Fórum Root.cz
Hlavní témata => Server => Téma založeno: Maxximus999 15. 02. 2023, 12:34:34
-
Zdravim Vás,
Uz nejaky ten cas sa trapim z nastavenim a spristupnenim mojej domeny na domacom serveri.
Server mi bezi na Dell Optiplex 3020 micro
Procesor Intel Core i3 4150T 3,0 GHz
Ram 4GB
SSD 240GB
Linux Mint 21.1 VERA
Webmin 2.013
Apache 2.4
PHP 8.1
Mysql 8.0
Kedze mam dynamicku adresu a nechem si priplacat za staticku tak som to poriesil cez ddclienta v.3.9.1. Domeny mam zakupene a registrovane na namecheap.com. Ddclient mam nastaveneho na aktualizaciu IP u namecheap.com zatial na jednu domenu weblandic.com a funguje spravne, zatial ho nemam nastaveneho v crone a aktualizujem ho sudo ddclient. Server nebezi nonstop.
Problem mam v tom, ze ak zadam domenu do vyhladavaca v pc alebo v mobile, ktory je pripojeny k lokalnej sieti wifi alebo LAN stranka sa nacita, a aj ked zadam aktualnu verejnu IP v LAN tak sa zobrazi obsah testovacej stranky. Ale ak skusam otvorit stranku alebo IP z Internetu (momentalne mam data na Orange) tak stranka sa neotvori. Skual som to riesit cez nejake zahranicne fora lebo na Slovensku som nieco podobne nenasiel, ale nikto nereagoval a to uz dva tyzdne.
Chcem na nom sprevadzkovat 3 domeny. Jedna na domaci cloud,-stream server, torrent tracker, druha pre webstranku a blog a tretia pre spristupnenie nastaveni servera a monitoring servera odkialkolvek. Viete mi s tym pomoct? pripadne dalsie moje nastavenia poslem. Naozaj neviem ako to sprevadzkovat a uz mi to zabralo vela casu. Skusal som to aj cez tretiu stranu dynu.com cez dynuiuc clienta, aj to zo zaciatku fungovalo ale po nejakom case to zacalo blbnut a robilo to to co teraz.
-
Provozovat něco veřejného na dynamicky přidělované IPv4 adrese není dobrý nápad – určitě tam budou výpadky, když dojde ke změně IPv4 adresy. Používat to pro osobní přístup (na domácí NAS, ke kamerám apod.) je OK, ale pokud k tomu mají mít přístup i cizí lidé, umístil bych to raději na nějaký hosting, na hostovaný VPS apod.
Jinak pro tu doménu weblandic.com je v DNS opravdu veřejná IPv4 adresa, v tom by být problém neměl. Otázka je, zda ISP neblokuje příchozí provoz (buď veškerý, nebo jen vybrané porty) na dynamicky přidělované adresy. Ať už jako prevenci některých typů útoků, nebo záměrně přesně kvůli tomu, o co se snažíte vy – aby lidé nepoužívali dynamické DNS pro přístup z venku a připlatili si za pevnou IPv4 adresu. Začal bych dotazem na ISP, zda nějaký příchozí provoz blokuje nebo ne.
-
Dobry den.
A nejste za cgnatem?
Vraci to spravnou adresu?
Mate prostup ve firewallu?
