Почту оно почему то не всю подтягивает, а так же не позволяет отправлять письма по smtp, если не указать полностью email с доменом в виде логина, а прослойка в виде exchange->davmail не позволяет использовать полный адрес почты в виде логина.
Valentin Barbolin, вот последний вариант более менее понятен, что в postup добавляется
ip route add 192.168.88.0/24 dev wg0 например.
А на сервере то необходимо какие то маршруты в postup добавлять или хватит того, что wg из allowedips сделает?
По поводу трансляции адресов snat и маскарад. От части вы оказались правы.
Проделав небольшой тест, в данном случае, на wg сервере и wg client2 используется snat. За клиент2 находятся помимо рабочих станций, другие сервисы, типа, астериска, домена, веб, дб, рдп и прочий мусор.
Если стучаться из внешней сети, по ip wg сервера, он же через тунель бросает трафик client2, тот в свою очередь через prerouting пересылает трафик нужному устройству в своей локальной сети. Тут выходит, что оконечный сервер получатель видит внешний ip своего клиента. А вот в сети LanToLan получатель в сети client2 видит ip nat-а client3 (в данном случае, 10.8.0.3, вместо 192.168.88.3).
Если делать через маскарад, вместо snat, то появляется проблема, что при подключении из внешней сети к серверу за nat client2, сервер видит ip своего шлюза. Может подскажете способ, чтобы и через LanToLan были из соседних сетей винды IP клиентов, при этом из внешнего мира тоже были видны внешние ip клиентов, а не ip ната, в котором находится сервер?
Проверить Ваши предложения смогу только завтра, обязательно отпишусь о результатах.
Valentin Barbolin, т.е. то, что в строках postup и postdown добавление маршрутов не нужно, если allowedips уже есть?
Не очень понял
ip route add 192.168.10.0/24 dev enp4s0 table 100; на клиенте, у которого и так локальная сеть 192.168.10.0/23 еще через сетевой интерфейс enp4s0, который смотрит в интернет (тут опечатка и должно быть enp3s0 ?)
Valentin Barbolin, подскажите, по поводу маршрута в микротике, правильно понимаю, что в ip->routes добавляю в dst. address подсеть, в которую хочу стучаться из сети микрота стучатся и в качестве шлюза wireguard интерфейс?
Valentin Barbolin, в данном случае, не только LanToLan. Необходимо, чтобы внешние пользователи из интернета, стучась к серверу на бору которого находится wireguard server, отправлялись к его клиентам, на которых находятся необходимые службы.
Ziptar, так знать бы где его там прописывать. Я уже забыл как wg на микроте настраивал, а теперь даже в веб интерфейсе не удается найти в настройке wg аналогичный параметр. Возможно, в ip->addresses, но у меня есть сомнения.
Ziptar, snat необходим для правильной трансляции адресов из входящей сети. Если сделать это через маскарад, то устройства, среди которых есть и веб сервер, к котором стучатся с внешней сети через wg, будут получать ip адреса своего шлюза, а не удаленного клиента.
Мне ничего не мешает адаптировать конфиги содержащие eth0 под свой конфиг.
Интересно, что добавив только на сервере в AllowedIPs подсеть другой сети, уже сработало, без добавления клиентам дополнительного AllowedIPs. Возможно, клиентам нужно тоже добавить (хотя пока не знаю зачем), но есть еще 4ый клиент, который на микротике, у которого есть wireguard и хз как ему AllowedIPs прописать.
Спустя 5 месяцев тестов работы, выяснилось, что проблема именно в NTLM, через Kerberos авторизации проблем не возникает. В данном случае, в политиках сетевая шара указана теперь FQDN вместо IP и отвалов 5 месяцев нет на всем парке рабочих станций.
rPman, Что там ковырять? Достаточно в сетевую шару заглянуть, чтобы увидеть, что перенаправляемые папки в ней находились. trunas scale на дебиане. Версия на truenas sambы в данный момент 4.18.9. Я вывод прав с винды прикреплял. И даже указал на то, что если сменить ip в политике, то проблема исчезает на какое то время. А так же, с другой машины этот же пользователь имеет нужный доступ к этим файлам. Не нужно много ума, чтобы убедиться в расположении файлов.
На данный момент ip в политике перенаправляемых папок изменены на FQDN и на данный момент эта проблема на какое то время ушла (хотелось бы навсегда). Но потянула другую проблему за собой. Файлы из сетевой папки при входе пользователя перемещаются в ту же сетевую папку и первый вход с обновленной политикой очень замедляется на Folder Redirection.
Например, если оно опять отвалится, но уже на другой станции. Как я писал ранее, уже не с первой рабочей станцией такое произошло. Правда, на предыдущей, отвал был у всех пользователей с небольшим интервалом.
Alexey Dmitriev, с любым изменением адреса шары с проблемной станции с проблемного пользователя входит и позволяет делать в нужной директории все, что угодно. Хоть другой IP, хоть netbios, хоть FQDN (в данном случае его и установили в политике, для временного решения проблемы).
Запретов нет, нужные права есть. К первому посту вывод прав (icacls ) прикреплен.
Effective Access пока не проверили, за станцией работают и адрес перемещаемой папки сейчас задан FQDN, поэтому на данный момент этот пользователь может работать со своей директорией. Вернуть ip адрес для проверки получится только после рабочего дня.
На счет понижения до NTLM не в курсе. Только сейчас заметил, что подключении rdp по IP а не имени, тоже проверка через kerberos не проходит. Исторически сложилась IP адресация.
Но вот вопрос. Как это может данную проблему вызвать, с учетом того, что пользователь в итоге доступ к своей сетевой директории получает, но не может только создать файл, а все остальные права отрабатывают? И то, что с другим IP такая же беда не вылезает? А пока, конечно же, сменили IP на netbios имя в политиках.
Если бы это было проще, давно перевели бы. У нас используются в работе видео ролики, которые терминальный сервер хорошо нагрузят, а так же ПО с интерактивными досками, которое с rdp никак не дружит. Я уж не говорю о каких то программах спускаемых сверху.
Образовательная организация. Роспотреб заставил бегать педагогов по кабинетам, а не детям ходить.
По поводу перемещения профилей, на гигабитных портах первый вход занимает 5 секунд. Последующие входы вообще не занимаются процедурой создания профилей. Пользователь даже не замечает.