Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: h4kuna 27. 05. 2020, 17:02:24

Název: Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: h4kuna 27. 05. 2020, 17:02:24
Dobrý den,
mám pocit že toho se muselo řešit mnohokrát, ale prostě jsem nenašel řešení.

Můj poskytovatel internetu mi přiřadil veřejnou IP adresu 81.25.21.57, na kterou jsem nastavil u Forpsi v administraci doménu "matejckovi.eu". Z internetu je přístupná, na doménu se dostanu a všechno správně funguje. Nicméně pokud jsme doma, třeba s mobilem a na domácí wifi, zadám doménu, tak se nikdy nenačte.

Psal jsem na poskytovatele, ten mi odpověděl že si dns záznamy řeším sám. Což je pravda doména je u Forpsi, tak jsem jim psal, ti mi napsali že DNS je dobře nastavené ať se obrátím na poskytovatele internetu.

Pro představu posílám obrázek.

Problém je tedy ten, že se z domova nedostanu na svou doménu matejckovi.eu. Jak to vyřešit? U koho hledat chybu v nastavení nebo nekompletní nastavení?

Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Vilith 27. 05. 2020, 17:17:52
nemáš router, který by dokázal zevnitř otočit provoz zpátky dovnitř

Zevnitř používej interní IP
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Filip Jirsák 27. 05. 2020, 17:20:08
Jméno matejckovi.eu se (alespoň u mne) překládá správně. Vyzkoušejte si, zda se správně překládá i na vašem domácím počítači. Pokud ano, může být chyba u ISP nebo u vás. Předpokládám, že nemáte veřejnou IPv4 adresu, ale že to ISP řeší NATem. Pak ho musí mít správně nastavený – aby fungoval i z jeho vnitřní sítě (a tedy i od vás). Na svém routeru otestujte, že když zahájíte spojení s adresou matejckovi.eu, projde přes router nejprve paket směrem ven, jako adresa cíle je tam nastavená 81.25.21.57. Vzápětí musí ten samý paket přijít z NATu ISP, jako adresu cíle bude mít vaši privátní adresu, ale jako zdrojová adresa tam musí být adresa NATu ISP, ne vaše IP adresa. Jedině tak je zaručené, že se odpověď pošle zpět na NAT ISP, mohou se adresy změnit zpět a vám se podaří navázat spojení. Pokud by cokoli z toho nefungovalo, napište to – pak se dá pokračovat ve stopování, kde je problém.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Filip Jirsák 27. 05. 2020, 17:21:08
Zevnitř používej interní IP
To ovšem vyžaduje dovnitř vracet jiné DNS záznamy, s DNSSEC správně podepsané – není to tak lehké, jak se to napíše.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: nocturne.op.15 27. 05. 2020, 17:36:26
pokud mas DNS vevnitr, nastuduj split-brain DNS model, treba tu pro zacatek: https://www.sevecek.com/Lists/Posts/Post.aspx?ID=440

pokud mas nejaky normalni router, hledej hairpin-nat, loopback nat - terminologie se lisi. Pokud mas nejaky bezny tplink, vyhod ho a skoc si pro jakykoli mikrotik. sice budes zapasit ze zacatku s nastavenim, ale to se poda a prikladu najdes vsude hromadu.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Filip Jirsák 27. 05. 2020, 17:38:34
pokud mas DNS vevnitr
Neřekl bych, že se ptá majitel Forpsi…
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: nocturne.op.15 27. 05. 2020, 17:47:41
pokud mas DNS vevnitr
Neřekl bych, že se ptá majitel Forpsi…

nejsem majitel forpsi, presto mam doma dns server - mel bych tedy vlastnit alespon cast forpsi?
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: listoper 27. 05. 2020, 17:49:04
pokud mas DNS vevnitr
Neřekl bych, že se ptá majitel Forpsi…

nejsem majitel forpsi, presto mam doma dns server - mel bych tedy vlastnit alespon cast forpsi?

Taky mam doma DNS server... tak az se to bude rozdelovat tak na me nezapomente
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Filip Jirsák 27. 05. 2020, 18:14:43
nejsem majitel forpsi, presto mam doma dns server - mel bych tedy vlastnit alespon cast forpsi?
Máte doma DNS server Forpsi? Nebo svůj domácí DNS server administrujete přes webové rozhraní Forpsi? Myslím, že ani jedno.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: h4kuna 27. 05. 2020, 19:37:11
nemáš router, který by dokázal zevnitř otočit provoz zpátky dovnitř

Zevnitř používej interní IP

Mám doma tenhle router dlink https://eu.dlink.com/cz/cs/products/dir-850l-wireless-ac1200-dual-band-gigabit-cloud-router

Jediné co jsem našel ohledně DNS je položka Dynamic DNS, což nevím co dělá. Viz obrázek.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: h4kuna 27. 05. 2020, 19:45:51
Jméno matejckovi.eu se (alespoň u mne) překládá správně.

Ano odkukoliv všechno jede jak má.

Vyzkoušejte si, zda se správně překládá i na vašem domácím počítači.

Přes ping to prostě nikam nedojde. Takže nepřekládá.

Předpokládám, že nemáte veřejnou IPv4 adresu, ale že to ISP řeší NATem.

O veřejnou IP adresu jsem zažádal a je to 81.25.21.57, když kouknu na https://www.mojeip.cz/ dostanu 81.25.21.57 a na tuto IP ukazuje i DNS který je u FORPSI viz obrázek. Jen nerozumím tomu proč v routru k poskytovateli mám 192.168.86.34.

Pak ho musí mít správně nastavený – aby fungoval i z jeho vnitřní sítě (a tedy i od vás).

Mě tvrdí že on nic nastavit nemůže, na co ho mám nasměrovat?

Na svém routeru otestujte, že když zahájíte spojení s adresou matejckovi.eu, projde přes router nejprve paket směrem ven, jako adresa cíle je tam nastavená 81.25.21.57.

Tohle ověřím jak? S linuxem umím jestli vám to pomůže. Sítím tak do hloubky nerozumím.

Vzápětí musí ten samý paket přijít z NATu ISP, jako adresu cíle bude mít vaši privátní adresu, ale jako zdrojová adresa tam musí být adresa NATu ISP, ne vaše IP adresa. Jedině tak je zaručené, že se odpověď pošle zpět na NAT ISP, mohou se adresy změnit zpět a vám se podaří navázat spojení. Pokud by cokoli z toho nefungovalo, napište to – pak se dá pokračovat ve stopování, kde je problém.

Tohle souvisí s výše uvedeným.
   
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: h4kuna 27. 05. 2020, 19:51:32
pokud mas DNS vevnitr

Ne vlastní DNS nemám a doufám že se bez něj obejdu.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: h4kuna 27. 05. 2020, 20:09:46
Jméno matejckovi.eu se (alespoň u mne) překládá správně.

Všechno to správně funguje odkudkoliv mimo můj dům a požadavky chodí na můj domácí web server.

Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: h4kuna 27. 05. 2020, 20:10:33
Zevnitř používej interní IP

Interní IP není možné používat, mám rozjetý owncloud a v mobilní aplikaci se zadává jedna adresa a je nesmysl to neustále měnit, už jen protože to mají používat všichni.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: robac 27. 05. 2020, 20:26:21
Interní IP není možné používat, mám rozjetý owncloud a v mobilní aplikaci se zadává jedna adresa a je nesmysl to neustále měnit, už jen protože to mají používat všichni.
Tak vysvětlení / relevantní odpověď jste dostal již v prvním příspěvku. Buď si pořiďte router, který umí hairpinning (třeba Mikrotik) nebo si do LAN dejte DNS server (nebo by to zvládl i ten Mikrotik se "static DNS"/ https://wiki.mikrotik.com/wiki/Manual:IP/DNS#Static_DNS_Entries).
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: stelucz 27. 05. 2020, 20:32:31

O veřejnou IP adresu jsem zažádal a je to 81.25.21.57, když kouknu na https://www.mojeip.cz/ dostanu 81.25.21.57 a na tuto IP ukazuje i DNS který je u FORPSI viz obrázek. Jen nerozumím tomu proč v routru k poskytovateli mám 192.168.86.34.
 

takze verejna IP neni na koncovem routeru, ale NAT dela poskytovatel a preklada 81.25.21.57 na 192.168.86.34, plus nema hairpin...

leda nejaky vlastni NAT na routeru?
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: M_D 27. 05. 2020, 20:41:02
Vyzkoušejte si, zda se správně překládá i na vašem domácím počítači.

Přes ping to prostě nikam nedojde. Takže nepřekládá.


Možná prvně zkusit na tom svém domácím komplu něoc jako: nslookup matejckovi.eu
zda ti to vrátí správnou IP. Pokud ano, tak pak řešit tne hair pin NAT. ISPík to nemá asi správně u sebe nastaveno, takže buď mu to vysvětlit nebo to řešit na svém routeru.
Pokud router neumí hairpin nat a nechci ho měnit, tak je ještě možnost nastavit v něm statickou routu, kdy tu IP 81.25.21.57 budu směrovat na ten own server (na jeho vnitřní IP) a v serveru si tu veřejnou IP přidám jako alias.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Filip Jirsák 27. 05. 2020, 20:45:28
Přes ping to prostě nikam nedojde. Takže nepřekládá.
To, že neprojde ping, neznamená, že se doména nepřekládá. Jako první bych tedy zkusil, zda se u vás opravdu doména překládá či nepřekládá – příkazem host nebo nslookup. Pokud by se nepřekládala – nemáte ji náhodou nastavenou v /etc/hosts nebo v lokálním DNS resolveru, třeba na routeru?

O veřejnou IP adresu jsem zažádal a je to 81.25.21.57, když kouknu na https://www.mojeip.cz/ dostanu 81.25.21.57 a na tuto IP ukazuje i DNS který je u FORPSI viz obrázek. Jen nerozumím tomu proč v routru k poskytovateli mám 192.168.86.34.
To je právě proto, že váš ISP vám tu veřejnou IP adresu mapuje přes NAT. Musí být u ISP nastavený správně, aby tu fungovalo i z vnitřní sítě a od vás.

Nejprve bych ale zjistil, jak je to s tím překladem DNS u vás – zda není problém v tom.

Mě tvrdí že on nic nastavit nemůže, na co ho mám nasměrovat?
Nejprve je potřeba zjistit, zda je chyba opravdu u něj.

Na svém routeru otestujte, že když zahájíte spojení s adresou matejckovi.eu, projde přes router nejprve paket směrem ven, jako adresa cíle je tam nastavená 81.25.21.57.

Tohle ověřím jak? S linuxem umím jestli vám to pomůže. Sítím tak do hloubky nerozumím.
Ideální je nastavit na vašem routeru zachytávání paketů na vnějším rozhraní – pokud to ten router umí. Zvolil bych si nějaký nestandardní port, třeba 1234, nastavil bych na routeru zachytávání paketů na tenhle port a pal zkusil

Kód: [Vybrat]
telnet 81.25.21.57 1234
Mimochodem, vyzkoušejte také ping na 81.25.21.57. Abyste porovnal,jak se to chová, když použijete DNS název a IP adresu.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Filip Jirsák 27. 05. 2020, 20:48:49
Buď si pořiďte router, který umí hairpinning (třeba Mikrotik)

leda nejaky vlastni NAT na routeru?

Vzhledem k tomu, že z internetu ta komunikace funguje, s největší pravděpodobností nebude problém v NATu na domácím routeru.

Nejpravděpodobnější jsou dvě možnosti – buď nějaké pokusy s tou doménou v domácí síti, takže se v ní nepřekládá. A nebo chybně nakonfigurovaný NAT ISP, který nefunguje pro přístup z vnitřní sítě ISP k těm NATovaným veřejným adresám.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: listoper 27. 05. 2020, 21:00:06
Ja bych na tu malinu prihodil dnsmasq. Nastavil si router at posila klientum jako primarni dns tu malinu a na ni si muzes hrat...
Pokud vim tak se da dnsmasq nastavit tak, ze cte /etc/hosts a co tam nenajde tak je fallback nekam jinam... treba na 8.8.8.8
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Filip Jirsák 27. 05. 2020, 21:06:46
Hm, podle manuálu se zdá, že D-Llink DIR-850L zachytávání paketů neumí. Vyzkoušejte tedy nejdřív, zda není problém v DNS (ve vaší lokální síti). Zkuste si v prohlížeči otevřít http://81.25.21.57 – pokud se objeví váš web nebo alespoň chybová stránka, je problém v DNS. Pokud dostanete stejnou chybu, jako když zkoušíte https://matejckovi.eu, bude chyba spíš v NATu ISP.

V takovém případě bych na chvíli připojil počítač přímo k internetové přípojce (místo toho routeru). Ve Windows bych pak použil Wireshark, v Linuxu tcpdump, zapnout zachytávání paketů na nějaký port, který si vyberete, a pak se na něj zkusit připojit telnetem. Důležitá je zdrojová IP adresa v tom druhém paketu, který přijde a bude mít cílovou IP adresu 192.168.86.34. Pokud bude mít zdrojovou IP adresu také 192.168.86.34, má ISP chybně nakonfigurovaný ten NAT.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Filip Jirsák 27. 05. 2020, 21:10:49
Ja bych na tu malinu prihodil dnsmasq. Nastavil si router at posila klientum jako primarni dns tu malinu a na ni si muzes hrat...
Pokud vim tak se da dnsmasq nastavit tak, ze cte /etc/hosts a co tam nenajde tak je fallback nekam jinam... treba na 8.8.8.8
Pokud je chyba u ISP, může ho ve své síti pomocí DNS obejít (pokud na té doméně není DNSSEC). Ale nebude to fungovat ostatním uživatelům daného ISP, kteří jsou za stejným NATem. Takže bych se nejdřív snažil, aby to ISP spravil, než bych se pustil do polofunkčních hacků DNS, které rozbijí kde co.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: M_D 27. 05. 2020, 21:11:24
Nu, pokud tam chce lézt i z mobilů a podobných, tak na domácí lince bych se spíše snažil obejít bez toho duálního DNS (ať už pomocí funkce v routeru nebo v tom serveru), kdy by pro lokální klienty vracel přímo interní IP. Řada věcí dneska se snaží už lokální resolvery DNS servery dodané od DHCP ignorovat a pokud odpovídají, tak použijí nějaké veřejné, DoH. ... Tohle se dá "spolehlivě" použít na firemní síti, kde klienti nemají vůbec přístup ven a nemají jinou možnost, než použít lokální resolver.
Spíše bych senažil o stav, aby ta veřejná IP korektně fungovala i z vnitřku sítě.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: listoper 27. 05. 2020, 21:19:19
Ja bych na tu malinu prihodil dnsmasq. Nastavil si router at posila klientum jako primarni dns tu malinu a na ni si muzes hrat...
Pokud vim tak se da dnsmasq nastavit tak, ze cte /etc/hosts a co tam nenajde tak je fallback nekam jinam... treba na 8.8.8.8
Pokud je chyba u ISP, může ho ve své síti pomocí DNS obejít (pokud na té doméně není DNSSEC). Ale nebude to fungovat ostatním uživatelům daného ISP, kteří jsou za stejným NATem. Takže bych se nejdřív snažil, aby to ISP spravil, než bych se pustil do polofunkčních hacků DNS, které rozbijí kde co.

Kde a co to rozbije?
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: M_D 27. 05. 2020, 21:22:42
Zda to nefunguje i od ostatních klientů daného ISP nebo jenom jemu samotnému, to  nemůžeš říci obecně, záleží na tom, jak je síť ISP udělána. Takže to může správně fungovat nejen zvenku (což funguje), ale i ostatním klientům daného ISP (nebo nějaké části) a problém je jen sám se sebou.
Zda je problém s hairpin nat na straně ISPíka může zkusit rovnou s tcpdump na tom cílovém serveru a následným pokusem o spojení na tu veřejku, zda uvidí v tcpdump nějaký pokus o příchozí spojení a s jakou zdrojovou IP (pokud budou chodit se zdrojovou IP 192.168.86.34, tak ISP nemá hirpin správně u sebe a ani ten dlink nemá RP strict filtr).
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Filip Jirsák 27. 05. 2020, 21:33:16
Kde a co to rozbije?
Rozbije to DNSSEC, rozbije to přechody mezi sítěmi (třeba mezi WiFi a mobilní sítí), nebude to fungovat s použitím jiných DNS resolverů (třeba čtyři osmičky).
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Filip Jirsák 27. 05. 2020, 21:37:41
Zda to nefunguje i od ostatních klientů daného ISP nebo jenom jemu samotnému, to  nemůžeš říci obecně, záleží na tom, jak je síť ISP udělána. Takže to může správně fungovat nejen zvenku (což funguje), ale i ostatním klientům daného ISP (nebo nějaké části) a problém je jen sám se sebou.
Já jsem ale nepsal o všech ostatních klientech ISP. Napsal jsem, že to nefunguje těm klientům, kteří jsou za stejným NATem. No a vzhledem k tomu, že ten ISP asi nemá správně nastavený hairpin NAT, pochybuju, že má každého klienta v samostatné síti.

Zda je problém s hairpin nat na straně ISPíka může zkusit rovnou s tcpdump na tom cílovém serveru a následným pokusem o spojení na tu veřejku, zda uvidí v tcpdump nějaký pokus o příchozí spojení a s jakou zdrojovou IP (pokud budou chodit se zdrojovou IP 192.168.86.34, tak ISP nemá hirpin správně u sebe a ani ten dlink nemá RP strict filtr).
h4kuna má pravděpodobně na svém domácím routeru také NAT. A pokud je to hairpin NAT, přepíše se i zdrojová IP adresa, takže na cílovém serveru uvidí vždy adresu routeru, bez ohledu na to, zda to ISP má nakonfigurované správně nebo špatně.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: listoper 27. 05. 2020, 21:49:01
Kde a co to rozbije?
Rozbije to DNSSEC, rozbije to přechody mezi sítěmi (třeba mezi WiFi a mobilní sítí), nebude to fungovat s použitím jiných DNS resolverů (třeba čtyři osmičky).

DNSSEC - moc se nebojim, ze by mi ve vlastni siti nekdo neco podvrhoval takze tam ho nebudu resit. Pri pristupu z venku muze normalne fungovat... nevidim zadny rozbijeni, ale moc tomu nerozumim tak si rad necham vysvetlit...
Prechody mezi sitemi - mam to doma obdobne - nekolik wifi (oddelene) a mobilni data na nekterych zarizenich. problemy pri prechodu jsem nezaznamenal
8.8.8.8 jako fallback kdyz nenajdu lokalni zaznam funguje. zadny problem jsem nenasel
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Filip Jirsák 27. 05. 2020, 22:20:02
DNSSEC - moc se nebojim, ze by mi ve vlastni siti nekdo neco podvrhoval takze tam ho nebudu resit. Pri pristupu z venku muze normalne fungovat... nevidim zadny rozbijeni, ale moc tomu nerozumim tak si rad necham vysvetlit...
Pokud budete na domácím počítači validovat DNSSEC, těžko budete konfigurovat, že pro jednu doménu validovat nemá. A už vůbec se vám nebude chtít konfigurovat to na každém zařízení zvlášť.

Prechody mezi sitemi - mam to doma obdobne - nekolik wifi (oddelene) a mobilni data na nekterych zarizenich. problemy pri prechodu jsem nezaznamenal
Když se vám stáhne DNS záznam s veřejnou IP adresou přes síť mobilního operátora, a pak přejdete do domácí sítě, nebude vám tam ta veřejná IP adresa fungovat. Jasně, pokud to uděláte s mobilem, systém asi vymaže DNS cache, aplikace s tím počítají a zeptají se znovu. Možná. Ale třeba také to zařízení přepínající se z jedné sítě do jiné bude router, a zařízení za ním už se o žádném přepnutí nedozví a DNS cache nevymažou.

8.8.8.8 jako fallback kdyz nenajdu lokalni zaznam funguje. zadny problem jsem nenasel
Jako fallback. Ale někdo má tenhle DNS server nastavený napevno. Třeba v notebooku, protože se s ním připojuje do různých sítí, které mohou mít DNS různě pokažené.

Ano, všechno jsou to zatím spíš okrajové případy, dá se s tím žít. Ale opravdu si chcete tohle všechno rozbít jen kvůli tomu, že ISP má špatně nakonfigurovanou síť? Když to problém vyřeší jenom u vás ale už ne u sousedů? Bral bych to jako poslední možnost, pokud to ISP nebude chtít řešit a není na výběr jiný ISP. Ale nač stahovat kalhoty, když brod je ještě daleko?
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: listoper 27. 05. 2020, 22:43:39
Ok chapu. Na druhou stranu... za pul hodiny mam hotovo a vyresen problem ktery op resi.
Predpokladam, ze ty okrajove pripady ho netrapi.
Zajimalo by me jak dlouho se bude pretahovat s ISP nez to vyresi...
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: robac 27. 05. 2020, 22:52:25
Vzhledem k tomu, že z internetu ta komunikace funguje, s největší pravděpodobností nebude problém v NATu na domácím routeru.

Nejpravděpodobnější jsou dvě možnosti – buď nějaké pokusy s tou doménou v domácí síti, takže se v ní nepřekládá. A nebo chybně nakonfigurovaný NAT ISP, který nefunguje pro přístup z vnitřní sítě ISP k těm NATovaným veřejným adresám.
Pane Jirsáku - mám Vás rád, tak se nebudu rozčilovat  :)
Nikde netvrdím, že je problém/chyba v NATu na domácím routeru. I kdyby se jednalo o "chybně nakonfigurovaný NAT ISP", tak je o zcela běžnou situaci i u velkých ISP a hairpin NAT na domácím routeru to vyřeší (investice v rozmezí 500,- až 1500,-).

Btw. dle mě se o chybnou konfiguraci u ISP nejedná, neb v zájmu ISP rozhodně není vytěžování hraničního routeru a linek provozem, který lze směřovat lokálně.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: stevo54785 27. 05. 2020, 23:08:56
Ja to mikrotiku riešim jednoducho..

/ip firewall nat add action=masquerade chain=srcnat dst-address-list=server src-address=<rozsah LAN napr 192.168.0.0/24>
/ip firewall address-list add address=<IP servera1> list=server
/ip firewall address-list add address=<IP servera2> list=server
...
klasický portforwarding
/ip firewall nat add action=dst-nat chain=dstnat dst-address=<verejná IP> dst-port=<port> protocol=tcp to-addresses=<IP servera> to-ports=<port>
...

Beží to ako hodinky s viacerými doménami nasmerovanými na mňa, s viacerými "servríkmi" v LAN-ke asi zo 3-4 roky bez jediného problému.
Všeky Tp-linky, Dlinky a podobné som už dávno vyhodil.
Mikrotik
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: h4kuna 28. 05. 2020, 04:51:12
Tak vysvětlení / relevantní odpověď jste dostal již v prvním příspěvku. Buď si pořiďte router, který umí hairpinning (třeba Mikrotik) nebo si do LAN dejte DNS server (nebo by to zvládl i ten Mikrotik se "static DNS"/ https://wiki.mikrotik.com/wiki/Manual:IP/DNS#Static_DNS_Entries).

Jelikož jsem nepochopil proč mi to nefunguje, tak momentálně ani nejsem schopen rozlišit jestli jsem dostal relevantní odpověď (koupí mikrotiku). A nepochopil jsem problém tudíž nevím jestli to není jen klička, která by fungovala, a nebo to jde i jinak. Což ve světě IT je spousta kliček, už jsem dostal i odpověď, "To je jednoduchý dej si matejckovi.eu do /etc/hosts" Toto je prostě jenom klička a k tomu velmi špatná.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: h4kuna 28. 05. 2020, 04:57:38
Pokud je chyba u ISP, může ho ve své síti pomocí DNS obejít (pokud na té doméně není DNSSEC).

Na doméně je zapnuté DNSSEC.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: h4kuna 28. 05. 2020, 05:09:31
To, že neprojde ping, neznamená, že se doména nepřekládá. Jako první bych tedy zkusil, zda se u vás opravdu doména překládá či nepřekládá – příkazem host nebo nslookup. Pokud by se nepřekládala – nemáte ji náhodou nastavenou v /etc/hosts nebo v lokálním DNS resolveru, třeba na routeru?

Výstup nslookup a host posílám na obrázku. Udělal jsem to, že jsem tu mašinu připojil napřímo, tzn nehrál v tom roli můj domácí router. Výstupy jsou identické jako když tam router byl.

Jen doplním, že vlastní DNS ani na routru ani na servru nemám.

Sám jsem žádný NAT nekonfiguroval ani vědomě neprovozuji. Router je v továrním nastavení až na přesměrování portů (80/443), právě na server. Nic jiného na routru není.

Chování domény nebo ip v prohlížeči je stejné.

V hosts doménu uvedenou nemám, jak jsem psal bylo by to polovičaté řešení pro konkretní počítač, ale pro mobil to cesta není.

Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: h4kuna 28. 05. 2020, 05:12:12
Spíše bych senažil o stav, aby ta veřejná IP korektně fungovala i z vnitřku sítě.

Tohoto bych rád docílil, nechci mít doma vlastní DNS, ani momentálně nemám.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Filip Jirsák 28. 05. 2020, 08:18:34
za pul hodiny mam hotovo a vyresen problem ktery op resi.
Ne, ten problém by nebyl vyřešen. Pouze se problém v některých případech obejde.

Je skoro jisté, že ta veřejná IP adresa je nedostupná i od dalších zákazníků toho ISP ve stejné síti; je dost pravděpodobné, že je nedostupná od všech jeho zákazníků. Pak bude h4kuna chtít ukázat sousedům fotky, nebo na serveru zprovoznit web pro místní spolek, a bude znova řešit, proč se tam půlka lidí nedostane.

Predpokladam, ze ty okrajove pripady ho netrapi.
Teď třeba ne, všechny takovéhle hacky jsou jen časovaná bomba.

Zajimalo by me jak dlouho se bude pretahovat s ISP nez to vyresi...
To záleží na schopnostech ISP. Neúspěch by znamenal varování a pro mne by to byl podnět hledat jiného ISP, protože pokud ISP neumí opravit takovouhle věc, jak asi bude řešit jiné problémy? A pokud ISP ten problém vyřeší správně, pomůže to úplně všem, kteří u něj mají veřejnou IP adresu.

Nikde netvrdím, že je problém/chyba v NATu na domácím routeru.
Pokud chyba není v NATu na domácím routeru, byla by chyba pokoušet se to na domácím routeru opravovat.

I kdyby se jednalo o "chybně nakonfigurovaný NAT ISP", tak je o zcela běžnou situaci i u velkých ISP
Ne, není. Velcí ISP neřeší NAT na linuxovém nebo mikrotikovém firewallu a přidělení veřejné IP adresy neřeší tím, že na tomhle odchozím NATu správce ručně přidá pravidlo pro příchozí veřejnou IP adresu. Velký ISP když vám dá veřejnou IP adresu, dopraví ji až na vaše rozhraní. (Velkým ISP nemyslím městskou síťku s tisíci klienty.)

hairpin NAT na domácím routeru to vyřeší (investice v rozmezí 500,- až 1500,-).
Nevyřeší. Už jsem tu několikrát vysvětloval proč.

Btw. dle mě se o chybnou konfiguraci u ISP nejedná
Ta veřejná IP adresa je nedostupná z části (s velkou pravděpodobností z celé) sítě ISP. S největší pravděpodobností jsou tak postižené všechny veřejné IP přidělené zákazníkům toho ISP. To je chybná konfigurace.

v zájmu ISP rozhodně není vytěžování hraničního routeru a linek provozem, který lze směřovat lokálně
To není v zájmu ISP. Ale za prvé tenhle provoz bude minimální oproti jinému provozu; za druhé to není omluva, aby to
nefungovalo; a za třetí si to způsobil sám ISP, když veřejnou IP adresu řeší NATem. Kdyby tu veřejnou IP adresu normálně routoval, tenhle problém by se nestal a ten provoz by se nehnal zbytečně na hraniční NAT a zase zpět.

Ja to mikrotiku riešim jednoducho..
No jo, ale to máte veřejnou IP adresou routovanou až na váš domácí router. h4kuna to tak ale nemá, ISP jeho veřejnou IPv4 adresu NATuje na privátní už někde na svém NATu – a chyba je nejspíš tam.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: M_D 28. 05. 2020, 08:25:49
Nu, DNS odpovídá OK.
Nefunguje to proto, že ISP nedělá (ať již z blbosti nebo úmyslně) správně otočení provozu pro tu veřejnou IP adresu zpět. Buď žádat nápravu po něm nebo to řešit na svém routeru, to druhé má výhodu, že lokální provoz mezi domácím klientem a serverem nemusí pochodovat přes celou síť ISP, ale odehraje se jen v rámci domácí LAN.
Ten Dlink asi neumí hairpin NAT, protože se hodně lidí ptá jak na něj a žádná rozumné odpověď.
Router umí nastavit statické routy. Takže bych zkusil použil tu. Na routeru nastavit, že IP 81.25.21.57 má směrovat na bránu 192.168.1.666, předpokládám, že tu 192.168.1.666 nahradíte IP toho cílového serveru v lokální síti. Na tom cílovém, serveru si přidáte tu veřejnou IP adresu. Takže v linuxu z příkazové řádky něco jako: "ip a a 81.25.21.57/32 dev eth0 label eth0:0" a uvidí se, zda začne ta IP z lokální LAN odpovídat. Je třeba nahradit to eth0 patřičně jménem nějaké síťovky v tom routeru. Když to bude pak fungovat, je vhodné se podívat, jak se takový alias nastavit, aby platil i po restartu, což je dáno použitou distribucí.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Filip Jirsák 28. 05. 2020, 08:51:35
Jelikož jsem nepochopil proč mi to nefunguje, tak momentálně ani nejsem schopen rozlišit jestli jsem dostal relevantní odpověď (koupí mikrotiku).
Z toho, co jste zatím napsal, si nedovedu představit situaci, kdy by to byl problém v konfiguraci sítě ve vašem domácím routeru – takže koupě Mikrotiku by to neřešila. S Mikrotikem místo toho D-Linku by bylo snazší vypátrat příčinu nebo problém obejít, ale v tuto chvíli by mi to připadalo jako zbytečná investice.

Výstup nslookup a host posílám na obrázku. Udělal jsem to, že jsem tu mašinu připojil napřímo, tzn nehrál v tom roli můj domácí router. Výstupy jsou identické jako když tam router byl.

Jen doplním, že vlastní DNS ani na routru ani na servru nemám.

Sám jsem žádný NAT nekonfiguroval ani vědomě neprovozuji. Router je v továrním nastavení až na přesměrování portů (80/443), právě na server. Nic jiného na routru není.

Chování domény nebo ip v prohlížeči je stejné.

V hosts doménu uvedenou nemám, jak jsem psal bylo by to polovičaté řešení pro konkretní počítač, ale pro mobil to cesta není.
Podle toho výpisu se doména u vás překládá správně. Mimochodem, odpovídá vám lokální DNS resolver – tohle řešení se často používá při validaci DNSSEC. Takže kdybyste si na svém routeru tu doménu unesl, jak tu někteří doporučují, na tomhle konkrétním počítači by vám přestala fungovat, protože by odpovědi nebyly podepsané.

Každopádně to není problém DNS ale konfigurace sítě.

Zkusil bych tedy následující. Stejně jako jste zkoušel to DNS, spustit následující příkaz:

Kód: [Vybrat]
tcpdump -n 'port 4444'Pokud by to zařízení mělo víc fyzických rozhraní (třeba LAN a WiFi), bude nutné ještě pomocí parametru -i určit, které rozhraní se má použít (to, kam připojujete přípojku od ISP).

Tím zapnete zachytávání paketů na portu 4444 (nestandardní port, takže tam snad nebude žádný jiný provoz).

V druhé konzoli pak zadejte jen
Kód: [Vybrat]
telnet 81.25.21.57 4444Žádné spojení se samozřejmě nemůže podařit navázat, protože na tom portu 4444 snad nic neposlouchá, ale jde jen o ty pakety při pokusu o navázání spojení.

V konzoli tcpdumpu by se mělo objevit něco takového:
Kód: [Vybrat]
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens3, link-type EN10MB (Ethernet), capture size 262144 bytes
08:32:02.512559 IP 192.168.86.34.48142 > 81.25.21.57.4444: Flags [S], seq … length 0
08:32:02.512660 IP 192.168.86.34.48142 > 192.168.86.34.4444: Flags [S], seq … length 0
Sledování pak ukončíte pomocí Ctrl+C.