Marek
-
Problem bych rozdelil na dve casti:
1) pro ciziho klienta se resolvuje IP spravne? (dns zaznamy a jejich aktualnost)
2) dokaze se cizi klient pripojit na vasi IP? (filtrace portu a podobne problemy)
-
Takto, v NAT na routri mam nastavene smerovanie sluzby HTTP a HTTPS s prislusnymi portami nasmerovane na localnu IP servera. V hosts mam nastavenu host adresu webu na tu istu adresu ako ma server. V resolv.conf mam nadefinovane nameservery ISP, ktore sa mi zobrazuju aj na vstupnej statistike routra. Ak na routri zrusim alebo deaktuvujem presmerovanie tychto dvoch sluzieb po zadani aktualnej verejnej IP sa dostanem na rozhranie routra. Propojenie je PPPoE cez fiber Slovanet. Povodne som mal strukturu Router1=brana-router2=accesspoint iba pre LAN wifi bola nefunkcna na routri 2 a cez tento router bol pripojeny server. Router1 bol zaroven DHCP server, kde som mal nastavene staticke IP pre niektore zariadenia v sieti hlavne pre LAN ale niektore aj pre wifi. Router2 som zo struktury vyhodil a dal som tam SWITCH lebo som si myslel, ze nejako router2 blokuje HTTP port aj ked bol len v zakladnom nastaveni. Samozrejme som skusal aj priame pripojenie servera na router1 ale na dynu.com kde som mal nastavene smerovanie domeny pri overovani dostupnosti portu vyhadzovalo chybu, ze je nedostupny aj ked bol server priamo za router1.
Inak domeny nebudu poblikovane a budu sluzit len pre osobne ucely. na webhostingu mam dalsie 3 na ebola.cz.
-
Cudzi klient aspon ked som skusal cez mobil a mobilne data sa pripojit nedokaze ani k domene ani k verejnej IP.
Mozte to ale skusit domena weblandic.com a momentalna VIP 85.135.246.213.
Problem bych rozdelil na dve casti:
1) pro ciziho klienta se resolvuje IP spravne? (dns zaznamy a jejich aktualnost)
2) dokaze se cizi klient pripojit na vasi IP? (filtrace portu a podobne problemy)
Cudzi klient aspon ked som skusal cez mobil a mobilne data sa pripojit nedokaze ani k domene ani k verejnej IP.
Mozte to ale skusit domena weblandic.com a momentalna VIP 85.135.246.213.
-
IP resolvuje akurat v LAN sieti ale zvonku pokial som skusal nie.
Cudzi klient aspon ked som skusal cez mobil a mobilne data sa pripojit nedokaze ani k domene ani k verejnej IP.
Mozte to ale skusit domena weblandic.com a momentalna VIP 85.135.246.213.
tu je vypis dig-u
root@weblandic:~# dig weblandic.com
; <<>> DiG 9.18.1-1ubuntu1.3-Ubuntu <<>> weblandic.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38342
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 5bc018abe58b575b0100000063ecd191a9af43704923b0f9 (good)
;; QUESTION SECTION:
;weblandic.com. IN A
;; ANSWER SECTION:
weblandic.com. 180 IN A 85.135.246.213
;; Query time: 32 msec
;; SERVER: 195.28.64.99#53(195.28.64.99) (UDP)
;; WHEN: Wed Feb 15 13:35:29 CET 2023
;; MSG SIZE rcvd: 86
Problem bych rozdelil na dve casti:
1) pro ciziho klienta se resolvuje IP spravne? (dns zaznamy a jejich aktualnost)
2) dokaze se cizi klient pripojit na vasi IP? (filtrace portu a podobne problemy)
Cudzi klient aspon ked som skusal cez mobil a mobilne data sa pripojit nedokaze ani k domene ani k verejnej IP.
Mozte to ale skusit domena weblandic.com a momentalna VIP 85.135.246.213.
[/quote]
-
for i in 185.43.135.1 2001:148f:ffff::1 2001:148f:fffe::1 193.17.47.1 8.8.8.8 1.1.1.1; do echo $i-$(dig +short @$i weblandic.com); done
185.43.135.1-85.135.246.213
2001:148f:ffff::1-85.135.246.213
2001:148f:fffe::1-85.135.246.213
193.17.47.1-85.135.246.213
8.8.8.8-85.135.246.213
1.1.1.1-85.135.246.213
Podle dns funguje
Marek
-
Není podstatně snažší koupit za 80 Kč měsíčně nějaký VPS, obojí propojit přes VPN (ať žije WireGuard), nastavit forwarding a být štastný? Tím všechny tyhle problémy jednoduše odpadnou. Funguje to bez problémů, měl jsem to tak léta.
