Прошу гуру помчь разобраться с DNS

[Pop70]

  

В 10.04.2020 в 21:27, Pop70 сказал:

А это тоже так задумано?

 

Трассировка маршрута к ххххххх.keenetic.pro [78.47.125.180]
.....
.......

14   107 ms   119 ms    95 ms  n2h1.ndm9.xyz [138.201.134.26]
15    91 ms    90 ms    90 ms  n2h1.ndm9.xyz [138.201.134.26]
16    91 ms    90 ms    90 ms  n2h1.ndm9.xyz [138.201.134.26]
17    92 ms    90 ms    98 ms  n2h1.ndm9.xyz [138.201.134.26]
18    91 ms    90 ms    90 ms  n2h1.ndm9.xyz [138.201.134.26]
19    90 ms    91 ms    91 ms  n2h1.ndm9.xyz [138.201.134.26]
20    90 ms    91 ms    90 ms  n2h1.ndm9.xyz [138.201.134.26]
21    90 ms    90 ms    90 ms  n2h1.ndm9.xyz [138.201.134.26]
22    91 ms    94 ms    93 ms  n2h1.ndm9.xyz [138.201.134.26]
23    90 ms    91 ms    90 ms  n2h1.ndm9.xyz [138.201.134.26]
24    90 ms    90 ms    90 ms  n2h1.ndm9.xyz [138.201.134.26]
25    91 ms    91 ms    90 ms  n2h1.ndm9.xyz [138.201.134.26]
26    91 ms    90 ms    90 ms  n2h1.ndm9.xyz [138.201.134.26]
27    91 ms    92 ms    91 ms  n2h1.ndm9.xyz [138.201.134.26]
28    91 ms    91 ms    91 ms  n2h1.ndm9.xyz [138.201.134.26]
29    92 ms    91 ms    91 ms  n2h1.ndm9.xyz [138.201.134.26]
30    93 ms    92 ms    91 ms  n2h1.ndm9.xyz [138.201.134.26]

Объясняю.

Сеть соединена по L2

В обоих сегментах есть свой DHCP, и свой DNS серверы, домен прописан local.

В интернет сегменты ходят каждый через свой шлюз.

Для того, чтобы локальные имена разрешались для обоих сегментов в локальные адреса, DNS сервер сегмента 2 имеет первичным "вышестоящим" сервер сегмента 1, и наоборот.

Т.е, из сегмента, в котором нет кинетика, адрес xxx.keenrtic.pro разрешается кинетиком в 78.47.125.180 ("локальный" с т.з. кинетика, но вполне себе глобальный).

И клиент пытается зайти по разрешённому айпишнику. А там - глухой цикл на маршруте.

Результат предсказуем. Вебморда из сегмента без кинетика не открывается по xxx.keenetic.pro

Ну да. Схема дурацкая, наверное.

А как сделать лучше?

 

 

Прописал
 

ip host xxx.keenetic.pro 192.168.10.254

ip host *.xxx.keenetic.pro 192.168.10.254

В результате, для доменов 4-го уровня DNS выдаёт предсказуемо адрес 192.168.10.254

А вот домен xxx.keenetic.pro разрешается в 78.47.125.180 - хоть ты тресни.

C:\Users\Andrey>nslookup xxx.keenetic.pro
╤хЁтхЁ:  UnKnown
Address:  192.168.10.254

Не заслуживающий доверия ответ:
╚ь :     xxx.keenetic.pro
Address:  78.47.125.180

192.168.10.254 - адрес кинетика в домашней сети

[Pop70]

Так что? никто не может ничего ответить по поводу такого поведения?

Добавлю ещё. Если повторить команду ip host xxx.keenetic.pro 192.168.10.254,

То какое-то время это имя начинает правильно разрешаться.

После перезагрузки уже точно всё повторяется. Возможно, проявится и просто после работы какое-то время.

И нет system configuration save сделать не забываю, в startup.config соответствующие записи есть.

Если это не баг, то очень нелогичная "фишка"

Edited April 13, 2020 by Pop70

[keenet07]

А какая конфигурация DNS на роутерах? 

Если глюк, можно на клиенте такие домены прописать.

Edited April 13, 2020 by keenet07

[Pop70]

Только что, keenet07 сказал:

А какая конфигурация DNS на роутере?

Если глюк, можно на клиенте такие домены прописать.

В смысле на роутере конфигурация DNS? Всё "по умолчанию", кроме прописки этих хостов

На клиенте - не вариант - клиент "мобильный", бывает в разных сетях. Поэтому и хочется иметь доступ по одному и тому же имени отовсюду.

Впринципе, решаемо назначением имени 4-го уровня на сам роутер. Но ведь баг же однозначный.

[keenet07]

Имею в виду как прописаны внешние DNS сервера. DoH? DoT? Может быть интернет фильтр какой? Или стандартные сервера провайдера.

Edited April 13, 2020 by keenet07

[Exter]

Если у вас работа доменного имени настроена через облако - попробуйте включить Прямой доступ. Заметил, что от этих настроек зависит резолвится xxx.keenetic.pro как 78.47.125.180, или как глобальный IP провайдера. Если включить Прямой доступ, то может ip host xxx.keenetic.pro 192.168.10.254 перестанет слетать.

[Pop70]

1 минуту назад, Exter сказал:

Если у вас работа доменного имени настроена через облако - попробуйте включить Прямой доступ. Заметил, что от этих настроек зависит резолвится xxx.keenetic.pro как 78.47.125.180, или как глобальный IP провайдера. Если включить Прямой доступ, то может ip host xxx.keenetic.pro 192.168.10.254 перестанет слетать.

