Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.

Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Majitelé routerů / Technická podpora / Problem s 1:1 NAT u providera
- - Od LK Dne 2014-04-11 06:05 Upraveno 2014-04-12 00:12
Zdravim... vcera jsem si nechal pridelit vlastni verejnou IP a ted mam zasadni problemy s konektivitou a DNS.

Konfigurace je takova, ze turris dostava na WAN portu od providera dhcp privatni 10.11.167.xxx na kterou ma byt dle jeho slov 1:1 NAT z verejne 193.85.neco.neco. Moje stroje na LAN za turrisem maji adresy z dhcp 192.168.1.xxx.

Problem neexistoval pred novym nastavenim ze strany providera, krome toho, ze jsem musel pro 100% funkcnost resolvingu deaktivovat dns forwarding ve foris.

Nyni po prideleni vlastni verejne IP od providera a kompletnim 10s resetu turrisu:

– z shellu turris ani z moji LAN nefunguje ping na zadnou verejnou IP adresu (krome pridelene 193.85.neco.neco, ktera se ukazuje i na whatismyip).
– traceroute na jakoukoliv verejnou IP konci vzdy na poslednim zarizeni providera.
– z shellu i z LAN funguje napr. http, jabber, pokud je to vazane primo na nejakou verejnou IP nebo pokud je to domain name, u ktereho fungoval resolving i drive pri aktivnim dns forwarding
– pokud nyni deaktivuji dns forwarding, neresolvuje se nic

prosim o radu, diky
Nadřazený - - Od Ondřej Caletka (>>>) Dne 2014-04-11 08:52
Tohle vypadá na problém u providera. Osobně to tipuji na praktiku, kterou jsem kdysi popsal jako odklánění DNS provozu. Provider zřejmě DNATuje všechny pakety s portem udp/53 na jediný správný DNS resolver, například 8.8.8.8. Schválně vyzkoušejte v blogu zmíněný příklad:

# dig nebezi.cz aaaa @254.254.254.254
Nadřazený - - Od LK Dne 2014-04-11 12:23 Upraveno 2014-04-12 00:07
napr. zmineny http://oskar.blog.root.cz/ se neresolvuj ani na LAN ani na turrisu napr.

root@turris:~# curl http://oskar.blog.root.cz/2012/07/03/odklaneni-dns-provozu-jako-bonus/
curl: (6) Couldn't resolve host 'oskar.blog.root.cz'

root@turris:~# ping 91.213.160.53
PING 91.213.160.53 (91.213.160.53): 56 data bytes
(timeout)

nicmene curl http://91.213.160.53 ukazuje default page InternetInfo s.r.o.

vas prikaz:

root@turris:~# dig nebezi.cz aaaa @254.254.254.254

; <<>> DiG 9.9.2-P2 <<>> nebezi.cz aaaa @254.254.254.254
;; global options: +cmd
;; connection timed out; no servers could be reached

test lookup na dns providera:

root@turris:~# nslookup nebezi.cz 10.11.150.3
Server:    10.11.150.3
Address 1: 10.11.150.3

Name:      nebezi.cz
Address 1: 2001:1528:132:70::ebe2

root@turris:~# dig nebezi.cz a @10.11.150.3

; <<>> DiG 9.9.2-P2 <<>> nebezi.cz a @10.11.150.3
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 3056
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;nebezi.cz.      IN  A

;; AUTHORITY SECTION:
nebezi.cz.    3416  IN  SOA  flexi.oskarcz.net. hostmaster.oskarcz.net. 1396665841 3600 900 1814400 3600

;; Query time: 6 msec
;; SERVER: 10.11.150.3#53(10.11.150.3)
;; WHEN: Fri Apr 11 13:11:50 2014
;; MSG SIZE  rcvd: 102

root@turris:~# dig nebezi.cz aaaa @10.11.150.3

; <<>> DiG 9.9.2-P2 <<>> nebezi.cz aaaa @10.11.150.3
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49414
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;nebezi.cz.      IN  AAAA

;; ANSWER SECTION:
nebezi.cz.    3392  IN  AAAA  2001:1528:132:70::ebe2

;; AUTHORITY SECTION:
nebezi.cz.    3392  IN  NS  pinel.oskarcz.eu.
nebezi.cz.    3392  IN  NS  flexi.oskarcz.net.
nebezi.cz.    3392  IN  NS  vf.krcmarovi.cz.

;; Query time: 4 msec
;; SERVER: 10.11.150.3#53(10.11.150.3)
;; WHEN: Fri Apr 11 13:12:15 2014
;; MSG SIZE  rcvd: 154
Nadřazený - Od Ondřej Caletka (>>>) Dne 2014-04-11 12:39
Aha, tohle je tedy jiný problém. Možná půjde o nějaký furewall u providera, blokující velké UDP odpovědi, nebo vůbec UDP provoz.
Nadřazený - Od LK Dne 2014-04-12 00:05 Upraveno 2014-04-12 00:19
Zkoumal jsem to jeste dnes, prosim poradte, zda je problem v turrisu nebo u ISP:

– funguji vsechny internetove sluzby, krome ping a dns na IP adresy mimo providera (problem ICMP?)
– na turris jsem povolil ssh port 22 a dostanu se do nej z externiho serveru, pres pridelenou public ip 193.85.neco.neco
– kdyz davam ping z externiho serveru na pridelenou public ip 193.85.neco.neco, odpovida to, ale zrejme ne turris, protoze tcpdump -v icmp -i eth2 na turrisu nic neukazuje
– kdyz na tomto externim serveru spustim tcpdump -v icmp a davam ping z turrisu, nic se neukaze

Jeste upresnuji pribliznou strukturu site providera:

GTS <-> hlavni router providera <-> mikrotik sousedni barak 10.11.150.1 <-> mikrotik nas barak 10.11.167.1 <-> muj turris 10.11.167.170 <-> moje LAN 192.168.1.x

Predpokladam, ze problem je u providera... Stravil jsem s nim na telefonu asi hodinu, ale nevi :(((
Nadřazený - Od LK Dne 2014-04-12 00:58 Upraveno 2014-04-12 01:28
finalne jsem jeste testoval konektivitu UDP pomoci iperfnetcat na/z externiho serveru a skutecne to nejede ani jednim smerem... pres den zavolam providerovi, co to ma znamenat ;)
Nahoru Téma Majitelé routerů / Technická podpora / Problem s 1:1 NAT u providera

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill