Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.


Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Majitelé routerů / Technická podpora / DNS DNS DNS - jak to teda je a jak to bude?
- - Od Chemik582 Dne 2014-07-24 07:02
Přeji všem dobrého dne.
Už druhý nebo třetí den laboruji s nastavení DNS tak abych mohl fungovat :cry:
Pročetl jsem zdejší fórum a podle počtu příspěvků s tímto problémem bych čekal nějaké komplexnější řešení než jen kontatování "...turris nemá chybu to je jen posel špatných zpráv...". No prvotní beznaděj jsem včera večer u orosené dvanáctky rozdýchal, ale problém setrvává dál. Takže.
Zkoušel jsem:

DNS (oba) : ISP, Forwarding : ano, test připojení IPv4 a DNS(SEC) : OK - přesto počítače z vnitřní sítě ven : NIC (když jim každému vložím googlovu DNS 8.8.8.8 tak se z nich dá aspoň serfovat)
DNS (oba) : žádné, Forwarding : ne, test připojení IPv4 a DNS(SEC) : OK - přesto poč............................. : NIC (když jim....................................................................................serfovat)
DNS (oba) : ISP, Forwarding : ne, test připojení IPv4 a DNSSEC : OK, DNS : chyba - přesto poč................ : NIC (když jim....................................................................................serfovat)

Nevím jestli to má souvislost s tímto problémem ale mám ve firewalu několik přeportování - mám veřejnou IP adresu a na Synologym ve vnitřní síti LAN si hostuji svůj web - takže porty 80, 5000, 5005, 8888, 667 a 21 jsou směrovány na jednu určitou vnitřní IP. Tohle ovšem funguje, naštěstí, a web jede a na Synologyho se taky dostanu. Píšu to jen kdyby to náhodou mohlo mít na něco vliv.
Pokud existuje nějaká další možnost prosím nakopněte mě správným směrem, na turris jsem se těšil a docela mě mrzí že sou s tím takové problémy :sad:
Nadřazený - - Od Ondřej Caletka (>>>) Dne 2014-07-24 09:43
Jaké si konkrétně představujete komplexnější řešení? Jediným řešením může být, že vám váš ISP přestane zasahovat do provozu na portu 53. Pak by mělo stačit vypnout Forwarding a všechno začne fungovat. Při vypnutém forwardingu by nemělo záležet na zadaných DNS serverech, ty se v takovém případě nepoužívají. Jestliže vám vyšly rozdílné výsledky, bude to nejspíše způsobeno různými stavy cache DNS serverů, na které vám ISP nejspíše přesměrovavá veškerý provoz.

Možná by stálo za to sepsat Hall Of Shame poskytovatelů, kteří s DNS provozem (a možná nejenom s ním) manipulují.
Nadřazený - - Od Chemik582 Dne 2014-07-24 09:55
S Hall Of Shame souhlasím a klidně bych to v kooperaci se združeníma jako je OpenAlt Brno a Liberix Olomouc pořádně začal propírat - třeba by se pak někdo z nich chytl za nos a konečně začal aj pracovat.
Tím komplexní jsem měl na mysli že někdo sesbírá ty zkušenosti co tu padají a vytvoří něco jako, například, stránku kde bude něco jako vývojový diagram kde by mohlo být : nefunguje vám toto a tohle pak zkuste toto s tímto a pokud ani to nepůjde tak odešlete svému ISP mail ve zhruba tomto znění. Ne každý tady ví jak stylizovat takový mail aby se nedočkal pohrdavé odpovědi od "servisáků" daného poskytovatele.
A když pominu onen odkaz na nějaké zasahování na portu 53 - zas vím prd co s tím konkrétně dělat!
Napsat, zavolat? Ale CO po nich chtít?
Nadřazený - - Od Kuba721 Dne 2014-07-24 10:35
Jděte na http://IP-routeru/config/dns/ (Rozhraní Foris - DNS), tam odškrtněte položku Používat forwardování a poté pod tím klikněte na tlačítko Uložit. Poté, na téže stránce níže, klikněte na Otestovat připojení a vše by mělo být v pořádku.
Nadřazený - Od Chemik582 Dne 2014-07-24 11:51
Takže viz můj původní příspěvek. Situace jedna a tři. Oboje vyzkoušeno ale bez efektu. Situace třetí dokonce s tím že DNS test končí červeným křížkem.
Nadřazený - - Od Martin Sojka Dne 2014-07-24 12:50
Jak jsem psal dříve do jiného vlákna:

