KeenDNS определает IP неправильно

[dmitry.a]

Здравствуйте!

Попробовал подключить KeenDNS ради DNS, но он определяет IP адрес неверно, а именно, берет IP адрес, выданный провайдером роутеру, вместо адреса, с которого идет любой запрос в интернет. Для примера, NO-IP определает правильно белый адрес. Стоит писать в официальную поддержку?

 

[keenet07]

29 минут назад, dmitry.a сказал:

Здравствуйте!

Попробовал подключить KeenDNS ради DNS, но он определяет IP адрес неверно, а именно, берет IP адрес, выданный провайдером роутеру, вместо адреса, с которого идет любой запрос в интернет. Для примера, NO-IP определает правильно белый адрес. Стоит писать в официальную поддержку?

 

Это говорит о том, что у вас не совсем белый адрес. Или даже совсем не белый, а всё тот же NAT, но с полной трансляцией или статический NAT. Работает ли в этом случае KeenDNS напрямую, не подскажу.

Для прямого доступа можете попробовать параллельно DDNS.

Изменено 1 февраля, 2020 пользователем keenet07

[Mikesk]

В 01.02.2020 в 16:28, dmitry.a сказал:

Здравствуйте!

Попробовал подключить KeenDNS ради DNS, но он определяет IP адрес неверно, а именно, берет IP адрес, выданный провайдером роутеру, вместо адреса, с которого идет любой запрос в интернет. Для примера, NO-IP определает правильно белый адрес. Стоит писать в официальную поддержку?

 

Если у вас no-ip работает, у вас белый динамический адрес. Вы можете включить "прямой" режим keendns. Но для точного ответа укажите первые два разряда адреса с интерфейса кинетика.

[dmitry.a]

1 час назад, Mikesk сказал:

Если у вас no-ip работает, у вас белый динамический адрес. Вы можете включить "прямой" режим keendns. Но для точного ответа укажите первые два разряда адреса с интерфейса кинетика.

У меня статический IP, то есть он не меняется и закреплен провайдером за мной. Фактически я могу купить домен и привязать его к IP. Сейчас картинка вот такая:

И адрес роуетра на WAN интерфейсе такой 10.2.x.x.

 

[keenet07]

24 минуты назад, dmitry.a сказал:

У меня статический IP, то есть он не меняется и закреплен провайдером за мной. Фактически я могу купить домен и привязать его к IP. Сейчас картинка вот такая:

И адрес роуетра на WAN интерфейсе такой 10.2.x.x.

 

А вы не пробовали вместо автоматического серого прописать вручную адрес, маску, шлюз внешнего. Уточните у техподдержки провайдера будет ли так работать. Если вы платите за белый IP. Если нет, то этот внешний в любой момент могут поменять на другой.

Изменено 3 февраля, 2020 пользователем keenet07

[Mikesk]

52 минуты назад, dmitry.a сказал:

У меня статический IP, то есть он не меняется и закреплен провайдером за мной. Фактически я могу купить домен и привязать его к IP. Сейчас картинка вот такая:

И адрес роуетра на WAN интерфейсе такой 10.2.x.x.

 

Статический - это не обязательно белый, а динамический - не обязательно серый. 10.2.Х.Х - это серый IP, т.е. выше роутера у вас стоит еще как минимум один маршрутизатор с NAT от провайдера, который транслирует ваш серый во внешний белый IP. 

Прямой доступ будет работать, если этот самый NAT у провайдера - 1:1, т.е. кроме вас за внешним (белым) IP у провайдера никого одновременно нет. Так, например, работают модемы Yota с услугой публичного IP.

Веб-интерфейс же предупреждает для наиболее частого "общего случая", т.к. такой тип nat встречается не часто, а остальным действительно доступ будет невозможен.

Если же таких 10.2.Х.Х за внешним адресом несколько, то увы - у вас статический, но серый адрес со всеми его ограничениями. Выход - смириться или купить у провайдера белый (публичный) IP.

 

Тип NAT можно уточнить у провайдера.

[dmitry.a]

51 минуту назад, Mikesk сказал:

Статический - это не обязательно белый, а динамический - не обязательно серый. 10.2.Х.Х - это серый IP, т.е. выше роутера у вас стоит еще как минимум один маршрутизатор с NAT от провайдера, который транслирует ваш серый во внешний белый IP. 

Прямой доступ будет работать, если этот самый NAT у провайдера - 1:1, т.е. кроме вас за внешним (белым) IP у провайдера никого одновременно нет. Так, например, работают модемы Yota с услугой публичного IP.

