Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu

robac

  • ***
  • 198
    • Zobrazit profil
    • E-mail
Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #30 kdy: 27. 05. 2020, 22:52:25 »
Vzhledem k tomu, že z internetu ta komunikace funguje, s největší pravděpodobností nebude problém v NATu na domácím routeru.

Nejpravděpodobnější jsou dvě možnosti – buď nějaké pokusy s tou doménou v domácí síti, takže se v ní nepřekládá. A nebo chybně nakonfigurovaný NAT ISP, který nefunguje pro přístup z vnitřní sítě ISP k těm NATovaným veřejným adresám.
Pane Jirsáku - mám Vás rád, tak se nebudu rozčilovat  :)
Nikde netvrdím, že je problém/chyba v NATu na domácím routeru. I kdyby se jednalo o "chybně nakonfigurovaný NAT ISP", tak je o zcela běžnou situaci i u velkých ISP a hairpin NAT na domácím routeru to vyřeší (investice v rozmezí 500,- až 1500,-).

Btw. dle mě se o chybnou konfiguraci u ISP nejedná, neb v zájmu ISP rozhodně není vytěžování hraničního routeru a linek provozem, který lze směřovat lokálně.


Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #31 kdy: 27. 05. 2020, 23:08:56 »
Ja to mikrotiku riešim jednoducho..

/ip firewall nat add action=masquerade chain=srcnat dst-address-list=server src-address=<rozsah LAN napr 192.168.0.0/24>
/ip firewall address-list add address=<IP servera1> list=server
/ip firewall address-list add address=<IP servera2> list=server
...
klasický portforwarding
/ip firewall nat add action=dst-nat chain=dstnat dst-address=<verejná IP> dst-port=<port> protocol=tcp to-addresses=<IP servera> to-ports=<port>
...

Beží to ako hodinky s viacerými doménami nasmerovanými na mňa, s viacerými "servríkmi" v LAN-ke asi zo 3-4 roky bez jediného problému.
Všeky Tp-linky, Dlinky a podobné som už dávno vyhodil.
Mikrotik

Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #32 kdy: 28. 05. 2020, 04:51:12 »
Tak vysvětlení / relevantní odpověď jste dostal již v prvním příspěvku. Buď si pořiďte router, který umí hairpinning (třeba Mikrotik) nebo si do LAN dejte DNS server (nebo by to zvládl i ten Mikrotik se "static DNS"/ https://wiki.mikrotik.com/wiki/Manual:IP/DNS#Static_DNS_Entries).

Jelikož jsem nepochopil proč mi to nefunguje, tak momentálně ani nejsem schopen rozlišit jestli jsem dostal relevantní odpověď (koupí mikrotiku). A nepochopil jsem problém tudíž nevím jestli to není jen klička, která by fungovala, a nebo to jde i jinak. Což ve světě IT je spousta kliček, už jsem dostal i odpověď, "To je jednoduchý dej si matejckovi.eu do /etc/hosts" Toto je prostě jenom klička a k tomu velmi špatná.

Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #33 kdy: 28. 05. 2020, 04:57:38 »
Pokud je chyba u ISP, může ho ve své síti pomocí DNS obejít (pokud na té doméně není DNSSEC).

Na doméně je zapnuté DNSSEC.

Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #34 kdy: 28. 05. 2020, 05:09:31 »
To, že neprojde ping, neznamená, že se doména nepřekládá. Jako první bych tedy zkusil, zda se u vás opravdu doména překládá či nepřekládá – příkazem host nebo nslookup. Pokud by se nepřekládala – nemáte ji náhodou nastavenou v /etc/hosts nebo v lokálním DNS resolveru, třeba na routeru?

Výstup nslookup a host posílám na obrázku. Udělal jsem to, že jsem tu mašinu připojil napřímo, tzn nehrál v tom roli můj domácí router. Výstupy jsou identické jako když tam router byl.

Jen doplním, že vlastní DNS ani na routru ani na servru nemám.

Sám jsem žádný NAT nekonfiguroval ani vědomě neprovozuji. Router je v továrním nastavení až na přesměrování portů (80/443), právě na server. Nic jiného na routru není.

Chování domény nebo ip v prohlížeči je stejné.

V hosts doménu uvedenou nemám, jak jsem psal bylo by to polovičaté řešení pro konkretní počítač, ale pro mobil to cesta není.

« Poslední změna: 28. 05. 2020, 05:13:54 od h4kuna »


Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #35 kdy: 28. 05. 2020, 05:12:12 »
Spíše bych senažil o stav, aby ta veřejná IP korektně fungovala i z vnitřku sítě.

Tohoto bych rád docílil, nechci mít doma vlastní DNS, ani momentálně nemám.

Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #36 kdy: 28. 05. 2020, 08:18:34 »
za pul hodiny mam hotovo a vyresen problem ktery op resi.
Ne, ten problém by nebyl vyřešen. Pouze se problém v některých případech obejde.

Je skoro jisté, že ta veřejná IP adresa je nedostupná i od dalších zákazníků toho ISP ve stejné síti; je dost pravděpodobné, že je nedostupná od všech jeho zákazníků. Pak bude h4kuna chtít ukázat sousedům fotky, nebo na serveru zprovoznit web pro místní spolek, a bude znova řešit, proč se tam půlka lidí nedostane.

Predpokladam, ze ty okrajove pripady ho netrapi.
Teď třeba ne, všechny takovéhle hacky jsou jen časovaná bomba.

Zajimalo by me jak dlouho se bude pretahovat s ISP nez to vyresi...
To záleží na schopnostech ISP. Neúspěch by znamenal varování a pro mne by to byl podnět hledat jiného ISP, protože pokud ISP neumí opravit takovouhle věc, jak asi bude řešit jiné problémy? A pokud ISP ten problém vyřeší správně, pomůže to úplně všem, kteří u něj mají veřejnou IP adresu.

Nikde netvrdím, že je problém/chyba v NATu na domácím routeru.
Pokud chyba není v NATu na domácím routeru, byla by chyba pokoušet se to na domácím routeru opravovat.

I kdyby se jednalo o "chybně nakonfigurovaný NAT ISP", tak je o zcela běžnou situaci i u velkých ISP
Ne, není. Velcí ISP neřeší NAT na linuxovém nebo mikrotikovém firewallu a přidělení veřejné IP adresy neřeší tím, že na tomhle odchozím NATu správce ručně přidá pravidlo pro příchozí veřejnou IP adresu. Velký ISP když vám dá veřejnou IP adresu, dopraví ji až na vaše rozhraní. (Velkým ISP nemyslím městskou síťku s tisíci klienty.)

hairpin NAT na domácím routeru to vyřeší (investice v rozmezí 500,- až 1500,-).
Nevyřeší. Už jsem tu několikrát vysvětloval proč.

Btw. dle mě se o chybnou konfiguraci u ISP nejedná
Ta veřejná IP adresa je nedostupná z části (s velkou pravděpodobností z celé) sítě ISP. S největší pravděpodobností jsou tak postižené všechny veřejné IP přidělené zákazníkům toho ISP. To je chybná konfigurace.

v zájmu ISP rozhodně není vytěžování hraničního routeru a linek provozem, který lze směřovat lokálně
To není v zájmu ISP. Ale za prvé tenhle provoz bude minimální oproti jinému provozu; za druhé to není omluva, aby to
nefungovalo; a za třetí si to způsobil sám ISP, když veřejnou IP adresu řeší NATem. Kdyby tu veřejnou IP adresu normálně routoval, tenhle problém by se nestal a ten provoz by se nehnal zbytečně na hraniční NAT a zase zpět.

Ja to mikrotiku riešim jednoducho..
No jo, ale to máte veřejnou IP adresou routovanou až na váš domácí router. h4kuna to tak ale nemá, ISP jeho veřejnou IPv4 adresu NATuje na privátní už někde na svém NATu – a chyba je nejspíš tam.

M_D

  • ****
  • 319
    • Zobrazit profil
    • E-mail
Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #37 kdy: 28. 05. 2020, 08:25:49 »
Nu, DNS odpovídá OK.
Nefunguje to proto, že ISP nedělá (ať již z blbosti nebo úmyslně) správně otočení provozu pro tu veřejnou IP adresu zpět. Buď žádat nápravu po něm nebo to řešit na svém routeru, to druhé má výhodu, že lokální provoz mezi domácím klientem a serverem nemusí pochodovat přes celou síť ISP, ale odehraje se jen v rámci domácí LAN.
Ten Dlink asi neumí hairpin NAT, protože se hodně lidí ptá jak na něj a žádná rozumné odpověď.
Router umí nastavit statické routy. Takže bych zkusil použil tu. Na routeru nastavit, že IP 81.25.21.57 má směrovat na bránu 192.168.1.666, předpokládám, že tu 192.168.1.666 nahradíte IP toho cílového serveru v lokální síti. Na tom cílovém, serveru si přidáte tu veřejnou IP adresu. Takže v linuxu z příkazové řádky něco jako: "ip a a 81.25.21.57/32 dev eth0 label eth0:0" a uvidí se, zda začne ta IP z lokální LAN odpovídat. Je třeba nahradit to eth0 patřičně jménem nějaké síťovky v tom routeru. Když to bude pak fungovat, je vhodné se podívat, jak se takový alias nastavit, aby platil i po restartu, což je dáno použitou distribucí.

Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #38 kdy: 28. 05. 2020, 08:51:35 »
Jelikož jsem nepochopil proč mi to nefunguje, tak momentálně ani nejsem schopen rozlišit jestli jsem dostal relevantní odpověď (koupí mikrotiku).
Z toho, co jste zatím napsal, si nedovedu představit situaci, kdy by to byl problém v konfiguraci sítě ve vašem domácím routeru – takže koupě Mikrotiku by to neřešila. S Mikrotikem místo toho D-Linku by bylo snazší vypátrat příčinu nebo problém obejít, ale v tuto chvíli by mi to připadalo jako zbytečná investice.

Výstup nslookup a host posílám na obrázku. Udělal jsem to, že jsem tu mašinu připojil napřímo, tzn nehrál v tom roli můj domácí router. Výstupy jsou identické jako když tam router byl.

Jen doplním, že vlastní DNS ani na routru ani na servru nemám.

Sám jsem žádný NAT nekonfiguroval ani vědomě neprovozuji. Router je v továrním nastavení až na přesměrování portů (80/443), právě na server. Nic jiného na routru není.

Chování domény nebo ip v prohlížeči je stejné.

V hosts doménu uvedenou nemám, jak jsem psal bylo by to polovičaté řešení pro konkretní počítač, ale pro mobil to cesta není.
Podle toho výpisu se doména u vás překládá správně. Mimochodem, odpovídá vám lokální DNS resolver – tohle řešení se často používá při validaci DNSSEC. Takže kdybyste si na svém routeru tu doménu unesl, jak tu někteří doporučují, na tomhle konkrétním počítači by vám přestala fungovat, protože by odpovědi nebyly podepsané.

Každopádně to není problém DNS ale konfigurace sítě.

Zkusil bych tedy následující. Stejně jako jste zkoušel to DNS, spustit následující příkaz:

Kód: [Vybrat]
tcpdump -n 'port 4444'Pokud by to zařízení mělo víc fyzických rozhraní (třeba LAN a WiFi), bude nutné ještě pomocí parametru -i určit, které rozhraní se má použít (to, kam připojujete přípojku od ISP).

Tím zapnete zachytávání paketů na portu 4444 (nestandardní port, takže tam snad nebude žádný jiný provoz).

V druhé konzoli pak zadejte jen
Kód: [Vybrat]
telnet 81.25.21.57 4444Žádné spojení se samozřejmě nemůže podařit navázat, protože na tom portu 4444 snad nic neposlouchá, ale jde jen o ty pakety při pokusu o navázání spojení.

V konzoli tcpdumpu by se mělo objevit něco takového:
Kód: [Vybrat]
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens3, link-type EN10MB (Ethernet), capture size 262144 bytes
08:32:02.512559 IP 192.168.86.34.48142 > 81.25.21.57.4444: Flags [S], seq … length 0
08:32:02.512660 IP 192.168.86.34.48142 > 192.168.86.34.4444: Flags [S], seq … length 0
Sledování pak ukončíte pomocí Ctrl+C.

Předpokládám, že tam budou jen dva pakety (dva řádky po té hlavičce). Důležité jsou ty dvě IP adresy vždy na začátku řádku. První paket je odchozí z vašeho počítače na veřejnou IP adresu. Druhý je ten samý paket po té, co prošel NATem u ISP a vrací se na váš router. Důležitá je jeho zdrojová IP adresa (ta první) – pokud tam bude 192.168.86.34 (tedy ta vaše privátní IP adresa, kterou vám přidělil ISP), je to špatně. Odpověď na tenhle paket se totiž nemůže dostat k NATu vašeho ISP, aby se tam adresy přeložily zpět. Pokud by tam byla jiná IP adresa (měla by to být adresa NATu ISP), je problém jinde, než si myslím :-)

Pokud se to potvrdí, je problém na straně ISP – dělá jen DNAT (přepíše cílovou IP adresu), ale nedělá SNAT (nepřepíše zdrojovou IP adresu, takže pak nemůže fungovat komunikace ze stejné sítě, ze které byl ten paket odeslán). Tohle řešení, kdy se vedle DNATu dělá také SNAT, aby se paket vrátil zpět na NATující stroj, se často nazývá „hairpin NAT“ (tím SNATem se paket „přišpendlí“ k tomu NATu, aby se k němu vrátila odpověď).

To by bylo to, co pak musíte po svém ISP požadovat – aby pro tu vaši veřejnou IP adresu (ale raději pro všechny veřejné IP adresy, které takhle poskytuje), nastavil hairpin NAT, nebo-li nastavil i SNAT, který změní odchozí adresu paketu tak, aby se odpovědní paket vrátil zpět na NAT ISP a tam se mohl zpět přeložit.