Je možné, že do komunikace na portu 53 zasahuje váš provider. Můžete to otestovat tím, že použijete náš DNS server na portu 443:

uci set unbound.server.forward_upstream=0 && uci commit
uci add_list unbound.includes.include_path='/etc/unbound/fixed_forward.conf' && uci commit
echo 'forward-zone:' > /etc/unbound/fixed_forward.conf
echo ' name: "."' >> /etc/unbound/fixed_forward.conf
echo ' forward-addr: 193.29.206.206@443' >> /etc/unbound/fixed_forward.conf
/etc/init.d/unbound restart

updater.sh -n


Jde pouze o provizorní řešení, náš DNS server není dimenzován na velký provoz. Můžete tak jen zkusit, jestli se tím problém vyřeší. Pokud to zafunguje, doporučuji donutit vašeho providera, ať s tím zasahováním do portu 53 přestane.
Nadřazený - - Od Chemik582 Dne 2014-07-24 12:59
Ano, je to možné. Už sem napsal mail ve kterém jsem se pokusil pokud možná co nesrozumitelněji vysvětlit co chci a poprosit jestli by šlo aby na moji IP chodil port 53 bez zásahů.
No, jsem ososbně docela zvědav jak se k tomu provider postaví a jestli, případně co podnikne.
Děkuji za tu nabídku alespoň na vyzkoušení využít váš DNS a opravdu moc si toho vážím. Této možnosti pro ověření využiji až pokud bude provider kopat a hádat se že to není u něho :wink:
V podstatě by se dalo říct že svým způsobem by mohl být takovýto případ i vnímán jako nějaká modelová situace - pořád narážím na zjednodušení orientace v této problematice :eek:
Nadřazený - - Od Martin Sojka Dne 2014-07-24 13:01
To můžete klidně vyzkoušet hned - alespoň bude jasné, jestli je to způsobeno opravdu providerem.
Nadřazený - Od Chemik582 Dne 2014-07-24 13:23
Tak provedeno.
Včil su eště v práci takže chod z vnitřní sítě vyzkouším až (hned) po třetí hodině :twisted:
ALE pomocí LuCI/Síť/Diagnostika jsem vždy končil chybou. Teď ale vše proběhne v pořádku a vidím výpis paketů.
Takže doma vyzkouším jestli si počítače budou načítat stránky aniž bch jim musel nutit DNS :wink: no a potom, pokud to bude ono, začnu uhánět providera ať mě odbrzdí.
Ještě bych se rád optal. To zadání co jsem pomocí příkazů nastavil potom v případě že provider zareaguje půjde změnit klasckou cestou pomocí LuCI?
Nadřazený - - Od Chemik582 Dne 2014-07-24 14:50
Tak. Nastavení tak jak je teď funguje. Ne že bych neměl radost ale dostal jsem v mezičase odpověď od šéfa servisu mého ISP:

Dobrý den,
Máte jak uvádíte veřejnou IP a právě v tomto případě probíhá provoz bez jakýkoliv pravidel či omezení.
Problém hledejte v nově instalovaném řešení.

Mno. Se říká a včil babo raď :fat: ještě mě tak napadlo někde tady v diskuzi někdo říkal že pomohlo ještě nějaké nastavení délky něčeho v Ciscu? Zkusím to tu pohledat a poslat to na případné vyzkoušení. Jinak fakt nevim :confused:
Nadřazený - - Od Ondřej Caletka (>>>) Dne 2014-07-24 19:26 Hlasů 1
Ano, máte pravdu, některé Cisco firewally se snaží být chytřejší a blokují UDP/53 pakety delší než 512 bajtů, čímž blokují EDNS0 a tedy i DNSSEC.
Opraví se to příkazem inspect dns maximum-length 4096, zkuste to poradit ISP.

