Nedostupné weby

Dne 2014-05-29 16:04 Upraveno 2014-05-29 16:31 Hlasů 1

Poslední aktualizace (asi v noci na včerejšek nebo dnešek) změnila konfiguraci routeru, což by se stávat nemělo. Konkrétně se mi změnilo nastavení DNS, kde jsem měl, pokud si vzpomínám 1) ve Forisu vypnuté forwardování, 2) v LuCi nastavené podstrkávání DNS mého providera a Googlu klientům, protože samotné vypnutí forwardování pro mé klienty (a router samotný) nefunguje, nedostupné weby jsou i s vypnutým forwardováním dál nedostupné a 3) nějaké další nastavení, aby fungovalo DNS i pro Turris samotný - nepamatuji si jaké (nastavit mu na WAN portu DNS Googlu teď nepomohlo).

Konkrétně se nastavení změnilo takto: Přidal se zřejmě další řádek konfigurace s nějakým výchozím nastavením (?), který převážil mou dříve vytvořenou konfiguraci.

+ se znovu zapnulo forwardování ve Foris
+ se změnilo něco dalšího, protože v Luci mi zase nslookup v diagnostice na DNS localhostu třeba na api.turris.cz vrací can't resolve, ping vrací bad address.

Do projektu Turris jsem nešel s tím, že aktualizace SW routeru mi budou rozbíjet konfiguraci (a to jsem se zatím nepouštěl třeba do webserveru, nasu a podobně), znefunkčňovat připojení a to včetně VoIP a v neposlední řadě blokovat odesílání statistik samotného Turrisu. Rád jsem součástí výzkumu, ale ne za cenu toho, že mě to obtěžuje, nebo toho, že když nebudu doma, manželce nebude fungovat připojení. Jednak mě nebaví to co pár týdnů znovu konfigurovat a jednak mi v tuhle chvíli pravděpodobně nefunguje odesílání statistik, protože si nepamatuju, jak jsem ho zprovoznil posledně a teď nemám čas ani vůli to řešit, když to není mojí vinou.

Doporučoval bych, aby aktualizace routeru neměnily nastavení a zároveň aby byl server api.turris.cz volán přes IP adresu, pokud možno, protože očividně nejsem jediný, kdo má problémy s DNS (a fakt, že CZ.NIC obviňuje z nekompatibility providery není relevantní, Turris měl být navržen tak, aby fungoval).

Od Michal Vaner (>>)

Dne 2014-05-30 09:16 Hlasů 3

Dobrý den

Toto se nachází v pokročilém nastavení. Pokud tomu nerozumíte, neměl byste na to sahat. To, co jste tam měl, není bezpečné. Vyřadil jste tím část ochrany, kterou Turris poskytuje. Kromě toho, pokud tam byly nějaké nedostupné weby, byly i po této změně nedostupné pro samotný router.

Při updatech musíme nějak vyvážit to, abychom pokud možno neměnili nastavení uživatele, ale udržovali nastavení funkční a také aktualizované. V tomto případě ke změně dochází jednoduše proto, že jsme vycházeli z předpokladu, že toto nastavení se měnit nebude. Dalo by se to chápat i tak, že vaše špatné nastavení bylo opraveno.

Forwardování se určitě nezapnulo updatem, pokud jste tu volbu z konfiguračního souboru přímo nesmazal, k tomu muselo dojít některou vaší akcí.

Podle toho co popisujete si myslím, že to odesílání statistik nefungovalo ani předtím.

Připojovat se na api.turris.cz pomocí IP adresy je jednak principielně špatně, protože ta se může kdykoliv změnit, jednak problém neřeší, neboť pro přihlášení ta IP adresa není jediná informace, kterou je třeba z DNS získat. A to, že ISP zasahuje do komunikace ‒ dělá MITM útok na své zákazníky ‒ je relevantní. Má snad turris fungovat i v případě, že se poskytovatel rozhodne náhodně změnit každý 4. byte každého packetu? Každopádně, na řešení pro takové případy (tedy, MITM na port 53) pracujeme.

Od Vlastimil Waic

Dne 2014-05-30 09:48 Upraveno 2014-05-30 09:58 Hlasů 1

Dobrý den, děkuji za odpověď, ale bohužel v některých věcech se názorově rozcházíme. To, co jsem tam měl, možná nebylo bezpečné (vyřadil jsem Vaše ověřování DNSSEC?), ale na rozdíl od Vašeho nastavení to bylo funkční (včetně odesílání statistik, pokud lze věřit grafům tady na webu - psal jsem výše, že celou tu předchozí konfiguraci, kterou aktualizace rozbila, si nepamatuji) a rozhodně ne méně bezpečné než s normálním komerčním routerem. I tak to pro mě bylo nouzové řešení do chvíle, než bych měl čas to s Vámi vyřešit.

Na tom, že potřebujete nastavení aktualizované a funkční se jistě shodneme, ale v žádném případě ne za cenu znefunkčnění připojení uživatele. Pokud s některým routerem cítíte problém, spíše bych očekával, že nájemce zkusíte kontaktovat a problém po vzájemné domluvě a k oboustranné spokojenosti vyřešit - třeba i tak, že sami zkusíte kontaktovat "zlobivé" providery.

Pokud jde o zásahy ISP do komunikace, pouštíte se na kluzký svah. Jedna věc je nekorektní chování DNS, s nímž si každý komerční router bez problémů poradí (předtím jsem měl Netgear WNDR3700 s dd-wrt), nějaké náhrady dat v paketech jsou přeci věc úplně odlišné závažnosti a důsledků. Kromě toho věřím, že i toto poznání o nastavení DNS tuzemských ISP je hodnotným výstupem projektu Turris.

Rád bych tedy tento problém vyřešil tak, aby mé připojení bylo funkční a zároveň můj Turris fungoval tak, jak si představujete. Protože ve výchozím nastavení ani s vypnutým forwardováním mé připojení funkční není, rád bych vás požádal o radu se správným nastavení Turrisu. Řekněte si prosím, jaké potřebujete další informace, případně doplňte i informaci, co mám požadovat po svém providerovi. V každém případě by bylo dobré se v budoucnu vyhnout rozbíjení uživatelských nastavení. Děkuji.

Od Michal Vaner (>>)

Dne 2014-05-30 10:23 Hlasů 2

Tak ale o tom ten projekt je ‒ být bezpečnější, než normální komerční routery. Existuje proto, že ty komerční routery jsou s bezpečností dost ubohé.

Co se týče toho ISP ‒ ono je to tak, že opravdu jde o nahrazování obsahu packetů. Pokud je vypnutý forwarding, tak router nekomunikuje s DNS serverem providera, ale komunikuje přímo s autoritativními servery po internetu. Tedy, pokud to nefunguje s vypnutým forwardingem, znamená to, že ISP odchytí packet, který mu nepatří a místo jeho prostého doručení s ním něco provádí. To je stejně závažné, jako kdyby to dělal s jakýmikoliv jinými packety. To, že si s tím jiné routery „poradí“, protože tu validaci nedělají, lze přirovnat k trezoru, který si „poradí“ i se zlomeným klíčem, protože přijme cokoliv, co se do něj strčí.

To nastavení, ono to není tak, že bychom na dálku jednotlivá nastavení četli a nějak uvažovali, jestli s ním máme problém nebo ne. Funguje to tak, že prostě v rámci aktualizace se pouští na routeru nějaký kus kódu a ten si sám na daném routeru už musí prostě poradit. I kdybychom měli dostatečnou kapacitu nahlížet uživatelům do jejich nastavení, tak bychom to nedělali kvůli soukromí. Tento kousek prostě řešil rozbité konfigurace, se kterými jsme se potkali (pravda, již před nějakou dobou), kdy tam ten řádek zcela chyběl, tak ho tam přidával, aby to opravil. A jak jsem psal, byl tam předpoklad, že na toto se sahat nebude ‒ prostě, ono je dost těžké poradit si s korektními nastaveními, natož ještě se snažit vypořádat s těmi, která některým způsobem nefungují. Pokusím se to opravit tak, aby se tento konkrétní případ již nestal, přesto si však myslím, že tam cokoliv jiného nepatří.

Co se týče problému s DNS ‒ doporučuji následující postup. Napřed zkusit kontaktovat ISP a požádat, jestli by nemohl ty packety, které mu nepatří na portu 53 prostě propouštět beze změny (na fóru padlo, že to někteří ISP měnili omylem, protože tam měli nějaký monitorovací prvek, který byl nastavený, že DNS packety smějí být max 512 bytů dlouhé). Poté by mělo vše fungovat s vypnutým forwardingem. Pokud to nebude průchozí, tak, jak jsem psal, pracujeme na řešení ‒ zkusili bychom sehnat nějakou DNS proxy, která by byla na jiném portu, aby to tyto zásahy ISP obešlo.

Od Antl Kamil

Dne 2014-05-30 10:49 Upraveno 2014-05-30 10:57

Zdravím,

no tak asi mám stejný problém s ISP nebo nevím jelikož už jsem Turris router zkušel instalovat a pak asi 3x po resetu tak mi to nikdy nepustilo ma web.
Je to dost zajímavé jekikož něco fungovalo, ale většina ne.
- Fungovalo mi wi-fi, ale jen když jsem vypnul přemostění wifi u lan a dal přemostění wifi u wan.
- Některé .cz weby byli dostupné a to jen na hlavní stránce. Konkrétně turris.cz a jwkk.cz
- a u ostatních webů (99.99% ) broswer hlásí problém s dns
- www.turris.cz byl dosputný jako jediný web kompletně (což je teda velice divné)
- doufal jsme, že nebudu vůbec do pokročilého nastaví vstupovat jelikož tomu rozumím jen okrajově (nechci zrovna tohle studovat když i tak toho mám hodně)
- zkoušel jsem snad vše co jsem věděl a co jsem našel zde na foru i v ve vašich officiálních radách a návodech
- jo a mám v PC dvě sítovky i když jedna je jen na komunikaci s PC a multimedálním zařízením, ale zkoušem jsem Turris router i jen s jednou (druhá jsem zakázal), ale situace byla beze změny

TAK CO S TÍM ? JELIKOŽ MĚ TO DOCELA HODNĚ ŠTVE (nepočítaje z následným porušováním turris smlouvy)