Опция "Нет доступа" из интернета для веб-приложений домашней сети

[cornmask]

Подскажите, пожалуйста, как в принципе должна работать опция "Нет доступа" из интернета для веб-приложений домашней сети сервиса доменных имен? При попытке обратиться по доменному имени я получаю логичное 403 Forbidden, но как тогда правильно настроить какой-то вариант роутинга по этим доменным именам из локальной сети?

[Le ecureuil]

Если вы обращаетесь из локальной сети, то доступ должен быть, если снаружи - то нет.

[cornmask]

19 минут назад, Le ecureuil сказал:

Если вы обращаетесь из локальной сети, то доступ должен быть, если снаружи - то нет.

Звучит разумно, но tracert выдает внешний адрес по доменному имени даже если роутер указан в качестве DNS-сервера, а сам адрес выдает 403 ошибку. Я предполагаю, что требуется какая-то дополнительная настройка. Раньше я применял костыль с указанием локального dns-сервера на вкладке сетевые правила\межсетевой фильтр, который резолвил домен keendns на нужный локальный адрес, но с ним тоже были свои проблемы (не работало продление сертификата), хотя схема в целом делала свою работу - tracert рутился правильно и хосты с "нет доступа" были доступны изнутри сети. К сожалению, сегодня такая схема перестала работать по какой-то причине.

[Le ecureuil]

4 часа назад, cornmask сказал:

Звучит разумно, но tracert выдает внешний адрес по доменному имени даже если роутер указан в качестве DNS-сервера, а сам адрес выдает 403 ошибку. Я предполагаю, что требуется какая-то дополнительная настройка. Раньше я применял костыль с указанием локального dns-сервера на вкладке сетевые правила\межсетевой фильтр, который резолвил домен keendns на нужный локальный адрес, но с ним тоже были свои проблемы (не работало продление сертификата), хотя схема в целом делала свою работу - tracert рутился правильно и хосты с "нет доступа" были доступны изнутри сети. К сожалению, сегодня такая схема перестала работать по какой-то причине.

Попробую это поправить.

[cornmask]

 

Цитата

Попробую это поправить.

Если будет полезным, помимо варианта добавить собственный dns-сервер с резолвом вида address=/mykeenddnsname.keenetic.link/192.168.xx.1 в <сетевые правила\межсетевой фильтр>, можно ввести команду "ip host *.mykeenddnsname.keenetic.link 192.168.xx.1" в консоль по адресу http://my.keenetic.net/a . К сожалению, в перечне команд я не нашел подходящей, чтобы вывести весь список статичных dns-записей, но скорее всего, в итоге остановился на такой.

Заметил сегодня еще такое поведение, что адреса ddns-домена доступны как по http, так и https без возможности настроить такой доступ. Опция http/https в форме определяет, по какому протоколу будет обращение к локальному адресу.

Изменено 22 апреля, 2024 пользователем cornmask

[Le ecureuil]

Поправлено в следующей версии 4.2.

[cornmask]

На данный момент у основанных на хромиуме браузеров имеется бага с версии 124, которая в т.ч. влияет на статические днс-записи. Для обхода нужно отключить флаг "TLS 1.3 hybridized Kyber support" - без него любой из вариантов статических днс-записей для локального роутинга сервисов внутри сети будет падать по таймауту с ошибкой ERR_CONNECTION_RESET, пока не починят.

Изменено 2 мая, 2024 пользователем cornmask