Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu

[h4kuna]

Nebude nejsnazší zjistit u ISP korektní nastavení?

Co to znamená? Mám od něj IP adresu, masku, dns a z jeho pohledu mě více zajímat nemusí. Já mu rád pošlu další otázky, jen nevím na co se ptát. Mám jen argument že soused taky nevidí na můj web server.

[Reklama]

[Vilith]

Nebude nejsnazší zjistit u ISP korektní nastavení?

Co to znamená? Mám od něj IP adresu, masku, dns a z jeho pohledu mě více zajímat nemusí.

Nikdo z nás nevíme, co u konkrétního providera znamená "veřejná IP", a jak má nastavenou svou síť

Buď se tady trefíme do schůdného řešení metodou Monte Carlo (https://en.wikipedia.org/wiki/Monte_Carlo_method) a nebo se stejně musíš zeptat

[Filip Jirsák]

Buď se tady trefíme do schůdného řešení metodou Monte Carlo (https://en.wikipedia.org/wiki/Monte_Carlo_method) a nebo se stejně musíš zeptat

ISP má špatně nastavenou síť. Není na co se ho ptát – je potřeba mu říct, že si má síť opravit. A vzhledem k tomu, že ISP se zatím tváří, že neví, co má špatně, je potřeba mu to sdělit.

[Filip Jirsák]

Musel jsem změnit port na 2222, protože od IPS mám všechny porty blokované až na 80,443,2222 a asi chceme zkontrolovat kam ten paket dojde.

Pomocí příkazu jsem zkontrolovat že na port 2222 nemám nic.
sudo netstat -nlpt | grep '2222'

pomocí příkazu `ip a` jsem vybral síťovku 'enp59s0' mající ip adresu 192.168.86.34, připojil jsem si zase kabel z antény přímo na počítač.

tcpdump -n 'port 2222' -i 'enp59s0'

telnet 81.25.21.57 2222

Výsledky jsou na obrázku.

Ty dva řádky 122.91.18.119 ignorujte, to je nějaký robot z Asie, asi zkouší nestandardní port pro SSH. Zbytek jsou jenom vaše odchozí pakety, z routeru ISP se ani nevrátili.

Tj. ISP řekněte, že vy ani vaši sousedé u stejného ISP se nemohou připojit na vaši veřejnou IP adresu 81.25.21.57. Můžete přiložit ten výpis tcpdumpu s tím, že pakety od vás na 81.25.21.57 odejdou, ale už se nevrátí zpět s cílovou IP adresou 192.168.86.34. Pokud by se ISP vymlouval, že je to váš problém, argumentujte tím, že to nejde ani u sousedů, kteří jsou k němu také připojení – ale jinde z internetu, že to jde.

Každopádně s ISP vůbec neřešte doménu, to ho možná zmátlo – řešte jen tu veřejnou IP adresu.

Dotyčný ISP má pravděpodobně ten DNAT nastaven jen na vnějším rozhraní do internetu a pakety z vnitřní sítě směrované na veřejné IP adresy jeho klientů se mu někde ztrácí.

[Vilith]

Buď se tady trefíme do schůdného řešení metodou Monte Carlo (https://en.wikipedia.org/wiki/Monte_Carlo_method) a nebo se stejně musíš zeptat

ISP má špatně nastavenou síť. Není na co se ho ptát – je potřeba mu říct, že si má síť opravit. A vzhledem k tomu, že ISP se zatím tváří, že neví, co má špatně, je potřeba mu to sdělit.

Pokud mu to nesdělíš, a on to neopraví, tak tady můžeš vytvářet libovolné teorie a návody

[Reklama]

[Filip Jirsák]

Pokud mu to nesdělíš, a on to neopraví, tak tady můžeš vytvářet libovolné teorie a návody

Sdělovat mu to nebudu já, ale h4kuna. Já jsem jen opravoval vaše chybné tvrzení, že je potřeba se ISP na něco ptát. Ne, nepotřebujeme se ho ptát, jak má řešené veřejné IPv4 adresy, protože to víme – portforwardingem tří portů 80, 443 a 2222 na privátní IPv4 adresu, kterou ISP přidělil zákazníkovi. A není potřeba se ho ptát ani na nic jiného, protože chybu musí opravit ISP, ne h4kuna.

