STATIC DNS na vlastní doménu

kresomysl

Zdravím, hostuji si na NAS ve vnitřní síti doménu nazevdomeny.cz ... Přesměrování na MK z venku mám funkční, ale z vnitřní sítě se místo na webserver pořád přihlašuji na webové rozhraní MK. Nastavil jsem v IP/DNS/STATIC nazevdomeny.cz s IP adresou webserveru, plus i www.nazevdomeny.cz s IP adresou webserveru. Asi dva dny to fungovalo a pak zase přestalo ..... přitom jsem nikde nic neměnil...

Někdo nějakou radu, čím by to mohlo být?

fang

Zkontroloval bych si koho se klienti o DNS překlady dotazují, často se potkávám s tím, že bývá nastaveno více DNS prostřednictvím DHCP serveru např. interní + např. google, cznic apod. Mylná je pak myšlenka, že se systém dotazuje jen prvního resolveru a když nejde tak druhého. Funguje to tak, že operační systém ty requesty pseudonáhodně posílá na všechny DNS resolvery který zná ať už DHCP či fixní konfigurace.

kresomysl

no tomu moc nerozumím, kde to zjistím kam se to dotazuje :-( každopádně, když se podívám do záznamu v DNS/cache tak tam to přesměrování vidím 4x, ale 2x je ta adresa je psaná po zpátku ...

Name:10.123.168.192.in-addr.arpa

ludvik

ve windows jsou to příkazy "ipconfig /all" a "nslookup nazevdomeny.cz" - musí dávat pořád stejnou a tu tvoji adresu zadanou v DNS mikrotiku.

in-addr.arpa je reverzní zóna, obrácený překlad - z IP na jméno.

kresomysl

teď mi to zase funguje tak jak má .... a zase jsem nic neudělal ... to jsem u toho jelen :-(

jinak ten nslookup:

C:\Windows\system32>nslookup mojedomena.cz

Server: UnKnown

Address: 192.168.1.100

Non-authoritative answer:

Name: mojedomena.cz

Address: 192.168.1.10

10 je webserver a 100 je mikrotik

fang

Udělej si výpis "ipconfig /all" a najdi si tam položku DNS jako zde:

<--- ia0 -->dns.png<--- ia0 -->

Pokud tam máš vícero DNS resolverů tak všechny ti na překlad musí odpovědět stejně. Pokud používáš mix interního a externího DNS překladače jak jsem psal výše tak se ti stane to že systém požadavky rozdělí a kus jich pošle ven na externí překladač a kus jich pošle na interní. A hádej co se stane když se zeptáš na stejnou doménu např. DNS překladače od google/czniu a svýho interního. Jeden ti vrátí veřejku a druhej interní adresu.

kresomysl

tam je to v pořádku, první DNS mám adresu mikrotiku a pak další dvě jsou DNS co mám od providera. ale jak píšu, teď mi to zase začalo fungovat :-)

ludvik

No ... kdybys četl, co ti tady píšeme, tak bys věděl, že to máš špatně.

kresomysl

aha, už mi to asi trošku zapaluje :-) takže problém je asi to, že mi DHCP server přiřazuje nejdřív jako DNS adresu mikrotiku, takže by to asi nebylo špatné ji zrušit :-) pak nebude potřeba nastavovat ani ten static DNS. Jestli to dobře chápu...

ludvik

Budeš-li mít jen DNS venku, dostaneš vždy veřejnou IP. A takový provoz vždy půjde routerem - tam a zpět (předpokládá to funkční DNAT a i SNAT - hairpin nat).

Budeš-li mít jen svoji DNS a tam jen vnitřní IP, půjde provoz z vnitřku pouze vnitřkem - a routeru se to ani (krom toho DNS dotazu) nedotkne.

Si vyber :-) Jenom kombinovat je to vlastně špatně. Při správném nastavení to fungovat bude. Ale pokaždé jinak - v závislosti na tom, jakou IP zrovna dostane. A v případě nízkých timeoutů to může být klidně i v rámci jedné webové stránky.

kresomysl

no jo, ale jak mám zakázat, aby nebyla adresa routeru jako DNS? já tam mám nastavené jen dva DNS od poskytovatele. V DHCP mám taky jako DNS pouze DNS providera, ale když si dám na compu ipconfig, tak tam pořád vidím i ip MK jako DNS ...

ludvik

Tak to mě momentálně nic moc nenapadá ...

Proč si hraješ se statickým záznamem v DNS toho mikrotiku, když ho používat nechceš?

kresomysl

Tak já jsem se někde dočetl, že to je možnost, jak se dostat na vlastní doménu. A když tam ten static zadám, tak mi to někdy i funguje :-) já se prostě potřebuji v prohlížeči dostat na svou doménu, kterou si hostuji na svém NAS serveru z vnitřní sítě, abych nemusel psát ip adresu NASu. To samozřejmě mohu, ale je to delší :-)

a když tu doménu zadám, tak mi to MK místo na NAS hodí na svoje webrozhraní. Z venku to jede ok.

ludvik

Tak znovu a naposledy:

a. řešení s DNS je funkční. Jenom NESMÍŠ mít na stanici jiné DNS, než tento, který máš pod kontrolou a který má ten statický záznam. A provoz pak jede na přímo, jelikož stanice VŽDY dostane vnitřní adresu.

b. řešení s přesměrováním ve firewallu (DNAT+SNAT) je funkční. Jenom to musí být správně ... A provoz jede přes ten router. Pak je vcelku logickou podmínkou, že bys ten DNS záznam mít neměl, protože pak dostává stanice občas tu a občas tamtu IP.

Co udělá špatné b? Počítač se zeptá na IP adresu. Dostane tedy tvoji vnější IP - která je na tom mikrotiku buď přímo, nebo na ní končí DNATem od ISP. Pošle paket tedy na svoji výchozí bránu - a ta to buď pošle dál, nebo otočí a pošle dovnitř. A co to udělá, když ji "neotočí"? Jsi na tom MK ...

No a co udělá ten NAS, pokud sice přesměruješ provoz pomocí DNATu správně i z vnitřku, ale už zapomeneš na SNAT (tedy hairpin nat)? Myslí si, že komunikuje s vnitřní IP (source IP se nezměnila) a snaží se jí to poslat přímo ... kdežto stanice to neví a komunikuje s nějakou úplně jinou IP. Tedy to nefunguje. To se tu řeší každý měsíc ...