OpenVPN + SMB / Windows Share
 

Отстрел башки, блин: уже неделю медитирую. :rocket:
Имеем:
сетка дома 192.168.1.0/24
сетка на работе 192.168.2.0/24
обе за роутерами естественно.
С компа на работе клиентом OpenVPN поднимаем соединение на тачку с FreeBSD дома (сетка VPN 192.168.3.0/24). Порт на роутере дома естественно, проброшен, gateway_enable="YES" в БСД тоже есть.
На ноуте дома прописан статический маршрут: пакеты в сеть 192.168.3.0/24 кидать через тачку БСД. вроде все шоколадно. Пинг с обеих сторон идет, RAdmin и FTP тоже летают.
А вот шары винды и самбы - караул. С работы домой еще как-то могу зайти, хоть и тормоза неимоверные, а из дома с ноута - вообще никак. При этом повторяю: с него же Радмин на ту же тачку на работе - летает.
Куда копать? :баран:

PS. OpenVPN поднят по UDP, на tap-дивайсе.

OpenVPN по умолчанию не пропускает широковещательные пакеты smb протокола. По моему в доках по ней об этом довольно подробно описано. По идее прямое монтирование по ip/share должно работать. Но не уверен.

насколько я что-то понимаю, VPN - это транспортный уровень модели OSI, читаем:
Думается мне что что-то недорихтовал я в MTU и курить туда надо..

VPN часто прокидывают через большие расстояния, и гонять мелкософтные широковещательные пакеты получается накладно. Если неправильно определён MTU, на цисках это приводит к пропаданию связи, а в общем случае - к сильному замедлению канала. У нас в городской сети оптимальный MTU 1436 например.
Кстати, может там проблема с передачей фрагментированных пакетов?

по моему, мы говорим о разных вещах. я говорю не о майкрософтовском нетбиосе (NetBios) - не нужен он мне, а о прямом соединении на шару. cd \\192.168.3.2\Share - так понятней будет?

так это и есть настройки mtu насколько я понимаю.


ps. мне все-таки уже хотелось бы прочесть не о том почему этого не делают, а варианты решения вопроса. 4ре поста в теме - ни одного по сути сабжа.

так, блин. оказывается openvpn тут непричем, это виста на ноуте мудрует. ибо соединение на шару в рабочей машине с виртуалки на том же ноуте - работает. терь нужно понять где висте мозг вправлять.

разобрался. у меня на сетевом интерфейсе в висте 2 IP прописаны: 192.168.1.7 и 192.168.0.7. Основной - 1.7
а роут почему-то упорно привязывается к нулевой сети:
192.168.3.0 255.255.255.0 192.168.1.6 192.168.0.7 26

удалил нулевой IP - все залетало.

следовательно вопрос: можно ли команде добавления маршрута в лоб указать с каким локальным IP работать? параметр IF (интерфейс) указывает только сетевуху, но не IP, а у меня именно на одной сетевухе 2 сети висят. Не то чтоб жить без второй не могу, но уже интерес одолел просто..

ps. весьма интересно то, что как я писал выше, ping, tracert и radmin не путались во всем этом, а вот доступ к удаленным сетевым ресурсам windows - переклинило почему-то.

Во первых - smb шары это нетбиос через IP.

У команды route параметр gw принимает как раз IP адрес, а интерфейс при одной сетевушке естественно один.
Вообще для того, что бы не путаться в адресах и интерфейсах, обычно в VPN используют 10ю сетку.
Озарение: как это один интерфейс? А vpn? У неё в линуксах tun, в винде - не знаю...

Скорее всего, "нулевой" адрес винда посчитала приоритетным для SMB, поскольку он был задан раньше (либо наоборот - позже). О "кривизне" TCP/IP stack от M$ не писАл только ленивый...

нельзя.

А если спросить справку на команду route ?
а можно и перманентно уалить лишнее.
Можно вспомнить на основании чего принимается решение о маршрутизации при совпадении метрик и соответственно авсе переконфигурить.

И?
Для ноута 192.168.3/24 локально подключённым не является (по крайней мере до того момента, как ноут подключится по VPN и получит адрес в этой сетке).
Проблема в том, что винда для попадания в 192.168.3/24 с какого-то перепуга пытается достичь шлюза 192.168.1.6 через адрес 192.168.0.7 интерфейса... Притом что имеет стандартный маршрут (создающийся автоматом при назначении интерфейсу адреса и маски сети 192.168.1/24)...