-
Nebo dát třeba 99Kč/měsíc za veřejnou IP, a nemuset neřešit ani tu VPN.
Je docela možný, že ISP to spojení blokuje už u sebe.
-
Nmap scan report for weblandic.com (85.135.246.213)
Host is up (0.028s latency).
rDNS record for 85.135.246.213: 85-135-246-213.adsl.slovanet.sk
Not shown: 65533 filtered tcp ports (no-response)
PORT STATE SERVICE
443/tcp closed https
9096/tcp open unknown
Ten stav "closed" podle me rika, ze bud nebezi apache, nebo prislusne pravidlo ve firewallu neni dobre. Odhaduju spravne, ze stroj obsahujici rozhrani s IP 85.135.246.213 neni ten samy, jako Optiplex ?
-
Na tuto domenu nemam SSL a ani v Apachi modul SSL nie je povoleny, takze 443 je logicky nepristupna.
No naforwardovana na routri 443-ka je.(http://)
Tu je conf virtual hosta:
<VirtualHost _default_:80>
ServerName weblandic.com
ServerAlias [url=http://www.weblandic.com]www.weblandic.com[/url]
ServerAdmin [email]webmaster@weblandic.com[/email]
# Redirect / [url]https://weblandic.com/[/url]
DocumentRoot /var/www/weblandic.com
ErrorLog ${APACHE_LOG_DIR}/error.weblandic.com.log
CustomLog ${APACHE_LOG_DIR}/access.weblandic.com.log combined
# SSLEngine on
# SSLCertificateFile /etc/ssl/certs/weblandic.com.crt
# SSLCertificateKeyFile /etc/ssl/private/weblandic.com.key
</VirtualHost>
Pocuva len na standardnom porte http:80. SSL certifikat kedze stranka je nepristupna tak cez certbot nemam doinstalovany.
/etc/hosts
root@weblandic:~# cat /etc/hosts
127.0.0.1 localhost
127.0.1.1 weblandic.com
# The following lines are desirable for IPv6 capable hosts
::1 ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
192.168.10.20 weblandic.com [url=http://www.weblandic.com]www.weblandic.com[/url]
root@weblandic:~# resolvectl status
Global
Protocols: -LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
resolv.conf mode: stub
Link 2 (enp2s0)
Current Scopes: DNS
Protocols: +DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
Current DNS Server: 195.28.64.99
DNS Servers: 195.28.64.99 195.80.171.4
Neviem co este mozem nastavit.
-
Vždy musíš řešit se svým ISP.
To je tvůj nejbližší bod v Internetu.
Takto na tom strávíš mraky času, a třeba zbytečně.
-
Nebo dát třeba 99Kč/měsíc za veřejnou IP, a nemuset neřešit ani tu VPN.
Samozřejmě, že je to lepší když ta možnost je. Jenže kéž by veřejná IP adresa vždy stála 99 Kč. A kéž by vám ji každý dal.
-
Vždy musíš řešit se svým ISP.
To je tvůj nejbližší bod v Internetu.
Takto na tom strávíš mraky času, a třeba zbytečně.
Výhodou té VPN, co jsem nahoře zmínil je, že pak to se svým ISP řešit prakticky s jistotou vůbec nemusí. Ostatně často s ním tohle výslovně řešit fakt nechcete. Když si vzpomenu už na to, jak jsem jim vysvětloval, že fakt nemám žádný jejich router, že ten na to jedno PPP spojení fakt nepotřebuju když by stejně hned za ním byl linuxový stroj, fakt nevím, jak bych s ním řešil tohle.
-
Nebo dát třeba 99Kč/měsíc za veřejnou IP, a nemuset neřešit ani tu VPN.