У меня нет белого адреса на модеме. Поэтому, только облако.

[Pop70]

3 минуты назад, keenet07 сказал:

Имею в виду как прописаны внешние DNS сервера. DoH? DoT? Может быть интернет фильтр какой? Или стандартные сервера провайдера.

Нет. Ни DOT, ни DOH. "вышестоящий" - интерфейс модема, а у него провайдерные. Т.е, просто релей

[Pop70]

4 минуты назад, Exter сказал:

Если у вас работа доменного имени настроена через облако - попробуйте включить Прямой доступ. Заметил, что от этих настроек зависит резолвится xxx.keenetic.pro как 78.47.125.180, или как глобальный IP провайдера. Если включить Прямой доступ, то может ip host xxx.keenetic.pro 192.168.10.254 перестанет слетать.

Вот, кстати, тоже не понятна эта зависимость, и смысл отдавать глобальный ip в локальную сеть.

В пожеланиях создал тему про разрешение зарезервированных имён в локальные адреса - закидали тапками, и наыкали носом в 78.47.125.180.

А он тоже работает только с третьим уровнем, а 4-й через облако резолвится.

Вот зачем такая кака, да ещё с нерабочим маршрутом до "псевдолокального" 78.47.125.180?

[keenet07]

Ну попробуйте что-нибудь со статическими маршрутами сделать для выхода на 

78.47.125.180

Направьте их куда нужно и адрес может быть в алиас пропишите.

[Pop70]

Я вообще не понимаю почему у кинетика DNS настолько урезанный. У меня даже то, что он сам по dhcp раздаёт, DNS отказывается резолвить. По имени хоста в локалке не зайти.

Или у меня руки кривые, и это как-то настраивается? (опять же нигде в документации ни слова)

[keenet07]

9 минут назад, Pop70 сказал:

Вот зачем такая кака, да ещё с нерабочим маршрутом до "псевдолокального" 78.47.125.180?

Через него работает локальный вход в вебморду по адресу my.keenetic.net

Обмен пакетами с my.keenetic.net [78.47.125.180] с 32 байтами данных:
Ответ от 78.47.125.180: число байт=32 время=1мс TTL=64
Ответ от 78.47.125.180: число байт=32 время<1мс TTL=64

Edited April 13, 2020 by keenet07

[Pop70]

1 минуту назад, keenet07 сказал:

Ну попробуйте что-нибудь со статическими маршрутами сделать для выхода на 

78.47.125.180

Направьте их куда нужно и адрес может быть в алиас пропишите.

Тоже не могу. У меня в том сегменте, в котором  не кинетик, роутер не умеет в локалку маршруты делать - только на WAN. А на клиентах - уже писал.

 

1 минуту назад, keenet07 сказал:

Через него работает локальный вход в вебморду по адресу keendns

Ну и не проще сразу в ДНС host нужный по ЛОКАЛЬНОМУ адресу записать, чем вот так вот с отловом глобального адреса на интерфейсах...?

[keenet07]

2 минуты назад, Pop70 сказал:

Ну и не проще сразу в ДНС host нужный по ЛОКАЛЬНОМУ адресу записать, чем вот так вот с отловом глобального адреса на интерфейсах...?

Не. Нельзя. Это сделано для https, а там своя схема с сертификатами. Так просто не будет работать.

Edited April 13, 2020 by keenet07

[Pop70]

Только что, keenet07 сказал:

Не. Нельзя. Это сделано для https, а там своя схема с сертификатами. Так просто не войдешь.

Вот как раз с сертификатами проблем нет. Прописал host и всё работает по https. Это с включенным доступом через облако так. С прямым доступом тоже работать будет. в сертификатах ip не указывают. Единственное, если своё доменное имя не получать... и keendns вообще отключить... Но тогда и https из локалки не очень нужен.

[keenet07]

Примечание: Если в интернет-центре зарегистрировано имя KeenDNS (в домене *.keenetic.pro, *.keenetic.link или *.keenetic.name) и для него получен SSL-сертификат, то при подключении из локальной сети к веб-конфигуратору интернет-центра, после ввода в адресной строке браузера my.keenetic.net, будет происходить безусловный редирект на KeenDNS-имя 3-го уровня по протоколу HTTPS. Это сделано для того, чтобы использовать безопасное подключение к веб-конфигуратору даже из локальной сети интернет-центра.

[Pop70]

Только что, keenet07 сказал:

Примечание: Если в интернет-центре зарегистрировано имя KeenDNS (в домене *.keenetic.pro, *.keenetic.link или *.keenetic.name) и для него получен SSL-сертификат, то при подключении из локальной сети к веб-конфигуратору интернет-центра, после ввода в адресной строке браузера my.keenetic.net, будет происходить безусловный редирект на KeenDNS-имя 3-го уровня по протоколу HTTPS. Это сделано для того, чтобы использовать безопасное подключение к веб-конфигуратору даже из локальной сети интернет-центра.

Даже так, my.keenetic.net есть смысл резолвить в локальный адрес, на проксе делать редирект, и снова входить по ЛОКАЛЬНОМУ адресу на зарегистрированное имя.

Ну пофиг в какой адрес резолвится имя, если имя сертификата совпадает с именем сайта.

[Pop70]

Т.е., вместо "псевдолокального" 78.47.125.180, подставляем реальный локальный адрес кинетика, и... ничего не меняется.

Разве только при наличии нескольких сетей, придётся иметь несколько ДНС.

Может, поэтому, и dhcp в ДНС ничего не пишет?