Wydaje mi się, że czegoś mi brakuje, ponieważ od wielu lat używam mojego OpenVPN z klientami Debian, Fedora i Macintosh. Nigdy nie miałem problemów z dostępem do udziałów w mojej domowej sieci LAN, na której znajduje się mój serwer openvpn.
Mogę uzyskać dostęp do SMB, AFP i NFS bez problemów.
Ale ostatnio korzystam z OpenVPN na kliencie Windows 7 i nie mogę uzyskać dostępu do żadnych udziałów.
Na przykład mój serwer Synology NAS pod adresem nas.mylan.local ma te trzy udostępnione przeze mnie udziały i mogę zalogować się do jego interfejsu internetowego, rozwiązać go przy użyciu zarówno nas, jak i nas.mylan.local z klienta Windows, ale nie mam dostępu do Akcje.
Próbowałem na przykład \ nas \ Downloads, \ nas.mylan.local \ Downloads i próbuję odkryć to za pomocą Centrum sieci i udostępniania.
Jeśli podam bezpośrednią ścieżkę, dostanę monit o zalogowanie, klient Windows, który zrobiłem, jest AD połączony z inną firmą, więc wpisuję \ Nazwa użytkownika, aby zanegować domenę.
Hasło działa w internetowym interfejsie GUI, ale w oknie udostępniania pojawia się błąd, mówiąc coś w stylu „Użytkownik nie ma dostępu z tego komputera”.
Urządzenie Tap, którego używa OpenVPN, ma zasięg publiczny, więc wszedłem do zapory systemu Windows i próbowałem dodać moje adresy LAN i mój adres VPN do listy dozwolonych publicznych adresów IP SMB w regule dla zakresu publicznego.
Ale nie ma kości. Później zauważyłem też, że zapora systemu Windows została wyłączona.
Próbowałem także przejść do opcji udostępniania zakresu i ustawienia zezwolenia na przychodzące żądania udostępniania w zakresie publicznym.
Co słychać w systemie Windows 7 i udostępnianiu przez OpenVPN? Zakładam, że jest to funkcja bezpieczeństwa firmy Microsoft, która uniemożliwia mi dostęp do moich udziałów, ponieważ wszyscy inni klienci działają dobrze.
Jest to konfiguracja serwera openvpn, z której korzystam kilka lat, wcześniej była nieco inna na serwerze Debian.
server 10.8.0.0 255.255.255.0
port 1194
proto udp
dev tun0
comp-lzo
keepalive 10 120
tls-auth minserver_static.key 1
ifconfig-pool-persist ipp.txt
persist-key
persist-tun
user openvpn
group openvpn
push "redirect-gateway def1"
push "dhcp-option DNS 10.8.0.1"
push "dhcp-option DOMAIN domain.local"
ca ca.crt
cert minserver.crt
key minserver.key
dh dh2048.pem
#status /var/log/openvpn/openvpn-status.log
#log-append /var/log/openvpn.log
#verb 3
Oto konfiguracja klienta Windows 7, o której mowa. Jest dokładnie tak, jak w moich konfiguracjach dla Linuksa, Maca i Androida. Mam skrypty bash i szablony, które generują konfiguracje, ale pominąłem tutaj certyfikaty i klucze.
client
dev tun
proto udp
remote minserver 1194
resolv-retry infinite
nobind
persist-key
persist-tun
mute-replay-warnings
resolv-retry infinite
comp-lzo
push "redirect-gateway def1"
push "dhcp-option DNS 10.8.0.1"
push "dhcp-option DOMAIN domain.local"
# Comment this for the ovpn config
;tls-auth minserver_static.key 0
;ca ca.crt
;cert .crt
;key .key
<ca>
...
</ca>
...
Moja konfiguracja iptables na serwerze jest bardzo prosta, tylko te reguły.
sudo firewall-cmd --add-service=openvpn
sudo firewall-cmd --permanent --zone=trusted --add-interface=tun0
sudo firewall-cmd --permanent --zone=trusted --add-masquerade
sudo firewall-cmd --permanent --direct --passthrough ipv4 -t nat -A POSTROUTING -s 10.8.0.0/24 -o enp2s0 -j MASQUERADE
sudo firewall-cmd --reload
Wątpię, że jest to problem z serwerem openvpn, najprawdopodobniej jest to coś w systemie Windows.
źródło
\\nas.mylan.local\Downloads
spróbować\\ip.ip.ip.ip\Downloads
tun
który działa jak router, więc nie omijaj ruchu rozgłaszanego, który SMB bardzo lubi. Możesz spróbować przełączyć się natap
, ponieważ jest to warstwa 2 (ethernetowa), która działa jak przełącznik i omija brodcasty SMB / CIFS, ale będzie spamować tunel VPN z transmisjami. Jeśli masz przyzwoitą przepustowość między stronami, to nie jest problem