Předpokládám, že tam budou jen dva pakety (dva řádky po té hlavičce). Důležité jsou ty dvě IP adresy vždy na začátku řádku. První paket je odchozí z vašeho počítače na veřejnou IP adresu. Druhý je ten samý paket po té, co prošel NATem u ISP a vrací se na váš router. Důležitá je jeho zdrojová IP adresa (ta první) – pokud tam bude 192.168.86.34 (tedy ta vaše privátní IP adresa, kterou vám přidělil ISP), je to špatně. Odpověď na tenhle paket se totiž nemůže dostat k NATu vašeho ISP, aby se tam adresy přeložily zpět. Pokud by tam byla jiná IP adresa (měla by to být adresa NATu ISP), je problém jinde, než si myslím :-)

Pokud se to potvrdí, je problém na straně ISP – dělá jen DNAT (přepíše cílovou IP adresu), ale nedělá SNAT (nepřepíše zdrojovou IP adresu, takže pak nemůže fungovat komunikace ze stejné sítě, ze které byl ten paket odeslán). Tohle řešení, kdy se vedle DNATu dělá také SNAT, aby se paket vrátil zpět na NATující stroj, se často nazývá „hairpin NAT“ (tím SNATem se paket „přišpendlí“ k tomu NATu, aby se k němu vrátila odpověď).

To by bylo to, co pak musíte po svém ISP požadovat – aby pro tu vaši veřejnou IP adresu (ale raději pro všechny veřejné IP adresy, které takhle poskytuje), nastavil hairpin NAT, nebo-li nastavil i SNAT, který změní odchozí adresu paketu tak, aby se odpovědní paket vrátil zpět na NAT ISP a tam se mohl zpět přeložit.

A ještě vysvětlení, proč to celé bez toho SNATu nefunguje – váš prohlížeč(například) pošle požadavek na 81.25.21.57, na NATu ISP se to přeloží na 192.168.86.34. Kvůli chybějícímu SNATu se ale odpověď nepošle na NAT ISP (který by 192.168.86.34 přeložil zpět na 81.25.21.57 – to dělá NAT u ISP automaticky), ale pošle se vašemu prohlížeči přímo, bez překladu. Takže počítač dostane odpověď od 192.168.86.34. Jenže on posílal požadavek na 81.25.21.57, odpověď od 192.168.86.34 nečeká a zahodí ji. Tím pádem se nikdy nemůže navázat spojení.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: h4kuna 28. 05. 2020, 08:55:36
Na routeru nastavit, že IP 81.25.21.57 má směrovat na bránu 192.168.1.666, předpokládám, že tu 192.168.1.666 nahradíte IP toho cílového serveru v lokální síti.

tl;dr Nejde mi to.

a) Na routru jsem nastavil routu, dle obrázku a doufám že jsem Vás správně pochopil a jsem rád za každou možnost co mohu zkusit ihned. viz obrázek
b) neuloží se to s hláškou "Invalid gateway, the gateway should be in the same network of the selected interface."
- vybraný interface wan nemohu měnit zde je jen jedna možnost
- pamatuju si že když mi to instalovali tak anténa naproti má na konci 33, tak jsem ji tam zkusil jestli se to nepřetočí a nepošle znova, nečekal jsem výsledek a taky to nefungovalo
c) Políčko "Destination IP" po uložení upraví tak že poslední číslo je nula, jestli to dělá podle masky nevím, proč tam chce 0 nevím
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Filip Jirsák 28. 05. 2020, 08:56:55
nebo to řešit na svém routeru
Znovu opakuju, že to h4kuna na svém routeru vyřešit nemůže. Může problém obejít, aby se neprojevoval v jeho domácí síti. Ale pro některé jiné zákazníky (a já bych si tipnul, že v tomto případě spíš pro všechny) téhož ISP bude ten problém dál trvat – tj. nedostanou se na ten webserver, tj. například na web matejckovi.eu. Vzhledem k tomu, že zákazníci toho ISP budou pravděpodobně lidé v okolí, třeba sousedé, může to být docela problém. Je spousta webů, které jsou zaměřené na okolí – třeba truhlář asi nebude získávat mnoho zakázek z druhého konce republiky, ale spíš od lidí ze stejné ulice, ze sousední vesnice apod.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: h4kuna 28. 05. 2020, 10:10:11
Zkusil bych tedy následující. Stejně jako jste zkoušel to DNS, spustit následující

Musel jsem změnit port na 2222, protože od IPS mám všechny porty blokované až na 80,443,2222 a asi chceme zkontrolovat kam ten paket dojde.

Pomocí příkazu jsem zkontrolovat že na port 2222 nemám nic.
sudo netstat -nlpt | grep '2222'

pomocí příkazu `ip a` jsem vybral síťovku 'enp59s0' mající ip adresu 192.168.86.34, připojil jsem si zase kabel z antény přímo na počítač.

tcpdump -n 'port 2222' -i 'enp59s0'

telnet 81.25.21.57 2222

Výsledky jsou na obrázku.

Edit: nahrál jsem lepší obrázek
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: h4kuna 28. 05. 2020, 10:48:57
Je skoro jisté, že ta veřejná IP adresa je nedostupná i od dalších zákazníků toho ISP ve stejné síti; je dost pravděpodobné, že je nedostupná od všech jeho zákazníků. Pak bude h4kuna chtít ukázat sousedům fotky, nebo na serveru zprovoznit web pro místní spolek, a bude znova řešit, proč se tam půlka lidí nedostane.

Potvrzeno, soused který má stejného IPS, nenačte moje stránky. Myslím že to už je důvod napsat a znova si "stěžovat". Jen stále nevím na co bych mu měl ukázat že má blbě?
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: h4kuna 28. 05. 2020, 11:04:26
Koukám že píšu blbě zkratku ISP = internet service provider, zpětně mi ty příspěvky nejdou upravit, dám si pozor na další.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Vilith 28. 05. 2020, 11:13:30
Nebude nejsnazší zjistit u ISP korektní nastavení?
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: h4kuna 28. 05. 2020, 11:17:45
Nebude nejsnazší zjistit u ISP korektní nastavení?
Co to znamená? Mám od něj IP adresu, masku, dns a z jeho pohledu mě více zajímat nemusí. Já mu rád pošlu další otázky, jen nevím na co se ptát. Mám jen argument že soused taky nevidí na můj web server.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Vilith 28. 05. 2020, 11:22:21
Nebude nejsnazší zjistit u ISP korektní nastavení?
Co to znamená? Mám od něj IP adresu, masku, dns a z jeho pohledu mě více zajímat nemusí.

Nikdo z nás nevíme, co u konkrétního providera znamená "veřejná IP", a jak má nastavenou svou síť

Buď se tady trefíme do schůdného řešení metodou Monte Carlo (https://en.wikipedia.org/wiki/Monte_Carlo_method) a nebo se stejně musíš zeptat
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Filip Jirsák 28. 05. 2020, 11:47:13
Buď se tady trefíme do schůdného řešení metodou Monte Carlo (https://en.wikipedia.org/wiki/Monte_Carlo_method) a nebo se stejně musíš zeptat
ISP má špatně nastavenou síť. Není na co se ho ptát – je potřeba mu říct, že si má síť opravit. A vzhledem k tomu, že ISP se zatím tváří, že neví, co má špatně, je potřeba mu to sdělit.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Filip Jirsák 28. 05. 2020, 11:52:43
Musel jsem změnit port na 2222, protože od IPS mám všechny porty blokované až na 80,443,2222 a asi chceme zkontrolovat kam ten paket dojde.

Pomocí příkazu jsem zkontrolovat že na port 2222 nemám nic.
sudo netstat -nlpt | grep '2222'

pomocí příkazu `ip a` jsem vybral síťovku 'enp59s0' mající ip adresu 192.168.86.34, připojil jsem si zase kabel z antény přímo na počítač.

tcpdump -n 'port 2222' -i 'enp59s0'

telnet 81.25.21.57 2222

Výsledky jsou na obrázku.
Ty dva řádky 122.91.18.119 ignorujte, to je nějaký robot z Asie, asi zkouší nestandardní port pro SSH. Zbytek jsou jenom vaše odchozí pakety, z routeru ISP se ani nevrátili.

Tj. ISP řekněte, že vy ani vaši sousedé u stejného ISP se nemohou připojit na vaši veřejnou IP adresu 81.25.21.57. Můžete přiložit ten výpis tcpdumpu s tím, že pakety od vás na 81.25.21.57 odejdou, ale už se nevrátí zpět s cílovou IP adresou 192.168.86.34. Pokud by se ISP vymlouval, že je to váš problém, argumentujte tím, že to nejde ani u sousedů, kteří jsou k němu také připojení – ale jinde z internetu, že to jde.

Každopádně s ISP vůbec neřešte doménu, to ho možná zmátlo – řešte jen tu veřejnou IP adresu.

Dotyčný ISP má pravděpodobně ten DNAT nastaven jen na vnějším rozhraní do internetu a pakety z vnitřní sítě směrované na veřejné IP adresy jeho klientů se mu někde ztrácí.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Vilith 28. 05. 2020, 11:58:59
Buď se tady trefíme do schůdného řešení metodou Monte Carlo (https://en.wikipedia.org/wiki/Monte_Carlo_method) a nebo se stejně musíš zeptat
ISP má špatně nastavenou síť. Není na co se ho ptát – je potřeba mu říct, že si má síť opravit. A vzhledem k tomu, že ISP se zatím tváří, že neví, co má špatně, je potřeba mu to sdělit.

Pokud mu to nesdělíš, a on to neopraví, tak tady můžeš vytvářet libovolné teorie a návody
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Filip Jirsák 28. 05. 2020, 12:04:31
Pokud mu to nesdělíš, a on to neopraví, tak tady můžeš vytvářet libovolné teorie a návody
Sdělovat mu to nebudu já, ale h4kuna. Já jsem jen opravoval vaše chybné tvrzení, že je potřeba se ISP na něco ptát. Ne, nepotřebujeme se ho ptát, jak má řešené veřejné IPv4 adresy, protože to víme – portforwardingem tří portů 80, 443 a 2222 na privátní IPv4 adresu, kterou ISP přidělil zákazníkovi. A není potřeba se ho ptát ani na nic jiného, protože chybu musí opravit ISP, ne h4kuna.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: h4kuna 28. 05. 2020, 12:07:13
Napsal jsem mu a čekám na odpověď. Dám vědět i sem jak to dopadlo.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: h4kuna 28. 05. 2020, 13:36:49
Není oslovení navazoval jsem na konverzaci, a poslal jsem
Citace
Prosím Vás,

musí být pravděpodobně DNAT nastaven jen na vnějším rozhraní do internetu a pakety z vnitřní sítě směrované na veřejné IP adresy se někde ztrácí, protože ani soused XXX, Ulice X, kterému jsem comfeel doporučil nenačte moji doménu, což považuji za problém!
Na doméně https://www.matejckovi.cz je stránka s textem "Here is nothing."

Myslím si, že stejný problém by jste měl mít pokud jste ve stejné síti jako já (192.168.86.XXX). Pokud se připojíte na telefonu přes data, tak stránku načtete.

Tím chci říct, že ani můj router co by uměl statické DNS to nevyřeší.

Můžete to prověřit? Přikládám výpis tcpdumpu v příloze.


Odpověď
Citace
Dobrý den,

máte přidělenou veřejnou IP adresu pomocí NAT 1:1.

To znamená, že překlad se děje cestou z Internetu a do něj.

Takže cokoliv jde z / do Internetu, tak se přeloží za Vaší veřejnou IP.

V lokální síti musíte přistupovat na lokální IP serveru. Pokud router
umí statické záznamy pro DNS, jak je možné si vytvořit vlastní
záznamy, které budou směřovat na lokální IP.

Z naší strany není co prověřovat a vše funguje, tak jak má.

Stále by mě zajímalo ikdybych měl router co umí statické DNS, tak soused můj web server neuvidí, že? To podle mě není cesta.

Mám pár myšlenek co mu napsat...
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Vilith 28. 05. 2020, 13:55:44
A co ostatní uživatelé toho ISP? Jak se dostanou na web?

Požádejte o upřesnění odpovědi ISP operátora
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Filip Jirsák 28. 05. 2020, 14:13:34
Stále by mě zajímalo ikdybych měl router co umí statické DNS, tak soused můj web server neuvidí, že? To podle mě není cesta.
Přesně tak, ten problém není jen ve vaší domácí síti, ale u všech klientů ISP (podle toho, že ISP píše, že řeší jen provoz z internetu).

Že vše funguje, jak má – asi to funguje tak, jak chtějí, aby to fungovalo. Ale rozhodně to není očekávané chování – když máte veřejnou IP adresu, měla by fungovat skutečně všem, včetně vašich sousedů. Kdyby nefungovala jenom vám, asi by se o tom dalo dohadovat, že ISP je v právu. Ale to, že to nefunguje ostatním jeho zákazníkům, je podle mne neomluvitelné.

Pokud máte dobré vztahy se sousedy, můžete zkusit, aby to reklamovali oni :-)
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: h4kuna 28. 05. 2020, 15:19:53
Ještě počkám na souseda, abych to viděl na vlastní oči že mu to nejde. Je mi jasný že mi neodpověděl na co jsem se ptal.

Stále by mě zajímalo ikdybych měl router co umí statické DNS, tak soused můj web server neuvidí, že?

Já tu zkušenost nemám a netuším jak by se to zachovalo, tak proto se ptám jak je to s tím routrem. Bych mu navrhnul ať mi přijde nainstalovat a nastavit router se statickou DNS, že mu to zaplatím když to bude fungovat mě i sousedovi a pokud ne tak nebudu platit nic. Protože jinak ho asi ze židle nezvednu.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Filip Jirsák 28. 05. 2020, 15:59:36
Stále by mě zajímalo ikdybych měl router co umí statické DNS, tak soused můj web server neuvidí, že?

Já tu zkušenost nemám a netuším jak by se to zachovalo, tak proto se ptám jak je to s tím routrem. Bych mu navrhnul ať mi přijde nainstalovat a nastavit router se statickou DNS, že mu to zaplatím když to bude fungovat mě i sousedovi a pokud ne tak nebudu platit nic. Protože jinak ho asi ze židle nezvednu.
Ano, když to spravíte ve své síti tím, že se komunikace do sítě ISP vůbec nedostane (což je příklad toho statického DNS), soused ten váš web stále neuvidí. To statické DNS je ekvivalent toho, že byste si na všech počítačích ve své síti nastavil záznam do /etc/hosts.

To statické DNS řeší jenom to, že když vy ve své síti zadáte tu webovou adresu, přeloží se to na jinou adresu a bude se komunikovat jenom v rámci vaší domácí sítě. Když ale tu adresu zadá soused, váš statický DNS vůbec nevstupuje do hry – u souseda se to zase přeloží na tu veřejnou IP adresu 81.25.21.57, komunikace s ní bude směřovat někam do sítě ISP a tam se ztratí.

Jenom doufám, že toho ISP nenapadne to řešit tak, že bude DNS dotazy na tuhle doménu unášet a přepisovat na tu privátní IP adresu. Sice by to nefungovalo těm, kteří validují DNSSEC, ale obávám se, že to by ISP zase prohlásil za jejich problém.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: M_D 28. 05. 2020, 16:01:52
Na tvém routeru (ať už pomocí DNS, NATu, routingu, ...) souseda nevyřešíš. To jen řeší, aby to fungovalo tobě samotnému doma.
Pokud chceš ještě zkusit, tak ať soused se zkusí spojit na tu tvoji interní IP 192.168.86.34, zda se spojí na ni OK. To by mělo dle té odpovědi od ISP fungovat, ale neřeší to nic moc, jen ukáže, že vyloženě neblokuje komunikaci mezi svými zákazníky.
Případně si proleť podmínky služby. Že to nefunguje tobě samotnému, tak může ISPík argumentovat, ať si to pořešíš na svém routeru, že tvoje interní komunikace utíká do jeho sítě a dropuje ji. Ale ta nefunkčnost od souseda je už jiná. Nicméně někteří ISP vzájemnou komunikaci mezi svými zákazníky blokují, pokud oba nemají veřejnou IP. Ale to by měl mít v podmínkách.

Add ta routa v tom DLinku, pokud nedovolí nastavit, že ta routa má jít do LAN, tak to takto pro sebe neohneš. Už jen to, že nedovolí libovolnou masku, ale upraví ti /32 na /24, tak to ukazuje, že je ten router v možnostech dost omezen. Podobně i to, že asi neumí ani ty varianty hairpin NATu.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Libor Petr 29. 05. 2020, 13:25:46
Jestli to dobře chápu, někde doma máte počítač nebo NASku, na kterém běží Owncloud, který chcete ukazovat sousedům a přistupovat na něj z domova. Je to tak?

