OpenVPN + SMB / Windows Share

[Plague]

Отстрел башки, блин: уже неделю медитирую.
Имеем:
сетка дома 192.168.1.0/24
сетка на работе 192.168.2.0/24
обе за роутерами естественно.
С компа на работе клиентом OpenVPN поднимаем соединение на тачку с FreeBSD дома (сетка VPN 192.168.3.0/24). Порт на роутере дома естественно, проброшен, gateway_enable="YES" в БСД тоже есть.
На ноуте дома прописан статический маршрут: пакеты в сеть 192.168.3.0/24 кидать через тачку БСД. вроде все шоколадно. Пинг с обеих сторон идет, RAdmin и FTP тоже летают.
А вот шары винды и самбы - караул. С работы домой еще как-то могу зайти, хоть и тормоза неимоверные, а из дома с ноута - вообще никак. При этом повторяю: с него же Радмин на ту же тачку на работе - летает.
Куда копать?

PS. OpenVPN поднят по UDP, на tap-дивайсе.

[SinClaus]

OpenVPN по умолчанию не пропускает широковещательные пакеты smb протокола. По моему в доках по ней об этом довольно подробно описано. По идее прямое монтирование по ip/share должно работать. Но не уверен.

[Plague]

насколько я что-то понимаю, VPN - это транспортный уровень модели OSI, читаем:

Цитата:

Транспортный уровень (англ. Transport layer)
Основная статья: Транспортный уровень
4-й уровень модели предназначен для доставки данных без ошибок, потерь и дублирования в той последовательности, как они были переданы. При этом не важно, какие данные передаются, откуда и куда, то есть он предоставляет сам механизм передачи. Блоки данных он разделяет на фрагменты, размер которых зависит от протокола, короткие объединяет в один, а длинные разбивает.

Думается мне что что-то недорихтовал я в MTU и курить туда надо..

[SinClaus]

VPN часто прокидывают через большие расстояния, и гонять мелкософтные широковещательные пакеты получается накладно. Если неправильно определён MTU, на цисках это приводит к пропаданию связи, а в общем случае - к сильному замедлению канала. У нас в городской сети оптимальный MTU 1436 например.
Кстати, может там проблема с передачей фрагментированных пакетов?

[Plague]

Цитата:

Сообщение от SinClaus

гонять мелкософтные широковещательные пакеты получается накладно.

по моему, мы говорим о разных вещах. я говорю не о майкрософтовском нетбиосе (NetBios) - не нужен он мне, а о прямом соединении на шару. cd \\192.168.3.2\Share - так понятней будет?

Цитата:

Сообщение от SinClaus

Кстати, может там проблема с передачей фрагментированных пакетов?

так это и есть настройки mtu насколько я понимаю.


ps. мне все-таки уже хотелось бы прочесть не о том почему этого не делают, а варианты решения вопроса. 4ре поста в теме - ни одного по сути сабжа.

[Plague]

так, блин. оказывается openvpn тут непричем, это виста на ноуте мудрует. ибо соединение на шару в рабочей машине с виртуалки на том же ноуте - работает. терь нужно понять где висте мозг вправлять.

[Plague]

разобрался. у меня на сетевом интерфейсе в висте 2 IP прописаны: 192.168.1.7 и 192.168.0.7. Основной - 1.7
а роут почему-то упорно привязывается к нулевой сети:
192.168.3.0 255.255.255.0 192.168.1.6 192.168.0.7 26

удалил нулевой IP - все залетало.

следовательно вопрос: можно ли команде добавления маршрута в лоб указать с каким локальным IP работать? параметр IF (интерфейс) указывает только сетевуху, но не IP, а у меня именно на одной сетевухе 2 сети висят. Не то чтоб жить без второй не могу, но уже интерес одолел просто..

ps. весьма интересно то, что как я писал выше, ping, tracert и radmin не путались во всем этом, а вот доступ к удаленным сетевым ресурсам windows - переклинило почему-то.

[SinClaus]

Во первых - smb шары это нетбиос через IP.

У команды route параметр gw принимает как раз IP адрес, а интерфейс при одной сетевушке естественно один.
Вообще для того, что бы не путаться в адресах и интерфейсах, обычно в VPN используют 10ю сетку.
Озарение: как это один интерфейс? А vpn? У неё в линуксах tun, в винде - не знаю...

[Borland]

Цитата:

Сообщение от Plague

а роут почему-то упорно привязывается к нулевой сети:

Скорее всего, "нулевой" адрес винда посчитала приоритетным для SMB, поскольку он был задан раньше (либо наоборот - позже). О "кривизне" TCP/IP stack от M$ не писАл только ленивый...

Цитата:

Сообщение от Plague

можно ли команде добавления маршрута в лоб указать с каким локальным IP работать?

нельзя.

[werwulf]

Цитата:

Сообщение от Borland

нельзя.

А если спросить справку на команду route ?

Цитата:

RouteВыводит на экран и изменяет записи в локальной таблице IP-маршрутизации. Запущенная без параметров, команда route выводит справку.

