Jak uzyskać dostęp do udziałów LAN z OpenVPN na Windows 7?

0

Wydaje mi się, że czegoś mi brakuje, ponieważ od wielu lat używam mojego OpenVPN z klientami Debian, Fedora i Macintosh. Nigdy nie miałem problemów z dostępem do udziałów w mojej domowej sieci LAN, na której znajduje się mój serwer openvpn.

Mogę uzyskać dostęp do SMB, AFP i NFS bez problemów.

Ale ostatnio korzystam z OpenVPN na kliencie Windows 7 i nie mogę uzyskać dostępu do żadnych udziałów.

Na przykład mój serwer Synology NAS pod adresem nas.mylan.local ma te trzy udostępnione przeze mnie udziały i mogę zalogować się do jego interfejsu internetowego, rozwiązać go przy użyciu zarówno nas, jak i nas.mylan.local z klienta Windows, ale nie mam dostępu do Akcje.

Próbowałem na przykład \ nas \ Downloads, \ nas.mylan.local \ Downloads i próbuję odkryć to za pomocą Centrum sieci i udostępniania.

Jeśli podam bezpośrednią ścieżkę, dostanę monit o zalogowanie, klient Windows, który zrobiłem, jest AD połączony z inną firmą, więc wpisuję \ Nazwa użytkownika, aby zanegować domenę.

Hasło działa w internetowym interfejsie GUI, ale w oknie udostępniania pojawia się błąd, mówiąc coś w stylu „Użytkownik nie ma dostępu z tego komputera”.

Urządzenie Tap, którego używa OpenVPN, ma zasięg publiczny, więc wszedłem do zapory systemu Windows i próbowałem dodać moje adresy LAN i mój adres VPN do listy dozwolonych publicznych adresów IP SMB w regule dla zakresu publicznego.

Ale nie ma kości. Później zauważyłem też, że zapora systemu Windows została wyłączona.

Próbowałem także przejść do opcji udostępniania zakresu i ustawienia zezwolenia na przychodzące żądania udostępniania w zakresie publicznym.

Co słychać w systemie Windows 7 i udostępnianiu przez OpenVPN? Zakładam, że jest to funkcja bezpieczeństwa firmy Microsoft, która uniemożliwia mi dostęp do moich udziałów, ponieważ wszyscy inni klienci działają dobrze.

Jest to konfiguracja serwera openvpn, z której korzystam kilka lat, wcześniej była nieco inna na serwerze Debian.

server 10.8.0.0 255.255.255.0
port 1194
proto udp
dev tun0
comp-lzo
keepalive 10 120
tls-auth minserver_static.key 1

ifconfig-pool-persist ipp.txt
persist-key
persist-tun

user openvpn
group openvpn

push "redirect-gateway def1"
push "dhcp-option DNS 10.8.0.1"
push "dhcp-option DOMAIN domain.local"

ca ca.crt
cert minserver.crt
key minserver.key
dh dh2048.pem

#status /var/log/openvpn/openvpn-status.log
#log-append /var/log/openvpn.log
#verb 3

Oto konfiguracja klienta Windows 7, o której mowa. Jest dokładnie tak, jak w moich konfiguracjach dla Linuksa, Maca i Androida. Mam skrypty bash i szablony, które generują konfiguracje, ale pominąłem tutaj certyfikaty i klucze.

client
dev tun
proto udp
remote minserver 1194
resolv-retry infinite
nobind
persist-key
persist-tun
mute-replay-warnings
resolv-retry infinite
comp-lzo

push "redirect-gateway def1"
push "dhcp-option DNS 10.8.0.1"
push "dhcp-option DOMAIN domain.local"

# Comment this for the ovpn config
;tls-auth minserver_static.key 0
;ca ca.crt
;cert .crt
;key .key

<ca>
...
</ca>
...

Moja konfiguracja iptables na serwerze jest bardzo prosta, tylko te reguły.

sudo firewall-cmd --add-service=openvpn
sudo firewall-cmd --permanent --zone=trusted --add-interface=tun0
sudo firewall-cmd --permanent --zone=trusted --add-masquerade
sudo firewall-cmd --permanent --direct --passthrough ipv4 -t nat -A POSTROUTING -s  10.8.0.0/24 -o enp2s0 -j MASQUERADE
sudo firewall-cmd --reload

Wątpię, że jest to problem z serwerem openvpn, najprawdopodobniej jest to coś w systemie Windows.

Stefan Midjich
źródło
Myślę, że problem dotyczy rozwiązywania nazw. Spróbuj uzyskać dostęp do udziału według adresu IP zamiast nazwy, więc zamiast \\nas.mylan.local\Downloadsspróbować\\ip.ip.ip.ip\Downloads
Alex
@Alex Spróbuję, kiedy wrócę do klienta, ale dzięki temu będzie to bardzo specyficzne dla systemu Windows, ponieważ wspomniałem, że rozpoznawanie nazw za pomocą polecenia ping i przeglądarki internetowej działa dobrze.
Stefan Midjich
Chyba dlatego, że używasz tego, tunktóry działa jak router, więc nie omijaj ruchu rozgłaszanego, który SMB bardzo lubi. Możesz spróbować przełączyć się na tap, ponieważ jest to warstwa 2 (ethernetowa), która działa jak przełącznik i omija brodcasty SMB / CIFS, ale będzie spamować tunel VPN z transmisjami. Jeśli masz przyzwoitą przepustowość między stronami, to nie jest problem
Alex