Ovpn client на микротике. DNS request timed out до КД?

Question

[Max]

Всем привет. У меня тут такая проблема возникла...
Есть офис1. Шлюзом там служит микротик на нем поднят dhcp и ovpn server. Есть второй офис2 шлюзом там тоже служит микротик на котором поднят dhcp сервер и Ovpn клиент.

офис1 сеть 192.168.0.0/24
офис2 сеть 192.168.3.0/24
ovpn сеть 192.168.10.0/24
шлюз офис1 192.168.0.1
шлюз офис2 192.168.3.1
Трафик ходит в обе сетки нормально.
tracert с офис2 до офис1

pastebin.com/wDC6rtMa

tracert с офис1 до офис2

pastebin.com/B4Uhm9tZ

Но у клиентов за роутером в оффис2 при nslookup 192.168.0.28 такая беда DNS request timed out (В офис1 стоит КД с ип 192.168.0.28).

nslookup -d2 на КД с клиента офис2

pastebin.com/8p5KdaAc

Соответственно политики не применяются и т.д.

ipconfig -all на клиенте офис2

pastebin.com/Apnnywtq

Собственно почему DNS request timed out? :pioner:

add: nslookup c офис1 до КД 192.168.0.28 - всё ок. Политики и т.д. работают.

Answer 1

[Клёвый Админ]

Такс, на кд случаем файрвол не включён? В смысле - отключите его и проверьте DNS.
Если это сходу не поможет - то нужно смотреть настройки файрволов на шлюзах, маршруты, манглы и так далее.

Answer 2

[younghacker]

Похоже что клиент из офиса2 получает DNS push из офиса 1.

DNS-серверы. . . . . . . . . . . : 192.168.0.28
                                   8.8.4.4
                                   192.168.3.1

Таймаут может быть потому что:
1) DNS не слушает нужный интерфейс не хочет отвечать в чужую подсеть
2) Нет маршрута
3) Firewall дропает пакеты приходящие из TUN интерфейса
4) OpenVPN ничего не знает о том что чужая подсеть находится за TUN интерфейсом.

Извините, но на из ваших описаний и копипастов нельзя понять где выполнялся пинг и трейсроут. Одно дело если с гейта. Другое если с машины в чужой подсети. Две большие разницы с точки зрения маршрутизации.

P.S.
Я очень поверхностно знаком с микротиковским OpenVPN. Из-за того что его там "кастрировали" — не вижу смысла. Только прошить OpenWRT на неплохое микротиковское железо и получить полный функционал OpenVPN. :)
P.P.S.
Средства шифрования по определению не могут быть закрыты от анализа. Поэтому только OpenSource!

Comments

[Max]

Трейсроут с клиенстких машин, пинги тоже. Клиент из офиса2 получает ДНС от шлюза в офисе2 на котором в свою очередь они прописаны вручную.

[younghacker]

Max: Пингов в описании я не увидел. Но ладно, есть так есть.
Итак. Клиент 192.168.3.60 нормально пингует контроллер домена 192.168.0.28. Значит роутинг работает. Но сервер не отвечает на DNS запрос отправленный с 192.168.3.60. С ним всё в порядке?
1) Проверьте настройку Firewall на контроллере домена. Попробуйте временно отключить и проверить снова.
2) Контроллер домена настроен так что не хочет отвечать в чуждую подсеть.
3) Микротик один или второй или оба режет обращение на 53 порт. Я бы попробовал поставить WinCAP/WireShark на контроллер домена и посмотрел-бы что там приходит на него.

[younghacker]

В догонку. Антивирусы там есть? Выключите файрвол.