Εμφάνιση 1-5 από 5
  1. #1
    Εγγραφή
    03-08-2004
    Περιοχή
    Θεσσαλονικη
    Μηνύματα
    2.426
    Downloads
    19
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    100/100
    ISP
    Inalan
    Router
    FRITZ!Box Fon WLAN 7360
    Οκ μάλλον πολυσυζητημένο θέμα αλλά δεν με καλύπτουν οι λύσεις που έχω διαβάσει

    Έχουμε λοιπόν έναν server σε ένα τοπικό δίκτυο που υπάρχει μια σελίδα πχ mydomain.tld
    Η σελίδα είναι προσβάσιμη από το Internet με SSL πιστοποιητικό από την Lets'encrypt
    Οι χρήστες του τοπικού δικτύου μπορούν να έχουν πρόσβαση σε αυτήν μόνο με την IP πχ 192.168.178.200 και όχι πληκτρολογώντας mydomain.tld πράγμα που την κάνει δύσκολα προσβάσιμη
    Ναι μπορώ να κάνω μια καταχώρηση στο hosts αλλά τότε δεν ισχύει το SSL με το γνωστό αποτέλεσμα προειδοποίηση ασφάλειας κλπ και επίσης θα πρέπει να το κάνω αυτό στον καθένα υπολογιστή του δικτύου
    Για να τα κάνουμε ακόμη ποιο περίπλοκα τα πράγματα αν έχουμε και subdomain (info.mydomain.tld) ή κάποια υπηρεσία σε κάποια πόρτα (mydomain.tld:8080) τότε αυτά δεν είναι προσβάσιμα με κανένα τρόπο αφού δεν μπορούν να καταχωρηθούν στο hosts
    Το πρόβλημα με την πόρτα μπορεί να ξεπεραστεί με reverse proxy ορίζοντάς την να ανοίγει σε κάποιο subdomain αλλά είναι δώρον άδωρο αφού τα subdomain δεν είναι προσβάσιμα εσωτερικά
    Βρήκα επίσης σε μια σελίδα της AVM μια λύση που λέει ότι απλά εξαιρείς τις σελίδες που θέλεις από το DNS rebind protection αλλά παρόλο που έβαλα τις καταχωρήσεις εκεί δεν κάνει καμιά διαφορά.
    Για πείτε καμιά ιδέα

  2. #2
    Εγγραφή
    31-05-2007
    Ηλικία
    53
    Μηνύματα
    3.884
    Downloads
    6
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    110000/11000
    ISP
    Cosmote
    DSLAM
    ΟΤΕ - ΤΕΡΨΙΘΕΑ
    Router
    Fritz!Box 7590
    Αν το mydomain.tld έχει valid cert, μπορείς να το δεις απ' "έξω" με το domain name:

    [client]--->[internet]----dsl--->[fritzbox]---port forward-->[server]

    θα το δείς και από "μέσα" με domain name αν ισχύουν 2 προυποθέσεις:
    α) disable/adjust dns rebind protection, και
    β) το router/fritz, να υποστηρίζει nat loopback/reflection/hairpinning (το ίδιο πράγμα, διάφορα ονόματα).

    Το α) γίνεται στα fritz, το β) δεν ξέρω αν παίζει/υποστηρίζεται πλέον.
    Παλιά υποστήριζε loopback, μετά το είχαν απενεργοποιήσει,
    κάποια στιγμή στην 7.x το ενεργοποίησαν πάλι αλλά νομίζω ότι πλέον επιτρέπει πρόσβαση *μόνο* στην wan του fritz
    (ώστε να μπορείς να συνδεθείς στο fritz από "μέσα" με το url/domain που δίνει το myfritz).

    Για αρχή, θα έβαζα ένα άλλο router, κάτι χωρίς ωραίο gui αλλά να με αφήνει να δω τις ρυθμίσεις σε nat/firewall,
    τουλάχιστον να ξέρω αν το πρόβλημα είναι όντως στο fritz και όχι κάπου στα υπόλοιπα.
    Ή ρώτα κατευθείαν στο support της AVM.
    Αν αποδειχτεί ότι το πρόβλημα είναι όντως το fritz μάλλον πρέπει να αναρωτηθείς πόσο απαραίτητες σου είναι οι ευκολίες του.

    Εναλλακτικά, το ιδανικό θα ήταν να δώσεις μία public ip στον server ώστε να αφαιρεθεί τελείως το nat από την εξίσωση,
    αλλά κοστίζει.

    Άλλη εναλλακτική θα ήταν να στήσεις έναν split dns "μέσα",
    που να απαντάει στο mydomain.tld με την private ip του server,
    αλλά https με το cert που δείχνει την public δεν θα παίξει ποτέ έτσι.
    Disclaimer:
    Any views or opinions expressed represent the official view of the voices in my head.