Pokud ano, tak se akorát divím, že Vám ještě p. Jirsák nenapsal jeho nejoblíbenější argument, totiž přejít na IPv6. Protože zrovna v tomhle případě IPv6 totiž dává smysl.

Zásadní otázka zní: jakou IP adresu má Váš domácí server napsanou na síťovém rozhraní? Jestli je tam cokoliv jiného, než IP adresa 81.25.21.57 tak to bez dalších berliček nebude nikdy fungovat.
Důvody máte napsané v tom mailu od providera - veřejnou IP adresu dostáváte pomocí NAT 1:1 na hlavní bráně providera.

Není oslovení navazoval jsem na konverzaci, a poslal jsem

Odpověď
Citace
Dobrý den,

máte přidělenou veřejnou IP adresu pomocí NAT 1:1.

To znamená, že překlad se děje cestou z Internetu a do něj.

Takže cokoliv jde z / do Internetu, tak se přeloží za Vaší veřejnou IP.

V lokální síti musíte přistupovat na lokální IP serveru. Pokud router
umí statické záznamy pro DNS, jak je možné si vytvořit vlastní
záznamy, které budou směřovat na lokální IP.

Z naší strany není co prověřovat a vše funguje, tak jak má.

Stále by mě zajímalo ikdybych měl router co umí statické DNS, tak soused můj web server neuvidí, že? To podle mě není cesta.

Mám pár myšlenek co mu napsat...

Pokud nechápete co pro Vás NAT 1:1 znamená, je to dost marný. Asi bych začal bych tím, že si najdete někoho, kdo rozumí síťím a správně Vám to nastaví.

Možná řešení:
1) kompletně přejít na IPv6 doma i u providera. Jedině tak totiž zajistíte, že IP adresa (a odpovídající DNS záznam) vašeho serveru bude identická ve všech sítích, ze kterých k němu přistupujete. Vyřeší problémy s přístupem z domácí sítě, z přístupové sítě providera a z internetu, tedy v případě že ostatní také používají IPv6.
Ale pokud poměrně dobře nerozumíte konfiguraci firewallu (sorry předpokládám že nerozumíte, protože by jste takhle neptal), tak sice jeden problém vyřešíte, ale na spoustu dalších si zaděláte. A jestli mám správné informace, tak Comfell v tuto chvíli nenabízí IPv6. V tom případě musíte změnit providera a hodně si doplnit znalosti o fungování IPv6.

2) Rozběhnout doma interní DNS server, který pro adresy z vnitřní sítě bude vracet "správné" IP adresy z vaší lokální sítě. Vyřešíte svůj problém ale ne sousedův na přístupové síti stejného providera.
2a) Pokud chcete řešit i přístup pro sousedy, zeptejete se providera, jestli provozuje vlastní DNS server. Pokud ano, určitě na něm dle zákona provádí filtraci hazardních webů. To se nejčastěji dělá přes tzv. RPZ doménu, kde se "falšují" odpovědi na DNS dotazy pro vybrané weby (ukládá to zákon). Provoz směřující na hazardní weby se přesměrovává na stránku s informací, že doména byla zablokována a proč. Analogicky jdou přesměrovávat DNS dotazy na matejickovi.eu na IP adresu, kterou máte přiřazenou v přístupové síti providera. Pokud provider neprovozuje DNS server, mohou si sousedi nastavit "fake" DNS záznam na svém vlastním routeru (pokud to router dovoluje a soused to umí).

3) Domluvit se s providerem, aby pro IP 81.25.21.57 a porty 80,443 dělal Harpin-NAT na svém routeru - vyřeší určitě problém přístupu souseda a pokud nebude nějaká zrada na Vašem D-Linku, tak i ten Váš. To je asi nejrychlejší řešení, otázkou je, jestli se providerovi bude do nestandartních konfigurací chcít.

4) Domluvit se s providerem, jestli Vám odroutuje další rozsah /30 veřejných IP adres až na Vaše zařízení. Tam si s tím uděláte co potřebujete a pokud tomu alespoň částečně rozumíte, protáhnete ty veřejné IP adresy až na síťovku Vašeho serveru. Problém vyřešen pro vás, pro souseda, pro celý internet. Akorát počítejte s tím, že to může být dražší (platíte 4 IP adresy) a opět platí, že pokud neumíte správně nakonfigurovat firewall, vyřešením jednoho problému vznikne spousta jiných.

Stále by mě zajímalo ikdybych měl router co umí statické DNS, tak soused můj web server neuvidí, že? To podle mě není cesta.

Mám pár myšlenek co mu napsat...
Providerovi nemusíte psát nic, on Vám korektně odpověděl akorát Vy jste ho nepochopil. Stačí když se budete řídit myšlenkami velkého Iljiče: "... učit se, učit se, učit se"

P.S. A jestli vážně chcete doma provozovat www server dostupný z internetu, tak doporučuji se poohlédnout po nějakém jiném routeru než základní segment D-Link, TP-Link atd. Potřebujete router, který má nějaký dlouhodobý support, výrobce pravidelně řeší bezpečnostní díry a vydává aktualizace firmware víc než jednou.
Doporučuji pravidleně číst nějaký security bulletin a věřte mi, že u D-Linku to není zrovna uklidňující čtení https://www.cvedetails.com/vulnerability-list/vendor_id-899/D-link.html (https://www.cvedetails.com/vulnerability-list/vendor_id-899/D-link.html).
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: SB 29. 05. 2020, 14:04:47
1. NAT je skvělý. Všichni jej chtějí, milují jej. NAT je chrání (dokonce i když nechtějí). Bez NATu nic nefunguje. NAT je třeba zachovat pro další generace. Konec NATu by znamenal konec světa.
2.
Musel jsem změnit port na 2222, protože od IPS mám všechny porty blokované až na 80,443,2222...

Prosím???!

3. Jména lemplů se zásadně zvěřejňují, aby byli ostatní varováni.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: h4kuna 29. 05. 2020, 14:54:41
Jestli to dobře chápu, někde doma máte počítač nebo NASku, na kterém běží Owncloud, který chcete ukazovat sousedům a přistupovat na něj z domova. Je to tak?
Je to tak, tím ten owncloud nemuže doma nikdo používat, kdo chce neustále měnit adresy? A není to jen tohle, umím si udělat webové api a naprogramovat apku do telefonu. Už mi takto funguje otevírání garážových vrat, protože si to píšu sám tak v aplikaci mám pokud je telefon na datech použij doménu jinak 192.168... i tohle by se zjednodušilo. Mám to celkově na hraní :)

Pokud ano, tak se akorát divím, že Vám ještě p. Jirsák nenapsal jeho nejoblíbenější argument, totiž přejít na IPv6. Protože zrovna v tomhle případě IPv6 totiž dává smysl.
Zrovinka včera večer jsem nad tím taky uvažoval, ale jak píšete sítím nerozumím a nevím co to pro mě obnáší. Jen vím že všechny zařízení co tu mám by měli ipv6 umět.

Zásadní otázka zní: jakou IP adresu má Váš domácí server napsanou na síťovém rozhraní? Jestli je tam cokoliv jiného, než IP adresa 81.25.21.57 tak to bez dalších berliček nebude nikdy fungovat.
Důvody máte napsané v tom mailu od providera - veřejnou IP adresu dostáváte pomocí NAT 1:1 na hlavní bráně providera.
Je tam 192.168.....


Pokud nechápete co pro Vás NAT 1:1 znamená, je to dost marný. Asi bych začal bych tím, že si najdete někoho, kdo rozumí síťím a správně Vám to nastaví.
Pořád si říkám že ta situace ve které jsem, tak se v ní muselo vyskynout spousta lidí před mnou, takže bych očekával nějaké komplexní funkční řešení prověřené čase.

1) kompletně přejít na IPv6
tuto možnost posunu nakonec

2) Rozběhnout doma interní DNS server
To bych mohl, ale proto vznikla diskuse včetně toho že tuto situaci už musel někdo řešit, nicméně mě napadlo že mám od ISP zařízení na půdě, kde mi říkali že umí DHCP a tím nepotřebuju tvůj router, takže kdyby to zařízení umělo statickou překlad DNS, tak tím domácí dns padá, a teď se podržte, je to mikrotik, takže jak píšete ohledně d-linku, tak bych se přiklonil k řešení že bych svůj router downgradoval na switch, tím bych měl vyřešeno fungování v rámci domu.

2a) Pokud chcete řešit i přístup pro sousedy
Tohle asi není řešení když domena podporuje DNSSEC???

3) Domluvit se s providerem, aby pro IP 81.25.21.57 a porty 80,443 dělal Harpin-NAT na svém routeru
To zní zajimavě, zeptám se

4) Domluvit se s providerem, jestli Vám odroutuje další rozsah /30 veřejných IP adres až na Vaše zařízení.
Takhle to hrotit nepotřebuju

Stačí když se budete řídit myšlenkami velkého Iljiče: "... učit se, učit se, učit se"
Na sítě víceméně nesahám, ani se jimi neživím, takže bych to v čase zapomněl, tudíž to nemá smysl a pro tu chvíli co to potřebuji si to nechám vysvětli na fóru root.cz :)

P.S. A jestli vážně chcete doma provozovat www server dostupný z internetu, tak doporučuji se poohlédnout po nějakém jiném routeru než základní segment D-Link, TP-Link atd.
Tohle je je super poznámka. Vyjádřil jsem se výše.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Filip Jirsák 29. 05. 2020, 15:08:13
Pokud ano, tak se akorát divím, že Vám ještě p. Jirsák nenapsal jeho nejoblíbenější argument, totiž přejít na IPv6. Protože zrovna v tomhle případě IPv6 totiž dává smysl.
Samozřejmě že používat IPv6 a ne NAT dává smysl. Jenže v tomto případě to není něco, co by h4kuna mohl ovlivnit. Pokud chce provozovat web server, který bude dostupný komukoli z celého světa, zatím mu nezbývá, než podporovat i IPv4.


Zásadní otázka zní: jakou IP adresu má Váš domácí server napsanou na síťovém rozhraní? Jestli je tam cokoliv jiného, než IP adresa 81.25.21.57 tak to bez dalších berliček nebude nikdy fungovat.
Má tam 192.168.86.34. Jak to vím? No před tím, než odpovídám v diskusi, přečtu si dotaz a ostatní komentáře.

Fungovat to samozřejmě může, akorát se musí použít hairpin NAT.

Důvody máte napsané v tom mailu od providera - veřejnou IP adresu dostáváte pomocí NAT 1:1 na hlavní bráně providera.
To, že je veřejná IP adresa řešena NATem 1:1 na hlavní bráně není žádný důvod, proč by to nemělo fungovat. On ten paket z vnitřní sítě nejspíš už teď doputuje na tu hlavní bránu. Takže stačí, aby se ten NAT neaplikoval jen na pakety, které přijdou na vnější rozhraní, ale aby se aplikoval i na vnitřním rozhraní. A aby se na tom vnitřním rozhraní aplikoval hairpin NAT, tedy DNAT+SNAT.

Pokud nechápete co pro Vás NAT 1:1 znamená, je to dost marný. Asi bych začal bych tím, že si najdete někoho, kdo rozumí síťím a správně Vám to nastaví.
h4kuna to chápat nemusí. Horší je, když se někdo, kdo to nechápe, pokouší radit – například vy.

kompletně přejít na IPv6 doma i u providera.
Jak se k tomu webu pak připojíte například z mobilního telefonu v síti českých operátorů? Takže to není řešení, ale hack, který vyřeší některé případy.

Rozběhnout doma interní DNS server, který pro adresy z vnitřní sítě bude vracet "správné" IP adresy z vaší lokální sítě. Vyřešíte svůj problém ale ne sousedův na přístupové síti stejného providera.
Další hack…

Pokud chcete řešit i přístup pro sousedy, zeptejete se providera, jestli provozuje vlastní DNS server.
Panebože, jen to ne. Chcete opravit jeden problém, ten nevyřešíte, a místo toho vyrobíte deset dalších problémů. Rozbijete DNSSEC, každé přidání dalšího DNS záznamu bude potřeba řešit s ISP, při případné změně IP adresy bude muset myslet na to, že je potřeba to změnit ještě v DNS ISP. A ISP by z toho také jistě byl nadšený, že má v DNS takovouhle nestandardnost a musí na to myslet při každé změně.

Hledat alternativní řešení je jistě zajímavá disciplína. Ale nesmí se to zvrhnout v soutěž o nalezení toho nejblbějšího možného řešení.

Domluvit se s providerem, aby pro IP 81.25.21.57 a porty 80,443 dělal Harpin-NAT na svém routeru - vyřeší určitě problém přístupu souseda a pokud nebude nějaká zrada na Vašem D-Linku, tak i ten Váš. To je asi nejrychlejší řešení, otázkou je, jestli se providerovi bude do nestandartních konfigurací chcít.
Zrada na domácím routeru nebude – od začátku víme, že spojení z internetu funguje. Když se ISP nebude chtít do nestandardních konfigurací, je to ideální situace – opraví ten NAT nejen pro h4kuna, ale i pro všechny ostatní své zákazníky.

Domluvit se s providerem, jestli Vám odroutuje další rozsah /30 veřejných IP adres až na Vaše zařízení. Tam si s tím uděláte co potřebujete a pokud tomu alespoň částečně rozumíte, protáhnete ty veřejné IP adresy až na síťovku Vašeho serveru. Problém vyřešen pro vás, pro souseda, pro celý internet. Akorát počítejte s tím, že to může být dražší (platíte 4 IP adresy) a opět platí, že pokud neumíte správně nakonfigurovat firewall, vyřešením jednoho problému vznikne spousta jiných.
Platit 4 veřejné IPv4 adresy nemusí. Záleží na tom, kolik takových zákazníků ISP má, jak velkou má síť, případně se to dá řešit trošku chytřejším routerem, kterému půjde nakonfigurovat na WAN portu dvě IPv4 adresy. Žádná speciální konfigurace firewallu v tomhle případě není potřeba.

Providerovi nemusíte psát nic, on Vám korektně odpověděl akorát Vy jste ho nepochopil.
Moc korektně neodpověděl. Nepřiznal, že to jejich řešení není tak docela funkční – a buď měl napsat, že tenhle zmetek mají ve smluvních podmínkách a že na tom tudíž nic měnit nebudou, nebo slíbit nápravu. Problém s pochopením situace tu máte spíš vy.

Stačí když se budete řídit myšlenkami velkého Iljiče: "... učit se, učit se, učit se"
Víte, co by bylo báječné? Kdyby se lidé řídili svými vlastními radami.

A jestli vážně chcete doma provozovat www server dostupný z internetu, tak doporučuji se poohlédnout po nějakém jiném routeru než základní segment D-Link, TP-Link atd. Potřebujete router, který má nějaký dlouhodobý support, výrobce pravidelně řeší bezpečnostní díry a vydává aktualizace firmware víc než jednou.
Jistě, tenhle router není žádný zázrak. Ale vzhledem k tomu, že z internetu k němu ISP pustí jen TCP na portech 80, 443 a 2222, které jsou na routeru přesměrované dál na ten server, ten router toho nemá moc co zkazit. Mnohem horší bude přístup z lokální sítě a možná i plný přístup k WAN z celé vnitřní sítě ISP – a to nezávisí na tom, že má přidělenou veřejnou IPv4 adresu.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Libor Petr 29. 05. 2020, 15:34:40
1. NAT je skvělý. Všichni jej chtějí, milují jej. NAT je chrání (dokonce i když nechtějí). Bez NATu nic nefunguje. NAT je třeba zachovat pro další generace. Konec NATu by znamenal konec světa.
....

3. Jména lemplů se zásadně zvěřejňují, aby byli ostatní varováni.

Souhlasím, ale bude to platit bez výjimky pro všechny. Akorát se obávám, že většina místních providerů si na to bude muset pořídit další samostatné oddělení, protože snad v žádném jiném lidském počínání se nenajde tolik lidí co "tomu rozumí" a nenechají si poradit. Namátkou ze sousedů vybírám:
- borec co potřebuje kvůli hraní na XBoxu veřejnou IP adresu a co nejnižší latenci. Do internetu ho připojuje router Netis2419, SSID sítě je jeho příjmení, heslo do routeru a do wifi sítě je dívčí jméno manželky. Poradit si nenechá, protože na to má Frantu od něj z práce, který tomu rozumí a nastaví mu to za pár (tj. 2) piva

- druhý borec si platí 100Mb linku a stále se vzteká, že provider je pitomec a že tu rychlost nedostává ani náhodou - router D-Link DIR-500. Akorát že ten router před lety dostal zdarma při podpisu smlouvy, ale to měl rychlost 8/2. Koupit si nový router nechce ani náhodou, když starý přece stále funguje......

