Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu

[h4kuna]

Jestli to dobře chápu, někde doma máte počítač nebo NASku, na kterém běží Owncloud, který chcete ukazovat sousedům a přistupovat na něj z domova. Je to tak?

Je to tak, tím ten owncloud nemuže doma nikdo používat, kdo chce neustále měnit adresy? A není to jen tohle, umím si udělat webové api a naprogramovat apku do telefonu. Už mi takto funguje otevírání garážových vrat, protože si to píšu sám tak v aplikaci mám pokud je telefon na datech použij doménu jinak 192.168... i tohle by se zjednodušilo. Mám to celkově na hraní

Pokud ano, tak se akorát divím, že Vám ještě p. Jirsák nenapsal jeho nejoblíbenější argument, totiž přejít na IPv6. Protože zrovna v tomhle případě IPv6 totiž dává smysl.

Zrovinka včera večer jsem nad tím taky uvažoval, ale jak píšete sítím nerozumím a nevím co to pro mě obnáší. Jen vím že všechny zařízení co tu mám by měli ipv6 umět.

Zásadní otázka zní: jakou IP adresu má Váš domácí server napsanou na síťovém rozhraní? Jestli je tam cokoliv jiného, než IP adresa 81.25.21.57 tak to bez dalších berliček nebude nikdy fungovat.
Důvody máte napsané v tom mailu od providera - veřejnou IP adresu dostáváte pomocí NAT 1:1 na hlavní bráně providera.

Je tam 192.168.....

Pokud nechápete co pro Vás NAT 1:1 znamená, je to dost marný. Asi bych začal bych tím, že si najdete někoho, kdo rozumí síťím a správně Vám to nastaví.

Pořád si říkám že ta situace ve které jsem, tak se v ní muselo vyskynout spousta lidí před mnou, takže bych očekával nějaké komplexní funkční řešení prověřené čase.

1) kompletně přejít na IPv6

tuto možnost posunu nakonec

2) Rozběhnout doma interní DNS server

To bych mohl, ale proto vznikla diskuse včetně toho že tuto situaci už musel někdo řešit, nicméně mě napadlo že mám od ISP zařízení na půdě, kde mi říkali že umí DHCP a tím nepotřebuju tvůj router, takže kdyby to zařízení umělo statickou překlad DNS, tak tím domácí dns padá, a teď se podržte, je to mikrotik, takže jak píšete ohledně d-linku, tak bych se přiklonil k řešení že bych svůj router downgradoval na switch, tím bych měl vyřešeno fungování v rámci domu.

2a) Pokud chcete řešit i přístup pro sousedy

Tohle asi není řešení když domena podporuje DNSSEC???

3) Domluvit se s providerem, aby pro IP 81.25.21.57 a porty 80,443 dělal Harpin-NAT na svém routeru

To zní zajimavě, zeptám se

4) Domluvit se s providerem, jestli Vám odroutuje další rozsah /30 veřejných IP adres až na Vaše zařízení.

Takhle to hrotit nepotřebuju

Stačí když se budete řídit myšlenkami velkého Iljiče: "... učit se, učit se, učit se"

Na sítě víceméně nesahám, ani se jimi neživím, takže bych to v čase zapomněl, tudíž to nemá smysl a pro tu chvíli co to potřebuji si to nechám vysvětli na fóru root.cz

P.S. A jestli vážně chcete doma provozovat www server dostupný z internetu, tak doporučuji se poohlédnout po nějakém jiném routeru než základní segment D-Link, TP-Link atd.

Tohle je je super poznámka. Vyjádřil jsem se výše.

[Reklama]

[Filip Jirsák]

Pokud ano, tak se akorát divím, že Vám ještě p. Jirsák nenapsal jeho nejoblíbenější argument, totiž přejít na IPv6. Protože zrovna v tomhle případě IPv6 totiž dává smysl.

Samozřejmě že používat IPv6 a ne NAT dává smysl. Jenže v tomto případě to není něco, co by h4kuna mohl ovlivnit. Pokud chce provozovat web server, který bude dostupný komukoli z celého světa, zatím mu nezbývá, než podporovat i IPv4.