Веб-интерфейс же предупреждает для наиболее частого "общего случая", т.к. такой тип nat встречается не часто, а остальным действительно доступ будет невозможен.

Если же таких 10.2.Х.Х за внешним адресом несколько, то увы - у вас статический, но серый адрес со всеми его ограничениями. Выход - смириться или купить у провайдера белый (публичный) IP.

 

Тип NAT можно уточнить у провайдера.

 

Основная проблема в том, что KeenDNS прописывет в качестве адреса 10.x.x.x, а потому даже ping example.keenetic.pro работать не будет. Я бы предложил галку или спец настройку (возможно только из cli), чтобы можно было либо задать адрес вручную, либо определять иным образом. К тому же есть как минимум еще Yota,  с кем keendns тоже работать пока что не будет. Наличие галки позволяет охватить больше пользователей keendns, без нагрузки на ваш сервер для проксирования.

[dmitry.a]

1 час назад, keenet07 сказал:

А вы не пробовали вместо автоматического серого прописать вручную адрес, маску, шлюз внешнего. Уточните у техподдержки провайдера будет ли так работать. Если вы платите за белый IP. Если нет, то этот внешний в любой момент могут поменять на другой.

За адрес я плачу отдельно. Он привязан ко мне, и никто другой через него не ходит в интернет. Сейчас я использую no-ip, хотел попробовать keendns для dns, но не работает, к сожалению.

[sergeyk]

4 минуты назад, dmitry.a сказал:

Основная проблема в том, что KeenDNS прописывет в качестве адреса 10.x.x.x, а потому даже ping example.keenetic.pro работать не будет.

А вы туда какой адрес прописывать хотите?

[sergeyk]

2 часа назад, dmitry.a сказал:

И адрес роуетра на WAN интерфейсе такой 10.2.x.x.

Это серый адрес и прямой доступ к нему работать не будет.

[Mikesk]

17 минут назад, sergeyk сказал:

Это серый адрес и прямой доступ к нему работать не будет.

простите, а как же yota-модем работает? Или для чего введено это:

• Web: разрешено включение Прямого доступа KeenDNS для "серых" IP-адресов

[ndm]

25 minutes ago, Mikesk said:

простите, а как же yota-модем работает? Или для чего введено это:

• Web: разрешено включение Прямого доступа KeenDNS для "серых" IP-адресов

Разрешено, потому что кто-то в поддержке возмущался и слёзно просил, чтобы даже серые адреса прописывались в KeenDNS как есть. Видимо, для тех случаев, когда кинетик стоит за натом и должен открываться в локальной сети. Мы это включили, и жалобы прекратились. Хотя смысл ускользает...

[KorDen]

24 минуты назад, ndm сказал:

Разрешено, потому что кто-то в поддержке возмущался и слёзно просил, чтобы даже серые адреса прописывались в KeenDNS как есть.

Так сделать третью опцию: Через облако / Прямой доступ (IP интерфейса провайдера) / Прямой доступ (определяемый облаком внешний IP)

[dmitry.a]

4 часа назад, sergeyk сказал:

А вы туда какой адрес прописывать хотите?

Тот адрес, с которого будет приходить любой пакет, отправленный с роутера на сервер keendns (при условии, что я уверен, что прямой доступ все-таки есть).

[sergeyk]

4 минуты назад, dmitry.a сказал:

Тот адрес, с которого будет приходить любой пакет, отправленный с роутера на сервер keendns (при условии, что я уверен, что прямой доступ все-таки есть).

Попробуйте для начала без имени на этот адрес зайти из интернета.

[dmitry.a]

14 часа назад, sergeyk сказал:

Попробуйте для начала без имени на этот адрес зайти из интернета.

Из интернета по IP все работает и доступно.

[Кинетиковод]

У меня тоже два адреса белый внешний и внутрилокальный билайновский на 10.xx, но KeenDNS их ни разу не путал и всегда работает по внешнему адресу. Попробовал поменять приоритет и IPoE поставить выше L2TP, KeenDNS выдаёт "левый" IP видимо облака. Как заставить KeenDNS выдать 10.xx непонятно.

[Oleg Nekrylov]

Приватные сети ("серые"):

10.0.0.0 – 10.255.255.255
172.16.0.0 – 172.31.255.255
192.168.0.0 – 192.168.255.255

Если ваш адрес находится в этих диапазонах, то ни о каком "белом" адресе речи быть не может, вы выходите в интернет через NAT провайдера, так что KeenDNS тут абсолютно прав, вам стоит обратиться к вашему провайдеру и получить "белый" IP.