- asi nejlepší je expert pro kterého peníze nejsou problém, koupil si RB4011 protože "voe čtyři antény, gigabit, rozumíš, to musí běhat", konfiguraci si udělal z web rozhraní a dotazy na DNS server nechal povolený ze všech sítí. Taky má XBox, taky má veřejku, hádejte jak to dopadlo....

- kdybych byl sfině, tak alespoň 10 routerů v okolí reaguje na přihlašovací údaje admin : admin. Pro takový jedince je i ten blbej NAT vážně požehnáním.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: h4kuna 29. 05. 2020, 15:51:09
Tak jsem položil dotaz:
Citace
je možné pro IP 81.25.21.57 a porty 80,443 dělal Harpin-NAT na vašem routeru?

Odpověď
Citace
To nevyřeší vůbec nic.

Na WWW chcete přistupovat přes DNS.

Já odpověď nechápu.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Libor Petr 29. 05. 2020, 15:53:23

Stačí když se budete řídit myšlenkami velkého Iljiče: "... učit se, učit se, učit se"
Víte, co by bylo báječné? Kdyby se lidé řídili svými vlastními radami.

Ano, tou myšlenkou se řídím stále. A čím víc se učím, tím větší mezery ve svých znalostech objevuji. A když něčemu nerozumím tak si s tím hraju někde, kde to uškodí jenom mě (virtualizace, zahrada, garáž) a nesnažím se o interakci s okolním světem.
Třeba na autě si zvládnu opravit spustu věcí, ale protože vím že auto může zabít, nechám si odborné úkony dělat v servisu, kde na to jsou školeni. I taková blbá výměna oleje přestává být srandou v okamžiku, kdy řešíte všechno, tj. včetně ekologické likvidace oleje, filtrů a ostatního odpadu, že.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Filip Jirsák 29. 05. 2020, 17:33:29
Tak jsem položil dotaz:
Citace
je možné pro IP 81.25.21.57 a porty 80,443 dělal Harpin-NAT na vašem routeru?

Odpověď
Citace
To nevyřeší vůbec nic.

Na WWW chcete přistupovat přes DNS.

Já odpověď nechápu.
To je správně, že ji nechápete, ta odpověď je nesmyslná (vzhledem k dotazu). DNS vám všude funguje správně, v tom problém není. Zkuste na tom trvat, že DNS si vyřešíte sám, ale od ISP že potřebujete jen ten hairpin NAT.

A teda pokud tohle není odpověď od technické podpory ale od někoho, kdo síť toho ISP spravuje, rozhlížel bych se po jiných ISP…
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: h4kuna 29. 05. 2020, 18:01:57
A teda pokud tohle není odpověď od technické podpory ale od někoho, kdo síť toho ISP spravuje, rozhlížel bych se po jiných ISP…
Píšu si s majitelem celou dobu.

rozhlížel bych se po jiných ISP
To je celkem těžký, když jste na vesnici a na wifi. Kabel radní pitomci před sedmi lety zapomněli zakopat do země, takže nás odsoudili k wifi.

Tenhle ISP má vysílač hned vedle cca 20m vzduchem, jsem s ním rok od doby co jsem se přistěhoval, minimální výpadek, dělám z domu takže na internetu jsem často, k tomu stále stabilní zakoupená rychlost 40Mb/s, žádný až 40Mb/s. Další nejbližší vysílač je 500m má ho jinej soused a nadává jak špaček. O dalších nemluvím.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: SB 29. 05. 2020, 18:12:16
- kdybych byl sfině, tak alespoň 10 routerů v okolí reaguje na přihlašovací údaje admin : admin. Pro takový jedince je i ten blbej NAT vážně požehnáním.

...ale my alespoň trochu znalí víme, že k dosažení tohoto chování není NATu vůbec třeba, na to stačí stavový firewall ve výchozím nastavení zabraňující iniciaci spojení zvenku.  :o
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: SB 29. 05. 2020, 18:15:15
Já odpověď nechápu.

Tak dozvíme se jména těch krokotů? Nebo to máme hádat z IP...
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: M_D 29. 05. 2020, 18:24:41
Uff, je to těžký. Asi začínám věřit, že nechápe, co po něm chceš. :-)

Pokud ještě komunikuje, tak mu budeš muset vysvětlit, co přesně chceš a když to pochopí, tak to asi i udělá (a když to udělá dobře, tak to začne fungovat tvým sousedům i tobě).

Řekl bych, ře chceš k svému webu doma přistupovat hlavně pomocí prohlížeče, do kterého zadáš to https://matej...., Což aktuálně funguje správně těm, co k němu přistupují odněkud od jiných operátorů, takže základní DSTNAT dělá débře. Nefunguje to lidem, co jsou jeho zákazníci. Aby to fungovalo, tak musí donastavit, aby se vedle toho DSTNAT prováděl současně i SRCNAT pro spojení přicházející z jeho sítě na té NAT bráně. Dovoluješ si předpokládat, že použivá Mikrotik/RouterOS, aspoň toto řada měnších ISP. Popis na jejich webu daného problému je zde: https://wiki.mikrotik.com/wiki/Hairpin_NAT
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Filip Jirsák 29. 05. 2020, 18:27:47
Píšu si s majitelem celou dobu.
Ještě je tu malá naděje, že pan majitel už sítě tolik neřeší a spravuje to nějaký zaměstnanec, který tomu rozumí lépe…

To je celkem těžký, když jste na vesnici a na wifi. Kabel radní pitomci před sedmi lety zapomněli zakopat do země, takže nás odsoudili k wifi.

Tenhle ISP má vysílač hned vedle cca 20m vzduchem, jsem s ním rok od doby co jsem se přistěhoval, minimální výpadek, dělám z domu takže na internetu jsem často, k tomu stále stabilní zakoupená rychlost 40Mb/s, žádný až 40Mb/s. Další nejbližší vysílač je 500m má ho jinej soused a nadává jak špaček. O dalších nemluvím.
Chápu.

Když dává klientům na půdu Mikrotik, je dost pravděpodobné, že i ten hlavní router bude Mikrotik. Je tu někdo, kdo dokáže popsat, jak ten hairpin NAT na Mikrotiku nastavit? :-) Já už jsem konfiguraci RouterOS pár let neviděl. Třeba kdyby to pan majitel dostal i s návodem, přesvědčilo by ho to, že to jde…
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Filip Jirsák 29. 05. 2020, 18:32:03
Řekl bych, ře chceš k svému webu doma přistupovat hlavně pomocí prohlížeče, do kterého zadáš to https://matej....
Já bych do toho doménu radši netahal, to se zase zaměří na DNS a nikam to nepovede. Myslím, že je potřeba řešit jen tu veřejnou IP adresu.

Popis na jejich webu daného problému je zde: https://wiki.mikrotik.com/wiki/Hairpin_NAT
To je dobrý začátek. Ještě kdyby někdo měl návod, jak se to nakliká ve WinBoxu, myslím, že by to mělo větší naději na úspěch.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Libor Petr 29. 05. 2020, 18:59:19
Pokud chcete řešit i přístup pro sousedy, zeptejete se providera, jestli provozuje vlastní DNS server.
Panebože, jen to ne. Chcete opravit jeden problém, ten nevyřešíte, a místo toho vyrobíte deset dalších problémů. Rozbijete DNSSEC, každé přidání dalšího DNS záznamu bude potřeba řešit s ISP, při případné změně IP adresy bude muset myslet na to, že je potřeba to změnit ještě v DNS ISP. A ISP by z toho také jistě byl nadšený, že má v DNS takovouhle nestandardnost a musí na to myslet při každé změně.

Hledat alternativní řešení je jistě zajímavá disciplína. Ale nesmí se to zvrhnout v soutěž o nalezení toho nejblbějšího možného řešení.
No tak asi to nebyl ten úplně nejlepší nápad, ale v tomto kontextu je úplně jedno jestli byl blbý, nebo blbější, stejně hledáme rovnák na vohejbák. Jediné korektní řešení pro provoz veřejného www serveru je nechat si od providera naroutovat veřejné IP adresy až na vlastní router, všechny ostatní jsou více či méně blbé nesystémové hacky.
Že od providera to není úplně šťastný případ komunikce se zákazníkem, tak o tom žádná pochybnost. Ale stejně platí pro h4kuna, že chuť provozovat veřejný web na domácí přípojce (když nerozumím síťování, firewalu, DNS) je taky dost velká pošetilost.
Pravděpodobně by správná konfigurace Harpin-NATu byla řešením, ale asi nechuť providera předělávat ten firewall dokážu pochopit - má řešit výjimky do firewallu kvůli lince za +- 300Kč/měsíc? Zvlášť když musí komunikovat s někým, kdo vlastně neumí pořádně popsat co chce a proč? Osobně si myslím že do toho nepůjde.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Libor Petr 29. 05. 2020, 19:15:55
- kdybych byl sfině, tak alespoň 10 routerů v okolí reaguje na přihlašovací údaje admin : admin. Pro takový jedince je i ten blbej NAT vážně požehnáním.

...ale my alespoň trochu znalí víme, že k dosažení tohoto chování není NATu vůbec třeba, na to stačí stavový firewall ve výchozím nastavení zabraňující iniciaci spojení zvenku.  :o
Já vím, že ty víš. Ty víš že já vím.....
Ale ze sousedů to neví nikdo. Obvykle ve slevě Black Friday koupí u zeleného skřeta router za akční cenu (čím víc antén, tím víc Adidas), synáček co celé dny paří tanky nastaví za pomoci Youtube DNS a DHCP server, SSID, občas i heslo k wifi a šup s tím na kabel. Voialá zázrak, internet funguje... Že má třeba aktualizovat firmware, vypnout managment z WANu a změnit výchozí heslo - když už to v tom videotutoriálu náhodou je, tak většinou až na konci a na ten nevydrží koukat nikdo.

Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Filip Jirsák 29. 05. 2020, 20:37:30
No tak asi to nebyl ten úplně nejlepší nápad, ale v tomto kontextu je úplně jedno jestli byl blbý, nebo blbější, stejně hledáme rovnák na vohejbák. Jediné korektní řešení pro provoz veřejného www serveru je nechat si od providera naroutovat veřejné IP adresy až na vlastní router, všechny ostatní jsou více či méně blbé nesystémové hacky.
Ano. Bohužel navzdory mnoha různým prohlášením, že veřejné IPv4 adresy nikdo nepotřebuje a že IPv6 je zbytečnost, opak je pravdou a IPv4 adres je málo. Ale chápu, že se ISP nechce pouštět do routování jedné veřejné IPv4 adresy (i když má u klienta toho Mikrotika, takže by to nebyl problém), a obětovat 4 veřejné IPv4 adresy na jednoho klienta nechce. A vzhledem k tomu, že většina klientů bude tu veřejnou IPv4 adresu chtít kvůli HTTP(S), SSH nebo VPN, je to řešení NATem 1:1 pro mne omluvitelný kompromis. To, že to bez varování nefunguje ze sítě ISP, to už pro mne omluvitelné není.


Ale stejně platí pro h4kuna, že chuť provozovat veřejný web na domácí přípojce (když nerozumím síťování, firewalu, DNS) je taky dost velká pošetilost.
Pro provoz nějakého domácího webu webu nepotřebuje rozumět ani síťová ani firewallu, a z DNS potřebuje akorát umět nastavit A případně AAAA záznam.


Pravděpodobně by správná konfigurace Harpin-NATu byla řešením, ale asi nechuť providera předělávat ten firewall dokážu pochopit - má řešit výjimky do firewallu kvůli lince za +- 300Kč/měsíc?
Ne, nemá řešit výjimku na firewallu. Má to spravit všem, kterým tu veřejnou IPv4 adresu poskytuje.


Zvlášť když musí komunikovat s někým, kdo vlastně neumí pořádně popsat co chce a proč?
Tohle není pravda. Pokud ta komunikace vypadá tak, jak je tady popsaná (nemám důvod tomu nevěřit), první kontakt  mířil trochu špatným směrem, ale ISP by měl vědět, jak ty veřejné IPv4 adresy řeší, a mělo mu dojít, v čem je problém. A po té, co se zeptal h4kuna tady ve fóru, je už ta komunikace z jeho strany zcela v pořádku a topí se v tom jen ISP. Požadavek, aby s jeho veřejnou IPv4 adresou mohl komunikovat i ze své sítě, později ještě doplněný o to, aby to stejně fungovalo i sousedovi u téhož ISP, je zcela v pořádku a srozumitelný, a je to daleko za tím, co by měl ISP jako specifikaci od zákazníka požadovat.

Uváděl jste příklad s autem – taky přece dáte auto do servisu s tím, že palubní počítač ukazuje Service oil, a je na servisu, ať si s tím poradí. Maximálně řeknete, že potřebujete vyměnit olej, ale už to je nad rámec toho, co po vás má autoservis chtít. Ale rozhodně jim nebudete vysvětlovat, jak se olej vyměňuje a kde mají sehnat nový.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: listoper 29. 05. 2020, 22:55:40
Mozna bych tomu ISP poslal odkaz na tuhle diskuzi.
Treba by jim pak doslo, ze to neokecaji nesmyslama....

Teda jestli si nepodepsal se smlouvou i nejaky NDA o kterym nevis a tady ho porusujes a priznavas se k tomu :-D
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: M_D 30. 05. 2020, 10:15:07
Popis na jejich webu daného problému je zde: https://wiki.mikrotik.com/wiki/Hairpin_NAT
To je dobrý začátek. Ještě kdyby někdo měl návod, jak se to nakliká ve WinBoxu, myslím, že by to mělo větší naději na úspěch.
Blbý je, že to pokud neznáš reálii daného zapojení u ISP, tak to naslepo úplně napsat nejde, když nevíš IP rozsahy, použité interfejsy. Jen obecně princip, což je na té wikině, to si je třeba přizpůsobit. U Mikrotiku k tomu byla ještě jedna stránka pro blbější, ale nejde dohledat. To by muel tazatelasoň přihodit traceroute 8.8.8.8 od sebe a souseda, pro inspiraci.

Add to obětovat 4 večejné IP adresy (/30) kvůli zákazníkovi se nechce. Tohle bývá důvod, zvláště pokud to vypadá, že celý veřejný rozsah daného ISP je jendo /24. Ale k tomu dochází, pokud stavíš síť operátora jako normální sít koncovou a ne jako přístupovou. Při správně udělané přístupové síti spotřebuji přesně jednu IPv4 adresu na zákazníka a ne /30. Rozsah /30 si můžu dovolit i firemní přípojky za jinou cenu. Dle pohledu to vypadá, pokud jde o Comfeel s.r.o., že jde o typického ISP okresního formátu bezdrátového typu, co z malého nadšení OSVČ vyrostl do s.r.o s okresního rozsahu a vedle ISPíkařiny má i další činnosti, takže to už bude víc jak one-man-show, tak snad se podaří. :-)

Takovýchto je v republice. A v řadě míst není moc co jiného na výběr. Ale s většinou se dá domluvit. Ale je fakt, že u řady to nakonec dopadlo tak, že tady máte přihlášení na winbox, nastav si to a my se na to podíváme - a od té doby to používají. :-)
Jinak k tomu NAT 1:1 pro doručování veřejné IPv4 adresy k zákazníkovi. Upřimně, tato technika se používá běžně i u ISP, co jsou velikostně 100k+ zákazníků. A v poslední době jsme musel řešit i pár přípojek v sousedním Německu - i ve starých zemích, jako firemní přípojku sehnat něco, kde dostanu pevnou veřejnou IPv4 adresu až na pobočkový router, tak to je dneska někde zázrak. A další země, .... NO COMMENT
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: h4kuna 30. 05. 2020, 21:01:16
Mozna bych tomu ISP poslal odkaz na tuhle diskuzi.

To si nemyslím že je nejlepší nápad :D Neznám jeho ego, ale obecně když odborníkovi radí BFU, tak to odborník nenese dobře.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: h4kuna 30. 05. 2020, 21:02:42
Je tu někdo, kdo dokáže popsat, jak ten hairpin NAT na Mikrotiku nastavit? :-) Třeba kdyby to pan majitel dostal i s návodem, přesvědčilo by ho to, že to jde…

Návod by byl nejlepší, jen to musí fungovat! Protože co se stane když ne? Tím ho utvrdím v tom, že on má celou dobu pravdu. Hlavně tím co odpověděl tak jestli v hlavě už nemá od počátku chybnou konfiguraci a tu by mi tam prostě prsknul. A když ho ukecám k tomu, aby to nastavil, tak nejsem schopen mu kouknout přes rameno a už vůbec to zkontrolovat, respektive otevřu u sebe prohlížeč zadám doménu a co když to nepůjde ani po tom co mi bude tvrdit, že to nastavil?