Zásadní otázka zní: jakou IP adresu má Váš domácí server napsanou na síťovém rozhraní? Jestli je tam cokoliv jiného, než IP adresa 81.25.21.57 tak to bez dalších berliček nebude nikdy fungovat.

Má tam 192.168.86.34. Jak to vím? No před tím, než odpovídám v diskusi, přečtu si dotaz a ostatní komentáře.

Fungovat to samozřejmě může, akorát se musí použít hairpin NAT.

Důvody máte napsané v tom mailu od providera - veřejnou IP adresu dostáváte pomocí NAT 1:1 na hlavní bráně providera.

To, že je veřejná IP adresa řešena NATem 1:1 na hlavní bráně není žádný důvod, proč by to nemělo fungovat. On ten paket z vnitřní sítě nejspíš už teď doputuje na tu hlavní bránu. Takže stačí, aby se ten NAT neaplikoval jen na pakety, které přijdou na vnější rozhraní, ale aby se aplikoval i na vnitřním rozhraní. A aby se na tom vnitřním rozhraní aplikoval hairpin NAT, tedy DNAT+SNAT.

Pokud nechápete co pro Vás NAT 1:1 znamená, je to dost marný. Asi bych začal bych tím, že si najdete někoho, kdo rozumí síťím a správně Vám to nastaví.

h4kuna to chápat nemusí. Horší je, když se někdo, kdo to nechápe, pokouší radit – například vy.

kompletně přejít na IPv6 doma i u providera.

Jak se k tomu webu pak připojíte například z mobilního telefonu v síti českých operátorů? Takže to není řešení, ale hack, který vyřeší některé případy.

Rozběhnout doma interní DNS server, který pro adresy z vnitřní sítě bude vracet "správné" IP adresy z vaší lokální sítě. Vyřešíte svůj problém ale ne sousedův na přístupové síti stejného providera.

Další hack…

Pokud chcete řešit i přístup pro sousedy, zeptejete se providera, jestli provozuje vlastní DNS server.

Panebože, jen to ne. Chcete opravit jeden problém, ten nevyřešíte, a místo toho vyrobíte deset dalších problémů. Rozbijete DNSSEC, každé přidání dalšího DNS záznamu bude potřeba řešit s ISP, při případné změně IP adresy bude muset myslet na to, že je potřeba to změnit ještě v DNS ISP. A ISP by z toho také jistě byl nadšený, že má v DNS takovouhle nestandardnost a musí na to myslet při každé změně.

Hledat alternativní řešení je jistě zajímavá disciplína. Ale nesmí se to zvrhnout v soutěž o nalezení toho nejblbějšího možného řešení.

Domluvit se s providerem, aby pro IP 81.25.21.57 a porty 80,443 dělal Harpin-NAT na svém routeru - vyřeší určitě problém přístupu souseda a pokud nebude nějaká zrada na Vašem D-Linku, tak i ten Váš. To je asi nejrychlejší řešení, otázkou je, jestli se providerovi bude do nestandartních konfigurací chcít.

Zrada na domácím routeru nebude – od začátku víme, že spojení z internetu funguje. Když se ISP nebude chtít do nestandardních konfigurací, je to ideální situace – opraví ten NAT nejen pro h4kuna, ale i pro všechny ostatní své zákazníky.

Domluvit se s providerem, jestli Vám odroutuje další rozsah /30 veřejných IP adres až na Vaše zařízení. Tam si s tím uděláte co potřebujete a pokud tomu alespoň částečně rozumíte, protáhnete ty veřejné IP adresy až na síťovku Vašeho serveru. Problém vyřešen pro vás, pro souseda, pro celý internet. Akorát počítejte s tím, že to může být dražší (platíte 4 IP adresy) a opět platí, že pokud neumíte správně nakonfigurovat firewall, vyřešením jednoho problému vznikne spousta jiných.

