ettaluni, ни то, ни другое не помогает. Причём он даже пароль от домена спрашивает, ну, от учётной записи имеющей право на ввод в домен. После успешного ввода логина/пароля - выдаёт ошибку "не найден сетевой путь"
ettaluni, по всем адресам зашло нормально
В логах ничего критичного, кроме служб сертификации AD - там сначала выдаёт ошибку "Не удается подключиться к Active Directory. Новая попытка будет предпринята службами сертификации, когда снова потребуется подключиться к Active Directory.", но следом, через несколько секунд - "Службы сертификации Active Directory для net-NETSERVER-CA запущены. DC=netserver.net.local"
Ну и у DHCP периодически показывает предупреждение - "Этому компьютеру назначен по крайней мере один динамический IPv6-адрес. Для надежной работы DHCPv6-сервера следует использовать только статические IPv6-адреса.", но оно всегда было
Прописываю net.local, как и всегда до этого
ettaluni, если бы не были другие, более явные проблемы с доменом, я бы на самбу грешил, а так нет, дело не в ней. Она просто сигнализирует, что с доменом хрень какая-то.
То что домен "нужно проверять" догадываюсь, вопрос что именно? На самом контроллере вроде как всё в порядке. Где ковырять?
ipconfig /all КД:
spoiler
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : netserver
Основной DNS-суффикс . . . . . . : net.local
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : net.local
ettaluni, есть сеть, все машины в домене. Домен net.local. Есть контроллер домена, он же DHCP сервер, и т.д.
Есть сетевые шары на самбе. В самбе тоже включена авторизация через домен. Так вот началось всё с того что все сетевые шары поотваливались. При попытке войти в них получал ошибку "Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть". У части пользователей ошибка доверительных отношений с доменом. После выведения из домена - обратно не добавляется, не найден сетевой путь. Какие ещё данные нужны?
"То ли я дурак, то ли лыжи не едут". В общем дело оказалось не в лыжах. Попытка установить OpenVPN на телефон помогла разобраться в чём проблема - неправильно указано имя TLS-ключа.
Ziptar, другой, стараюсь порты и ip-адреса не светить в сети. Порты в настройках совпадают, это точно. В показанных тут настройках ip tables забыл поменять )
Перед сервером роутера нет, он сам является шлюзом, интернет в него напрямую приходит.
Ziptar, прикол в том, что на сервере в логах вообще нет ничего в момент подключения, то есть до него соединение не доходит вообще. Порт на сервере открыт, проверял. На клиенте проброс на роутере сделал этого порта и отключил брандмауэр - всё равно не работает.
Логи с более высокой детализацией не вставить, ругается на превышение количества символов.
# Try to preserve some state across restarts.
persist-key
persist-tun
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
;mute-replay-warnings
cert user.crt
key user.key
ns-cert-type server
tls-auth ta.key 1
auth SHA512
tls-version-min 1.2
;cipher x
cipher AES-128-CBC
comp-lzo
verb 5
log /var/log/openvpn.log
# Silence repeating messages
;mute 20
Сервер
spoiler
local 94.xxx.xxx.xxx
port 88888
;proto tcp
proto udp
;dev tap
dev tun1
;dev-node MyTap
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key # This file should be kept secret
Ziptar, да уже неважно, всё равно делаю сервер на другом шлюзе. Столкнулся с проблемой - клиент не подключается:
spoiler
Wed Mar 18 19:52:41 2020 MANAGEMENT: >STATE:1584550361,WAIT,,,,,,
Wed Mar 18 19:53:41 2020 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Mar 18 19:53:41 2020 TLS Error: TLS handshake failed
На сервере в iptables прописал
-A INPUT -p udp -m udp --dport 64991-j ACCEPT (64991 - порт OpenVPN на сервере)
но соединения всё равно нет. Или я что-то не так делаю?
Хм, идея возникла такая - а может ли тот шлюз, который щас клиент, быть сервером для этих самых удаленных пользователей? У меня к нему по крайней мере есть удаленный доступ по ssh
Он тоже шлюз по умолчанию, смотрит в интернет и имеет два белых ip
Сертификаты генерить придётся для каждого, потом каждому индивидуально настраивать, через что-то типа ammy или tw... печально.
Да, в рабочей сети сервер с OpenVPN является шлюзом по умолчанию, смотрит в интернет, и имеет белый IP.
Ну, придётся всё таки ехать, потому что связи с шлюзом нет почему-то. Не пойму в чём дело, даже с локальной машины ssh недоступен, Could not connect to '192.168.0.1' (port 22): Connection failed. Пинги ходят
Не подскажете, куда смотреть? Щас всё равно туда поеду, а новую тему поднимать не хочется
А если всё таки на основном? Чтобы поднимать новый, надо ехать в офис, что не совсем удобно. Просто пушить маршруты у клиентов во внутреннюю сеть? Сертификать можно использовать один? Не будет ли конфликта при использовании роутеров у клиентов? (ну к примеру у нескольких клиентов могут быть свои подсети за роутером одинаковые, и адреса машин одинаковые)
Порт используется не стандартный. Но, как уже говорил - на других машинах абсолютно те же настройки, и всё подключается. Снаружи, в пассивном режиме - тоже
ky0, вы мне эту ссылку уже давали. Там столько советов написано, что непонятно, какой из них действующий, а какой из разряда "ну попробуй вот так, не получится, значит не прокатило".
Примерная схема. На данный момент получается что интерфейс по умолчанию - eth1, через него идёт и веб-траффик, и туннель. eth0 по сути простаивает. Нужно чтобы весь веб-траффик шёл через один интерфейс, а туннель через другой. В идеале бы конечно как-то ещё отделить входящий траффик к астеру, но это уже необязательно.