Но можно изловчиться (если у вас есть пул свободных адресов, например принадлежащий вашей компании и доступ к шлюзу) и кинуть внутрь туннель, и из свободных адресов организовать себе "домашний" сегмент  - когда нельзя, но очень хочется 😁

Изменено 6 февраля, 2020 пользователем Oleg Nekrylov

[Алексей Марков]

On 2/3/2020 at 6:42 PM, ndm said:

Разрешено, потому что кто-то в поддержке возмущался и слёзно просил, чтобы даже серые адреса прописывались в KeenDNS как есть. Видимо, для тех случаев, когда кинетик стоит за натом и должен открываться в локальной сети. Мы это включили, и жалобы прекратились. Хотя смысл ускользает...

Было же хорошо, вот на Omni II работает как надо. У меня кинетики стоят в режиме точки за микротиком, но Omni II отдаёт в KeenDNS мой внешний белый IP, а Ultra - свой локальный IP, что бессмысленно абсолютно.

[keenet07]

10 минут назад, Алексей Марков сказал:

Было же хорошо, вот на Omni II работает как надо. У меня кинетики стоят в режиме точки за микротиком, но Omni II отдаёт в KeenDNS мой внешний белый IP, а Ultra - свой локальный IP, что бессмысленно абсолютно.

Это огрех автоматического режима. Желательно конечно чтоб была возможность указывать какой именно адрес присваивать домену.

[dmitry.a]

В 06.02.2020 в 13:20, Oleg Nekrylov сказал:

Приватные сети ("серые"):

10.0.0.0 – 10.255.255.255
172.16.0.0 – 172.31.255.255
192.168.0.0 – 192.168.255.255

Если ваш адрес находится в этих диапазонах, то ни о каком "белом" адресе речи быть не может, вы выходите в интернет через NAT провайдера, так что KeenDNS тут абсолютно прав, вам стоит обратиться к вашему провайдеру и получить "белый" IP.

Но можно изловчиться (если у вас есть пул свободных адресов, например принадлежащий вашей компании и доступ к шлюзу) и кинуть внутрь туннель, и из свободных адресов организовать себе "домашний" сегмент  - когда нельзя, но очень хочется 😁

От того, что у провайдера NAT, ничего не меняется. Если есть доступ через белый IP, то нужно использовать именно его.

[Oleg Nekrylov]

В 11.02.2020 в 00:29, dmitry.a сказал:

От того, что у провайдера NAT, ничего не меняется. Если есть доступ через белый IP, то нужно использовать именно его.

Вы не понимаете о чем говорите - то что вы бегаете изнутри (из локальной сети провайдера) наружу (в интернет) - это вовсе не означает, что вы сможете пойти в обратном направлении.

Не думайте, что вы один такой исключительный, что имеется у провайдера: прилетел пакет снаружи (мы не рассматриваем conntrack, пакет реально снаружи), дальше что с ним делать, кому посылать? Васе-1, Васе-2 Васе-3...?

Вы поставили "Прямой доступ" находясь за NAT, что вы еще хотите? Что поставили, то и получили - адрес WAN-порта роутера. Вам надо ставить "Через облако".

Не знаю как работает KeenDNS (не разбирался, не было необходимости - у меня белые IP, а серый IP и так работает без проблем), но предполагаю 2 варианта:

1) Обратный туннель L2 (собственно я о нем намекал в предыдущем посте), но это чревато большим оверхедом. 

2) Обратный туннель L3

[vk11]

В 11.02.2020 в 00:29, dmitry.a сказал:

Если есть доступ через белый IP, то нужно использовать именно его.

10.* - это НЕ белый адрес, как бы он не был "организован" провайдером. Выше разработчики уже объяснили почему при серых адресах, они все-таки не заблокировали "пупочку"  "Прямой доступ".

[dmitry.a]

В 13.02.2020 в 00:04, Oleg Nekrylov сказал:

Вы не понимаете о чем говорите - то что вы бегаете изнутри (из локальной сети провайдера) наружу (в интернет) - это вовсе не означает, что вы сможете пойти в обратном направлении.

Не думайте, что вы один такой исключительный, что имеется у провайдера: прилетел пакет снаружи (мы не рассматриваем conntrack, пакет реально снаружи), дальше что с ним делать, кому посылать? Васе-1, Васе-2 Васе-3...?

Вы поставили "Прямой доступ" находясь за NAT, что вы еще хотите? Что поставили, то и получили - адрес WAN-порта роутера. Вам надо ставить "Через облако".

