS. Всё, кроме нашего WAN, проходит через наши локальные Windows DNS-сервера. В конце концов, в OpenVPN Server под настройками DHCP-сервера должна быть опция "доменное имя" или "суффикс домена". Я знаю это просто: если я меняю суффикс домена в адаптере OpenVPN Connect VPN на клиентской машине под DNS и переподключаюсь к VPN, я могу пинговать машины по имени, не используя FQDN. Что возвращает меня к основной проблеме – отсутствующему суффиксу домена; знаю, что много людей запрашивали его, но Ubiquiti похоже предпочитают закрывать на это глаза, оставляя всё сломанным. :(Кто-то прислал мне что-то на Reddit, что возможно есть команда, которую можно добавить в ярлык OpenVPN Connect-клиента --dns domain-suffix, и я хочу это проверить, но в конечном итоге, это должно быть уже опцией на OpenVPN Server в UDM.
 
 
 
#5
02.04.2025 06:14:00
Вы указали, что используете DNS-серверы Windows, а не UniFi (Ubiquiti). Ваше оборудование Ubiquiti обеспечивает сетевое подключение, но RADIUS и DNS предоставляются Windows. Где работает ваш OpenVPN-сервер? Также, где работает DHCP (конкретно, откуда OpenVPN-сервер берёт IP-адреса для выдачи подключениям клиентов) и предоставляет ли он доменное имя? Чтобы настроить localdomain в UniFi, посмотрите на эту страницу. В частности, раздел "Change localdomain".
 
 
 
#6
31.03.2025 11:46:00
Ну и как тогда этот домен поиска, его добавление, относится к Ubiquiti?
 
 
 
#7
31.03.2025 07:46:00
Да, это типичное поведение DNS-сервера. Если посмотреть на записи DNS на DNS-серверах Windows, то увидишь, что они разделены на зоны (у тебя может быть только одна, но я видел системы с несколькими зонами). Когда ты делаешь запрос, используя FQDN, сервер проверяет, есть ли у него эта зона FQDN, и, если есть, возвращает информацию, которую он имеет, или, если у него нет зоны FQDN, передает запрос на вышестоящий DNS-сервер. Когда ты делаешь запрос с DC, он предполагает, что, если ты указываешь только имя компьютера, компьютер находится в текущем домене, и поэтому добавляет этот домен к имени компьютера. Затем созданный FQDN будет использоваться для DNS-запроса. В Linux-системах ты можешь указать "search domain", который будет автоматически добавляться к любому DNS-запросу, где указано только имя компьютера. Я быстро поискал и нашел эти страницы, которые могут помочь с OpenVPN:

OpenVPN Domain Suffix
Open VPN Community Wiki and Tracker #1209
 
 
 
Страницы: 1
Читают тему (гостей: 1)