Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu

Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #15 kdy: 27. 05. 2020, 20:32:31 »

O veřejnou IP adresu jsem zažádal a je to 81.25.21.57, když kouknu na https://www.mojeip.cz/ dostanu 81.25.21.57 a na tuto IP ukazuje i DNS který je u FORPSI viz obrázek. Jen nerozumím tomu proč v routru k poskytovateli mám 192.168.86.34.
 

takze verejna IP neni na koncovem routeru, ale NAT dela poskytovatel a preklada 81.25.21.57 na 192.168.86.34, plus nema hairpin...

leda nejaky vlastni NAT na routeru?


M_D

  • ****
  • 319
    • Zobrazit profil
    • E-mail
Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #16 kdy: 27. 05. 2020, 20:41:02 »
Vyzkoušejte si, zda se správně překládá i na vašem domácím počítači.

Přes ping to prostě nikam nedojde. Takže nepřekládá.


Možná prvně zkusit na tom svém domácím komplu něoc jako: nslookup matejckovi.eu
zda ti to vrátí správnou IP. Pokud ano, tak pak řešit tne hair pin NAT. ISPík to nemá asi správně u sebe nastaveno, takže buď mu to vysvětlit nebo to řešit na svém routeru.
Pokud router neumí hairpin nat a nechci ho měnit, tak je ještě možnost nastavit v něm statickou routu, kdy tu IP 81.25.21.57 budu směrovat na ten own server (na jeho vnitřní IP) a v serveru si tu veřejnou IP přidám jako alias.

Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #17 kdy: 27. 05. 2020, 20:45:28 »
Přes ping to prostě nikam nedojde. Takže nepřekládá.
To, že neprojde ping, neznamená, že se doména nepřekládá. Jako první bych tedy zkusil, zda se u vás opravdu doména překládá či nepřekládá – příkazem host nebo nslookup. Pokud by se nepřekládala – nemáte ji náhodou nastavenou v /etc/hosts nebo v lokálním DNS resolveru, třeba na routeru?

O veřejnou IP adresu jsem zažádal a je to 81.25.21.57, když kouknu na https://www.mojeip.cz/ dostanu 81.25.21.57 a na tuto IP ukazuje i DNS který je u FORPSI viz obrázek. Jen nerozumím tomu proč v routru k poskytovateli mám 192.168.86.34.
To je právě proto, že váš ISP vám tu veřejnou IP adresu mapuje přes NAT. Musí být u ISP nastavený správně, aby tu fungovalo i z vnitřní sítě a od vás.

Nejprve bych ale zjistil, jak je to s tím překladem DNS u vás – zda není problém v tom.

Mě tvrdí že on nic nastavit nemůže, na co ho mám nasměrovat?
Nejprve je potřeba zjistit, zda je chyba opravdu u něj.

Na svém routeru otestujte, že když zahájíte spojení s adresou matejckovi.eu, projde přes router nejprve paket směrem ven, jako adresa cíle je tam nastavená 81.25.21.57.

Tohle ověřím jak? S linuxem umím jestli vám to pomůže. Sítím tak do hloubky nerozumím.
Ideální je nastavit na vašem routeru zachytávání paketů na vnějším rozhraní – pokud to ten router umí. Zvolil bych si nějaký nestandardní port, třeba 1234, nastavil bych na routeru zachytávání paketů na tenhle port a pal zkusil

Kód: [Vybrat]
telnet 81.25.21.57 1234
Mimochodem, vyzkoušejte také ping na 81.25.21.57. Abyste porovnal,jak se to chová, když použijete DNS název a IP adresu.

Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #18 kdy: 27. 05. 2020, 20:48:49 »
Buď si pořiďte router, který umí hairpinning (třeba Mikrotik)

leda nejaky vlastni NAT na routeru?

Vzhledem k tomu, že z internetu ta komunikace funguje, s největší pravděpodobností nebude problém v NATu na domácím routeru.

Nejpravděpodobnější jsou dvě možnosti – buď nějaké pokusy s tou doménou v domácí síti, takže se v ní nepřekládá. A nebo chybně nakonfigurovaný NAT ISP, který nefunguje pro přístup z vnitřní sítě ISP k těm NATovaným veřejným adresám.

Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #19 kdy: 27. 05. 2020, 21:00:06 »
Ja bych na tu malinu prihodil dnsmasq. Nastavil si router at posila klientum jako primarni dns tu malinu a na ni si muzes hrat...
Pokud vim tak se da dnsmasq nastavit tak, ze cte /etc/hosts a co tam nenajde tak je fallback nekam jinam... treba na 8.8.8.8


Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #20 kdy: 27. 05. 2020, 21:06:46 »
Hm, podle manuálu se zdá, že D-Llink DIR-850L zachytávání paketů neumí. Vyzkoušejte tedy nejdřív, zda není problém v DNS (ve vaší lokální síti). Zkuste si v prohlížeči otevřít http://81.25.21.57 – pokud se objeví váš web nebo alespoň chybová stránka, je problém v DNS. Pokud dostanete stejnou chybu, jako když zkoušíte https://matejckovi.eu, bude chyba spíš v NATu ISP.

V takovém případě bych na chvíli připojil počítač přímo k internetové přípojce (místo toho routeru). Ve Windows bych pak použil Wireshark, v Linuxu tcpdump, zapnout zachytávání paketů na nějaký port, který si vyberete, a pak se na něj zkusit připojit telnetem. Důležitá je zdrojová IP adresa v tom druhém paketu, který přijde a bude mít cílovou IP adresu 192.168.86.34. Pokud bude mít zdrojovou IP adresu také 192.168.86.34, má ISP chybně nakonfigurovaný ten NAT.

Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #21 kdy: 27. 05. 2020, 21:10:49 »
Ja bych na tu malinu prihodil dnsmasq. Nastavil si router at posila klientum jako primarni dns tu malinu a na ni si muzes hrat...
Pokud vim tak se da dnsmasq nastavit tak, ze cte /etc/hosts a co tam nenajde tak je fallback nekam jinam... treba na 8.8.8.8
Pokud je chyba u ISP, může ho ve své síti pomocí DNS obejít (pokud na té doméně není DNSSEC). Ale nebude to fungovat ostatním uživatelům daného ISP, kteří jsou za stejným NATem. Takže bych se nejdřív snažil, aby to ISP spravil, než bych se pustil do polofunkčních hacků DNS, které rozbijí kde co.

M_D

  • ****
  • 319
    • Zobrazit profil
    • E-mail
Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #22 kdy: 27. 05. 2020, 21:11:24 »
Nu, pokud tam chce lézt i z mobilů a podobných, tak na domácí lince bych se spíše snažil obejít bez toho duálního DNS (ať už pomocí funkce v routeru nebo v tom serveru), kdy by pro lokální klienty vracel přímo interní IP. Řada věcí dneska se snaží už lokální resolvery DNS servery dodané od DHCP ignorovat a pokud odpovídají, tak použijí nějaké veřejné, DoH. ... Tohle se dá "spolehlivě" použít na firemní síti, kde klienti nemají vůbec přístup ven a nemají jinou možnost, než použít lokální resolver.
Spíše bych senažil o stav, aby ta veřejná IP korektně fungovala i z vnitřku sítě.

Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #23 kdy: 27. 05. 2020, 21:19:19 »
Ja bych na tu malinu prihodil dnsmasq. Nastavil si router at posila klientum jako primarni dns tu malinu a na ni si muzes hrat...
Pokud vim tak se da dnsmasq nastavit tak, ze cte /etc/hosts a co tam nenajde tak je fallback nekam jinam... treba na 8.8.8.8
Pokud je chyba u ISP, může ho ve své síti pomocí DNS obejít (pokud na té doméně není DNSSEC). Ale nebude to fungovat ostatním uživatelům daného ISP, kteří jsou za stejným NATem. Takže bych se nejdřív snažil, aby to ISP spravil, než bych se pustil do polofunkčních hacků DNS, které rozbijí kde co.

Kde a co to rozbije?

M_D

  • ****
  • 319
    • Zobrazit profil
    • E-mail
Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #24 kdy: 27. 05. 2020, 21:22:42 »
Zda to nefunguje i od ostatních klientů daného ISP nebo jenom jemu samotnému, to  nemůžeš říci obecně, záleží na tom, jak je síť ISP udělána. Takže to může správně fungovat nejen zvenku (což funguje), ale i ostatním klientům daného ISP (nebo nějaké části) a problém je jen sám se sebou.
Zda je problém s hairpin nat na straně ISPíka může zkusit rovnou s tcpdump na tom cílovém serveru a následným pokusem o spojení na tu veřejku, zda uvidí v tcpdump nějaký pokus o příchozí spojení a s jakou zdrojovou IP (pokud budou chodit se zdrojovou IP 192.168.86.34, tak ISP nemá hirpin správně u sebe a ani ten dlink nemá RP strict filtr).

Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #25 kdy: 27. 05. 2020, 21:33:16 »
Kde a co to rozbije?
Rozbije to DNSSEC, rozbije to přechody mezi sítěmi (třeba mezi WiFi a mobilní sítí), nebude to fungovat s použitím jiných DNS resolverů (třeba čtyři osmičky).

Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #26 kdy: 27. 05. 2020, 21:37:41 »
Zda to nefunguje i od ostatních klientů daného ISP nebo jenom jemu samotnému, to  nemůžeš říci obecně, záleží na tom, jak je síť ISP udělána. Takže to může správně fungovat nejen zvenku (což funguje), ale i ostatním klientům daného ISP (nebo nějaké části) a problém je jen sám se sebou.
Já jsem ale nepsal o všech ostatních klientech ISP. Napsal jsem, že to nefunguje těm klientům, kteří jsou za stejným NATem. No a vzhledem k tomu, že ten ISP asi nemá správně nastavený hairpin NAT, pochybuju, že má každého klienta v samostatné síti.

Zda je problém s hairpin nat na straně ISPíka může zkusit rovnou s tcpdump na tom cílovém serveru a následným pokusem o spojení na tu veřejku, zda uvidí v tcpdump nějaký pokus o příchozí spojení a s jakou zdrojovou IP (pokud budou chodit se zdrojovou IP 192.168.86.34, tak ISP nemá hirpin správně u sebe a ani ten dlink nemá RP strict filtr).
h4kuna má pravděpodobně na svém domácím routeru také NAT. A pokud je to hairpin NAT, přepíše se i zdrojová IP adresa, takže na cílovém serveru uvidí vždy adresu routeru, bez ohledu na to, zda to ISP má nakonfigurované správně nebo špatně.

Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #27 kdy: 27. 05. 2020, 21:49:01 »
Kde a co to rozbije?
Rozbije to DNSSEC, rozbije to přechody mezi sítěmi (třeba mezi WiFi a mobilní sítí), nebude to fungovat s použitím jiných DNS resolverů (třeba čtyři osmičky).

DNSSEC - moc se nebojim, ze by mi ve vlastni siti nekdo neco podvrhoval takze tam ho nebudu resit. Pri pristupu z venku muze normalne fungovat... nevidim zadny rozbijeni, ale moc tomu nerozumim tak si rad necham vysvetlit...
Prechody mezi sitemi - mam to doma obdobne - nekolik wifi (oddelene) a mobilni data na nekterych zarizenich. problemy pri prechodu jsem nezaznamenal
8.8.8.8 jako fallback kdyz nenajdu lokalni zaznam funguje. zadny problem jsem nenasel

Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #28 kdy: 27. 05. 2020, 22:20:02 »
DNSSEC - moc se nebojim, ze by mi ve vlastni siti nekdo neco podvrhoval takze tam ho nebudu resit. Pri pristupu z venku muze normalne fungovat... nevidim zadny rozbijeni, ale moc tomu nerozumim tak si rad necham vysvetlit...
Pokud budete na domácím počítači validovat DNSSEC, těžko budete konfigurovat, že pro jednu doménu validovat nemá. A už vůbec se vám nebude chtít konfigurovat to na každém zařízení zvlášť.

Prechody mezi sitemi - mam to doma obdobne - nekolik wifi (oddelene) a mobilni data na nekterych zarizenich. problemy pri prechodu jsem nezaznamenal
Když se vám stáhne DNS záznam s veřejnou IP adresou přes síť mobilního operátora, a pak přejdete do domácí sítě, nebude vám tam ta veřejná IP adresa fungovat. Jasně, pokud to uděláte s mobilem, systém asi vymaže DNS cache, aplikace s tím počítají a zeptají se znovu. Možná. Ale třeba také to zařízení přepínající se z jedné sítě do jiné bude router, a zařízení za ním už se o žádném přepnutí nedozví a DNS cache nevymažou.

8.8.8.8 jako fallback kdyz nenajdu lokalni zaznam funguje. zadny problem jsem nenasel
Jako fallback. Ale někdo má tenhle DNS server nastavený napevno. Třeba v notebooku, protože se s ním připojuje do různých sítí, které mohou mít DNS různě pokažené.

Ano, všechno jsou to zatím spíš okrajové případy, dá se s tím žít. Ale opravdu si chcete tohle všechno rozbít jen kvůli tomu, že ISP má špatně nakonfigurovanou síť? Když to problém vyřeší jenom u vás ale už ne u sousedů? Bral bych to jako poslední možnost, pokud to ISP nebude chtít řešit a není na výběr jiný ISP. Ale nač stahovat kalhoty, když brod je ještě daleko?

Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #29 kdy: 27. 05. 2020, 22:43:39 »
Ok chapu. Na druhou stranu... za pul hodiny mam hotovo a vyresen problem ktery op resi.
Predpokladam, ze ty okrajove pripady ho netrapi.
Zajimalo by me jak dlouho se bude pretahovat s ISP nez to vyresi...