@WarStyle

Ovpn client на микротике. DNS request timed out до КД?

Всем привет. У меня тут такая проблема возникла...
Есть офис1. Шлюзом там служит микротик на нем поднят dhcp и ovpn server. Есть второй офис2 шлюзом там тоже служит микротик на котором поднят dhcp сервер и Ovpn клиент.

офис1 сеть 192.168.0.0/24
офис2 сеть 192.168.3.0/24
ovpn сеть 192.168.10.0/24
шлюз офис1 192.168.0.1
шлюз офис2 192.168.3.1
Трафик ходит в обе сетки нормально.
tracert с офис2 до офис1

pastebin.com/wDC6rtMa

tracert с офис1 до офис2

pastebin.com/B4Uhm9tZ

Но у клиентов за роутером в оффис2 при nslookup 192.168.0.28 такая беда DNS request timed out (В офис1 стоит КД с ип 192.168.0.28).

nslookup -d2 на КД с клиента офис2

pastebin.com/8p5KdaAc

Соответственно политики не применяются и т.д.

ipconfig -all на клиенте офис2

pastebin.com/Apnnywtq

Собственно почему DNS request timed out? :pioner:

add: nslookup c офис1 до КД 192.168.0.28 - всё ок. Политики и т.д. работают.
  • Вопрос задан
  • 694 просмотра
Пригласить эксперта
Ответы на вопрос 2
ifaustrue
@ifaustrue
Пишу интересное в теллеграмм канале @cooladmin
Такс, на кд случаем файрвол не включён? В смысле - отключите его и проверьте DNS.
Если это сходу не поможет - то нужно смотреть настройки файрволов на шлюзах, маршруты, манглы и так далее.
Ответ написан
Комментировать
@younghacker
Похоже что клиент из офиса2 получает DNS push из офиса 1.
DNS-серверы. . . . . . . . . . . : 192.168.0.28
                                   8.8.4.4
                                   192.168.3.1

Таймаут может быть потому что:
1) DNS не слушает нужный интерфейс не хочет отвечать в чужую подсеть
2) Нет маршрута
3) Firewall дропает пакеты приходящие из TUN интерфейса
4) OpenVPN ничего не знает о том что чужая подсеть находится за TUN интерфейсом.

Извините, но на из ваших описаний и копипастов нельзя понять где выполнялся пинг и трейсроут. Одно дело если с гейта. Другое если с машины в чужой подсети. Две большие разницы с точки зрения маршрутизации.

P.S.
Я очень поверхностно знаком с микротиковским OpenVPN. Из-за того что его там "кастрировали" — не вижу смысла. Только прошить OpenWRT на неплохое микротиковское железо и получить полный функционал OpenVPN. :)
P.P.S.
Средства шифрования по определению не могут быть закрыты от анализа. Поэтому только OpenSource!
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы