Sziasztok!
Az alábbi problémával fordulok hozzátok.
Adott két pfSense platform. Mindegyik 2.3.2-es verzió. Szeretném VPN-el, osztott kulcssal összekapcsolni őket.
A dolgot még az is nehezíti, hogy a VPN szerveren keresztül szeretnék internetkapcsolatot a kliensnek(ahogy a leírásban is van).
Az alábbi leírást használtam:
https://doc.pfsense.org/index.php/Routing_internet_traffic_through_a_si…
A link létre is jön, mindkét eszköz megkapja az IP címeket.
Belső hálózat tökéletesen működik, sőt a kliens a szerveren keresztül éri el a világhálót.
A probléma kb. 10 perc után jelentkezik, amikor minden ok nélkül(a kapcsolat nem szakad meg) a kliens oldalon random nem tudok böngészni.
Ez alatt azt értem, hogy pl hol betölti a hup.hu-t hol nem... - és ez érvényes bármely felkeresni kívánt weboldalra.
Amit próbáltam:
- ping a vpn két végpontja között OK
- ping(vpn kliens oldalról) pl google.com NOK, 100% lost
Én ebből arra tudok gondolni, hogy DNS problémák lehetnek. A két végponton ugyan azok a DNS kiszolgálók vannak alapértelmezettként:
A DNS részhez nem nagyon értek, így bármely akár építő jellegű(akár nem) kritikát szívesen várok!
127.0.0.1
208.67.222.222
208.67.220.220
8.20.247.20
A válaszokat előre is köszönöm!
Hozzászólások
Két gyors kérdés: kliens eredetileg milyen DNS IP-t használ, illetve kliens DHCP-vel kap-e IP-t?
Egy hasonló problémába nekem is sikerült belefutnom: a VPN kapcsolat kihúzásakor a teljes forgalom átment a VPN-en, illetve a VPN kapcsolat lecserélte a DNS IP-ket is. Majd a kliensen időszerűvé vált az IP cím megújítása, ami nem is változott - de a csomagban megjött ám a DNS IP is, amire a kliens gyorsan vissza is váltott, viszont innen kezdve problémás lett a névfeloldás. (Szolgáltató saját DNS, csak saját ügyfeleinek rekurzív DNS. Azzal, hogy a teljes forgalmam a VPN-en ment a net felé, megváltozott a kilépési pont, innen kezdve a szolgáltató nem tekintett ügyfelének.)
Lehet, hogy nálad más a probléma, de érdemes lehet ezt is ellenőrizni.
Köszi a hozzászólást!
A kliens telekomos, és DHCP-n kap IP-t(dinamikus). A kliensnek alapértelmezetten ezek vannak megadva DNS IP-nek:
208.67.222.222
208.67.220.220
8.20.247.20
Azt nem tudom, hogy ennek ellenére, amikor kiépül a kapcsolat a telekomos alapértelmezett DNS IP-n is átmegy-e azt nem tudom.
Amit te írtál, azt hogy tudom ellenőrizni?
Traceroute-nál pl nem hoz eredményt a telekomos DNS-ről, csak azokról amiket én adtam meg neki.
DNS szervert a klienseken az nslookup utilityvel tudod tesztelni.
pl.
nslookup hup.hu
Ha ez nem működik, akkor megpróbálsz direktben IP-re csatlakozni:
telnet 185.43.206.113 25
Ha a telnet kapcsolat működik, akkor a DNS feloldással van a probléma.
Na!
Sikerült megnéznem a dolgot, bocsi hogy ilyen lassan reagálok, de közben el kellett menni dolgozni is :) - szóval, amikor látszólag megszűnik az internetelérés, akkor:
nslookup - nem működik
direkt IP-re csatlakozás megy. Elvileg akkor a DNS feloldás nem működik.
Tettem egy próbát arra is, hogy a kliensből kiveszek minden DNS IP-t, nem oldotta meg a problémát.
Kipróbáltam ez után azt, hogy csak a VPN szerver IP-t adom meg DNS IP-nek. Szintén nem működik.
Proxy(transparent) zavarhatja ezt?
Az /etc/resolv.conf tartalmazza a DNS IP-ket. Ezt érdemes megsasolni - bár ha a rendszered élből felteszi a dnsmasq-ot, hogy gyorsítsa a DNS lekérdezést, akkor itt a 127.0.0.1 vagy 127.0.1.1 fog állni, te meg elkezdheted túrni a dnsmasq konfigját, hogy hol tárolja a forwardereit - és azok mikor és mire változnak.
Fapados megoldás: az /etc/resolv.conf-ba bevésed a 8.8.8.8 és/vagy 8.8.4.4 IP-ket, ezek a kugli névszerverei. Ha ez megoldja a problémát, akkor nem lőttem mellé a diagnózissal. :-)
Átjárókat is jól belőtted az új kapcsolathoz.? Outbound NAT nem foghatja meg.?
--
God bless you, Captain Hindsight..
Közben sikerült a DNS IP-vel játszani, és https forgalom már van, viszont http még nincs, de kis dolgoknak is örülni kell! :)