Jump to content
  • 0

Прошу гуру помчь разобраться с DNS


Pop70
 Share

Question

  

В 10.04.2020 в 21:27, Pop70 сказал:

А это тоже так задумано?

 


Трассировка маршрута к ххххххх.keenetic.pro [78.47.125.180]
.....
.......

14   107 ms   119 ms    95 ms  n2h1.ndm9.xyz [138.201.134.26]
15    91 ms    90 ms    90 ms  n2h1.ndm9.xyz [138.201.134.26]
16    91 ms    90 ms    90 ms  n2h1.ndm9.xyz [138.201.134.26]
17    92 ms    90 ms    98 ms  n2h1.ndm9.xyz [138.201.134.26]
18    91 ms    90 ms    90 ms  n2h1.ndm9.xyz [138.201.134.26]
19    90 ms    91 ms    91 ms  n2h1.ndm9.xyz [138.201.134.26]
20    90 ms    91 ms    90 ms  n2h1.ndm9.xyz [138.201.134.26]
21    90 ms    90 ms    90 ms  n2h1.ndm9.xyz [138.201.134.26]
22    91 ms    94 ms    93 ms  n2h1.ndm9.xyz [138.201.134.26]
23    90 ms    91 ms    90 ms  n2h1.ndm9.xyz [138.201.134.26]
24    90 ms    90 ms    90 ms  n2h1.ndm9.xyz [138.201.134.26]
25    91 ms    91 ms    90 ms  n2h1.ndm9.xyz [138.201.134.26]
26    91 ms    90 ms    90 ms  n2h1.ndm9.xyz [138.201.134.26]
27    91 ms    92 ms    91 ms  n2h1.ndm9.xyz [138.201.134.26]
28    91 ms    91 ms    91 ms  n2h1.ndm9.xyz [138.201.134.26]
29    92 ms    91 ms    91 ms  n2h1.ndm9.xyz [138.201.134.26]
30    93 ms    92 ms    91 ms  n2h1.ndm9.xyz [138.201.134.26]

Объясняю.

Сеть соединена по L2

В обоих сегментах есть свой DHCP, и свой DNS серверы, домен прописан local.

В интернет сегменты ходят каждый через свой шлюз.

Для того, чтобы локальные имена разрешались для обоих сегментов в локальные адреса, DNS сервер сегмента 2 имеет первичным "вышестоящим" сервер сегмента 1, и наоборот.

Т.е, из сегмента, в котором нет кинетика, адрес xxx.keenrtic.pro разрешается кинетиком в 78.47.125.180 ("локальный" с т.з. кинетика, но вполне себе глобальный).

И клиент пытается зайти по разрешённому айпишнику. А там - глухой цикл на маршруте.

Результат предсказуем. Вебморда из сегмента без кинетика не открывается по xxx.keenetic.pro

Ну да. Схема дурацкая, наверное.

А как сделать лучше?

 

 

Прописал
 

ip host xxx.keenetic.pro 192.168.10.254

ip host *.xxx.keenetic.pro 192.168.10.254

В результате, для доменов 4-го уровня DNS выдаёт предсказуемо адрес 192.168.10.254

А вот домен xxx.keenetic.pro разрешается в 78.47.125.180 - хоть ты тресни.

C:\Users\Andrey>nslookup xxx.keenetic.pro
╤хЁтхЁ:  UnKnown
Address:  192.168.10.254

Не заслуживающий доверия ответ:
╚ь :     xxx.keenetic.pro
Address:  78.47.125.180

192.168.10.254 - адрес кинетика в домашней сети

Link to comment
Share on other sites

17 answers to this question

Recommended Posts

  • 0

Так что? никто не может ничего ответить по поводу такого поведения?

Добавлю ещё. Если повторить команду ip host xxx.keenetic.pro 192.168.10.254,

То какое-то время это имя начинает правильно разрешаться.

После перезагрузки уже точно всё повторяется. Возможно, проявится и просто после работы какое-то время.

И нет system configuration save сделать не забываю, в startup.config соответствующие записи есть.

Если это не баг, то очень нелогичная "фишка"

Edited by Pop70
Link to comment
Share on other sites

  • 0
Только что, keenet07 сказал:

А какая конфигурация DNS на роутере?

Если глюк, можно на клиенте такие домены прописать.

В смысле на роутере конфигурация DNS? Всё "по умолчанию", кроме прописки этих хостов

На клиенте - не вариант - клиент "мобильный", бывает в разных сетях. Поэтому и хочется иметь доступ по одному и тому же имени отовсюду.

Впринципе, решаемо назначением имени 4-го уровня на сам роутер. Но ведь баг же однозначный.

Link to comment
Share on other sites

  • 0

Имею в виду как прописаны внешние DNS сервера. DoH? DoT? Может быть интернет фильтр какой? Или стандартные сервера провайдера.

Edited by keenet07
Link to comment
Share on other sites

  • 0

Если у вас работа доменного имени настроена через облако - попробуйте включить Прямой доступ. Заметил, что от этих настроек зависит резолвится xxx.keenetic.pro как 78.47.125.180, или как глобальный IP провайдера. Если включить Прямой доступ, то может ip host xxx.keenetic.pro 192.168.10.254 перестанет слетать.

Link to comment
Share on other sites

  • 0
1 минуту назад, Exter сказал:

Если у вас работа доменного имени настроена через облако - попробуйте включить Прямой доступ. Заметил, что от этих настроек зависит резолвится xxx.keenetic.pro как 78.47.125.180, или как глобальный IP провайдера. Если включить Прямой доступ, то может ip host xxx.keenetic.pro 192.168.10.254 перестанет слетать.

У меня нет белого адреса на модеме. Поэтому, только облако.