  3. #3
    Εγγραφή
    03-08-2004
    Περιοχή
    Θεσσαλονικη
    Μηνύματα
    2.426
    Downloads
    19
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    100/100
    ISP
    Inalan
    Router
    FRITZ!Box Fon WLAN 7360
    Αρα οι λύσεις είναι οι εξής
    Αλλαγή router Να πάρει ... ξέρεις πόσο εθισμένοι είμαστε με τα fritz όσοι τα έχουμε
    Μια public ip θα ήταν καλή λύση αλλά δεν ξέρω αν δίνει παραπάνω από 4 η Inalan και πόσο θα κοστίζει (έχω ήδη IP block)
    Η τελευταία λύση δεν βολεύει αφού θα υπάρχει πρόβλημα με το SSL αλλά θα ήθελα να τη δοκιμάσω έτσι για να μαθαίνω
    Πως στήνουμε split dns; Έχω στημένο το Adguard Home που έχει μια επιλογή για Private reverse DNS servers Μπορώ να χρησιμοποιήσω αυτό ή καμιά σχέση;

  4. #4
    Εγγραφή
    31-05-2007
    Ηλικία
    53
    Μηνύματα
    3.884
    Downloads
    6
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    110000/11000
    ISP
    Cosmote
    DSLAM
    ΟΤΕ - ΤΕΡΨΙΘΕΑ
    Router
    Fritz!Box 7590
    Παράθεση Αρχικό μήνυμα από stelios4711 Εμφάνιση μηνυμάτων
    ξέρεις πόσο εθισμένοι είμαστε με τα fritz όσοι τα έχουμε
    Ναι, ξέρω, βολεύουν.
    Απ'την άλλη, μου την σπάει απεριόριστα που δεν μπορώ να δω τα firewall/nat chains.

    Παράθεση Αρχικό μήνυμα από stelios4711 Εμφάνιση μηνυμάτων
    Μια public ip θα ήταν καλή λύση αλλά δεν ξέρω αν δίνει παραπάνω από 4 η Inalan και πόσο θα κοστίζει (έχω ήδη IP block)
    Ρώτα τους, είναι το πιο σωστό.

    Παράθεση Αρχικό μήνυμα από stelios4711 Εμφάνιση μηνυμάτων
    Πως στήνουμε split dns;
    Τυπικά:
    [clients]---Lan-->[local/split dns]---wan--->[upstream dns]

    ο [split dns] είναι ένας local resolver που έχει κανόνες/λίστα που λένε (πχ) ότι
    αν σε ρωτήσουν για το mydomain.tld (ή για το server01.local) απάντα με το 192.168.1.x,
    για τα υπόλοιπα ρώτα τον upstream dns.
    Άν είναι και dhcp (συνηθίζεται) άν έχεις στήσει το *.local domain αναλόγως,
    θα απαντά και με τις local addresses των clients που ξέρει (απ'τα leases).
    Αυτά για το ipv4, στο ipv6 είναι πονεμένη ιστορία, γιατί ως οικιακός πελάτης δεν έχεις static prefix,
    ούτε και πολύ έλεγχο στις αποδόσεις local ip που κάνει το fritz,
    οπότε τι να ρυθμίσεις στον local resolver όταν δεν ξέρεις την ipv6 του server?
    Upstream μπορεί νάναι το fritz, ή οι dns του isp, ή όποιος public dns προτιμάς.

    Έτσι όμως, δεν θα παίξει ποτέ το cert που θέλει να δει την public ip.

    Παράθεση Αρχικό μήνυμα από stelios4711 Εμφάνιση μηνυμάτων
    Έχω στημένο το Adguard Home που έχει μια επιλογή για Private reverse DNS servers Μπορώ να χρησιμοποιήσω αυτό ή καμιά σχέση;
    Δεν έχω ιδέα τι κάνουν μ'αυτό. Δες τα docs τους.
    Μάλλον καμία σχέση όμως.
    reverse dns είναι όταν κάνεις resolve ανάποδα (ip->name) και χρησιμοποιεί τα ptr records,
    ή του isp η τα δικά σου αν κάνεις bgp και έχεις δική σου ζώνη.
    Γενικά δεν είναι κάτι που το στήνεις στο σπίτι.
    Disclaimer:
    Any views or opinions expressed represent the official view of the voices in my head.

  5. #5
    Εγγραφή
    03-08-2004
    Περιοχή
    Θεσσαλονικη
    Μηνύματα
    2.426
    Downloads
    19
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    100/100
    ISP
    Inalan
    Router
    FRITZ!Box Fon WLAN 7360
    Μάλλον είναι περισσότερο περίπλοκο από όσο φανταζόμουν.
    Πίστευα ότι θα υπάρχουν ποιο απλές λύσεις
    Όπως και να 'χει ευχαριστώ για τις απαντήσεις

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές

  • Δεν μπορείτε να δημοσιεύσετε νέα θέματα
  • Δεν μπορείτε να δημοσιεύσετε νέα μηνύματα
  • Δεν μπορείτε να αναρτήσετε συνημμένα
  • Δεν μπορείτε να επεξεργαστείτε τα μηνύματα σας
  •  
  • Τα BB code είναι σε λειτουργία
  • Τα Smilies είναι σε λειτουργία
  • Το [IMG] είναι σε λειτουργία
  • Το [VIDEO] είναι σε λειτουργία
  • Το HTML είναι εκτός λειτουργίας