Не знаю как работает KeenDNS (не разбирался, не было необходимости - у меня белые IP, а серый IP и так работает без проблем), но предполагаю 2 варианта:

1) Обратный туннель L2 (собственно я о нем намекал в предыдущем посте), но это чревато большим оверхедом. 

2) Обратный туннель L3

Я прекрасно понимаю, о чем я говорю. То, что я бегаю изнутри из сети провайдера наружу в Интернет через NAT вовсе не доказывеет, что обратный путь закрыт. Давайте поставим точку надо этим всем - я такой исключительный и у меня есть доступ из Интернета. Васей тут нет, белый адрес дан лично мне и никому другому.

Я поставил "Прямой доступ" потому, что я знаю, что он есть. Мне надо, чтобы KeenDNS прописал в DNS белый адрес, т.е. точно так же, как это умеет делать NO-IP. Как они это делают - точно не знаю, но думаю, что они имеют больше опыта в этом направлении.

 

[dmitry.a]

В 13.02.2020 в 08:42, vk11 сказал:

10.* - это НЕ белый адрес, как бы он не был "организован" провайдером. Выше разработчики уже объяснили почему при серых адресах, они все-таки не заблокировали "пупочку"  "Прямой доступ".

Так мне как раз и нужен прямой доступ, только адрес нормальный, чтоб из Интернета все работало.

[Кинетиковод]

1 час назад, dmitry.a сказал:

Так мне как раз и нужен прямой доступ, только адрес нормальный, чтоб из Интернета все работало.

Попробуйте сторонний DynDNS, может на нём будет как надо. Noip например.

[AndreBA]

8 часов назад, Кинетиковод сказал:

Попробуйте сторонний DynDNS, может на нём будет как надо. Noip например.

Из всего написанного, ТС и говорит, что у него на NO-IP.все хорошо.

"Мне надо, чтобы KeenDNS прописал в DNS белый адрес, т.е. точно так же, как это умеет делать NO-IP. "

[vk11]

11 час назад, dmitry.a сказал:

 нужен прямой доступ, только адрес нормальный

Еще раз - 10.* - это НЕ НОРМАЛЬНЫЙ белый адрес. Это СЕРЫЙ адрес. Купите уже наконец НОРМАЛЬНЫЙ БЕЛЫЙ. Если где-то как-то работают некоторые костыли, то они не отменяют RFC 1918.

[MDP]

 ТС может говорит, что у провайдера настроен SNAT?...static Nat???

Ну типа белый адрес жестко привязан в маршрутизаторе провайдера с его серым адресом?

Изменено 15 февраля, 2020 пользователем MDP

[dmitry.a]

47 минут назад, MDP сказал:

 ТС может говорит, что у провайдера настроен SNAT?...static Nat???

Ну типа белый адрес жестко привязан в маршрутизаторе провайдера с его серым адресом?

Не могу сказать, как это точно называется, но так и есть. Адрес жестко привязан ко мне. Все, у кого не статический адрес, скорее всего делят внешние адреса провайдеора между собой, но за отдельную услугу можно у провайдера получить фиксированный адрес в личное пользование. Я уже это повторял несколько раз. Более того, я полагаю, что такая практика вполне распространена в мире, и именно поэтому NO-IP работает, как надо, но NO-IP не является полноценно бесплатным, в отличие от KeenDNS.

[dmitry.a]

1 час назад, vk11 сказал:

Еще раз - 10.* - это НЕ НОРМАЛЬНЫЙ белый адрес. Это СЕРЫЙ адрес. Купите уже наконец НОРМАЛЬНЫЙ БЕЛЫЙ. Если где-то как-то работают некоторые костыли, то они не отменяют RFC 1918.

Еще раз повторяю, адрес куплен, все работает напрямую (openvpn, wireguard, etc), текущий  NO-IP определяет адрес правильно и прописывает, что надо, но он условно бесплатный. А вот KeenDNS не уметь это при явном указании "Прямой доступ". Хватит мне рассказывать про серые адреса. Если у вас белый на роутере - это еще не значит, что у всех так. И я полагаю, что люди из NO-IP про это прекрасно знают, что схемы подключения пользователей к Интернету есть разные и ситуации разные. Или вы лично хотите мне организовать доступ в Интернет и выдать белый адрес?

Может оказаться так, что keendns не будет нормально работать за пределами РФ, т.к. там вполне может окзатаься статический NAT у многих провайдеров. А это проблема выхода на международный рынок.