HTTPS na privátní adrese

Re:HTTPS na privátní adrese
« Odpověď #30 kdy: 14. 06. 2018, 17:06:30 »
Pokud se pripojuji do VPN, tak pouzivam i prideleny DNS resolver z VPN
Pokud ne, tak je bud bordel v nastaveni VPN spojeni nebo mnou rozhazena konfigurace
Vždyť jsem to psal – radši než povolit privátní IP adresy na DNS resolveru, unesete všechny DNS dotazy. Chcete zabránit kosmetickému problému, tak radši vyrobíte problém skutečný. Výborné bude, když se bude o DNS resolver přetahovat několik VPN. Nebo když vám CDN přes to VPNkové DNS naservíruje obsah poblíž vyústění té VPN, ke kterému se budete dostávat nejlépe přes tranzit, zatímco dotyčná CDN má server i u vašeho ISP. Samá pozitiva a sociální jistoty.

Privatni IP adresy do verejneho internetu nepatri
Také je tam nikdo necpe.


Re:HTTPS na privátní adrese
« Odpověď #31 kdy: 14. 06. 2018, 17:20:39 »
Nejde přece o IP adresy v síti ISP, ale o IP adresy v lokální síti uživatele (nebo v síti, kam má přístup – třeba přes VPN). Podle mne je to špatné výchozí nastavení, protože třeba ty VPN jsou případ, kdy se může připojovat úplný laik, který neví vůbec nic o tom, že by si v DNS resolveru na svém routeru měl vypínat nějaké divné výchozí nastavení. Pak to akorát vede k tomu, že správce takové VPN bude klientům nutit u svůj DNS resolver. A nedej bože, aby se uživatel připojoval do více VPN současně.
Tak dobře, řekněme že má dvě VPN současně – a chce se připojit na webmail.intranet.firma1.cz a zároveň webmail.intranet.firma2.cz. Obě doménová jména budou dostupná ve veřejném internetu a budou se překládat na privátní adresu 192.168.1.1. A jsme v koncích, stejně se k jedné ze dvou služeb nedostaneme.

Ono ale bude mnohem jednodušší, než dotyčnému vysvětlovat, kde tenhle filtr vypne, poradit mu, jak si DNS resolver nastaví na čtyři jedničky, osmičky nebo devítky, čímž bude uživatel definitivně ochráněn od všech škodlivých odpovědí jeho lokálního DNS resolveru.
Máte ověřeno, že tyhle služby privátní adresy v DNS odpovědích nefiltrují?

Re:HTTPS na privátní adrese
« Odpověď #32 kdy: 14. 06. 2018, 17:36:51 »
Tak dobře, řekněme že má dvě VPN současně – a chce se připojit na webmail.intranet.firma1.cz a zároveň webmail.intranet.firma2.cz. Obě doménová jména budou dostupná ve veřejném internetu a budou se překládat na privátní adresu 192.168.1.1. A jsme v koncích, stejně se k jedné ze dvou služeb nedostaneme.
Což není problém DNS, ale konfliktu používaných rozsahů privátních adres. Že takový konflikt může nastat neznamená, že musím preventivně rozbít i DNS.

Máte ověřeno, že tyhle služby privátní adresy v DNS odpovědích nefiltrují?
Jistě. Zkoušel jsem tedy jen IP adresy z 10.0.0.0/8 a 172.16.0.0/12, protože rozsah 192.168.0.0/16 nikde nepoužívám, ale nepředpokládám, že u něj by to bylo jinak.

Vilith

  • *****
  • 660
    • Zobrazit profil
Re:HTTPS na privátní adrese
« Odpověď #33 kdy: 14. 06. 2018, 17:43:29 »
Patri k best practices, ze z VPNky nemam primy pristup na Internet, pouze do inside/interni DMZ kde je VPNka zakoncena...

Re:HTTPS na privátní adrese
« Odpověď #34 kdy: 14. 06. 2018, 18:11:33 »
Patri k best practices, ze z VPNky nemam primy pristup na Internet, pouze do inside/interni DMZ kde je VPNka zakoncena...
Což je mimoběžné s naší debatou, protože já píšu o případu, kdy do VPN směřuje jen provoz, který tam jít musí, a internet je z klienta normálně dostupný přímo. Protože když VPN používám jenom jako způsob, jak obejít nedostatek veřejných IP adres, není důvod cpát do VPN veškerý provoz.

Každopádně k best practices patří nerozbíjet něco, co rozbité být nemusí. Takže není potřeba vyjmenovávat případy, kdy rozbité DNS nevadí, když pořád existují případy, kdy rozbité DNS vadí. A bude jich čím dál víc, protože DNSSEC a HTTPS tlačí na rušení různých lokálních domén a používání jen veřejného DNS stromu, zároveň HTTPS tlačí na používání DNS místo IP adres. A kvůli nedostatku IPv4 adres nejspíš bude narůstat používání VPN, takže problémy s různými DNS resolvery poskytujícími jiná data, než jsou ve veřejném DNS, budou narůstat.


Vilith

  • *****
  • 660
    • Zobrazit profil
Re:HTTPS na privátní adrese
« Odpověď #35 kdy: 14. 06. 2018, 18:13:06 »
Ty musis mit vzdycky pravdu a posledni slovo...

Pkl

Re:HTTPS na privátní adrese
« Odpověď #36 kdy: 14. 06. 2018, 18:51:38 »
Jo a firewally nechme v defaultu na accept, protoze jinak to bude rozbite..

Stilett

Re:HTTPS na privátní adrese
« Odpověď #37 kdy: 15. 06. 2018, 12:52:45 »
Není to pitomé chování routeru. Privátní adresy by se ve veřejném DNS neměly vyskytovat už jenom z toho důvodu, že se k nim veřejným internetem nedá dostat. Stejnou ochranu má implicitně zapnutou i Unbound. Privátní adresy taky vůbec nepatří do sítě ISP jakékoli velikosti, protože zde hrozí riziko konfliktu rozsahu s místem, kam privátní adresy patří, tedy koncovou sítí zákazníka. Zákaznický router předpokládá, že na WAN straně je veřejná síť, ze které žádné odkazy na privátní adresy (= ty na straně LAN) nemají co chodit.
Konflikt u privátních IP adres může nastat nezávisle na DNS. Stejně tak problém s routovatelností. Když v URL pro HTTP použiji přímo IP adresu, tak vynechám DNS a problém je pořád stejný. Ten router by DNS překlad na 10.x.y.z blokl i kdybych zařídil, že to DNS bude dostupné jen v té síti 10.0.0.0/8. Ano, je to tím, že na jeho WAN rozhraní je privátní síť. Není to ideální, ale na IPv4 to už lepší asi nebude. Nehledě na to, že použití neveřejného DNS zase způsobí problémy uživatelům, kteří si nastavili DNS server na 8.8.8.8 apod.

Použijte tedy adresu z vyhrazeného prefixu pro CGN 100.64.0.0/10. Adresy z tohoto rozsahu nejsou v DNS odpovědích filtrovány – přinejmenším ne v Unboundu a ne v dnsmasq. Další možností jsou dokumentační IP prefixy, které si lidé s oblibou půjčují, když chtějí „něco jako veřejnou adresu“. Tam je ale riziko, že po určité době napadne někoho jiného něco podobného a celé se to rozbije.
Děkuji za tento nápad.  O tomto rozsahu jsem nevěděl. Pokud mi ho budou schopni naroutovat, tak by vyřešilo problém bez nevýhod ostatních řešení.