Samozřejmě, že je to lepší když ta možnost je. Jenže kéž by veřejná IP adresa vždy stála 99 Kč. A kéž by vám ji každý dal.
Konkretne u Slovanetu vyjde staticka IP na 5,96 eur a to je urcite viac ako 99 Kaček/mesiac. DDclient, ktory urcite funguje nevyjde ani cent ak si ho clovek spravne nastavi. dynu.com (http://dynu.com) ma tiez vlastny nastroj na aktualizaciu dynamickej IP https://www.dynu.com/en-US/Resources/Downloads (https://www.dynu.com/en-US/Resources/Downloads) pouzival som ho ale nejako to neaktualizovalo IP u mojho registratora. Vsetky potrebne zaznamy som mal u registratora nastavene. A dynu.com je zdarma, bol v konfiguracii routra Zyxel ked som mal ineho ISP.
-
Kontaktoval som zakaznicku podporu mojho ISP a uvidime. Zatial dakujem Vsetkym.
-
Jsi si jistý, že máš veřejnou IP adresu? Jsou poskytovatelé co v základu dávají veřejnou dynamickou, ale taky jsou poskytovatelé, kteří tě v základu schovají za NAT a dají ti privátní adresu a pokud chceš veřejnou musíš platit tu statickou.
Podívej se jakou IP adresu dostane router připojený k poskytovateli.
Aktuálně se port 80 na tvé adrese 85.135.246.213 tváří jako Stealth, tj. na pokus o připojení vůbec nereaguje a pokus vytimeoutuje.
-
Jsi si jistý, že máš veřejnou IP adresu? Jsou poskytovatelé co v základu dávají veřejnou dynamickou, ale taky jsou poskytovatelé, kteří tě v základu schovají za NAT a dají ti privátní adresu a pokud chceš veřejnou musíš platit tu statickou.
Podívej se jakou IP adresu dostane router připojený k poskytovateli.
Aj to je mozne ale da sa to zistit? IP adresa na routri je 85.135.246.213 a gateway 84.16.59.41. Je mozne zistit ci je verejna?
-
To se pozná prostě podle toho čísla viz https://cs.wikipedia.org/wiki/Priv%C3%A1tn%C3%AD_s%C3%AD%C5%A5#Priv%C3%A1tn%C3%AD_prostor_IPv4_adres
Ta adresa je veřejná a pokud ji skutečně dostane přidělenu tvůj router, tak je to tvoje veřejná adresa a ne adresa NATu u ISP, otázka kdo to zahazuje, jestli ISP nebo něco u tebe protože to máš blbě nastavený.
-
A co v ramci experimentu zkusit otevrit alternativni http i na ne-80-kovem portu (s odpovidajicim fwd pravidlem) a/nebo otevrit 443 s libovolnym self-signed certifikatem?
-
Tak podle cenníku jsou na slubě s dynamickou adresu přístupy z venku blokované.
https://www.slovanet.net/files/podpora/internet/dokumenty/cennik_internet_02_2023_v1.pdf
-
Jsi si jistý, že máš veřejnou IP adresu? Jsou poskytovatelé co v základu dávají veřejnou dynamickou, ale taky jsou poskytovatelé, kteří tě v základu schovají za NAT a dají ti privátní adresu a pokud chceš veřejnou musíš platit tu statickou.
Podívej se jakou IP adresu dostane router připojený k poskytovateli.
Aj to je mozne ale da sa to zistit? IP adresa na routri je 85.135.246.213 a gateway 84.16.59.41. Je mozne zistit ci je verejna?
Ano 85.135.246.213 je verejna IPv4. Sprav si v routery forward portov na stroj kde ti bezi webovy server. Potom si over ci je port skutocne otvoreny do internetu https://portchecker.co/checking
Alebo ako ti tu uz niekto radil, skus pouzit iny port (mimo 80 a 443).
V neposlednom rade zisti, ci slovanet neblokuje port 80 prip. 443.