Případně můžete u sebe zkusit omezit velikost EDNS0 bufferu na 512 B:
# cat > /etc/unbound/edns.conf <<EOF
server:
        edns-buffer-size: 512
EOF

# uci add_list unbound.includes.include_path='/etc/unbound/edns.conf' && uci commit


Abyste to vyzkoušel, musíte ještě odstranit konfiguraci, která forwarduje na server CZ.NIC:
# uci del_list unbound.includes.include_path='/etc/unbound/fixed_forward.conf' && uci commit

Pak restartuje unbound a uvidíte. Ale tohle bych taky nedoporučoval jako trvalé řešení, unbound bude nucen kvůli nízké velikosti UDP bufferu často přepínat na TCP, a podpora TCP také není stoprocentní.
Nadřazený - - Od Chemik582 Dne 2014-07-31 06:47
Tak. Podle všeho mám štěstí a šéf servisu mého ISP je člověk na svém místě. V mém případě pomohl podle všeho zásah do Cisca - i když to nemám přímo potvrzeno je to poslední zásah o který jsem žádal.
Nakonec jsem v nastavení WAN použil DNS poskytovatele a vypnul jsem Forwardování - při tomto nastavení u mě projde test připojení, funguje odesílání dat a počítače z vnitřní sítě načítají internetové stránky tak jak mají.

Jo a příkazy na odstranění konfigurace směřující na CZ.NIC jsem použil přes ssh takto :

- vymazání konfigurace
# uci del_list unbound.includes.include_path='/etc/unbound/fixed_forward.conf' && uci commit

- restart unbound
/etc/init.d/unbound restart

- a pro jistotu jsem ještě pustil tento skript
updater.sh -n

Snad je to správně :wink: a nezůstávám někde zaháčkován na CZ.NIC - to bych nerad.
Děkuji všem tu za rady a pomoc a snad tohle vlákno někomu přijde vhod.
Nadřazený - - Od Ondřej Caletka (>>>) Dne 2014-07-31 08:21
Pro otestování, který resolver aktuálně používáte, kdysi fungovala stránka myresolver.com. Teď ale neukazuje nic, asi se jim to nějak rozbilo :(

Adresu svého resolveru můžete také zjistit z příkazového řádku Windows takto:
> nslookup -type=txt o-o.myaddr.l.google.com

Z linuxu pak takto:
$ dig +short o-o.myaddr.l.google.com txt

Pokud se adresa shoduje s vaší externí IP adresou (tu zjistíte například na whatismyipaddress.com), pak je vše v pořádku.
Nadřazený - Od Chemik582 Dne 2014-07-31 12:23
Samozřejmě Linux :twisted: :cool:
Tak jsem to vyzkoušel a ANO vrací mě to moji veřejnou IP adresu. Takže tedy a tudíž vše funguje.
Děkuji.
Nadřazený - - Od pappermann.moje Dne 2014-07-27 11:41 Upraveno 2014-07-27 19:23
Dobry den,
ptam se hodne jako laik, ale muzete me nekdo poradit, kam v turrisu mam prikazy napsat?
omlouvam se, ale jsem linuxem nepoliben a v luci rozhrani nemohu nikde najit kde je ten prikazovy radek
dekuji
Nadřazený - - Od NONES (>>>) Dne 2014-07-27 11:56
Já myslím, že jinam, než do shellu Turrisu to zadat nepůjde. A jak se do něj dostanete? Třeba přes program PUTTY (je ke stažení zdarma zde).
Návod na přístup do terminálu (shellu) Turrisu najdete třeba zde.
Nadřazený - Od pappermann.moje Dne 2014-07-27 12:01
Dekuji,

tak odzkousel jsem.  A hle vse funguje. takze jak tu pisete, bud provider neco dela na tom portu(da se to nejak zjistit jinak nez se ho ptat?protoze jsem se ho zeptal a on mi rekl, ze nic na portu 53 nedela...coz muzu nebo nemusim verit + mu jdu napsat o tom Ciscu)

dekuji za radu..

jen dotaz, muzu si to nastaveni na DNS NICu tu nechat nez to vyresim? mam router doma a jedou ma ne nem cca 4 zarizeni.

dekuji
Nadřazený - Od Ondřej Caletka (>>>) Dne 2014-07-27 12:27
Prosím, nevandalizujte své příspěvky poté co na ně někdo zareaguje. Třeba bude mít v budoucnu někdo stejný dotaz a kvůli takovýmto editacím ho nenajde. Díky

Původní dotaz zněl takto:

> Dobry den,
>
> ptam se hodne jako laik, ale muzete me nekdo poradit, kam v turrisu mam prikazy napsat?
> omlouvam se, ale jsem linuxem nepoliben a v luci rozhrani nemohu nikde najit kde je ten prikazovy radek
> dekuji
>

Nahoru Téma Majitelé routerů / Technická podpora / DNS DNS DNS - jak to teda je a jak to bude?

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill