lame kérdés, dyndns cím elérése "belülről"

Hálózatok általános

Több helyen is alkalmazok valamilyen dyndns megoldást, kívülről jól is működik. A gondom az, hogy jó lenne ha belülről is így hivatkozhatnánk a "szerverre" - http ill. https. Viszont ez így a routerek alapbeállításával, nem működik, csak a lokális háló IP címével elérhető :(
Azt sem igazán értem miért nem, de fontosabb lenne a megoldás.
Tudom hogy a google az én barátom, de még a kérdés feltétele sem igazán világos, vagyis hogy mire keressek.
Súgjatok kérlek.

  • 11825 megtekintés

( tovis v | 2014. 01. 31., p – 11:17 )

PONTOSÍTOK!
WR1043ND router van két helyen, az egyiken már megcsináltam az OpenWrt átállást, a másikon gyári firmware. A gyári nem hagyja, hogy belső LAN -ról a külső, dyndns technológiával megadott domain néven elérjem a szervert - http és https.
Mit kéne beállítani?

* Én egy indián vagyok. Minden indián hazudik.

( locsemege v | 2014. 01. 31., p – 11:28 )

Na várj, nem értelek. Nálam működik, semmilyen trükk nincs, "gyári" firmware fut a szolgáltató modem-router-én.

A névfeloldás gondolom, megy, hiszen ezért használod a dinamikus dns megoldást. Akkor legfeljebb kívülről nem éred el a gépedet, mert az adatcsomag nem tudja, melyik lyukon menjen tovább a LAN oldalon. Tehát be kell állítanod, hogy a WAN oldalon a 80-as portra jövő kérés a LAN oldalon melyik lokális IP-cím - a szerveredé - 80-as portjára menjen tovább. Célszerű a lokális hálózatodon statikus címeket használni éppen ezért.

off

A lame egy mp3 enkódoló software, ezért rendkívül zavaró, félreérthető a téma címe.

/off

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Tévedsz, a probléma szerintem pontosan ugyanaz: ha LAN-on próbálsz meg DYNDNS-es címet elérni. A DNS ugyan feloldja, a router külső IP címére, a router viszont a LAN-ról a külső IP címére érkező kéréseket nem fogja portforwardolni vissza a LAN-ra. Az általam linkelt topik is erről szól.

Legalább két lehetséges megoldás van:
1. OpenWRT. Mint írtad, egy másik helyen az tudja ezt a funkciót alapból.
2. Saját DNS szervert és DHCP szervert konfigurálsz a Debian szerveren. Ekkor a DHCP-n a Debian azt mondaná, hogy ő a DNS szerver. Illetve a DNS szerver a DynDNS-es címre a belső IP-t adná vissza. Ez a megoldás viszont időigényesebb.

( vl v | 2014. 01. 31., p – 12:39 )

Azt sem igazán értem miért nem

Segítek: azért nem megy, mert a DNAT már csak ilyen, külön erőlködés nélkül abból a subnetből nem tudod elérni a kinti IP címen a szolgáltatást, ahol a valódi szerver lakik.

Négy triviális megoldás van:
- belül más DNS-t használsz, így ugyanahhoz a névben a valódi szerver címét rendelheted hozzá,
- megkéred a NAT-olást végző eszközt, hogy a forrás címeket is írja át (nemcsak DNAT, hanem pluszban még MASQ is) - ennek az lesz az ára, hogy a valódi szerveren nem fogod látni a kliensek eredeti címét, azaz minden forgalom úgy fog kinézni, mintha a NAT-oló eszköz kezdeményezte volna,
- megszűnteted a valódi szerverrel egy subnetben "létezést", azaz külön IP subnetbe rakod, ahol mellette nem tudnak kliensek lenni,
- a valódi szerver minden kimenő forgalmát rároutolod a NAT-olást végző eszközre (azaz a vele egy subnetben levő gépeknek nem direktben válaszol).

( tovis v | 2014. 01. 31., p – 13:35 )

Még egyszer nekifutok.
Van egy kisvállalati hálózat, egy kis minimalista szerverrel (Debian Squeeze) a WAN kapcsolatot egy WR1043ND router gyári firmwarrel biztosítja. A nem fix IP címet a dyndns felhasználásával tudom a WEB -ről elérni. Azonban, ha a belső hálózatról próbálkozom, a dyndns néven ránézni a szerverre, akkor nem találja :(
Van egy még kisebb vállalati hálózat (én magam) ahol szinte minden szóról-szóra ugyanaz (persze más néven) csak, a router (szintén WR1043ND) OpenWrt firmwarrel megy. Itt a belső hálóról, ugyanazon a "külső" néven elérem a szerveremet.
Sajna nem tudom mi lehet a különbség ami ezt okozza.
Említitek a MASQ -t, az OpenWrt a dnsmasq -t használja (nagyon klassz kis jószág egyszerre tud dhcp a belső LAN -nak, illetve szolgáltat dns címfeloldást a szolgáltató dns szervereiről, de tftp szervert is szolgáltathat) a konfigjában látok egy "gyanús" opciót: "rebind-localhost-ok" - lehet hogy Ő az aki kapásból átirányít a belső hálón csücsülő szerverre?
További ködösítés képpen, a belső hálón NEM használom sehol a router dns szolgáltatását, mindenütt kézileg állítok be kettőt a szolgáltatótól (UPC!) és kettő egy másik hazai szolgáltató dns szervere (így kicsit biztosabb a dns). A belső háló "heterogén" windows és Linux vegyesen, most épp windows -ból dolgozok.

* Én egy indián vagyok. Minden indián hazudik.

Azonban, ha a belső hálózatról próbálkozom, a dyndns néven ránézni a szerverre, akkor nem találja :(

Mitől találná? Default beállításokkal ez nem működhet, tenni kell annak érdekében, hogy működjön.

szinte minden szóról-szóra ugyanaz (persze más néven) csak, a router OpenWrt firmwarrel megy.
Sajna nem tudom mi lehet a különbség ami ezt okozza.

Talán a beállításokban lesz a különbség...

Te kevered a szezont a fas*ommal.
Találd már ki, hogy a DNS nem megy, vagy csak a külső IP cím nem elérhető bentről (de 99%-hogy az utóbbi), merthogy mindkét esetben más beavatkozás szükséges.
Szóval az utóbbinál pár iptables szabály (amit simán megtalálsz pár kereséssel) - meg fent is írták már az elvét - szükséges, és kész.
A dnsmasq itt nem játszik, az csak egy DNS és DHCP szerver egyben.
A működő OpenWRT-n, ha az alap kattintgatós felületen konfiguráltad, akkor láthatsz pár nat_reflection_xxx (egy fwd, egy in és egy out az xxx helyén) chaint, na ott a különbség.

( Madman | 2014. 01. 31., p – 15:14 )

sima /etc/hosts bejegyzes azonos neven a belso ipre?

( ggallo | 2014. 01. 31., p – 23:29 )

A megoldást az előttem szólók megírták.

Én azt kérdezném - és nem csak az aktuális OP írójától -, hogy miért kell játék router-t venni, aztán átszoftverezni (miután is ugyanúgy játék marad csak normálisabb szoftverrel), mikor ugyan ennyiért lehet kapni mondjuk Mikrotik-et (pl. 750GL), ami kapásból tud mindent és nem utolsó sorban atomstabil, valamit tényleg tudja a ráírt sávszélességeket, akár az összes porton egyszerre. Ha meg Wifi elérés is kell, akkor a legolcsóbb Wifi router-t még mellé lehet kötni csak AP-nek, az már mind1.

Ilyenkor mindig Besenyő Pista bácsi és a kő-o-laj-fi-no-mí-tó esete jut eszembe. Ugyanis a kőolaj nem lesz finom, hiába is finomítják. A krumpli viszont már majdnem finom, csak meg kell főzni, és már finom is.

Nincs hands on tapasztalatom a mikrotikkel, de hallottam már ott is teljesítmény problémákat az igérthez képest. Látok némi feautre deficitet a router os free verziójában, a wifi meg hadd ne lógjon már külön dobozon. Gondolom ilyenek lehetnek...
Illetve van még az, hogy bemegyek egy ilyesmivel foglalkozó boltba, akkor játék router van, mikrotik meg nincs.

Nekem csak jó tapasztalatom van, pedig a legtöbb példány (Mikrotik-ből) amivel dolgoztam az alsóbb kategóriából került ki. A Gbit-es sebességet tudja az összes porton, iperf-el ki is lehet hajtani mindet. Route-olni is tud kb. ilyen sebességgel, nem csak switch-ként működik így. Persze IPTables alapú, így valami bonyolult és elrontott szabályrendszerrel biztosan vissza lehet fogni, akár jelentősen.

Persze Wifi-s verzió is van (midenféle szintű Wifi-vel), de az már nem a 10 ezres kategória. Viszont ide kívánkozik, hogy a külön router és külön (csak) AP általában jobb eredményt ad. Ráadásul kisvállalati szinten ne legyen már gond egy bruttó 20 ezres router mellé venni bruttó 15 ezerért egy rendesebb AP-t...

A RouterOS PC-re szánt verzióját nem szabad ide keverni! A Mikrotik hardvereken mindig fullos RouterOS (licenc) van, az összes szolgáltatással (amit az adott hardver támogat). A külön, szóló gépre (PC-re) telepíthető RouterOS egy más tészta, ott az ingyenes tud valamit, a fizetős meg a Level függvényében többet. De ez akkor érdekes, ha valaki RouterOS-t szeretne, de nem Mikrotik hardveren. Ennek akkor van értelme, ha csupa RouterOS-es hardver közé valamiért muszáj betenni 1-2 PC alapú megoldást is. Csak szóló tűzfalnak van sok egyéb, teljesen ingyenes szoftveres megoldás is (pl. PFSense remek).

"a wifi meg hadd ne lógjon már külön dobozon. Gondolom ilyenek lehetnek..."

Nem szeretnlék senkit megsérteni! De ilyen esetben általában az jut eszembe, hogy aki _nem_ otthonra (tehát akármilyen pici céghez, munkahelyre) ilyen kaliberű eszközt vásárol, az vagy a Chip magazinból okos, vagy a Prohardver (és hasonló) fórumokon jelenlévő arctalan szájkaratésok tanításai alapján választott, nem szakmai szempontok szerint.
Itt nem azt akarom mondani, hogy egy 3 PC-s cégnél Cisco 2960-as switch és ASA1500 router legyen és a Windows Server-ből annyi, amennyi role-t használnak, hanem azt, hogy nem az a jó irány, hogy veszünk egy nyilvánvalóan alkalmatlan eszközt, amiről azt olvasni, hogy (általában garanciavesztéssel járó) szoftver cserével valamennyivel alkalmasabbá lehet tenni...

Nekem csak jó tapasztalatom van, pedig a legtöbb példány (Mikrotik-ből) amivel dolgoztam az alsóbb kategóriából került ki. A Gbit-es sebességet tudja az összes porton, iperf-el ki is lehet hajtani mindet. Route-olni is tud kb. ilyen sebességgel, nem csak switch-ként működik így. Persze IPTables alapú, így valami bonyolult és elrontott szabályrendszerrel biztosan vissza lehet fogni, akár jelentősen.

Mint mondtam, nincs handsonom, olvastam csak, hogy egyik másik nem hozta annyira a számokat (emlékeim szerint épp a wifivel kapcs. voltak ilyenek). Fogalmam sincs, ezek mennyire valósak vagy sem. Egyébként semmi bajom vele, sőt rajta van a listán, hogy egyszer meg kéne nyomkodni egyet.