V minulosti som 2 dni riesil nefunkcnost portu 80 u poskytovatela orange. Pretoze zakaznikom davali dsl-kove lacne modemi/routeri s default menom a heslom do routera (admin/admin). Zaroven mal kazdy zakaznik verejnu Ipv4 a povoleny remote access (sam som to otestoval na 10-kach IP adresach). Nic som vsak nikomu nemenil, ale kludne som mohol zmenit dns servery (vtedy este aj niektore banky pouzivali http).
Podla tch sceenshotov co si dal vyssie, tak to vyzera na tp-link. BTW tie obrazky su tak male ze nevidim tam takmer nic. Ale skus si to teda nastavit tak ze das
external port 11500
internal IP 192.168.10.20
internal port 80
potom skus do prehliadaca dat 85.135.246.213:11500. Ked to pojde, tak asi isp blokuje port 80
-
Sprav si v routery forward portov na stroj kde ti bezi webovy server. Potom si over ci je port skutocne otvoreny do internetu
To celé je zbytečné, když ISP komunikaci z venku blokuje, jak je napsáno v komentáři nad vámi a což jsem doporučoval zjistit hned v první odpovědi.
S tímhle tarifem má zkrátka Maxximus999 smůlu, buď si připlatí za statickou veřejnou IP adresu, nebo ty služby vystaví do internetu někde jinde (ať tak, že je bude provozovat jinde, nebo tak, že si z domova natáhne někam ven VPN a zpřístupní je přes tu VPN).
-
Aha to pdf som si nevsimol. Takze bud to bude pouzivat nestandardne porty, alebo potom ako pises (kupa sataickej IP, alebo vps ...)
-
Tak podle cenníku jsou na slubě s dynamickou adresu přístupy z venku blokované.
https://www.slovanet.net/files/podpora/internet/dokumenty/cennik_internet_02_2023_v1.pdf
No je to tak. Bohuzial. V sluzbe dynu.com presne https://www.dynu.com/en-US/NetworkTools/PortCheck (https://www.dynu.com/en-US/NetworkTools/PortCheck) mi to vyhadzovalo
--Port check result--
FAIL!
Zo zaciatku to asi nebolo blokovane tak port bol dostupny ale po par dnoch mi to bloklo pristup. Takze 12x5,95 eur = 72 eur bez mala. Darebacik skusal som to nastavit tak ako si napisal par minut na to externy port bloknuty a cez portchecker akykolvek port co som skusal CLOSED!!!
No mame Optik 1000 Mb/s za 13 euro tak asi si dokupim tu staticku IP. Optiku nemame este ani mesiac. Predtym som vlastne ddclienta pouzival este na DSL-ku od Orangeu. Ono to nie je len o tom webe chcem spustit viacere sluzby a kapacitu servera mam momentalne 4TB v RAID0 zatial. Ked bude na nove 4 alebo 8TB tak to hodim do RAID1. Ale viete fungujeme ako sa da v dnesnej dobe. OK
Dakujem Vsetkym co poradili a pomohli som rad,ze problem najdeny. Nemam az take skusenosti v tejto sfere takze kazda rada dobra. Velke Dakujem. Majte saa BORCI!!!
-
RESOLVED!!!
-
Predtym som vlastne ddclienta pouzival este na DSL-ku od Orangeu.
Kedy predtym ?
Orange uz niekolko rokov dava na pevnych pripojkach IPv6 (IPv4 je za poplatok a za velky poplatok).
-
Asi pred mesiacom sme mali Orange DSL a tam sa tak často nemenila IP. Ale ddclient mi tam fungoval a porty neboli blokované aspoň mi to nacitavalo domenu z vonku. Akurát som používal dynuiuc clienta a ten mi u registratora neaktuaizoval IP správne takže nefungovalo to tak ako som chcel. No tam je to myslím za nejakých 10€ za statickú IP. A vtedy som nejako neriešil prístup zvonku. Po xxx reinstalaciach Ubuntu server Headless som prešiel konečne na Mint. Nie som zbehly v tejto oblasti a pred 50tkou sa učiť narábať s Linuxom a ešte sa učiť nastavenia rôznych serverovychch služieb, poviem Ti nie je bohviečo.
