Serwer DNS na routerze

[gorus1]

Czy jest możliwość skonfigurowania własnego serwera DNS na routerze z tomato bądź dd-wrt? Mam zestawiony tunel openvpn (interfejs TUN) pomiędzy sieciami za pomocą routerów z dd-wrt i chciałbym żeby te sieci mogły się widzieć po nazwach netbios, ale nie chciałbym używać żadnych zewnętrznych serwerów tylko właśnie rotuery.
Chyba, że jest jakiś inny sposób na to, żeby hosty poszczególnych sieci widziały się w otoczeniu sieciowym...

[Jo_gurt]

Na OpenWRT jak najbardziej można odpalić DNS:
http://wiki.openwrt.org/doc/howto/dns.maradns

[key]

Czy jest możliwość skonfigurowania własnego serwera DNS na routerze z tomato bądź dd-wrt?

W Tomato jest zainstalowany DNSMASQ. Mozna do niego dolaczyc wlasna liste hostow (poza /etc/hosts).

Chyba, że jest jakiś inny sposób na to, żeby hosty poszczególnych sieci widziały się w otoczeniu sieciowym

Wklej pliki konfiguracyjne serwera i klienta.

[gorus1]

Korzystałem z tego http://www.dd-wrt.com/wiki/index.php/Op ... wo_routers turtorialu.

[key]

Jestem z ciebie dumny.

Fajnie by bylo, gdybys jednak podal konfiguracje, tzn. jakie masz podsieci, jak sa laczone, jak jest ustawiony routing.

IMHO problemem jest wybrany interface - TUN nie przekazuje wszystkich pakietow. Po przelaczeniu na TAP, powinno zaraz. IIRC DNS nie jest potrzebny do NETBIOS.

[gorus1]

Identycznie jak w powyższym turtorialu tzn. jedyne co się różni to port (zamiast 2000 mam 1194). Poza tym to podsieć na routerze serwerze vpn to 192.168.1.0/24, a na routerze kliencie vpn 192.168.2.0/24.
Celowo wybrałem tun, a nie tap ze względu na obciążenie sieci. TAP działa w innej warstwie i router z serwerem openvpn przekazuje ze swojego DHCP klientom adresy IP. Testowałem to i działa wszystko również po NETBIOS name, ale jak już wspomniałem chodzi tu o obciążenie sieci i dlatego zdecydowałem się na interfejs TUN.

[key]

Wstaw w konfiguracji DNSMASQ odpowiednie linijki.

BTW: mysle ze roznicy w obciazeniu sieci nie zauwazysz. Ale jesli jaraja cie numerki z benchmarkow...

[gorus1]

Dzięki key za podpowiedź. Mam rozumieć, że te linijki to lista netbios name hostów z obydwu sieci?

[key]

Si - dokladnie to samo co wpisal bys w zewnetrznym serwerze DNS. Mozesz tez sprobowac z wpisaniem hostow w plik /etc/hosts na obu routerach. O koniecznosci ustawienia DHCP po MAC nie musze chyba pisac?

[gorus1]

Teraz już nie musisz - choć nie wiem jak to się robi to gdzieś doczytam się dowiem.
Poz tym jest jeszcze jeden argument za interfejsem TUN - jeżeli wysypie się router z serwerem openvpn to druga sieć będzie funkcjonować, natomiast przy interfejsie TAP raczej nie (bo na routerze kliencie będzie wyłączony serwer DHCP więc hosty nie będą mogły z nikąd pobrać adresów IP).

[key]

Poz tym jest jeszcze jeden argument za interfejsem TUN

Ten argument niestety nie jest poprawny. TAP robi broadcast, po urwaniu polaczenia po prostu jest czarna dziura zamiast drugiej sieci. Obie sieci dzialaja poprawnie, nie dziala tylko polaczenie miedzy nimi (no chyba ze masz jakies magiczne konfiguracje typu "tuneluj polaczenie z internetem").

[gorus1]

No dobrze, ale czy aby nie trzeba wyłączyć DHCP po stronie routera klienta w celu otrzymania adresów z routera serwera vpn? W takim wypadku przy dłuższej awarii np. następnego dnia sieć za rotuerem klientem vpn "nie wstanie", bo nie będzie funkcjonował serwer DHCP. Chyba, że nie trzeba wyłączać serwera DHCP na rotuerze kliencie, ale tego nie testowałem.

[key]

Teraz mnie zaskoczyles. U mnie wyglada to w nastepujacy sposob:

Serwer w domu (Freetz7390) IP 192.168.178.1
Klient (TomatoVPN) IP 192.168.2.1

Po polaczeniu sie mam w kazdej sieci po dodatkowym kliencie (n.p. 192.168.178.200 na serwerze) i dodatkowa route (adresy 192.168.2.x kierowane przez interface 192.168.178.200). Na kliencie vice-versa.

Kazda z sieci pozatym jest niezalezna: wlasne serwery DHCP, bramki, firewalle etc. Gdy VPN jest wylaczony, wszystko dziala poprawnie, podlaczenie VPN daje mi "tylko" n.p. mozliwosc polaczenia sie z NASem w sieci A z sieci B.

[gorus1]

U mnie obydwa routery na tomato (w momencie testów na interface tap). Na obydwu routerach podstawowa konfiguracja openvpn (serwer i klient). Szyfrowanie za pomocą static key. Wyglądało to w ten sposób, że na routerze kliencie było wyłączone DHCP, a hosty za routerem klientem otrzymywały adresy IP z routera serwera. Efekt był taki, że hosty zza obydwu routerów pracowały w jednej sieci.
Nie pamiętam już z jakiego turtorialu korzystałem więc nie wiem, czy był przymus wyłączenia tego DHCP na kliecie.

