16
Sítě / Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« kdy: 10. 06. 2020, 16:45:33 »
Prostě to berte jak to je. Úředník myslel a to je vždycky katastrofa.
Zákon totiž uložil, providerům blokovat přístup na hazardní weby a úředník to vymyslel tak, že blokování se provádí na úrovni VLASTNÍHO DNS serveru providera a to i za cenu rozbití DNSSEC. Že si uživatel může nastavit jakýkoliv jiný DNS server, to už je úředníkovi jedno, tak daleko jeho představivost nesahá.
K dovršení magořiny je v prováděcím předpisu výslovně stanoveno, že provider při naplňování dikce zákona NESMÍ ve vlastní síti unášet DNS dotazy na svůj DNS server, protože by tím došlo k porušení síťové neutrality. Schíza jak sfiňa....
Provider má jednoznačně síť postavenou jako koncovou, ne jako přístupovou. Pokud nechce nasazovat na svých routerech Harpin-NAT, tak ho k tomu jinak než penězi nedonutíte a máte jen následující možnosti:
1) musíte se domluvit s providerem, aby pro Vás dostal veřejnou IP adresu na první router co máte u sebe v baráku. Jestli to tam dostane přes PPoE, naroutuje sítí /31 nebo /30, prostrčí to EoIP tunelem je Vám šumafuk, Vás zajímá výsledek. Prostě musíte mít tu veřejnou u sebe. Harpin-NAT si uděláte na svém domácím routeru jen kvůli tomu, aby to korektně fungovalo i z Vaší domácí sítě.
2) pokud neprojde bod 1) musíte jít cestou falešného DNS záznamu v RPZ zóně na DNS serveru providera. Počitejte s tím, že pro Vaše sousedy to rozbije DNSSEC, ale nemyslím si, že by to některému z nich vadilo.... DNS dotazy na matejckovi.eu budou jinak fungovat v síti Vašeho providera a jinak z "ostatního" internetu, ale nějak to bude fungovat a víceméně to splní účel
3) pokud neprojde 1) ani 2), můžete ještě svůj server přemístit mimo síť providera (hosting/VPSko). A všem to bude fungovat úplně stejně, ani doma nebudte muset nic měnit.
4) když nevyjde nic z výše uvedeného, musíte změnit providera a doufat že u nového to bude jiné. O čemž osobně dost pochybuju, rozhodně si předem udělejte důkladný průzkum, aby to nebylo z deště pod okap.
Víc možností není, smiřte se s tím. Zkoušejte to postupně bod po bodu a dejte vědět, jak to dopadlo.
Zákon totiž uložil, providerům blokovat přístup na hazardní weby a úředník to vymyslel tak, že blokování se provádí na úrovni VLASTNÍHO DNS serveru providera a to i za cenu rozbití DNSSEC. Že si uživatel může nastavit jakýkoliv jiný DNS server, to už je úředníkovi jedno, tak daleko jeho představivost nesahá.
K dovršení magořiny je v prováděcím předpisu výslovně stanoveno, že provider při naplňování dikce zákona NESMÍ ve vlastní síti unášet DNS dotazy na svůj DNS server, protože by tím došlo k porušení síťové neutrality. Schíza jak sfiňa....
Provider má jednoznačně síť postavenou jako koncovou, ne jako přístupovou. Pokud nechce nasazovat na svých routerech Harpin-NAT, tak ho k tomu jinak než penězi nedonutíte a máte jen následující možnosti:
1) musíte se domluvit s providerem, aby pro Vás dostal veřejnou IP adresu na první router co máte u sebe v baráku. Jestli to tam dostane přes PPoE, naroutuje sítí /31 nebo /30, prostrčí to EoIP tunelem je Vám šumafuk, Vás zajímá výsledek. Prostě musíte mít tu veřejnou u sebe. Harpin-NAT si uděláte na svém domácím routeru jen kvůli tomu, aby to korektně fungovalo i z Vaší domácí sítě.
2) pokud neprojde bod 1) musíte jít cestou falešného DNS záznamu v RPZ zóně na DNS serveru providera. Počitejte s tím, že pro Vaše sousedy to rozbije DNSSEC, ale nemyslím si, že by to některému z nich vadilo.... DNS dotazy na matejckovi.eu budou jinak fungovat v síti Vašeho providera a jinak z "ostatního" internetu, ale nějak to bude fungovat a víceméně to splní účel
3) pokud neprojde 1) ani 2), můžete ještě svůj server přemístit mimo síť providera (hosting/VPSko). A všem to bude fungovat úplně stejně, ani doma nebudte muset nic měnit.
4) když nevyjde nic z výše uvedeného, musíte změnit providera a doufat že u nového to bude jiné. O čemž osobně dost pochybuju, rozhodně si předem udělejte důkladný průzkum, aby to nebylo z deště pod okap.
Víc možností není, smiřte se s tím. Zkoušejte to postupně bod po bodu a dejte vědět, jak to dopadlo.
K DNSSEC nerozumím tomu, pokud by toto (viz citace) uděloval zákon filtraci hazardních webů, tak co přiměje majitele webu vypnout DNSSEC a tím by byl ISP namydlenej. DNSSEC je jen další bezpečnostní opatření, aby právě návštěvník nebyl přesměrovaný jinam. Takže k tomu musí být ještě jiná finta. Nebo pak jsou tu dvě věci, který z mého momentálního pohledu, nemůžou vyhovět.2a) zeptejete se providera, jestli provozuje vlastní DNS server. Pokud ano, určitě na něm dle zákona provádí filtraci hazardních webů. To se nejčastěji dělá přes tzv. RPZ doménu, kde se "falšují" odpovědi na DNS dotazy pro vybrané weby (ukládá to zákon). Provoz směřující na hazardní weby se přesměrovává na stránku s informací, že doména byla zablokována a proč. Analogicky jdou přesměrovávat DNS dotazy na matejickovi.eu na IP adresu, kterou máte přiřazenou v přístupové síti providera. Pokud provider neprovozuje DNS server, mohou si sousedi nastavit "fake" DNS záznam na svém vlastním routeru (pokud to router dovoluje a soused to umí).