Link to comment
Share on other sites

  • 0
3 минуты назад, keenet07 сказал:

Имею в виду как прописаны внешние DNS сервера. DoH? DoT? Может быть интернет фильтр какой? Или стандартные сервера провайдера.

Нет. Ни DOT, ни DOH. "вышестоящий" - интерфейс модема, а у него провайдерные. Т.е, просто релей

Link to comment
Share on other sites

  • 0
4 минуты назад, Exter сказал:

Если у вас работа доменного имени настроена через облако - попробуйте включить Прямой доступ. Заметил, что от этих настроек зависит резолвится xxx.keenetic.pro как 78.47.125.180, или как глобальный IP провайдера. Если включить Прямой доступ, то может ip host xxx.keenetic.pro 192.168.10.254 перестанет слетать.

Вот, кстати, тоже не понятна эта зависимость, и смысл отдавать глобальный ip в локальную сеть.

В пожеланиях создал тему про разрешение зарезервированных имён в локальные адреса - закидали тапками, и наыкали носом в 78.47.125.180.

А он тоже работает только с третьим уровнем, а 4-й через облако резолвится.

Вот зачем такая кака, да ещё с нерабочим маршрутом до "псевдолокального" 78.47.125.180?

Link to comment
Share on other sites

  • 0

Ну попробуйте что-нибудь со статическими маршрутами сделать для выхода на 

78.47.125.180

Направьте их куда нужно и адрес может быть в алиас пропишите.

Link to comment
Share on other sites

  • 0

Я вообще не понимаю почему у кинетика DNS настолько урезанный. У меня даже то, что он сам по dhcp раздаёт, DNS отказывается резолвить. По имени хоста в локалке не зайти.

Или у меня руки кривые, и это как-то настраивается? (опять же нигде в документации ни слова)

Link to comment
Share on other sites

  • 0
9 минут назад, Pop70 сказал:

Вот зачем такая кака, да ещё с нерабочим маршрутом до "псевдолокального" 78.47.125.180?

Через него работает локальный вход в вебморду по адресу my.keenetic.net

Обмен пакетами с my.keenetic.net [78.47.125.180] с 32 байтами данных:
Ответ от 78.47.125.180: число байт=32 время=1мс TTL=64
Ответ от 78.47.125.180: число байт=32 время<1мс TTL=64

Edited by keenet07
Link to comment
Share on other sites

  • 0
1 минуту назад, keenet07 сказал:

Ну попробуйте что-нибудь со статическими маршрутами сделать для выхода на 


78.47.125.180

Направьте их куда нужно и адрес может быть в алиас пропишите.

Тоже не могу. У меня в том сегменте, в котором  не кинетик, роутер не умеет в локалку маршруты делать - только на WAN. А на клиентах - уже писал.

 

1 минуту назад, keenet07 сказал:

Через него работает локальный вход в вебморду по адресу keendns

Ну и не проще сразу в ДНС host нужный по ЛОКАЛЬНОМУ адресу записать, чем вот так вот с отловом глобального адреса на интерфейсах...?

Link to comment
Share on other sites

  • 0
2 минуты назад, Pop70 сказал:

Ну и не проще сразу в ДНС host нужный по ЛОКАЛЬНОМУ адресу записать, чем вот так вот с отловом глобального адреса на интерфейсах...?

Не. Нельзя. Это сделано для https, а там своя схема с сертификатами. Так просто не будет работать.

Edited by keenet07
Link to comment
Share on other sites

  • 0
Только что, keenet07 сказал:

Не. Нельзя. Это сделано для https, а там своя схема с сертификатами. Так просто не войдешь.

Вот как раз с сертификатами проблем нет. Прописал host и всё работает по https. Это с включенным доступом через облако так. С прямым доступом тоже работать будет. в сертификатах ip не указывают. Единственное, если своё доменное имя не получать... и keendns вообще отключить... Но тогда и https из локалки не очень нужен.

Link to comment
Share on other sites

  • 0

Примечание: Если в интернет-центре зарегистрировано имя KeenDNS (в домене *.keenetic.pro*.keenetic.link или *.keenetic.name) и для него получен SSL-сертификат, то при подключении из локальной сети к веб-конфигуратору интернет-центра, после ввода в адресной строке браузера my.keenetic.net, будет происходить безусловный редирект на KeenDNS-имя 3-го уровня по протоколу HTTPS. Это сделано для того, чтобы использовать безопасное подключение к веб-конфигуратору даже из локальной сети интернет-центра.

Link to comment
Share on other sites

  • 0
Только что, keenet07 сказал:

Примечание: Если в интернет-центре зарегистрировано имя KeenDNS (в домене *.keenetic.pro*.keenetic.link или *.keenetic.name) и для него получен SSL-сертификат, то при подключении из локальной сети к веб-конфигуратору интернет-центра, после ввода в адресной строке браузера my.keenetic.net, будет происходить безусловный редирект на KeenDNS-имя 3-го уровня по протоколу HTTPS. Это сделано для того, чтобы использовать безопасное подключение к веб-конфигуратору даже из локальной сети интернет-центра.

Даже так, my.keenetic.net есть смысл резолвить в локальный адрес, на проксе делать редирект, и снова входить по ЛОКАЛЬНОМУ адресу на зарегистрированное имя.

Ну пофиг в какой адрес резолвится имя, если имя сертификата совпадает с именем сайта.

Link to comment
Share on other sites

  • 0

Т.е., вместо "псевдолокального" 78.47.125.180, подставляем реальный локальный адрес кинетика, и... ничего не меняется.

Разве только при наличии нескольких сетей, придётся иметь несколько ДНС.

Может, поэтому, и dhcp в ДНС ничего не пишет?

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...