Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu

Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #120 kdy: 10. 06. 2020, 11:13:47 »
K DNSSEC nerozumím tomu, pokud by toto (viz citace) uděloval zákon filtraci hazardních webů, tak co přiměje majitele webu vypnout DNSSEC a tím by byl ISP namydlenej. DNSSEC je jen další bezpečnostní opatření, aby právě návštěvník nebyl přesměrovaný jinam. Takže k tomu musí být ještě jiná finta. Nebo pak jsou tu dvě věci, který z mého momentálního pohledu si nemůžou vyhovět.
DNSSEC slouží k tomu, aby útočník nemohl v DNS podvrhnout falešné údaje (což je přesně to, co teď dělá váš ISP). Nedokáže ale nijak zabránit tomu, že se nedozvíte žádnou odpověď – když se dotaz nebo odpověď někde „ztratí“, DNSSEC s tím nic neudělá. A pro blokování hazardních webů stačí, aby se adresa nepřeložila. Obvykle se sice při blokování hazardního webu uživateli zobrazuje informační stránka, že byl přístup na základě zákona zablokován. Ale pokud se místo toho zobrazí uživateli chybová zpráva, že adresa neexistuje, zákon to také splní – jenom to není tak komfortní pro uživatele.


SB

  • ****
  • 296
    • Zobrazit profil
    • E-mail
Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #121 kdy: 10. 06. 2020, 13:32:21 »
Nejvíc naštve to, že o nový zástavbě rozhodoval radní kterýmu bylo cca 70. Kdo ví jestli slyšel pojem internet. Takže 50 nových domů jsou na wifi a hotovo. Loni si v klidu umřel a co jako teď? Nic svět se točí dál. A kdy se asi znovu rozkope silnice kvůli opravám 10-15let?

To je h***o, u nás v ulici teď dělali rekonstrukci chodníku za ukrutné statisíce a nejenomže to (přes upozornění) zk***ili, ale ještě se ouřada, co to má na starosti (70 mu rozhodně není), ani neobtěžoval oslovit alespoň místího optického šmudlu (bez IPv4 a IPv6), natož CETIN (který k tomu na svých stránkách vyloženě nabádá!). Takže buďto další rozkopání za statisíce, nebo se na nás všichni s nějakým novým káblem vydefekují. Hanbou ani nebudu uvádět jméno obce.

Jestli se nepletu, tak doména bude fungovat, protože je to ohnutý přes tu jejich dns, ale ip adresa fungovat nebude, protože zde problém zůstal.

No super. Takže polořešení. A server DNS musíte používat od pseudoposkytovatele (nebudeme mu říkat poskytovatel, že ne?), nebo vám rovnou unáší dotazy DNS? Zkuste, co vrátí
Kód: [Vybrat]
host matejckovi.eu 1.1.1.1
.

Já prostě nechápu proč nezkusil ten hairpin nat u mě doma na tom jejich mikrotiku co mi sám nabídnul. Prostě si to udělal na dnsku.

To by fungovalo jen pro vás doma. Aby to fungovalo univerzálně, je třeba přesměrování udělat na nejvyšším NATu ležícím mezi neveřejnou sítí pseudoposkytovatele a veřejnou sítí.

Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #122 kdy: 10. 06. 2020, 13:57:07 »
Kód: [Vybrat]
host matejckovi.eu 1.1.1.1
Kód: [Vybrat]
$ host matejckovi.eu 1.1.1.1
Using domain server:
Name: 1.1.1.1
Address: 1.1.1.1#53
Aliases:

matejckovi.eu has address 81.25.21.57

Já prostě nechápu proč nezkusil ten hairpin nat u mě doma na tom jejich mikrotiku co mi sám nabídnul. Prostě si to udělal na dnsku.

To by fungovalo jen pro vás doma. Aby to fungovalo univerzálně, je třeba přesměrování udělat na nejvyšším NATu ležícím mezi neveřejnou sítí pseudoposkytovatele a veřejnou sítí.
Já to chápu, rozdíl mezi tím, kdy to má fungovat globálně a kdy lokálně, jen nechápu, když jsem mu ten hairpin nat lokálně schválil, že to stejně udělal jinak. Nechápu, ale zatím respektuju, že ten hairpin nat nechtěl nasadit na svoje nat servery. A tímhle lokálním nastavením bych já i on si vyzkoušeli, alespoň pro mě, novinku :) A případně to otestovali. Pro mě je to stále nevyzkoušená cesta...

Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #123 kdy: 10. 06. 2020, 14:05:59 »
to závisí na tom, jaký operační systém používáte

Zkusím to najít. Jinak můj OS je Ubuntu, od roku 2012.

Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #124 kdy: 10. 06. 2020, 15:26:47 »
Tak jistě, bude to kontrolovat státní aparát :) :) :)
asi jste se minul povoláním, určitě by jste se uživil jako autor vtipů v Sorry, nebo v Dikobrazu.
Vždyť na IPv6 zvesela kašle přes všechna nařízení i státní aparát. Schválně si udělejte průzkum, jak se plní Usnesení vlády č. 727/2009, 982/2013? Kolik orgánů státního aparátu ještě nemá weby a mailservery přístupné přes IPv6.
A přitom jim tu povinnost výslovně ukládá usnesení vlády

Tyto věci se nemůžou zlepšit tlakem uživatelů, protože jim nerozumějí (stejně jako IPv6), zde je třeba z pozice státního aparátu přesně kategorizovat a specifikovat vlastnosti služeb a požadavky na ně tak, jak se to již stalo v jiných odvětvích. Ve své podstatě jsme dnes v odvětví služeb poskytování připojení svědky rozvojového stavu a partyzánštiny.


Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #125 kdy: 10. 06. 2020, 16:45:33 »
Prostě to berte jak to je. Úředník myslel a to je vždycky katastrofa.
Zákon totiž uložil, providerům blokovat přístup na hazardní weby a úředník to vymyslel tak, že blokování se provádí na úrovni VLASTNÍHO DNS serveru providera a to i za cenu rozbití DNSSEC. Že si uživatel může nastavit jakýkoliv jiný DNS server, to už je úředníkovi jedno, tak daleko jeho představivost nesahá.
K dovršení magořiny je v prováděcím předpisu výslovně stanoveno, že provider při naplňování dikce zákona NESMÍ ve vlastní síti unášet DNS dotazy na svůj DNS server, protože by tím došlo k porušení síťové neutrality. Schíza jak sfiňa....

Provider má jednoznačně síť postavenou jako koncovou, ne jako přístupovou. Pokud nechce nasazovat na svých routerech Harpin-NAT, tak ho k tomu jinak než penězi nedonutíte a máte jen následující možnosti:
1) musíte se domluvit s providerem, aby pro Vás dostal veřejnou IP adresu na první router co máte u sebe v baráku. Jestli to tam dostane přes PPoE, naroutuje sítí /31 nebo /30, prostrčí to EoIP tunelem je Vám šumafuk, Vás zajímá výsledek. Prostě musíte mít tu veřejnou u sebe. Harpin-NAT si uděláte na svém domácím routeru jen kvůli tomu, aby to korektně fungovalo i z Vaší domácí sítě.
2) pokud neprojde bod 1) musíte jít cestou falešného DNS záznamu v RPZ zóně na DNS serveru providera. Počitejte s tím, že pro Vaše sousedy to rozbije DNSSEC, ale nemyslím si, že by to některému z nich vadilo....  DNS dotazy na matejckovi.eu budou jinak fungovat v síti Vašeho providera a jinak z "ostatního" internetu, ale nějak to bude fungovat a víceméně to splní účel
3) pokud neprojde 1) ani 2), můžete ještě svůj server přemístit mimo síť providera (hosting/VPSko). A všem to bude fungovat úplně stejně, ani doma nebudte muset nic měnit.
4) když nevyjde nic z výše uvedeného, musíte změnit providera a doufat že u nového to bude jiné. O čemž osobně dost pochybuju, rozhodně si předem udělejte důkladný průzkum, aby to nebylo z deště pod okap.

Víc možností není, smiřte se s tím. Zkoušejte to postupně bod po bodu a dejte vědět, jak to dopadlo.

K DNSSEC nerozumím tomu, pokud by toto (viz citace) uděloval zákon filtraci hazardních webů, tak co přiměje majitele webu vypnout DNSSEC a tím by byl ISP namydlenej. DNSSEC je jen další bezpečnostní opatření, aby právě návštěvník nebyl přesměrovaný jinam. Takže k tomu musí být ještě jiná finta. Nebo pak jsou tu dvě věci, který z mého momentálního pohledu, nemůžou vyhovět.

2a) zeptejete se providera, jestli provozuje vlastní DNS server. Pokud ano, určitě na něm dle zákona provádí filtraci hazardních webů. To se nejčastěji dělá přes tzv. RPZ doménu, kde se "falšují" odpovědi na DNS dotazy pro vybrané weby (ukládá to zákon). Provoz směřující na hazardní weby se přesměrovává na stránku s informací, že doména byla zablokována a proč. Analogicky jdou přesměrovávat DNS dotazy na matejickovi.eu na IP adresu, kterou máte přiřazenou v přístupové síti providera. Pokud provider neprovozuje DNS server, mohou si sousedi nastavit "fake" DNS záznam na svém vlastním routeru (pokud to router dovoluje a soused to umí).

Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #126 kdy: 10. 06. 2020, 17:39:30 »
Pokud máte u vás špatné wifi providery, tak nemáš tam telefonní kabel - VDSL? Nebo nebude jednodušší si objednat VPS nebo nějaký cloud?

Chápu diskuse je dlouhá, taky by se mi to nechtělo číst... Obě otázky jsou zodpovězeny.

- jiný wifi provider není moc vhodný, kabel radní zapomněli zakopat před sedmi lety
- není to jen pro cloud, navíc mám doma 6TB nas co by to asi stálo? chci mít komunikaci do domu, na hraní.

Tak sice na to Filip rekne, ze je to zase rovnak na ohybak... a bude mit pravdu... ale na to ja sem mistr :-).
Co si poridit nejakou tu levnou vps a pouzivat ji jen na tunelovani portu k sobe domu?

Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu
« Odpověď #127 kdy: 10. 06. 2020, 17:56:31 »
Navíc když se dneska dá sehnat VPS za cenu stejnou nebo nižší, než se obvykle platí za veřejnou IP adresu.


Tak sice na to Filip rekne, ze je to zase rovnak na ohybak... a bude mit pravdu... ale na to ja sem mistr :-).
Co si poridit nejakou tu levnou vps a pouzivat ji jen na tunelovani portu k sobe domu?