[h4kuna]

Napsal jsem mu a čekám na odpověď. Dám vědět i sem jak to dopadlo.

[h4kuna]

Není oslovení navazoval jsem na konverzaci, a poslal jsem

Prosím Vás,

musí být pravděpodobně DNAT nastaven jen na vnějším rozhraní do internetu a pakety z vnitřní sítě směrované na veřejné IP adresy se někde ztrácí, protože ani soused XXX, Ulice X, kterému jsem comfeel doporučil nenačte moji doménu, což považuji za problém!
Na doméně https://www.matejckovi.cz je stránka s textem "Here is nothing."

Myslím si, že stejný problém by jste měl mít pokud jste ve stejné síti jako já (192.168.86.XXX). Pokud se připojíte na telefonu přes data, tak stránku načtete.

Tím chci říct, že ani můj router co by uměl statické DNS to nevyřeší.

Můžete to prověřit? Přikládám výpis tcpdumpu v příloze.

Odpověď

Dobrý den,

máte přidělenou veřejnou IP adresu pomocí NAT 1:1.

To znamená, že překlad se děje cestou z Internetu a do něj.

Takže cokoliv jde z / do Internetu, tak se přeloží za Vaší veřejnou IP.

V lokální síti musíte přistupovat na lokální IP serveru. Pokud router
umí statické záznamy pro DNS, jak je možné si vytvořit vlastní
záznamy, které budou směřovat na lokální IP.

Z naší strany není co prověřovat a vše funguje, tak jak má.

Stále by mě zajímalo ikdybych měl router co umí statické DNS, tak soused můj web server neuvidí, že? To podle mě není cesta.

Mám pár myšlenek co mu napsat...

[Vilith]

A co ostatní uživatelé toho ISP? Jak se dostanou na web?

Požádejte o upřesnění odpovědi ISP operátora

[Filip Jirsák]

Stále by mě zajímalo ikdybych měl router co umí statické DNS, tak soused můj web server neuvidí, že? To podle mě není cesta.

Přesně tak, ten problém není jen ve vaší domácí síti, ale u všech klientů ISP (podle toho, že ISP píše, že řeší jen provoz z internetu).

Že vše funguje, jak má – asi to funguje tak, jak chtějí, aby to fungovalo. Ale rozhodně to není očekávané chování – když máte veřejnou IP adresu, měla by fungovat skutečně všem, včetně vašich sousedů. Kdyby nefungovala jenom vám, asi by se o tom dalo dohadovat, že ISP je v právu. Ale to, že to nefunguje ostatním jeho zákazníkům, je podle mne neomluvitelné.

Pokud máte dobré vztahy se sousedy, můžete zkusit, aby to reklamovali oni :-)

[h4kuna]

Ještě počkám na souseda, abych to viděl na vlastní oči že mu to nejde. Je mi jasný že mi neodpověděl na co jsem se ptal.

Stále by mě zajímalo ikdybych měl router co umí statické DNS, tak soused můj web server neuvidí, že?

Já tu zkušenost nemám a netuším jak by se to zachovalo, tak proto se ptám jak je to s tím routrem. Bych mu navrhnul ať mi přijde nainstalovat a nastavit router se statickou DNS, že mu to zaplatím když to bude fungovat mě i sousedovi a pokud ne tak nebudu platit nic. Protože jinak ho asi ze židle nezvednu.

[Filip Jirsák]

Stále by mě zajímalo ikdybych měl router co umí statické DNS, tak soused můj web server neuvidí, že?

Já tu zkušenost nemám a netuším jak by se to zachovalo, tak proto se ptám jak je to s tím routrem. Bych mu navrhnul ať mi přijde nainstalovat a nastavit router se statickou DNS, že mu to zaplatím když to bude fungovat mě i sousedovi a pokud ne tak nebudu platit nic. Protože jinak ho asi ze židle nezvednu.