Platit 4 veřejné IPv4 adresy nemusí. Záleží na tom, kolik takových zákazníků ISP má, jak velkou má síť, případně se to dá řešit trošku chytřejším routerem, kterému půjde nakonfigurovat na WAN portu dvě IPv4 adresy. Žádná speciální konfigurace firewallu v tomhle případě není potřeba.

Providerovi nemusíte psát nic, on Vám korektně odpověděl akorát Vy jste ho nepochopil.

Moc korektně neodpověděl. Nepřiznal, že to jejich řešení není tak docela funkční – a buď měl napsat, že tenhle zmetek mají ve smluvních podmínkách a že na tom tudíž nic měnit nebudou, nebo slíbit nápravu. Problém s pochopením situace tu máte spíš vy.

Stačí když se budete řídit myšlenkami velkého Iljiče: "... učit se, učit se, učit se"

Víte, co by bylo báječné? Kdyby se lidé řídili svými vlastními radami.

A jestli vážně chcete doma provozovat www server dostupný z internetu, tak doporučuji se poohlédnout po nějakém jiném routeru než základní segment D-Link, TP-Link atd. Potřebujete router, který má nějaký dlouhodobý support, výrobce pravidelně řeší bezpečnostní díry a vydává aktualizace firmware víc než jednou.

Jistě, tenhle router není žádný zázrak. Ale vzhledem k tomu, že z internetu k němu ISP pustí jen TCP na portech 80, 443 a 2222, které jsou na routeru přesměrované dál na ten server, ten router toho nemá moc co zkazit. Mnohem horší bude přístup z lokální sítě a možná i plný přístup k WAN z celé vnitřní sítě ISP – a to nezávisí na tom, že má přidělenou veřejnou IPv4 adresu.

[Libor Petr]

1. NAT je skvělý. Všichni jej chtějí, milují jej. NAT je chrání (dokonce i když nechtějí). Bez NATu nic nefunguje. NAT je třeba zachovat pro další generace. Konec NATu by znamenal konec světa.
....

3. Jména lemplů se zásadně zvěřejňují, aby byli ostatní varováni.

Souhlasím, ale bude to platit bez výjimky pro všechny. Akorát se obávám, že většina místních providerů si na to bude muset pořídit další samostatné oddělení, protože snad v žádném jiném lidském počínání se nenajde tolik lidí co "tomu rozumí" a nenechají si poradit. Namátkou ze sousedů vybírám:
- borec co potřebuje kvůli hraní na XBoxu veřejnou IP adresu a co nejnižší latenci. Do internetu ho připojuje router Netis2419, SSID sítě je jeho příjmení, heslo do routeru a do wifi sítě je dívčí jméno manželky. Poradit si nenechá, protože na to má Frantu od něj z práce, který tomu rozumí a nastaví mu to za pár (tj. 2) piva

- druhý borec si platí 100Mb linku a stále se vzteká, že provider je pitomec a že tu rychlost nedostává ani náhodou - router D-Link DIR-500. Akorát že ten router před lety dostal zdarma při podpisu smlouvy, ale to měl rychlost 8/2. Koupit si nový router nechce ani náhodou, když starý přece stále funguje......

- asi nejlepší je expert pro kterého peníze nejsou problém, koupil si RB4011 protože "voe čtyři antény, gigabit, rozumíš, to musí běhat", konfiguraci si udělal z web rozhraní a dotazy na DNS server nechal povolený ze všech sítí. Taky má XBox, taky má veřejku, hádejte jak to dopadlo....

- kdybych byl sfině, tak alespoň 10 routerů v okolí reaguje na přihlašovací údaje admin : admin. Pro takový jedince je i ten blbej NAT vážně požehnáním.

[h4kuna]

Tak jsem položil dotaz:

je možné pro IP 81.25.21.57 a porty 80,443 dělal Harpin-NAT na vašem routeru?

Odpověď

To nevyřeší vůbec nic.

Na WWW chcete přistupovat přes DNS.