Ještě je tu malá naděje, že pan majitel už sítě tolik neřeší a spravuje to nějaký zaměstnanec, který tomu rozumí lépe…
S jedním zaměstnancem jsem se seznámil, když mi zapojoval internet a jsme domluvení na pondělí nebo středu, že mi změní ten jejich mikrotik na půdě, aby fungoval jako router, tak zkusím jaký má práva.

Z mýho d-linku bude jen wifi AP. Mimochode, vlastnost co se mi na tom D-linku líbí, že jde nastavit zapínání a vypínání wifi v určitý čas, takže na noc nám nezáří wifi. Což by šlo vlastně zařídit i spínačkama, když bude suspendován.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Filip Jirsák 30. 05. 2020, 21:52:30
Návod by byl nejlepší, jen to musí fungovat! Protože co se stane když ne? Tím ho utvrdím v tom, že on má celou dobu pravdu. Hlavně tím co odpověděl tak jestli v hlavě už nemá od počátku chybnou konfiguraci a tu by mi tam prostě prsknul. A když ho ukecám k tomu, aby to nastavil, tak nejsem schopen mu kouknout přes rameno a už vůbec to zkontrolovat, respektive otevřu u sebe prohlížeč zadám doménu a co když to nepůjde ani po tom co mi bude tvrdit, že to nastavil?
Ona ta konfigurace není nijak složitá. Jde o to, aby se ISP smířil s tím, že tohle je řešitelné na centrálním NATu – že je potřeba nakonfigurovat DNAT i pro vnitřní rozhraní, a zároveň je tam potřeba nastavit i SNAT (maškarádu). Když je to takhle spojené, říká se tomu právě hairpin NAT.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Libor Petr 31. 05. 2020, 01:07:19
Tak mu zkus ukázat http://gregsowell.com/?p=4242 (http://gregsowell.com/?p=4242) tam to má i s obrázkama a měl by to pochopit. V nejhorším když se mu ten Harpin-NAT nepodaří nastavit, tak ať ti alespoň na tom mikrotiku udělá statický záznam
Kód: [Vybrat]
/ip dns static add address=domácí_IP_adresa name=matejckovi.eu
případně i  /ip dns static add address=domácí_IP_adresa name=www.matejckovi.eu
kde domácí_IP_adresa bude IP adresa bude stejná jakou máš teď fyzicky na tom zařízení, kde teď běží ten ownCloud.

Není to sice korektní řešení problému, ale alespoň to vyřeší Tvůj přístup na ownCloud v rámci lokální sítě. Přístup pro sousedy můžeš řešit později.


Ještě je tu malá naděje, že pan majitel už sítě tolik neřeší a spravuje to nějaký zaměstnanec, který tomu rozumí lépe…
S jedním zaměstnancem jsem se seznámil, když mi zapojoval internet a jsme domluvení na pondělí nebo středu, že mi změní ten jejich mikrotik na půdě, aby fungoval jako router, tak zkusím jaký má práva.

Z mýho d-linku bude jen wifi AP. Mimochode, vlastnost co se mi na tom D-linku líbí, že jde nastavit zapínání a vypínání wifi v určitý čas, takže na noc nám nezáří wifi. Což by šlo vlastně zařídit i spínačkama, když bude suspendován.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: h4kuna 02. 06. 2020, 17:31:23
Dneska jsem dostal ještě odpověď na možné varianty, tak na 3) odpověděl co odpověděl a teď se vyjádřil k jedničce že by to šlo.

Napsal jsem
Citace
1) v routru mám adresu DNS 192.168.2.1,2 předpokládám že jsou vaše když začínají 192.168. zde nejde udělat záznam? s tím že doména podporuje DNSSEC
2) chápu aby jste mi dostali ip adresu na router tak to budou 4 další ip adresy, touhle cestou jít nechci
3) je možné pro IP 81.25.21.57 a porty 80,443 dělal Harpin-NAT na vašem routeru?

Odpověděl k bodu 2)
Citace
Nastavení DNS záznamu na našem DNS serveru a vytvoření statických
záznamů na našem zařízení u Vás, kdy pak musíte své zařízení nastavit
jako bridge

Pořád nevím zda je schopen zajistit fungování DNSSEC? A pokud by to fungovalo, tak tohle řešení je asi taky ok? Že na jeho dnsce bude záznam kam směrovat doménu v interní síti?
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: M_D 02. 06. 2020, 18:51:55
Pokusy s tím, že celou tu doménu nasimuluje ISPík na svém DNS má slabiny v tom:
a) kdo z jeho zákazníků nepoužívá jeho DNS, tak má smůlu, půjde stále po té veřejce,
b) kdo z jeho zákazníků bude u sebe používat něco, co se snaží o validaci DNSSEC, tak takto poprzněné DNS se nezvaliduje a má smůlu.

K tomu, aby ti dopravil tu jednu veřejku na tvůj router potřebuje routovat jen tu jednu veřejku (/32) a nic víc. Akorát tvůj TPlink router ji asi nesežere v případě IPoE konfigurace, ten poslední propoj mezi rádiovým Mikrotikem a tvým routerem je pak nutno konfigurovat jako PPPoE.
Pochopil jsem, že si ten svůj router hodíš jako bridge a ten rádiový mikrotik před tím ti přepne na router pro tvoji domácí síť a na něm to nastaví aspoň tak, aby ti to fungovalo lokálně?
Ještě je varianta, zda do toho tvého routeru doma nejde nacpat nějaký WRT a pak si to poladit na něm aspoň pro sebe, pokud nechceš měnit router.

Ať se fakt naučí udělat ten hairpin NAT na své NAT bráně a vyřeší to jedním vrzem por X dalších. :-)
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Filip Jirsák 03. 06. 2020, 08:28:08
Citace
Nastavení DNS záznamu na našem DNS serveru a vytvoření statických
záznamů na našem zařízení u Vás, kdy pak musíte své zařízení nastavit
jako bridge

Pořád nevím zda je schopen zajistit fungování DNSSEC? A pokud by to fungovalo, tak tohle řešení je asi taky ok? Že na jeho dnsce bude záznam kam směrovat doménu v interní síti?
Pokud budou DNS záznamy kdekoli jinde, než primární záznamy u Forpsi (tj. na vašem routeru, na DNS serveru ISP), nebudou podepsané – tudíž ten, kdo dostane příslušnou odpověď a validuje DNSSEC, tu adresu nepřeloží. I kdybyste nechal na té doméně vypnout DNSSEC a ty záznamy byly na DNS serveru ISP, může někdo z klientů ISP používat jiné DNS servery a jemu se to pak stále bude překládat na tu vaši veřejnou IPv4 adresu (tj. nedostane se na váš server). Pokud by se to mělo hackovat na úrovni DNS, je to (vypnutí DNSSEC u Forpsi pro vaši doménu matejckovi.eu a statický záznam v DNS resolveru ISP) asi nejkompletnější „řešení“. Ale není to skutečné řešení, pořád jsou tam díry a v některých případech to fungovat nebude.

Ale vlastně docela pochybuju, že váš ISP DNS resolver pro svou síť provozuje. Protože kdyby to tak bylo, stačí nastavit ty záznamy v jeho DNS resolveru, a nic dalšího na zařízení u vás by tedy nebylo potřeba. Tedy nebyly by potřeba statické záznamy na Mikrotiku u vás a už vůbec by nebylo potřeba přepínat váš router do režimu bridge.

Podívejte se do konfigurace vašeho routeru (D-Linku), jaké DNS servery dostává od ISP. Podle toho půjde zjistit, zda jsou to servery ISP nebo nějaké jiné.

Ať se fakt naučí udělat ten hairpin NAT na své NAT bráně a vyřeší to jedním vrzem por X dalších. :-)
Přesně tak. Než řešit DNS na svém serveru, statické záznamy na Mikrotiku u vás, konfigurace hairpin NATu je jednoduchá věc na jednom místě. Používá to tak kde kdo, takže je to ověřené a funkční. Bude dál veřejné IPv4 adresy řešit na jednom místě, může to tak nastavit pro všechny zákazníky, kteří mají veřejnou IPv4 adresu, a bude to fungovat spolehlivě pro všechny jeho zákazníky bez ohledu na to, jak používají DNS. Podle mne je to v této situaci nejjednodušší řešení a zároveň řešení s nejlepším poměrem cena/výkon.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: SB 03. 06. 2020, 10:28:47
Citace
3) je možné pro IP 81.25.21.57 a porty 80,443 dělal Harpin-NAT na vašem routeru?

Proč tak debilně? Proč jen 2 porty z TCP (nebo UDP?)? Vždyť vám takhle nepojede ani ping! Až budete chtít spustit server Bzflagu pro sousedy, budete těm nichtsmochrům psát znovu?
Přesměrování je třeba nastavit pro VŠECHNA spojení na vaši veřejnou adresu vycházející z jejich vnitřní sítě (což je mimochodem jednodušší pravidlo, než to omezovat jen na něco), a to nejlépe všem zákazníkům. TO je koncepční řešení jejich konfigurace sítě!
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: SB 03. 06. 2020, 10:45:13
Kód: [Vybrat]
/ip firewall nat add action=dst-nat chain=dstnat comment="přesměrování pro 81.25.21.57" dst-address=81.25.21.57 in-interface=<rozhraní do vnitřní sítě> to-addresses=192.168.86.34

Tady máte to pravidlo pro Mikrotik (jde to samozřejmě napsat i trochu jinak).
Mimochodem hošani by měli v CGNATu používat rozsah 100.64.0.0/10.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: h4kuna 05. 06. 2020, 12:09:48
Tak jsem spojil vaše poznámky, dal je do emailu, uvědomuju si že to prezentuju jako kdyby to bylo z mojí hlavy. Myslím si že jinak by to nemělo váhu. Znění emailu:

Citace
Dobrý den,

1)
ještě jsem nad tím přemýšlel a vidím v tom řešení stále trhliny.
a) jakmile někdo ze zákazníků nepoužije vaši DNS, tak to nepůjde
b) jakmile někdo ze zákazníků bude u sebe používat něco, co se snaží o validaci DNSSEC, tak DNS se nezvaliduje


2)
Když jsem se ptal na ten hairpin nat, odpověděl jste

> To nevyřeší vůbec nic.
> Na WWW chcete přistupovat přes DNS.

Základní DSTNAT se dělá dobře. Aby hairpin nat fungoval, tak se musí donastavit, aby se vedle toho DSTNAT prováděl současně i SRCNAT pro spojení přicházející z comfeel sítě na té NAT bráně. Dovoluji si předpokládat, že používáte Mikrotik/RouterOS. Popis problému a možné řešení jsem našel na wiki zde: https://wiki.mikrotik.com/wiki/Hairpin_NAT

Byla by, prosím vás, možnost to vyzkoušet?

Viděl bych to nějak takto, ale sám to nemám jak odzkoušet a validaci bych nechal na Vás.

/ip firewall nat add action=dst-nat chain=dstnat comment="přesměrování pro 81.25.21.57" dst-address=81.25.21.57 in-interface=<rozhraní do vnitřní sítě> to-addresses=192.168.86.34

Nojo a teď odpověď...

Citace
Dobrý den,

Hairpin_NAT můžeme nastavit případně u Vás na routeru, ale nelze na
našich NAT severech.

Ale zde zase je nutné změnit Váš router na bridge.

Působí to, že s ním nepohnu.

Možné další postupy:
1) hairpin nat mi zapnou na routru
2) šachy s dns kou
3) statická dns na routru, ale tu mi napsal, že není pro účely zákazníků
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: h4kuna 05. 06. 2020, 12:13:27
Ještě je tu malá naděje, že pan majitel už sítě tolik neřeší a spravuje to nějaký zaměstnanec, který tomu rozumí lépe…

Naděje není, mluvil jsem se zaměstnancem a Harpin NAT neumí. Koukne na to ale...
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Filip Jirsák 05. 06. 2020, 21:17:12
Hairpin_NAT můžeme nastavit případně u Vás na routeru, ale nelze na
našich NAT severech.
Hairpin NAT na routeru u vás by pomohl ve vaší domácí síti – prostě byste si veškerý provoz na tu veřejnou IP adresu NAToval u sebe, tím pádem by se do sítě ISP nedostal a ISP na tom nemá co zkazit. Samozřejmě to ale nebude fungovat sousedům.

Pokud píšou o NAT serverech (v množné čísle), možná těch NATujících zařízení mají víc a pak by opravdu mohl být technický problém tam nastavit hairpin NAT. I když mi to moc nejde dohromady s tím, že jinak v komunikaci vypadají, že moc neví, která bije – a přitom že by používali nějaký NAT s rozkládáním zátěže?

Šachům s DNS bych se snažil vyhnout, pomalu se tím víc rozbije než vyřeší.

Případně ten váš router D-Link umí nastavit routování, takže byste mohl z něj tu svou veřejnou IP adresu routovat přímo na ten svůj server. Ten by ale musel mít přiřazené obě IP adresy (privátní i veřejnou). Nedělal by se tam ani žádný NAT, takže by nevadilo, že se odpověď vrací přímo. Z hlediska síťové komunikace by to bylo nejefektivnější řešení – komunikace na váš server by šla jen přes váš router, nikam dál, a komunikace zpět ze serveru (kdybyste z něj něco stahoval) by dokonce šla přímo, ani ne přes váš router. Ale je to trochu nestandardní konfigurace, cesta paketů „tam“ by byla jiná, než cesta „zpět“.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: M_D 06. 06. 2020, 09:36:06
Nu, nezbývá doufat, že se ten technik přemůže. Pokud by těch NAT serverů bylo více, tak to ničemu ohledně haipin NATu nevadí.
Pokud pominu variantu, že zkrátka se nechtějí obtěžovat, tak je možnost, že tu síť spravují pomocí nějakého web klikátka  (což dělá řada ISPíků) a to následně konfiguruje celou síť voláním API v routerech. A pokud tento nástroj neumí hairpin NAT "naklikat", tak nehodlají bádat a prát se s ním, jak to tam ručně donastavit. :-(
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Filip Jirsák 06. 06. 2020, 10:11:18
Pokud by těch NAT serverů bylo více, tak to ničemu ohledně haipin NATu nevadí.
Pokud by to byl třeba nějaký bezestavový NAT, nemusí vůbec hairpin podporovat.

A pokud tento nástroj neumí hairpin NAT "naklikat", tak nehodlají bádat a prát se s ním, jak to tam ručně donastavit. :-(
No právě.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: SB 06. 06. 2020, 20:38:03
Nojo a teď odpověď...

Citace
Dobrý den,

Hairpin_NAT můžeme nastavit případně u Vás na routeru, ale nelze na
našich NAT severech.

Ale zde zase je nutné změnit Váš router na bridge.

Uvedené řešení 1. neřeší problém připojení sousedů, 2. si můžete nastavit sám, 3. zasahuje do správy vaší sítě.

Takže buďto jsou TOTÁLNĚ blbí a o sítích vědí ho*no, nebo se z vás snaží udělat blbce. A upozorňuju vás, že jestliže nejsou schopni vyřešit takovou hovadinu, pak IPv6, které by vám problém se sousedy řešilo, budou zavádět jako jedni z posledních v ČR. Takže by nebylo od věci prozkoumat, zda se náhodou v oblasti nevyskytuje nějaký poskytovatel celého připojení místo částečného.

Možné další postupy:
2) šachy s dns kou

Znovu upozorňuju, jak tu už padlo, že problém NIJAK nesouvisí s DNS, protože se projevuje i bez použití DNS, tj. při požadavku na spojení na danou IPv4, což je zcela legální požadavek, ale jedná se o chybu směrování. Řešení s DNS je 1. rovnák na ohýbák, 2. pokus o řešení PNJ (problému někoho jiného).

Ještě mě napadlo, zda by to nešlo řešit např. stížností na ČTÚ na nefunkční spojení či filtrování provozu, protože jestliže si platíte službu s veřejnou IPv4, musejí být schopni se na ni připojit i vaši sousedi, jinak je to vada.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: LarryLin 06. 06. 2020, 22:20:10
Poučná diskuze, že není veřejná IP jako veřejná IP a taky varování na co se ptát při objednávání veřejné IP.

Pokud máte u vás špatné wifi providery, tak nemáš tam telefonní kabel - VDSL? Nebo nebude jednodušší si objednat VPS nebo nějaký cloud?
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Filip Jirsák 07. 06. 2020, 10:13:18
2. si můžete nastavit sám, 3. zasahuje do správy vaší sítě.
Řeč je o routeru ISP, který je umístěn u klienta a je předávacím místem sítě. Tento router je ve správě ISP, takže vaše body neplatí. A na D-Linku h4kuna takhle NAT nastavit nejde (alespoň podle manuálu) – umí jen port forwarding z WAN portu.

Ještě mě napadlo, zda by to nešlo řešit např. stížností na ČTÚ na nefunkční spojení či filtrování provozu, protože jestliže si platíte službu s veřejnou IPv4, musejí být schopni se na ni připojit i vaši sousedi, jinak je to vada.
Obávám se, že ta veřejná IPv4 adresa je spíš poskytována na dobré slovo a že takováhle stížnost by vedla jen k ukončení této služby.

Ale je fakt, že koncový zákazník se v těchhle různě pokažených „internetech“ nevyzná, takže ISP nemají moc důvod soutěžit v tom a nabízet lepší služby. Protože na „dostanete správně naroutovanou veřejnou IPv4“ nebo „dostanete správně naroutovaný /48 rozsah IPv6“ ISP nikoho nepřiláká. Chtělo by to, aby ISP to připojení museli (ze zákona) nebo alespoň mohli (třeba na základě certifikace) nějak jednoduše označovat.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: SB 07. 06. 2020, 23:11:13
Řeč je o routeru ISP, který je umístěn u klienta a je předávacím místem sítě. Tento router je ve správě ISP, takže vaše body neplatí. A na D-Linku h4kuna takhle NAT nastavit nejde (alespoň podle manuálu) – umí jen port forwarding z WAN portu.

To jsem nevěděl, každopádně nemá smysl se o tom bavit, protože problém to stejně neřeší. To samé s D-linkem.

Chtělo by to, aby ISP to připojení museli (ze zákona) nebo alespoň mohli (třeba na základě certifikace) nějak jednoduše označovat.

To už se tu řešilo - dokud nebude ze zákona povinnost přesné specifikace služby, jako je složení Tatranky na obalu, bude v tom bordel a poskytovatelé budou o*ebávat zákazníky, protože vágně popsané cosi je nevymahatelné. Z tohoto pohledu se (nejen) ČR stále nachází v informatickém středověku.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Filip Jirsák 08. 06. 2020, 07:36:13
každopádně nemá smysl se o tom bavit, protože problém to stejně neřeší. To samé s D-linkem.
Vzhledem k tomu, že ISP ten problém nechce vyřešit, bavíme se teď o tom, jak to udělat, aby to pro h4kuna fungovalo alespoň doma. Což je primární způsob využití. Holt budou muset myslet na to, že sousedé se k nim nedostanou a případné soubory pro ně vystavovat jinde.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: SB 08. 06. 2020, 10:29:16
Řešit to lze (za lemplíky) několika způsoby, např. zmiňovaným VPS, ale myslím, že tak moc se s tím tazatel zalamovat nechce. Jestliže nemá „poskytovatel“ nějakou formu vnitřní izolace zákazníků, tj. sousedům funguje ping na 192.168.86.34, pak by se dal v DNS Forpsi založit záznam A, např. muj_poskytovatel_je_lempl.matejckovi.eu: 192.168.86.34 a uživatelům z vnitřní sítě „poskytovatele“ jej dávat místo prostého matejckovi.eu. Samozřejmě v případě použití webového serveru se SNI by tazatel musel ještě doplňovat záznam do proxy, ale to asi nebude jeho případ.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Libor Petr 08. 06. 2020, 20:12:39

Znovu upozorňuju, jak tu už padlo, že problém NIJAK nesouvisí s DNS, protože se projevuje i bez použití DNS, tj. při požadavku na spojení na danou IPv4, což je zcela legální požadavek, ale jedná se o chybu směrování. Řešení s DNS je 1. rovnák na ohýbák, 2. pokus o řešení PNJ (problému někoho jiného).

Ještě mě napadlo, zda by to nešlo řešit např. stížností na ČTÚ na nefunkční spojení či filtrování provozu, protože jestliže si platíte službu s veřejnou IPv4, musejí být schopni se na ni připojit i vaši sousedi, jinak je to vada.
Předpokládám že tady nikdo neví co přesně má h4kuna ve smlouvě - pokud ve smlouvě má veřejnou IP přes obezličku NAT 1:1 předpokládám že to bude za nějakou cenu a h4kuna se před podpisem smlouvy seznámil s podmínkami a ví co podepisuje. A taky předpokládám, že provider bude mít v ceníku ROUTOVANOU veřejnou IP adresu (blok adres) za nějakou jinou cenu a když někdo bude tu routovanou siť opravdu potřebovat (a zaplatí to), tak mu ji provider zřídí.
Tento problém brzo vyřeší trh - až od providera odejde významné množství zákazníků ke konkurenci kvůli tomu, že špatným způsobem distribuuje veřejné IP adresy, tak to provider určitě urychleně začne řešit sám, aby to podle požadavků zákazníků.
Ale pokud to je jako všude, kdy zákazníka zajímá jen aby v ceníku bylo co nejvyšší číslo v položce rychlost a cena přitom byla nižší cena než u konkurence, tak asi je h4kuna s požadavkem na routovanou síť ten první a prošlapává cestičku těm dalším.... V tom případě bych se ale nedivil, kdyby mu provider dal podepsat něco v tom smyslu, že uživatel si je vědom všech důsledků (kladných i záporných), které jsou s routovanou IP adresou spojeny a že zajištění komplexního zabezpečení internetového spojení je plně a bez výjimky v režii uživatele.
Určitě se všichni přispěvatelé a čtenáři tohoto webu shodnou na tom, že veřejná IP nemusí být vždy jen k užitku....
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Radek Zajíc 09. 06. 2020, 07:55:45
Citace
asi je h4kuna s požadavkem na routovanou síť ten první

Tohle už je jak u blbých na dvorečku. H4kuna nepotřebuje routovanou síť, potřebuje, aby se na jím placenou veřejnou IPv4 adresu, provozovanou jako 1:1 NAT, dostali i ostatní klienti toho ISP.

To je regulérní požadavek, protože pokud to nefunguje, tak to má ISP rozbitý. Hairpin NAT je lety ověřená a funkční záležitost. Navíc se nejspíš takhle chovají i ostatní veřejné IP toho ISP, takže to vytváří matici vzájemně se nespojitelných uzlů v Internetu.

Že ISP odmítá opravit chybu ve své konfiguraci, to je dost smutné.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Radek Zajíc 09. 06. 2020, 10:23:14
Že je přípojka realizovaná pomocí NAT 1:1 je dobře vidět v traceroute:
Kód: [Vybrat]
# traceroute -n 81.25.21.57
traceroute to 81.25.21.57 (81.25.21.57), 30 hops max, 60 byte packets
(...)
 4  91.210.17.25  7.372 ms  8.451 ms  8.441 ms
 5  185.255.116.150  10.055 ms  10.038 ms  10.471 ms
 6  81.25.21.57  10.739 ms  9.843 ms  9.759 ms
 7  81.25.21.57  12.118 ms  12.083 ms  11.276 ms
 8  81.25.21.57  16.687 ms  15.656 ms  15.607 ms
Všimněte si třech posledních hopů - hop 6 a 7 je ve skutečnosti hop ISP, až hop 8 je h4kunovo zařízení.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: SB 09. 06. 2020, 12:16:33
Předpokládám že tady nikdo neví co přesně má h4kuna ve smlouvě - pokud ve smlouvě má veřejnou IP přes obezličku NAT 1:1 předpokládám že to bude za nějakou cenu...

Co to tady kecáte? Prodal-li poskytovatel zákazníkovi veřejnou IP (a je úplně buřt, zda routovanou, nebo překládanou) a nemá ve smlouvě výluku, jakože nejspíš nemá, jinak by se na ni místo nesmyslných odpovědí odvolal, tak je jeho povinností zajistit, aby se k ní všichni mohli dostat, takže i z jeho vnitřní sítě. Jak to udělá, už je jeho problémem. Jestliže navržené koncepční řešení, které by ale měl znát, nedokáže ani zavést, nejspíše ani pochopit, tak asi nemá na to, aby nějakého poskytovatele vůbec mohl dělat. O čem tady chcete diskutovat?

V tom případě bych se ale nedivil, kdyby mu provider dal podepsat něco v tom smyslu, že uživatel si je vědom všech důsledků (kladných i záporných), které jsou s routovanou IP adresou spojeny a že zajištění komplexního zabezpečení internetového spojení je plně a bez výjimky v režii uživatele.
Určitě se všichni přispěvatelé a čtenáři tohoto webu shodnou na tom, že veřejná IP nemusí být vždy jen k užitku....

Co to tady kecáte II. ? Jakých důsledků? Že mu to bude fungovat odevšad? Nebo snad že smyslem nefunkčnosti z vnitřní sítě je jeho bezpečnost? A co z vnější?
Zatím zažil uživatel jen situaci, kdy mu ta veřejná nefunguje, a nevypadá to, že by mu to vyhovovalo.


A dělejte něco s tou vaší interpunkcí.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Filip Jirsák 09. 06. 2020, 13:12:10
Co to tady kecáte? Prodal-li poskytovatel zákazníkovi veřejnou IP (a je úplně buřt, zda routovanou, nebo překládanou) a nemá ve smlouvě výluku, jakože nejspíš nemá, jinak by se na ni místo nesmyslných odpovědí odvolal, tak je jeho povinností zajistit, aby se k ní všichni mohli dostat, takže i z jeho vnitřní sítě. Jak to udělá, už je jeho problémem. Jestliže navržené koncepční řešení, které by ale měl znát, nedokáže ani zavést, nejspíše ani pochopit, tak asi nemá na to, aby nějakého poskytovatele vůbec mohl dělat. O čem tady chcete diskutovat?
Problém je, že ISP o té veřejné IP adrese nikde nic nemá – ve smlouvě, ve VOP, v technických podmínkách. Veřejnou IP adresu najdete akorát v ceníku – poplatek za zřízení a měsíční poplatek. Za ty ceny by to mělo fungovat pořádně. Ale páku na ISP asi h4kuna nemá. Maximálně by mohl reklamovat, že si pod pojmem „veřejná IP adresa“ představoval něco jiného, než co mu ISP dodal. A vzhledem k tomu, že to ISP nikde nemá specifikované, pravděpodobně by ve sporu s reklamací (a vrácením instalačního poplatku) uspěl. ISP by mu službu veřejné IP adresy služby zrušil s tím, že zákazníkem požadovanou službu nenabízí. A tím by to skončilo.

Tohle bohužel nemá rychlé řešení, pokud do toho nevstoupí stát nebo nějaká silná organizace, která by donutila ISP služby alespoň pořádně pojmenovávat. Protože ne spoustě míst se zdaleka ještě nesoutěží kvalitou poskytované služby, ale tím, jestli ISP má vůbec nějakou přístupovou infrastrukturu nebo nemá, v lepším případě tím, jestli je hodně špatná nebo jenom špatná.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: LarryLin 09. 06. 2020, 14:31:21
Tohle bohužel nemá rychlé řešení, pokud do toho nevstoupí stát nebo nějaká silná organizace, která by donutila ISP služby alespoň pořádně pojmenovávat.
Podle mě by stačilo kdyby lidé při recenzování služeb byli stejně důslední jako při recenzování eshopů na heuréce. Teď je to rozstříštěné a lidé neví jestli mají napsat recenzi na FB (https://cs-cz.facebook.com/pg/comfeel/reviews/?ref=page_internal) nebo na Firmy (https://www.firmy.cz/detail/12931034-comfeel-s-r-o-mnichovo-hradiste.html) nebo na Rychlost.cz (https://rychlost.cz/isp/comfeel/hodnoceni/) nebo Google (https://www.google.cz/search?q=comfeel+recenze). Recenze mi připadají lepší než další zákon.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: SB 09. 06. 2020, 15:21:12
Tyto věci se nemůžou zlepšit tlakem uživatelů, protože jim nerozumějí (stejně jako IPv6), zde je třeba z pozice státního aparátu přesně kategorizovat a specifikovat vlastnosti služeb a požadavky na ně tak, jak se to již stalo v jiných odvětvích. Ve své podstatě jsme dnes v odvětví služeb poskytování připojení svědky rozvojového stavu a partyzánštiny.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: mala_panda 09. 06. 2020, 15:42:48
Tohle bohužel nemá rychlé řešení, pokud do toho nevstoupí stát nebo nějaká silná organizace, která by donutila ISP služby alespoň pořádně pojmenovávat.
Podle mě by stačilo kdyby lidé při recenzování služeb byli stejně důslední jako při recenzování eshopů na heuréce. Teď je to rozstříštěné a lidé neví jestli mají napsat recenzi na FB (https://cs-cz.facebook.com/pg/comfeel/reviews/?ref=page_internal) nebo na Firmy (https://www.firmy.cz/detail/12931034-comfeel-s-r-o-mnichovo-hradiste.html) nebo na Rychlost.cz (https://rychlost.cz/isp/comfeel/hodnoceni/) nebo Google (https://www.google.cz/search?q=comfeel+recenze). Recenze mi připadají lepší než další zákon.

Už vidím ty davy BFU píšících negativní recenze protože nedostanou routovanou veřejnou IP.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: LarryLin 09. 06. 2020, 15:51:37
Tyto věci se nemůžou zlepšit tlakem uživatelů, protože jim nerozumějí (stejně jako IPv6)
Takhle by musela být státní regulace na každou blbost, protože není člověk ten, aby rozuměl věcem všem.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: LarryLin 09. 06. 2020, 15:56:37
Už vidím ty davy BFU píšících negativní recenze protože nedostanou routovanou veřejnou IP.
Nevím jestli se h4kuna považuje za BFU, ale dokázal i bez znalostí siťařiny pochopit kde je problém a určitě by to dokázal stručně popsat v recenzi a věřím, že ten kdo ví co je veřejná IP dokáže podle takové recenze vyhodnotit, jestli si u daného providera má veřejnou IP objednat.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: SB 09. 06. 2020, 17:21:24
Takhle by musela být státní regulace na každou blbost, protože není člověk ten, aby rozuměl věcem všem.

Kvalitativní normy máme přece na kdeco, denně nám slouží. A zde se zjevně začíná projevovat potřeba další takové, takže mi není jasné, proti čemu se stavíte.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: LarryLin 09. 06. 2020, 17:23:04
Takhle by musela být státní regulace na každou blbost, protože není člověk ten, aby rozuměl věcem všem.
Kvalitativní normy máme přece na kdeco, denně nám slouží. A zde se zjevně začíná projevovat potřeba další takové, takže mi není jasné, proti čemu se stavíte.
Proti tomu, aby vznikaly další a další normy.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: SB 09. 06. 2020, 17:28:03
Nevím jestli se h4kuna považuje za BFU, ale dokázal i bez znalostí siťařiny pochopit kde je problém a určitě by to dokázal stručně popsat v recenzi a věřím, že ten kdo ví co je veřejná IP dokáže podle takové recenze vyhodnotit, jestli si u daného providera má veřejnou IP objednat.

A to chtěl zprovoznit jen takovou P**OVINU(!!!) jako nasdílení souboru sousedovi.

(„Cože? No jak si to představujete? Kdo to kdy slyšel? Tohle po nás nikdy nikdo nechtěl. Na takové extrabuřty tu nejsme vedení. Jede vám fejsbuk? Jede? Tak co otravujete, člověče?!!“)
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: h4kuna 10. 06. 2020, 08:12:21
Vzhledem k tomu, že ISP ten problém nechce vyřešit, bavíme se teď o tom, jak to udělat, aby to pro h4kuna fungovalo alespoň doma. Což je primární způsob využití. Holt budou muset myslet na to, že sousedé se k nim nedostanou a případné soubory pro ně vystavovat jinde.

Včera mi to pan majitel nastavil, u mě doma už mi doména a subdomény fungují.

Trošku mě pobavil první email st 27. 5. 11:58 s předmětem nastavení DNS a textem
Citace
prosím Vás můžete nastavit volání domény 'matejckovi.eu' z mého domu, abych se dostal na svou mašinu? Nyní to nefunguje a dochází k nekonečné smyčce.

První odpověď
Citace
Dobrý den,

nastavení DNS domény si řešíte sám. Pokud si chcete řešit nějaké
vlastní DNS, tak je nastavte na svém routeru.
Pak uběhlo 30 emailů a včerejší můj email:
Citace
Už to vypadá, že to jede.