Keby som to pred 20 rokmi s Linuxom nezabalili dnes by to bolo iné😉. Chcel by som založiť menšiu komunitu na manualovu podporu rôznych nastavení a možno aj niečo viac. Ja som momentálne na PNke už niekoľko mesiacov mám vážne zdravotné dôvody tak som oprášil to minimum vedomosti o Linuxe a začal testovať. Ešte neviem ako dlho budem ale to mi pomáha zvládnuť to, lebo ináč by som sa z toho zbláznil.
-
Takze bud to bude pouzivat nestandardne porty
Nebude. Protože i na nestandardní porty by to pořád byla příchozí komunikace, která je ISP blokovaná.
-
Cize ak by mal nejaku IP kameru, tak sa na web kamery nedostane ?
-
Cize ak by mal nejaku IP kameru, tak sa na web kamery nedostane ?
Přímo ne – že by si nastavil nějaký port, který by přesměroval na tu kameru, to by nefungovalo, ISP by tu komunikaci zablokoval.
Ale ty kamery mají často nějaký cloud, přes který se na ně dá dívat – funguje to tak, že ta kamera sama naváže spojení zevnitř do cloudu, takže ta komunikace projde. Někdy takhle kamera naváže spojení někam ven aniž by o tom majitel věděl ;-)
-
Neviem ci tomu spravne rozumiem. ISP blokuje http/s nech je to nastavene na akykolvek port ?
Tie cloudy pre kamery nemam velmi rad. Tiez neviem ako to presne funguje, ale myslim, ze by to mohlo fungovat tak, ze naskenovanim QR kodu z kamery sa predvplni nejaky skryty config v mobilnej aplikacii (ktory uzivatel nevie ovplivnit). Kamera pouziva nejaky vpn klient a tak data tecu z kamery do cloudu. Uzivatel si potom moze zobrazit video z kamery aj mimo LAN.
Ale to je len domnienka.
-
ISP blokuje všechna příchozí (směrem k tobě) spojení na všech portech. Je jedno, zda na tom portu chceš mít webserver (HTTP) nebo třeba Minecraft.
-
Neviem ci tomu spravne rozumiem. ISP blokuje http/s nech je to nastavene na akykolvek port ?
Ne, ISP blokuje veškerá příchozí TCP spojení*), bez ohledu na cílový port. Neřeší, jaká komunikace by v tom TCP psojení byla, zda HTTP, HTTPS, SSH, SMTP nebo cokoli jiného. To TCP spojení se ani nenaváže, takže není možné jím ani přenést žádná data na vyšší vrstvě, natož aby se dalo detekovat, o jaký protokol se jedná.
*) Možná i UDP, ale to není protokol orientovaný na spojení, takže tam se hůř určuje, co je vlastně příchozí spojení. Blokovat všechny příchozí UDP pakety rozhodně nejde, to by nefungovalo ani DNS.
Tie cloudy pre kamery nemam velmi rad. Tiez neviem ako to presne funguje, ale myslim, ze by to mohlo fungovat tak, ze naskenovanim QR kodu z kamery sa predvplni nejaky skryty config v mobilnej aplikacii (ktory uzivatel nevie ovplivnit). Kamera pouziva nejaky vpn klient a tak data tecu z kamery do cloudu. Uzivatel si potom moze zobrazit video z kamery aj mimo LAN.
Ale to je len domnienka.
Žádná VPN není potřeba, ta kamera to může odesílat třeba přes HTTPS. Nebo otevře odchozí TCP spojení, to v domácích sítích obvykle také projde.
-
OK