Já odpověď nechápu.

[Libor Petr]

Stačí když se budete řídit myšlenkami velkého Iljiče: "... učit se, učit se, učit se"

Víte, co by bylo báječné? Kdyby se lidé řídili svými vlastními radami.

Ano, tou myšlenkou se řídím stále. A čím víc se učím, tím větší mezery ve svých znalostech objevuji. A když něčemu nerozumím tak si s tím hraju někde, kde to uškodí jenom mě (virtualizace, zahrada, garáž) a nesnažím se o interakci s okolním světem.
Třeba na autě si zvládnu opravit spustu věcí, ale protože vím že auto může zabít, nechám si odborné úkony dělat v servisu, kde na to jsou školeni. I taková blbá výměna oleje přestává být srandou v okamžiku, kdy řešíte všechno, tj. včetně ekologické likvidace oleje, filtrů a ostatního odpadu, že.

[Reklama]

[Filip Jirsák]

Tak jsem položil dotaz:

je možné pro IP 81.25.21.57 a porty 80,443 dělal Harpin-NAT na vašem routeru?

Odpověď

To nevyřeší vůbec nic.

Na WWW chcete přistupovat přes DNS.

Já odpověď nechápu.

To je správně, že ji nechápete, ta odpověď je nesmyslná (vzhledem k dotazu). DNS vám všude funguje správně, v tom problém není. Zkuste na tom trvat, že DNS si vyřešíte sám, ale od ISP že potřebujete jen ten hairpin NAT.

A teda pokud tohle není odpověď od technické podpory ale od někoho, kdo síť toho ISP spravuje, rozhlížel bych se po jiných ISP…

[h4kuna]

A teda pokud tohle není odpověď od technické podpory ale od někoho, kdo síť toho ISP spravuje, rozhlížel bych se po jiných ISP…

Píšu si s majitelem celou dobu.

rozhlížel bych se po jiných ISP

To je celkem těžký, když jste na vesnici a na wifi. Kabel radní pitomci před sedmi lety zapomněli zakopat do země, takže nás odsoudili k wifi.

Tenhle ISP má vysílač hned vedle cca 20m vzduchem, jsem s ním rok od doby co jsem se přistěhoval, minimální výpadek, dělám z domu takže na internetu jsem často, k tomu stále stabilní zakoupená rychlost 40Mb/s, žádný až 40Mb/s. Další nejbližší vysílač je 500m má ho jinej soused a nadává jak špaček. O dalších nemluvím.

[SB]

- kdybych byl sfině, tak alespoň 10 routerů v okolí reaguje na přihlašovací údaje admin : admin. Pro takový jedince je i ten blbej NAT vážně požehnáním.

...ale my alespoň trochu znalí víme, že k dosažení tohoto chování není NATu vůbec třeba, na to stačí stavový firewall ve výchozím nastavení zabraňující iniciaci spojení zvenku. 

[SB]

Já odpověď nechápu.

Tak dozvíme se jména těch krokotů? Nebo to máme hádat z IP...

[M_D]

Uff, je to těžký. Asi začínám věřit, že nechápe, co po něm chceš. :-)

Pokud ještě komunikuje, tak mu budeš muset vysvětlit, co přesně chceš a když to pochopí, tak to asi i udělá (a když to udělá dobře, tak to začne fungovat tvým sousedům i tobě).

Řekl bych, ře chceš k svému webu doma přistupovat hlavně pomocí prohlížeče, do kterého zadáš to https://matej...., Což aktuálně funguje správně těm, co k němu přistupují odněkud od jiných operátorů, takže základní DSTNAT dělá débře. Nefunguje to lidem, co jsou jeho zákazníci. Aby to fungovalo, tak musí donastavit, aby se vedle toho DSTNAT prováděl současně i SRCNAT pro spojení přicházející z jeho sítě na té NAT bráně. Dovoluješ si předpokládat, že použivá Mikrotik/RouterOS, aspoň toto řada měnších ISP. Popis na jejich webu daného problému je zde: https://wiki.mikrotik.com/wiki/Hairpin_NAT

[Filip Jirsák]

Píšu si s majitelem celou dobu.