Jak je to tedy řešené?

 A jednoduchá odpověď
Citace
Přes interní DNS.

Ono to vadný chování bylo už první den co mi zprovoznili veřejnou IP adresu, to jsme si vyměnili taky asi 30 emailů a bylo to někde začátkem května, tu bitvu jsem prohrál.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: h4kuna 10. 06. 2020, 08:16:59
Pokud máte u vás špatné wifi providery, tak nemáš tam telefonní kabel - VDSL? Nebo nebude jednodušší si objednat VPS nebo nějaký cloud?

Chápu diskuse je dlouhá, taky by se mi to nechtělo číst... Obě otázky jsou zodpovězeny.

- jiný wifi provider není moc vhodný, kabel radní zapomněli zakopat před sedmi lety
- není to jen pro cloud, navíc mám doma 6TB nas co by to asi stálo? chci mít komunikaci do domu, na hraní.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: LarryLin 10. 06. 2020, 10:02:16
kabel radní zapomněli zakopat před sedmi lety
Přečetl jsem celou diskuzi a myslel jsem, že tím myslíš optický kabel. Žil jsem v dojmu, že telefonní kabel je dnes v každé zapadlé vesničce již od 90. let. Ti co nabízí ADSL/VDSL většinou uvádějí, že je dostupný pro 99% domácností. Tak asi patříte mezi to jedno procento. To naštve :)
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: LarryLin 10. 06. 2020, 10:16:47
A jednoduchá odpověď
Citace
Přes interní DNS.
Vyřešilo to i problém u souseda a dalším 3000+ klientů, kteří jsou v síti tvého providera nebo ti se k tobě stále nepřipojí?
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: h4kuna 10. 06. 2020, 10:39:13
Tak asi patříte mezi to jedno procento. To naštve :)

Nejvíc naštve to, že o nový zástavbě rozhodoval radní kterýmu bylo cca 70. Kdo ví jestli slyšel pojem internet. Takže 50 nových domů jsou na wifi a hotovo. Loni si v klidu umřel a co jako teď? Nic svět se točí dál. A kdy se asi znovu rozkope silnice kvůli opravám 10-15let?
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: h4kuna 10. 06. 2020, 10:44:56
Vyřešilo to i problém u souseda a dalším 3000+ klientů, kteří jsou v síti tvého providera nebo ti se k tobě stále nepřipojí?

Ještě jsem neměl čas to otestovat. Mám týden na to :)

Trošku mě dráždí toto:
Kód: [Vybrat]
traceroute -n 81.25.21.57
traceroute to 81.25.21.57 (81.25.21.57), 30 hops max, 60 byte packets
 1  192.168.1.1  0.350 ms  0.393 ms  0.462 ms
 2  192.168.86.1  6.960 ms  6.967 ms  6.988 ms
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *
25  * * *
26  * * *
27  * * *
28  * * *
29  * * *
30  * * *

Jestli se nepletu, tak doména bude fungovat, protože je to ohnutý přes tu jejich dns, ale ip adresa fungovat nebude, protože zde problém zůstal.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Filip Jirsák 10. 06. 2020, 10:49:59
Jestli se nepletu, tak doména bude fungovat, protože je to ohnutý přes tu jejich dns, ale ip adresa fungovat nebude, protože zde problém zůstal.
Přesně tak.

Navíc bych vám doporučil u Forpsi u té domény vypnout zabezpečení přes DNSSEC, protože váš ISP nemůže ty podvržené DNS záznamy správně podepisovat, tudíž pokud by nějaká aplikace ve vaší síti validovala DNSSEC, adresu nepřeloží.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: h4kuna 10. 06. 2020, 10:59:41
Navíc bych vám doporučil u Forpsi u té domény vypnout zabezpečení přes DNSSEC, protože váš ISP nemůže ty podvržené DNS záznamy správně podepisovat, tudíž pokud by nějaká aplikace ve vaší síti validovala DNSSEC, adresu nepřeloží.

Já prostě nechápu proč nezkusil ten hairpin nat u mě doma na tom jejich mikrotiku co mi sám nabídnul. Prostě si to udělal na dnsku.

Jak vyzkouším funkčnost DNSSEC? Ale podle tohoto to vypadá že to funguje. https://dnssec-analyzer.verisignlabs.com/matejckovi.eu

DNSSEC vypínat nechci, v momentě kdy to nebude fungovat, tak otevřu starou ránu :) Několikrát jsem mu psal, že na doméně chci DNSSEC.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: h4kuna 10. 06. 2020, 11:09:34
K DNSSEC nerozumím tomu, pokud by toto (viz citace) uděloval zákon filtraci hazardních webů, tak co přiměje majitele webu vypnout DNSSEC a tím by byl ISP namydlenej. DNSSEC je jen další bezpečnostní opatření, aby právě návštěvník nebyl přesměrovaný jinam. Takže k tomu musí být ještě jiná finta. Nebo pak jsou tu dvě věci, který z mého momentálního pohledu, nemůžou vyhovět.

2a) zeptejete se providera, jestli provozuje vlastní DNS server. Pokud ano, určitě na něm dle zákona provádí filtraci hazardních webů. To se nejčastěji dělá přes tzv. RPZ doménu, kde se "falšují" odpovědi na DNS dotazy pro vybrané weby (ukládá to zákon). Provoz směřující na hazardní weby se přesměrovává na stránku s informací, že doména byla zablokována a proč. Analogicky jdou přesměrovávat DNS dotazy na matejickovi.eu na IP adresu, kterou máte přiřazenou v přístupové síti providera. Pokud provider neprovozuje DNS server, mohou si sousedi nastavit "fake" DNS záznam na svém vlastním routeru (pokud to router dovoluje a soused to umí).
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Filip Jirsák 10. 06. 2020, 11:09:51
Jak vyzkouším funkčnost DNSSEC? Ale podle tohoto to vypadá že to funguje. https://dnssec-analyzer.verisignlabs.com/matejckovi.eu
Tenhle test to ale ověřuje z internetu. Vy to musíte ověřit z vaší sítě – v ní nebudou ty záznamy podepsané. Můžete si např. zapnout DNSSEC validaci na úrovni systémového resolveru – to závisí na tom, jaký operační systém používáte.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Filip Jirsák 10. 06. 2020, 11:13:47
K DNSSEC nerozumím tomu, pokud by toto (viz citace) uděloval zákon filtraci hazardních webů, tak co přiměje majitele webu vypnout DNSSEC a tím by byl ISP namydlenej. DNSSEC je jen další bezpečnostní opatření, aby právě návštěvník nebyl přesměrovaný jinam. Takže k tomu musí být ještě jiná finta. Nebo pak jsou tu dvě věci, který z mého momentálního pohledu si nemůžou vyhovět.
DNSSEC slouží k tomu, aby útočník nemohl v DNS podvrhnout falešné údaje (což je přesně to, co teď dělá váš ISP). Nedokáže ale nijak zabránit tomu, že se nedozvíte žádnou odpověď – když se dotaz nebo odpověď někde „ztratí“, DNSSEC s tím nic neudělá. A pro blokování hazardních webů stačí, aby se adresa nepřeložila. Obvykle se sice při blokování hazardního webu uživateli zobrazuje informační stránka, že byl přístup na základě zákona zablokován. Ale pokud se místo toho zobrazí uživateli chybová zpráva, že adresa neexistuje, zákon to také splní – jenom to není tak komfortní pro uživatele.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: SB 10. 06. 2020, 13:32:21
Nejvíc naštve to, že o nový zástavbě rozhodoval radní kterýmu bylo cca 70. Kdo ví jestli slyšel pojem internet. Takže 50 nových domů jsou na wifi a hotovo. Loni si v klidu umřel a co jako teď? Nic svět se točí dál. A kdy se asi znovu rozkope silnice kvůli opravám 10-15let?

To je h***o, u nás v ulici teď dělali rekonstrukci chodníku za ukrutné statisíce a nejenomže to (přes upozornění) zk***ili, ale ještě se ouřada, co to má na starosti (70 mu rozhodně není), ani neobtěžoval oslovit alespoň místího optického šmudlu (bez IPv4 a IPv6), natož CETIN (který k tomu na svých stránkách vyloženě nabádá!). Takže buďto další rozkopání za statisíce, nebo se na nás všichni s nějakým novým káblem vydefekují. Hanbou ani nebudu uvádět jméno obce.

Jestli se nepletu, tak doména bude fungovat, protože je to ohnutý přes tu jejich dns, ale ip adresa fungovat nebude, protože zde problém zůstal.

No super. Takže polořešení. A server DNS musíte používat od pseudoposkytovatele (nebudeme mu říkat poskytovatel, že ne?), nebo vám rovnou unáší dotazy DNS? Zkuste, co vrátí
Kód: [Vybrat]
host matejckovi.eu 1.1.1.1
.

Já prostě nechápu proč nezkusil ten hairpin nat u mě doma na tom jejich mikrotiku co mi sám nabídnul. Prostě si to udělal na dnsku.

To by fungovalo jen pro vás doma. Aby to fungovalo univerzálně, je třeba přesměrování udělat na nejvyšším NATu ležícím mezi neveřejnou sítí pseudoposkytovatele a veřejnou sítí.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: h4kuna 10. 06. 2020, 13:57:07
Kód: [Vybrat]
host matejckovi.eu 1.1.1.1
Kód: [Vybrat]
$ host matejckovi.eu 1.1.1.1
Using domain server:
Name: 1.1.1.1
Address: 1.1.1.1#53
Aliases:

matejckovi.eu has address 81.25.21.57

Já prostě nechápu proč nezkusil ten hairpin nat u mě doma na tom jejich mikrotiku co mi sám nabídnul. Prostě si to udělal na dnsku.

To by fungovalo jen pro vás doma. Aby to fungovalo univerzálně, je třeba přesměrování udělat na nejvyšším NATu ležícím mezi neveřejnou sítí pseudoposkytovatele a veřejnou sítí.
Já to chápu, rozdíl mezi tím, kdy to má fungovat globálně a kdy lokálně, jen nechápu, když jsem mu ten hairpin nat lokálně schválil, že to stejně udělal jinak. Nechápu, ale zatím respektuju, že ten hairpin nat nechtěl nasadit na svoje nat servery. A tímhle lokálním nastavením bych já i on si vyzkoušeli, alespoň pro mě, novinku :) A případně to otestovali. Pro mě je to stále nevyzkoušená cesta...
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: h4kuna 10. 06. 2020, 14:05:59
to závisí na tom, jaký operační systém používáte

Zkusím to najít. Jinak můj OS je Ubuntu, od roku 2012.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Libor Petr 10. 06. 2020, 15:26:47
Tak jistě, bude to kontrolovat státní aparát :) :) :)
asi jste se minul povoláním, určitě by jste se uživil jako autor vtipů v Sorry, nebo v Dikobrazu.
Vždyť na IPv6 zvesela kašle přes všechna nařízení i státní aparát. Schválně si udělejte průzkum, jak se plní Usnesení vlády č. 727/2009, 982/2013? Kolik orgánů státního aparátu ještě nemá weby a mailservery přístupné přes IPv6.
A přitom jim tu povinnost výslovně ukládá usnesení vlády

Tyto věci se nemůžou zlepšit tlakem uživatelů, protože jim nerozumějí (stejně jako IPv6), zde je třeba z pozice státního aparátu přesně kategorizovat a specifikovat vlastnosti služeb a požadavky na ně tak, jak se to již stalo v jiných odvětvích. Ve své podstatě jsme dnes v odvětví služeb poskytování připojení svědky rozvojového stavu a partyzánštiny.
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Libor Petr 10. 06. 2020, 16:45:33
Prostě to berte jak to je. Úředník myslel a to je vždycky katastrofa.
Zákon totiž uložil, providerům blokovat přístup na hazardní weby a úředník to vymyslel tak, že blokování se provádí na úrovni VLASTNÍHO DNS serveru providera a to i za cenu rozbití DNSSEC. Že si uživatel může nastavit jakýkoliv jiný DNS server, to už je úředníkovi jedno, tak daleko jeho představivost nesahá.
K dovršení magořiny je v prováděcím předpisu výslovně stanoveno, že provider při naplňování dikce zákona NESMÍ ve vlastní síti unášet DNS dotazy na svůj DNS server, protože by tím došlo k porušení síťové neutrality. Schíza jak sfiňa....

Provider má jednoznačně síť postavenou jako koncovou, ne jako přístupovou. Pokud nechce nasazovat na svých routerech Harpin-NAT, tak ho k tomu jinak než penězi nedonutíte a máte jen následující možnosti:
1) musíte se domluvit s providerem, aby pro Vás dostal veřejnou IP adresu na první router co máte u sebe v baráku. Jestli to tam dostane přes PPoE, naroutuje sítí /31 nebo /30, prostrčí to EoIP tunelem je Vám šumafuk, Vás zajímá výsledek. Prostě musíte mít tu veřejnou u sebe. Harpin-NAT si uděláte na svém domácím routeru jen kvůli tomu, aby to korektně fungovalo i z Vaší domácí sítě.
2) pokud neprojde bod 1) musíte jít cestou falešného DNS záznamu v RPZ zóně na DNS serveru providera. Počitejte s tím, že pro Vaše sousedy to rozbije DNSSEC, ale nemyslím si, že by to některému z nich vadilo....  DNS dotazy na matejckovi.eu budou jinak fungovat v síti Vašeho providera a jinak z "ostatního" internetu, ale nějak to bude fungovat a víceméně to splní účel
3) pokud neprojde 1) ani 2), můžete ještě svůj server přemístit mimo síť providera (hosting/VPSko). A všem to bude fungovat úplně stejně, ani doma nebudte muset nic měnit.
4) když nevyjde nic z výše uvedeného, musíte změnit providera a doufat že u nového to bude jiné. O čemž osobně dost pochybuju, rozhodně si předem udělejte důkladný průzkum, aby to nebylo z deště pod okap.

Víc možností není, smiřte se s tím. Zkoušejte to postupně bod po bodu a dejte vědět, jak to dopadlo.

K DNSSEC nerozumím tomu, pokud by toto (viz citace) uděloval zákon filtraci hazardních webů, tak co přiměje majitele webu vypnout DNSSEC a tím by byl ISP namydlenej. DNSSEC je jen další bezpečnostní opatření, aby právě návštěvník nebyl přesměrovaný jinam. Takže k tomu musí být ještě jiná finta. Nebo pak jsou tu dvě věci, který z mého momentálního pohledu, nemůžou vyhovět.

2a) zeptejete se providera, jestli provozuje vlastní DNS server. Pokud ano, určitě na něm dle zákona provádí filtraci hazardních webů. To se nejčastěji dělá přes tzv. RPZ doménu, kde se "falšují" odpovědi na DNS dotazy pro vybrané weby (ukládá to zákon). Provoz směřující na hazardní weby se přesměrovává na stránku s informací, že doména byla zablokována a proč. Analogicky jdou přesměrovávat DNS dotazy na matejickovi.eu na IP adresu, kterou máte přiřazenou v přístupové síti providera. Pokud provider neprovozuje DNS server, mohou si sousedi nastavit "fake" DNS záznam na svém vlastním routeru (pokud to router dovoluje a soused to umí).
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: listoper 10. 06. 2020, 17:39:30
Pokud máte u vás špatné wifi providery, tak nemáš tam telefonní kabel - VDSL? Nebo nebude jednodušší si objednat VPS nebo nějaký cloud?

Chápu diskuse je dlouhá, taky by se mi to nechtělo číst... Obě otázky jsou zodpovězeny.

- jiný wifi provider není moc vhodný, kabel radní zapomněli zakopat před sedmi lety
- není to jen pro cloud, navíc mám doma 6TB nas co by to asi stálo? chci mít komunikaci do domu, na hraní.

Tak sice na to Filip rekne, ze je to zase rovnak na ohybak... a bude mit pravdu... ale na to ja sem mistr :-).
Co si poridit nejakou tu levnou vps a pouzivat ji jen na tunelovani portu k sobe domu?
Název: Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
Přispěvatel: Libor Petr 10. 06. 2020, 17:56:31
Navíc když se dneska dá sehnat VPS za cenu stejnou nebo nižší, než se obvykle platí za veřejnou IP adresu.


Tak sice na to Filip rekne, ze je to zase rovnak na ohybak... a bude mit pravdu... ale na to ja sem mistr :-).
Co si poridit nejakou tu levnou vps a pouzivat ji jen na tunelovani portu k sobe domu?