A RouterOS PC-re szánt verzióját nem szabad ide keverni! A Mikrotik hardvereken mindig fullos RouterOS (licenc) van,

Értem, ezesetben bocsánat, ez természetesen akkor érdektelen. Mentségemre szóljon, hogy nem igazán volt egyértelmű a leírásból. (Persze nem is feltételeztem ezt, mivel rémlett, hogy licensz szintek voltak, és volt erről egy táblázat három kattal a honlapon, szóval ha nem kerestem annál jobban ilyesmit, mint hogy nem villogott a táblázat felett a pofámba :) )

---

A vállalati felhasználással kb egyetértek (bár van ezekből a játékrouterekből is megfelelő, de elég risky), de azt azért jelezném, hogy az eredeti kérdésedben szó nem volt arról, hogy nem otthonról beszélsz. Igazság szerint én abszolút abból a nézőpontból írtam egy lehetséges választ. (és bizony ott a franc se akar plusz egy dobozt nézegetni az asztalon :) )

de azt azért jelezném, hogy az eredeti kérdésedben szó nem volt arról, hogy nem otthonról beszélsz

Az eredeti kérdező írta a 3. pontosító posztjában, hogy

Van egy kisvállalati hálózat, egy kis minimalista szerverrel (Debian Squeeze) a WAN kapcsolatot egy WR1043ND router gyári firmwarrel biztosítja. A nem fix IP címet a dyndns felhasználásával tudom a WEB -ről elérni. Azonban, ha a belső hálózatról próbálkozom, a dyndns néven ránézni a szerverre, akkor nem találja :(

Így én minden eddigi hozzászólásomat az eredeti kérdező által vázolt kisvállalati környezetre értettem :-)

Ha teheted próbálj ki egy Mikrotik-et. Egy legegyszerűbb, nem Wifi-set mondjuk. RB750G (100 Mbit portok) vagy RB750GL (1 Gbit portok), ezek 12-16 ezer körül kaphatóak. Szerintem nagyon kényelmetlen és szűk keresztmetszetű lesz utána a soho készülékek webes felülete, tudása.

Én kizárólag FreeBSD/PF-et használtam tűzfalnak annak előtte. De nem mindenhol célszerű (akár csak egy használt) gépet zúgatni ezért. Egyszer kellett olyan router, ami IPSec VPN képes és nem kerül 50-60 ezerbe (akkoriban a D-Link adott ilyen tudású készüléket legolcsóbban, a jelzett ár környékén). Egy ismerősöm javaslatára vittem egy RB750-est, ami azóta (kb. 4 éve) hibátlanul működik. 2x volt kikapcsolva, bejelentett áramszünet miatt. Soha nem volt vele gond, pedig mára elég komoly irányító és tűzfal szabályrendszer fut rajta.
Nem utolsó sorban az összes működik 8-36V között bármivel, plusz az első porton PoE módon is lehet betápot adni, így nincs olyan probléma, hogy megáll a tápegység és nincs helyette ugyan olyan (mert pl. az újabb sorozatos eszközön nem olyan a csatlakozó, stb.)

Sajnos a mikrotiket nem ismerem eléggé mélyen. Válasz? - hát az itt nincs. Mondjuk várható volt, hiszen a WR1043ND gyári firmware -vel működik, így nem sokat lehet vele kezdeni (vagy épp túl sokat).
Játék? A házi kiépítésemnél (ahol a "külső név" is jól működik) OpenWrt -vel akár 500 mW teljesítmény is beállítható (mondjuk kimérni nem tudom), viszont hogy a műhelyből a hálóig elérjen 250 mW -t kellett beállítanom :(
Tudsz a profi mikrotiken saját szoftvert futtatni (értsd általad írt)?
Tud a mikrotik (a játék árában) USB stick intenetet csinálni (on demand)?
Lehet a mikrotik -re USB -re HD -t vagy USB flasht illeszteni?

* Én egy indián vagyok. Minden indián hazudik.

( lberes (nem ellenőrzött) | 2014. 02. 27., cs – 19:43 )

Erdekes, nekem mukodik mindenfele buhera nelkul Apple Airport Extreme-mel:

root@xbmc:~# ifconfig eth0
eth0 Link encap:Ethernet HWaddr 90:e6:ba:d7:8f:86
inet addr:192.168.0.254 Bcast:0.0.0.0 Mask:255.255.255.0
inet6 addr: fe80::92e6:baff:fed7:8f86/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3235109 errors:0 dropped:0 overruns:0 frame:0
TX packets:2649076 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:19293485 (19.2 MB) TX bytes:1738405900 (1.7 GB)
Interrupt:41 Base address:0x6000

root@xbmc:~# ip ro
default via 192.168.0.1 dev eth0 metric 100
192.168.0.0/24 dev eth0 proto kernel scope link src 192.168.0.254

root@xbmc:~# telnet lohere.valami.biz 8080
Trying [publikus IP]...
Connected to lohere.valami.biz.
Escape character is '^]'.
SSH-2.0-OpenSSH_5.8p1 Debian-7ubuntu1
quit
Protocol mismatch.
Connection closed by foreign host.
root@xbmc:~#

A logban pedig a publikus cimet latom:

Feb 27 19:38:58 xbmc sshd[8635]: Bad protocol version identification 'quit' from [publikus IP]

--
L

( Hanrik | 2014. 02. 28., p – 05:04 )

Lehet, már kérdezték. De minek is a wan oldalra a router? Internet bele a szeroba arra ez-ipupdate, iptables amihez kell, a szero után meg a router. Amugy se biznik egy 1043 nd-be meg az openwrt-nek is ha jól emlêkszem még csak testing a leguljabb verziója, a régiekkel meg voltak gondok a router hibája miatt. Nálunk 3 ilyen router van wrt54g helyett próbáltuk ökez, hát nem igazán. A gyári firmware nekem tudta jól kezelni a dyndnst egyébként és portforward után a belső gépeket is elérte. Szerintem nálad inkább a linuxgép tüzfal scriptjét kellene megnézni, hogy az adott csatolórólengedi e a kapcsolatot.

Bocsi, lehet félreérthető voltam. Az openwrt nagyon király, ahol több kwll mint alap szolgáltatás ott rögtön csere openwrt-re. Pédául lehet ilyen dolog az is amikor a wan csatit lekapcsoljuk és azt is felhasználjuk belső hálos csatinak.az egésu cégnél 8 router van ebből 3 dd-wrt, 5 openwrt.A probléma a tp-linkekkel van. Kb 13e-s routertől stabilabb kapcsolatokat várna az ember néznd csak meg a topic-ját. Kicsit drágábban vannak már nem annyira home routerek. De én továbbra is azt mondom: internet a szeroba onnan a router belső hálon meg ossza netet. Gondolom csak, hogy ha elég egy ilyen router akkor a szerver is birni fogja a strapát (bind, samba, iptables, squid, postfix stb).

internet a szeroba

Ezt leírnád magyar nyelven, érthetően, mit jelent? Ezt találtam, bár ezt is ékezettel:

A japán széró vagy japán kecskeszarvú zerge (Capricornis crispus) az emlősök (Mammalia) osztályának a párosujjú patások (Artiodactyla) rendjéhez, ezen belül a tülkösszarvúak (Bovidae) családjához és a kecskeformák (Caprinae) alcsaládjához tartozó faj.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

( Hanrik | 2014. 03. 01., szo – 11:35 )

Éles gép nem teszi lábát kuplerájba. Még kotonálva sem.

Ezt kifejtenéd?

( Hanrik | 2014. 03. 01., szo – 13:18 )

Locsemege kommentje nagyon jó!

Egy kis cégnél ahol valószínűleg egy szerver beszerzése is a főnök szemszögéből fájdalmasnak tűnhet biztos nem áldoznak pénzt külön fájl vagy levél szerverre.Nem akarok vitázni veletek hisz nem is tudnék (egyrészt tudom én is,hogy nem így kellene, másrészt meg sokkal magasabb szinten vagytok mint én). Akkor így kérdezem: nem biztonságosabb vagy nem jobb egy forrás ip-vel szűrt engedélyt kiadni a belső háló felé (hamár dyndns-es címek vannak) mint egy routerbe portforwardolt mindenhonnan nyitott kapuk.?