A ještě vysvětlení, proč to celé bez toho SNATu nefunguje – váš prohlížeč(například) pošle požadavek na 81.25.21.57, na NATu ISP se to přeloží na 192.168.86.34. Kvůli chybějícímu SNATu se ale odpověď nepošle na NAT ISP (který by 192.168.86.34 přeložil zpět na 81.25.21.57 – to dělá NAT u ISP automaticky), ale pošle se vašemu prohlížeči přímo, bez překladu. Takže počítač dostane odpověď od 192.168.86.34. Jenže on posílal požadavek na 81.25.21.57, odpověď od 192.168.86.34 nečeká a zahodí ji. Tím pádem se nikdy nemůže navázat spojení.

Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #39 kdy: 28. 05. 2020, 08:55:36 »
Na routeru nastavit, že IP 81.25.21.57 má směrovat na bránu 192.168.1.666, předpokládám, že tu 192.168.1.666 nahradíte IP toho cílového serveru v lokální síti.

tl;dr Nejde mi to.

a) Na routru jsem nastavil routu, dle obrázku a doufám že jsem Vás správně pochopil a jsem rád za každou možnost co mohu zkusit ihned. viz obrázek
b) neuloží se to s hláškou "Invalid gateway, the gateway should be in the same network of the selected interface."
- vybraný interface wan nemohu měnit zde je jen jedna možnost
- pamatuju si že když mi to instalovali tak anténa naproti má na konci 33, tak jsem ji tam zkusil jestli se to nepřetočí a nepošle znova, nečekal jsem výsledek a taky to nefungovalo
c) Políčko "Destination IP" po uložení upraví tak že poslední číslo je nula, jestli to dělá podle masky nevím, proč tam chce 0 nevím

Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #40 kdy: 28. 05. 2020, 08:56:55 »
nebo to řešit na svém routeru
Znovu opakuju, že to h4kuna na svém routeru vyřešit nemůže. Může problém obejít, aby se neprojevoval v jeho domácí síti. Ale pro některé jiné zákazníky (a já bych si tipnul, že v tomto případě spíš pro všechny) téhož ISP bude ten problém dál trvat – tj. nedostanou se na ten webserver, tj. například na web matejckovi.eu. Vzhledem k tomu, že zákazníci toho ISP budou pravděpodobně lidé v okolí, třeba sousedé, může to být docela problém. Je spousta webů, které jsou zaměřené na okolí – třeba truhlář asi nebude získávat mnoho zakázek z druhého konce republiky, ale spíš od lidí ze stejné ulice, ze sousední vesnice apod.

Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #41 kdy: 28. 05. 2020, 10:10:11 »
Zkusil bych tedy následující. Stejně jako jste zkoušel to DNS, spustit následující

Musel jsem změnit port na 2222, protože od IPS mám všechny porty blokované až na 80,443,2222 a asi chceme zkontrolovat kam ten paket dojde.

Pomocí příkazu jsem zkontrolovat že na port 2222 nemám nic.
sudo netstat -nlpt | grep '2222'

pomocí příkazu `ip a` jsem vybral síťovku 'enp59s0' mající ip adresu 192.168.86.34, připojil jsem si zase kabel z antény přímo na počítač.

tcpdump -n 'port 2222' -i 'enp59s0'

telnet 81.25.21.57 2222

Výsledky jsou na obrázku.

Edit: nahrál jsem lepší obrázek
« Poslední změna: 28. 05. 2020, 10:12:41 od h4kuna »

Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #42 kdy: 28. 05. 2020, 10:48:57 »
Je skoro jisté, že ta veřejná IP adresa je nedostupná i od dalších zákazníků toho ISP ve stejné síti; je dost pravděpodobné, že je nedostupná od všech jeho zákazníků. Pak bude h4kuna chtít ukázat sousedům fotky, nebo na serveru zprovoznit web pro místní spolek, a bude znova řešit, proč se tam půlka lidí nedostane.

Potvrzeno, soused který má stejného IPS, nenačte moje stránky. Myslím že to už je důvod napsat a znova si "stěžovat". Jen stále nevím na co bych mu měl ukázat že má blbě?

Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #43 kdy: 28. 05. 2020, 11:04:26 »
Koukám že píšu blbě zkratku ISP = internet service provider, zpětně mi ty příspěvky nejdou upravit, dám si pozor na další.

Vilith

  • *****
  • 660
    • Zobrazit profil
Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #44 kdy: 28. 05. 2020, 11:13:30 »
Nebude nejsnazší zjistit u ISP korektní nastavení?