Синтаксис
route [-f] [-p] [команда [конечная_точка] [mask маска_сети] [шлюз] [metric метрика]] [if интерфейс]]

Параметры
<....>
шлюз Указывает IP-адрес пересылки или следующего перехода, по которому доступен набор адресов, определенный конечной точкой и маской подсети. Для локально подключенных маршрутов подсети, адрес шлюза — это IP-адрес, назначенный интерфейсу, который подключен к подсети. Для удаленных маршрутов, которые доступны через один или несколько маршрутизаторов, адрес шлюза — непосредственно доступный IP-адрес ближайшего маршрутизатора.
<....>

а можно и перманентно уалить лишнее.
Можно вспомнить на основании чего принимается решение о маршрутизации при совпадении метрик и соответственно авсе переконфигурить.

[Borland]

Цитата:

Сообщение от werwulf

Для локально подключенных маршрутов подсети, адрес шлюза — это IP-адрес, назначенный интерфейсу, который подключен к подсети.

И?
Для ноута 192.168.3/24 локально подключённым не является (по крайней мере до того момента, как ноут подключится по VPN и получит адрес в этой сетке).
Проблема в том, что винда для попадания в 192.168.3/24 с какого-то перепуга пытается достичь шлюза 192.168.1.6 через адрес 192.168.0.7 интерфейса... Притом что имеет стандартный маршрут

Цитата:

192.168.1.0 mask 255.255.255.0 192.168.1.7

(создающийся автоматом при назначении интерфейсу адреса и маски сети 192.168.1/24)...

[werwulf]

Мне вот интересно, зачем роут на несуществующий линк? чтобы все дропать сразу?
но это, конечнго, лирика.
вы вот зацитировали строчку и что по вашему это все, что влияет на выбор маршрута )
плевать даже на метрику, хотя она прямо скажем кривая и похоже статическая - на автовыборные не похожа
Я вам как телепат телепату скажу, что там есть и второй правильный роут (кстати, скорее всего с такой же статичекой метрикой), только этот по сравнению с правильным имеет худшие показатели при остальных прочих равных.
Иначе бы удаление тупо ни к чему не приводило.
Кстати по синтаксису удалять можно и перманентно
PS
где route print при различных махинациях - сегодня астрал неспокоен не все видно

[Borland]

Цитата:

Сообщение от werwulf

что там есть и второй правильный роут (кстати, скорее всего с такой же статичекой метрикой), только этот по сравнению с правильным имеет худшие показатели при остальных прочих равных.

Вот и объясните тупому модератору и тупому админу, как прописАть правильный маршрут на 192.168.3/24 с правильной метрикой используя команду route.

Цитата:

Сообщение от werwulf

несуществующий линк

А кто Вам сказал, что это роут на несуществующий линк? Линк (интерфейс) физически один, на нём 2 IP-адреса. Метрика одна - она относится не к адресу, а к интерфейсу.
Понятно, что простое удаление "левого" IP решает проблему кардинально, о чём собственно уже написано. Но Вы утверждаете, что задача решаема без этого действия - объясните, как.

[Plague]

werwulf, читать топ-старт. по-скла-дам. если по диагонали не доходит
всё написано более чем подробно, в том числе и про роут, и про трейс, и про прочее.

[SinClaus]

Plague, я поднимал OpenVPN между *nix серверами, виндового клиента не знаю, НО: в никсах маршруты прописываются после установления VPN. Насколько помню в виндах на динамические интерфейсы автоматически прописывается дефолтный маршрут с минимальной метрикой. Смотри на маршруты, прописанные руками, похоже какой-то мешает.

[Plague]

ребят, может я чего не так объясняю?
Ноутбук ВНЕ ВПН. но в локалке с сервером впн.в нем прописана статика что пакеты в сеть впн рутить через него (через сервер впн). все рутится прекрасно. Кроме клиента вин-шар. Эмпирическим методом установлено, что виновато наличие второго IP на сетевом интерфейсе ноутбука:
Рабочий: 192.168.1.7
Второй: 192.168.0.7
в роутинге результатом команды
route add 192.168.3.0 mask 255.255.255.0 192.168.1.6
имеем тем не менее:
192.168.3.0 255.255.255.0 192.168.1.6 192.168.0.7 26

так вот, tracert, ping, RAdmin врубаются что кидать пакеты надо не через 192.168.0.7 а через 192.168.1.7. а клиент доступа к сетевым ресурсам виндов - нет, хоть оба IP и принадлежат к одному интерфейсу, и 0.7 на самом деле прописан как дополнительный.

[FantomIL]

Plague, а у адреса 192.168.0.7 маска какая?

[Plague]

255.255.255.0

[SinClaus]

О, еще вспомнил. У меня тоже сервер VPN и гейт были разными хостами. НО! Поскольку за гейтами на обоих концах были сети, маршрут в VPN прописывался не на компах клиентов а на гейте.
Т.е. у всех один default gateway, а с него пакеты с адресами за VPN форвардятся на сервер VPN. Гейтом у меня стоял с одной стороны Asus WL500 gp, с другой - комп с линуксом.

[FantomIL]

SinClaus, оно по идее именно так и должно работать. Причем, зачастую даже маршруты прописывать не надо, поскольку Фря является шлюзом для домашней сети и одновременно сервером ВПН для рабочего компа, соответственно все маршруты на ней есть и так.

Вот только непонятно почему СМБ трафик идет через вторичный адрес сетевого адаптера? У него, насколько я понимаю, шлюза нет, то есть только через маршруты рулить...
А NetBIOS виндовый не маршрутизируется, вроде? Или я ошибаюсь?