Ještě je tu malá naděje, že pan majitel už sítě tolik neřeší a spravuje to nějaký zaměstnanec, který tomu rozumí lépe…

To je celkem těžký, když jste na vesnici a na wifi. Kabel radní pitomci před sedmi lety zapomněli zakopat do země, takže nás odsoudili k wifi.

Tenhle ISP má vysílač hned vedle cca 20m vzduchem, jsem s ním rok od doby co jsem se přistěhoval, minimální výpadek, dělám z domu takže na internetu jsem často, k tomu stále stabilní zakoupená rychlost 40Mb/s, žádný až 40Mb/s. Další nejbližší vysílač je 500m má ho jinej soused a nadává jak špaček. O dalších nemluvím.

Chápu.

Když dává klientům na půdu Mikrotik, je dost pravděpodobné, že i ten hlavní router bude Mikrotik. Je tu někdo, kdo dokáže popsat, jak ten hairpin NAT na Mikrotiku nastavit? :-) Já už jsem konfiguraci RouterOS pár let neviděl. Třeba kdyby to pan majitel dostal i s návodem, přesvědčilo by ho to, že to jde…

[Filip Jirsák]

Řekl bych, ře chceš k svému webu doma přistupovat hlavně pomocí prohlížeče, do kterého zadáš to https://matej....

Já bych do toho doménu radši netahal, to se zase zaměří na DNS a nikam to nepovede. Myslím, že je potřeba řešit jen tu veřejnou IP adresu.

Popis na jejich webu daného problému je zde: https://wiki.mikrotik.com/wiki/Hairpin_NAT

To je dobrý začátek. Ještě kdyby někdo měl návod, jak se to nakliká ve WinBoxu, myslím, že by to mělo větší naději na úspěch.

[Libor Petr]

Pokud chcete řešit i přístup pro sousedy, zeptejete se providera, jestli provozuje vlastní DNS server.

Panebože, jen to ne. Chcete opravit jeden problém, ten nevyřešíte, a místo toho vyrobíte deset dalších problémů. Rozbijete DNSSEC, každé přidání dalšího DNS záznamu bude potřeba řešit s ISP, při případné změně IP adresy bude muset myslet na to, že je potřeba to změnit ještě v DNS ISP. A ISP by z toho také jistě byl nadšený, že má v DNS takovouhle nestandardnost a musí na to myslet při každé změně.

Hledat alternativní řešení je jistě zajímavá disciplína. Ale nesmí se to zvrhnout v soutěž o nalezení toho nejblbějšího možného řešení.

No tak asi to nebyl ten úplně nejlepší nápad, ale v tomto kontextu je úplně jedno jestli byl blbý, nebo blbější, stejně hledáme rovnák na vohejbák. Jediné korektní řešení pro provoz veřejného www serveru je nechat si od providera naroutovat veřejné IP adresy až na vlastní router, všechny ostatní jsou více či méně blbé nesystémové hacky.
Že od providera to není úplně šťastný případ komunikce se zákazníkem, tak o tom žádná pochybnost. Ale stejně platí pro h4kuna, že chuť provozovat veřejný web na domácí přípojce (když nerozumím síťování, firewalu, DNS) je taky dost velká pošetilost.
Pravděpodobně by správná konfigurace Harpin-NATu byla řešením, ale asi nechuť providera předělávat ten firewall dokážu pochopit - má řešit výjimky do firewallu kvůli lince za +- 300Kč/měsíc? Zvlášť když musí komunikovat s někým, kdo vlastně neumí pořádně popsat co chce a proč? Osobně si myslím že do toho nepůjde.

[Libor Petr]

- kdybych byl sfině, tak alespoň 10 routerů v okolí reaguje na přihlašovací údaje admin : admin. Pro takový jedince je i ten blbej NAT vážně požehnáním.