[key]

Ta konfiguracja jest troche dziwna - Miales rozne podsieci czy ta sama?

[Jo_gurt]

TAP sugeruje możliwość łączenia w jedną sieć i o to chyba chodzigorus1.

[key]

Tyle ze OP ma skonfigurowany TUN (routing). TAP umozliwia zarowno bridging jak i routing.

[gorus1]

Jo-gurt dobrze mnie zrozumiał. Wszystko było wtedy w jednej sieci (bridging, bo jak pisałem używałem wtedy interfejsu TAP).

[key]

Wszystko było wtedy w jednej sieci (bridging, bo jak pisałem używałem wtedy interfejsu TAP).

To wyjasnia dlaczego przekazywane byly pakiety z DHCP. Tutaj masz racje - w wypadku padniecia polaczenia nie bedzie dzialac odlaczona siec.

[gorus1]

..., ale dzięki za naprowadzenie, bo do tej pory byłem przekonany, że przy TAP nie umożliwia routingu.
Pozostaje tylko pytanie czy routingu intefejsu TAP będzie można komunikować się pomiędzy sieciami po netbiosname?

[key]

byłem przekonany, że przy TAP nie umożliwia routingu.

Patrz na moja konfiguracje.

czy routingu intefejsu TAP będzie można komunikować się pomiędzy sieciami po netbiosname?

Tak. TAP przerzuca wszystkie pakiety miedzy sieciami -> ISO/OSI level 2. Tunel routuje tylko pakiety IP.

[gorus1]

Ok, to w zasadzie wszystko jasne i dużo mi to rozjaśniło więc biorę się za konfigurację o nowa. Z tym, że w tomato trzeba będzie konfigurować ręcznie serwer vpn, bo przy podstawowej konfiguracji nie można statycznie przydzielić IP interfejsowi tap.

[key]

Mozesz przydzielic IP na podstawie nazwy certyfikatu ktorym laczy sie client.

Uzywasz TomatoVPN?

[gorus1]

Teraz tak - tomato. Ogólnie to lepiej mi się konfigurowało dd-wrt, ale mam problem z jakością wifi (parametr RSSI na tomato mam -60dBm, a na dd-wrt -75dBm), a provider uwierzytelnia po PPPoE i stąd w trybie AP-client na dd-wrt nie mogę uwierzytelnić się z providerem, ale to już inny temat. Poza tym to chciałbym docelowo autoryzować nie po static key, ale po TLS (trzy certyfikaty) więc nie wiem czy tu mogę przydzielić ip na podstawie nazwy certyfikatu.

[key]

więc nie wiem czy tu mogę przydzielić ip na podstawie nazwy certyfikatu.

Ja tak mam zrobione.

[gorus1]

Robi się to przy generowaniu certyfikatów czy w jakiś inny magiczny sposób?

[key]

Przy generacji certyfikatow (n.p. przy uzyciu OpenVPNgui) nadajesz im nazwy. Potem wpinasz nazwe w konfiguracji.

Niestety nie pomoge Ci z Tomato - na nich mam tylko klientow.

[gorus1]

OK, dzięki i tak dużo mi pomogłeś - jeszcze raz wielkie dzięki.

[ Dodano: 2011-09-09, 19:47 ]
Przepraszam, że ponawiam wczorajszy temat, ale dokładnie postąpiłem wedle waszych sugestii i skonfigurowałem routery na tomato do połączenia sieci poprzez inteface TAP. Wszystko ok, sieci się widzą, routing działa itd., ale nie działa właśnie to o czym wczoraj była rozmowa tj. netbiost tzn. nie mogę pingować po nazwach netbios. To pytanie bardziej kieruję do key-a (doświadczonego specjalisty nie umniejszając oczywiście innym ) - co może być przyczyną, że komputery się nie widzią po nazwach netbios?
Poniżej konfiguracja openvpn na tomato:
Server:
-start width wan
-interface type: tap
-protocol: UDP
-port: 1194
-firewall: automatic
-autorisation mode: TLS
-Extra HMAC autho: disabled
-Client address pool: (haczyk przy DHCP)
-dev tap0
-client-to-client
, ponadto w startup wpisane:

Kod: Zaznacz cały

brctl addif br0 tap0
ifconfig tap0 0.0.0.0 promisc up
sleep 5
route add -net 192.168.2.0/24 dev br0

Klient opnevpn skonfigurowany analgicznie. Proszę o jakieś sugestie.

[gorus1]

Przepraszam admina, że podbiłem post, ale wcześniejszy mój wpis po scaleniu pozostał nie zauważony gdyż wyświetlał się z datą przedostatniego wpisu. Proszę o pozostawienie w tej formie i ewentualne późniejsze sklejenie moich ostatnich wpisów.

[key]

co może być przyczyną, że komputery się nie widzią po nazwach netbios?

Trudno mi okreslic na odleglosc. IIRC ping na netbios nie dziala, potrzebny jest DNS.

Zobacz wynik "net view" - sa wszystkie kompy dostepne?

nslookup \\hostname odpowiada poprawnym IP?

Mozesz tez wkleic wynik "route print", "brctl" i "ifconfig" z serwera i klienta - moze cos bedzie widac.