Ano, když to spravíte ve své síti tím, že se komunikace do sítě ISP vůbec nedostane (což je příklad toho statického DNS), soused ten váš web stále neuvidí. To statické DNS je ekvivalent toho, že byste si na všech počítačích ve své síti nastavil záznam do /etc/hosts.

To statické DNS řeší jenom to, že když vy ve své síti zadáte tu webovou adresu, přeloží se to na jinou adresu a bude se komunikovat jenom v rámci vaší domácí sítě. Když ale tu adresu zadá soused, váš statický DNS vůbec nevstupuje do hry – u souseda se to zase přeloží na tu veřejnou IP adresu 81.25.21.57, komunikace s ní bude směřovat někam do sítě ISP a tam se ztratí.

Jenom doufám, že toho ISP nenapadne to řešit tak, že bude DNS dotazy na tuhle doménu unášet a přepisovat na tu privátní IP adresu. Sice by to nefungovalo těm, kteří validují DNSSEC, ale obávám se, že to by ISP zase prohlásil za jejich problém.

[M_D]

Na tvém routeru (ať už pomocí DNS, NATu, routingu, ...) souseda nevyřešíš. To jen řeší, aby to fungovalo tobě samotnému doma.
Pokud chceš ještě zkusit, tak ať soused se zkusí spojit na tu tvoji interní IP 192.168.86.34, zda se spojí na ni OK. To by mělo dle té odpovědi od ISP fungovat, ale neřeší to nic moc, jen ukáže, že vyloženě neblokuje komunikaci mezi svými zákazníky.
Případně si proleť podmínky služby. Že to nefunguje tobě samotnému, tak může ISPík argumentovat, ať si to pořešíš na svém routeru, že tvoje interní komunikace utíká do jeho sítě a dropuje ji. Ale ta nefunkčnost od souseda je už jiná. Nicméně někteří ISP vzájemnou komunikaci mezi svými zákazníky blokují, pokud oba nemají veřejnou IP. Ale to by měl mít v podmínkách.

Add ta routa v tom DLinku, pokud nedovolí nastavit, že ta routa má jít do LAN, tak to takto pro sebe neohneš. Už jen to, že nedovolí libovolnou masku, ale upraví ti /32 na /24, tak to ukazuje, že je ten router v možnostech dost omezen. Podobně i to, že asi neumí ani ty varianty hairpin NATu.

[Libor Petr]

Jestli to dobře chápu, někde doma máte počítač nebo NASku, na kterém běží Owncloud, který chcete ukazovat sousedům a přistupovat na něj z domova. Je to tak?

Pokud ano, tak se akorát divím, že Vám ještě p. Jirsák nenapsal jeho nejoblíbenější argument, totiž přejít na IPv6. Protože zrovna v tomhle případě IPv6 totiž dává smysl.

Zásadní otázka zní: jakou IP adresu má Váš domácí server napsanou na síťovém rozhraní? Jestli je tam cokoliv jiného, než IP adresa 81.25.21.57 tak to bez dalších berliček nebude nikdy fungovat.
Důvody máte napsané v tom mailu od providera - veřejnou IP adresu dostáváte pomocí NAT 1:1 na hlavní bráně providera.

Není oslovení navazoval jsem na konverzaci, a poslal jsem

Odpověď

Dobrý den,

máte přidělenou veřejnou IP adresu pomocí NAT 1:1.

To znamená, že překlad se děje cestou z Internetu a do něj.

Takže cokoliv jde z / do Internetu, tak se přeloží za Vaší veřejnou IP.

V lokální síti musíte přistupovat na lokální IP serveru. Pokud router
umí statické záznamy pro DNS, jak je možné si vytvořit vlastní
záznamy, které budou směřovat na lokální IP.

Z naší strany není co prověřovat a vše funguje, tak jak má.

Stále by mě zajímalo ikdybych měl router co umí statické DNS, tak soused můj web server neuvidí, že? To podle mě není cesta.

Mám pár myšlenek co mu napsat...

Pokud nechápete co pro Vás NAT 1:1 znamená, je to dost marný. Asi bych začal bych tím, že si najdete někoho, kdo rozumí síťím a správně Vám to nastaví.

Možná řešení:
1) kompletně přejít na IPv6 doma i u providera. Jedině tak totiž zajistíte, že IP adresa (a odpovídající DNS záznam) vašeho serveru bude identická ve všech sítích, ze kterých k němu přistupujete. Vyřeší problémy s přístupem z domácí sítě, z přístupové sítě providera a z internetu, tedy v případě že ostatní také používají IPv6.
Ale pokud poměrně dobře nerozumíte konfiguraci firewallu (sorry předpokládám že nerozumíte, protože by jste takhle neptal), tak sice jeden problém vyřešíte, ale na spoustu dalších si zaděláte. A jestli mám správné informace, tak Comfell v tuto chvíli nenabízí IPv6. V tom případě musíte změnit providera a hodně si doplnit znalosti o fungování IPv6.

2) Rozběhnout doma interní DNS server, který pro adresy z vnitřní sítě bude vracet "správné" IP adresy z vaší lokální sítě. Vyřešíte svůj problém ale ne sousedův na přístupové síti stejného providera.
2a) Pokud chcete řešit i přístup pro sousedy, zeptejete se providera, jestli provozuje vlastní DNS server. Pokud ano, určitě na něm dle zákona provádí filtraci hazardních webů. To se nejčastěji dělá přes tzv. RPZ doménu, kde se "falšují" odpovědi na DNS dotazy pro vybrané weby (ukládá to zákon). Provoz směřující na hazardní weby se přesměrovává na stránku s informací, že doména byla zablokována a proč. Analogicky jdou přesměrovávat DNS dotazy na matejickovi.eu na IP adresu, kterou máte přiřazenou v přístupové síti providera. Pokud provider neprovozuje DNS server, mohou si sousedi nastavit "fake" DNS záznam na svém vlastním routeru (pokud to router dovoluje a soused to umí).

3) Domluvit se s providerem, aby pro IP 81.25.21.57 a porty 80,443 dělal Harpin-NAT na svém routeru - vyřeší určitě problém přístupu souseda a pokud nebude nějaká zrada na Vašem D-Linku, tak i ten Váš. To je asi nejrychlejší řešení, otázkou je, jestli se providerovi bude do nestandartních konfigurací chcít.

4) Domluvit se s providerem, jestli Vám odroutuje další rozsah /30 veřejných IP adres až na Vaše zařízení. Tam si s tím uděláte co potřebujete a pokud tomu alespoň částečně rozumíte, protáhnete ty veřejné IP adresy až na síťovku Vašeho serveru. Problém vyřešen pro vás, pro souseda, pro celý internet. Akorát počítejte s tím, že to může být dražší (platíte 4 IP adresy) a opět platí, že pokud neumíte správně nakonfigurovat firewall, vyřešením jednoho problému vznikne spousta jiných.

Stále by mě zajímalo ikdybych měl router co umí statické DNS, tak soused můj web server neuvidí, že? To podle mě není cesta.

Mám pár myšlenek co mu napsat...

Providerovi nemusíte psát nic, on Vám korektně odpověděl akorát Vy jste ho nepochopil. Stačí když se budete řídit myšlenkami velkého Iljiče: "... učit se, učit se, učit se"

P.S. A jestli vážně chcete doma provozovat www server dostupný z internetu, tak doporučuji se poohlédnout po nějakém jiném routeru než základní segment D-Link, TP-Link atd. Potřebujete router, který má nějaký dlouhodobý support, výrobce pravidelně řeší bezpečnostní díry a vydává aktualizace firmware víc než jednou.
Doporučuji pravidleně číst nějaký security bulletin a věřte mi, že u D-Linku to není zrovna uklidňující čtení https://www.cvedetails.com/vulnerability-list/vendor_id-899/D-link.html.

[SB]

1. NAT je skvělý. Všichni jej chtějí, milují jej. NAT je chrání (dokonce i když nechtějí). Bez NATu nic nefunguje. NAT je třeba zachovat pro další generace. Konec NATu by znamenal konec světa.
2.

Musel jsem změnit port na 2222, protože od IPS mám všechny porty blokované až na 80,443,2222...

Prosím???!

3. Jména lemplů se zásadně zvěřejňují, aby byli ostatní varováni.