...ale my alespoň trochu znalí víme, že k dosažení tohoto chování není NATu vůbec třeba, na to stačí stavový firewall ve výchozím nastavení zabraňující iniciaci spojení zvenku. 

Já vím, že ty víš. Ty víš že já vím.....
Ale ze sousedů to neví nikdo. Obvykle ve slevě Black Friday koupí u zeleného skřeta router za akční cenu (čím víc antén, tím víc Adidas), synáček co celé dny paří tanky nastaví za pomoci Youtube DNS a DHCP server, SSID, občas i heslo k wifi a šup s tím na kabel. Voialá zázrak, internet funguje... Že má třeba aktualizovat firmware, vypnout managment z WANu a změnit výchozí heslo - když už to v tom videotutoriálu náhodou je, tak většinou až na konci a na ten nevydrží koukat nikdo.

[Filip Jirsák]

No tak asi to nebyl ten úplně nejlepší nápad, ale v tomto kontextu je úplně jedno jestli byl blbý, nebo blbější, stejně hledáme rovnák na vohejbák. Jediné korektní řešení pro provoz veřejného www serveru je nechat si od providera naroutovat veřejné IP adresy až na vlastní router, všechny ostatní jsou více či méně blbé nesystémové hacky.

Ano. Bohužel navzdory mnoha různým prohlášením, že veřejné IPv4 adresy nikdo nepotřebuje a že IPv6 je zbytečnost, opak je pravdou a IPv4 adres je málo. Ale chápu, že se ISP nechce pouštět do routování jedné veřejné IPv4 adresy (i když má u klienta toho Mikrotika, takže by to nebyl problém), a obětovat 4 veřejné IPv4 adresy na jednoho klienta nechce. A vzhledem k tomu, že většina klientů bude tu veřejnou IPv4 adresu chtít kvůli HTTP(S), SSH nebo VPN, je to řešení NATem 1:1 pro mne omluvitelný kompromis. To, že to bez varování nefunguje ze sítě ISP, to už pro mne omluvitelné není.

Ale stejně platí pro h4kuna, že chuť provozovat veřejný web na domácí přípojce (když nerozumím síťování, firewalu, DNS) je taky dost velká pošetilost.

Pro provoz nějakého domácího webu webu nepotřebuje rozumět ani síťová ani firewallu, a z DNS potřebuje akorát umět nastavit A případně AAAA záznam.

Pravděpodobně by správná konfigurace Harpin-NATu byla řešením, ale asi nechuť providera předělávat ten firewall dokážu pochopit - má řešit výjimky do firewallu kvůli lince za +- 300Kč/měsíc?

Ne, nemá řešit výjimku na firewallu. Má to spravit všem, kterým tu veřejnou IPv4 adresu poskytuje.

Zvlášť když musí komunikovat s někým, kdo vlastně neumí pořádně popsat co chce a proč?

Tohle není pravda. Pokud ta komunikace vypadá tak, jak je tady popsaná (nemám důvod tomu nevěřit), první kontakt  mířil trochu špatným směrem, ale ISP by měl vědět, jak ty veřejné IPv4 adresy řeší, a mělo mu dojít, v čem je problém. A po té, co se zeptal h4kuna tady ve fóru, je už ta komunikace z jeho strany zcela v pořádku a topí se v tom jen ISP. Požadavek, aby s jeho veřejnou IPv4 adresou mohl komunikovat i ze své sítě, později ještě doplněný o to, aby to stejně fungovalo i sousedovi u téhož ISP, je zcela v pořádku a srozumitelný, a je to daleko za tím, co by měl ISP jako specifikaci od zákazníka požadovat.

Uváděl jste příklad s autem – taky přece dáte auto do servisu s tím, že palubní počítač ukazuje Service oil, a je na servisu, ať si s tím poradí. Maximálně řeknete, že potřebujete vyměnit olej, ale už to je nad rámec toho, co po vás má autoservis chtít. Ale rozhodně jim nebudete vysvětlovat, jak se olej vyměňuje a kde mají sehnat nový.