Мне вот интересно, зачем роут на несуществующий линк? чтобы все дропать сразу?
но это, конечнго, лирика.
вы вот зацитировали строчку и что по вашему это все, что влияет на выбор маршрута )
плевать даже на метрику, хотя она прямо скажем кривая и похоже статическая - на автовыборные не похожа
Я вам как телепат телепату скажу, что там есть и второй правильный роут (кстати, скорее всего с такой же статичекой метрикой), только этот по сравнению с правильным имеет худшие показатели при остальных прочих равных.
Иначе бы удаление тупо ни к чему не приводило.
Кстати по синтаксису удалять можно и перманентно
PS
где route print при различных махинациях - сегодня астрал неспокоен не все видно

Вот и объясните тупому модератору и тупому админу, как прописАть правильный маршрут на 192.168.3/24 с правильной метрикой используя команду route.
А кто Вам сказал, что это роут на несуществующий линк? Линк (интерфейс) физически один, на нём 2 IP-адреса. Метрика одна - она относится не к адресу, а к интерфейсу.
Понятно, что простое удаление "левого" IP решает проблему кардинально, о чём собственно уже написано. Но Вы утверждаете, что задача решаема без этого действия - объясните, как.

werwulf, читать топ-старт. по-скла-дам. если по диагонали не доходит :mad:
всё написано более чем подробно, в том числе и про роут, и про трейс, и про прочее.

Plague, я поднимал OpenVPN между *nix серверами, виндового клиента не знаю, НО: в никсах маршруты прописываются после установления VPN. Насколько помню в виндах на динамические интерфейсы автоматически прописывается дефолтный маршрут с минимальной метрикой. Смотри на маршруты, прописанные руками, похоже какой-то мешает.

ребят, может я чего не так объясняю?
Ноутбук ВНЕ ВПН. но в локалке с сервером впн.в нем прописана статика что пакеты в сеть впн рутить через него (через сервер впн). все рутится прекрасно. Кроме клиента вин-шар. Эмпирическим методом установлено, что виновато наличие второго IP на сетевом интерфейсе ноутбука:
Рабочий: 192.168.1.7
Второй: 192.168.0.7
в роутинге результатом команды
route add 192.168.3.0 mask 255.255.255.0 192.168.1.6
имеем тем не менее:
192.168.3.0 255.255.255.0 192.168.1.6 192.168.0.7 26

так вот, tracert, ping, RAdmin врубаются что кидать пакеты надо не через 192.168.0.7 а через 192.168.1.7. а клиент доступа к сетевым ресурсам виндов - нет, хоть оба IP и принадлежат к одному интерфейсу, и 0.7 на самом деле прописан как дополнительный.

Plague, а у адреса 192.168.0.7 маска какая?

255.255.255.0

О, еще вспомнил. У меня тоже сервер VPN и гейт были разными хостами. НО! Поскольку за гейтами на обоих концах были сети, маршрут в VPN прописывался не на компах клиентов а на гейте.
Т.е. у всех один default gateway, а с него пакеты с адресами за VPN форвардятся на сервер VPN. Гейтом у меня стоял с одной стороны Asus WL500 gp, с другой - комп с линуксом.

SinClaus, оно по идее именно так и должно работать. Причем, зачастую даже маршруты прописывать не надо, поскольку Фря является шлюзом для домашней сети и одновременно сервером ВПН для рабочего компа, соответственно все маршруты на ней есть и так.

Вот только непонятно почему СМБ трафик идет через вторичный адрес сетевого адаптера? У него, насколько я понимаю, шлюза нет, то есть только через маршруты рулить...
А NetBIOS виндовый не маршрутизируется, вроде? Или я ошибаюсь?

FantomIL, фря НЕ является шлюзом по умолчанию. Если б она таковым являлась, то естественно не было бы никаких проблем, и даже дополнительный маршрут прописывать не пришлось бы ;)
шлюз - 192.168.1.1.. но это все решено. трейс идет правильно, я уж несколько раз говорил. косячит только клиент windows-sharing на ноутбуке. и я так понимаю, что OpenVPN здесь уже не при чем..

NetBIOS не маршрутизируется, но и не используется начиная с Win2K, используют NetBIOS over TCP/IP, который маршрутится естественным образом (если не фильтруется).