Ahoj.
Mám Turris 1.0 s OS 3.11.21. Mám veřejnou IP a se záznamem ve veřejném DNS. V lokální síti mám NAS, ke které přistupuji lokálně i vzdáleně. Já bych ale chtěl, aby z lokální sítě se to veřejné jméno překládalo na lokální IP té NAS. Jak to na Turris nastavit, aby mi vlastně z lokální sítě dělal spoofing a překládal mi veřejné jméno na jinou (lokální) IP, než jaká je vedena ve veřejném DNS?
Díky
Protože není žádná reakce, zkusím lépe popsat situaci a co bych chtěl.
Mám veřejnou IP 123.123.123.123 na WAN Turrise 1.0. Této veřejné IP jsem nastavil ve veřejném DNS doménové jméno server.domena.cz. Na Turris mám nastavený port forwarding pro 80/TCP a 443/TCP na lokální IP NAS 192.168.10.10. Vše funguje jak má, z internetu se na NAS dostanu a z lokální sítě taky.
Turris má na LAN adresu 192.168.10.1. Turris je jediným DNS serverem (přesněji resolverem) pro lokální síť - všechny PC mají v IP konfiguraci nastavení jediné DNS 192.168.10.1.
Jenže z lokální sítě lezu zbytečně na NAS přes veřejnou IP, i když je NAS ve stejné lokální síti a já na ni můžu jít přímo po lokální síti. Já bych tedy chtěl, aby z lokální sítě mi Turris přeložil jméno server.domena.cz nikoliv na jeho veřejnou IP 123.123.123.123 z veřejného DNS, ale aby udělal “spoofing” a jméno server.domena.cz z lokální sítě přeložil na lokální IP NAS 192.168.10.10.
Jak to prosím na Turris nastavit?
Když chci v lokálu na NAS tak napíšu 192.168.2.110:5001 , dám si to do záložky (Rychlý přístup v Opeře) a jsem tam raz dva.
Když chci externě zadám https://buchtik.inet4.cz:5001/ nebo https://93.91.50.207:5001/
Ten tvůj požadavek neumím 
To mi nepomůže právě. Jednak webové rozhraní na IP bude řvát kvůli certifikátu, ale na NAS mi kromě webových služeb běží i další služby, kde už to tak snadno neudělám. Ty dva “webové” porty byl jen příklad, ve skutečnosti jich tam mám forwardovaných víc Nehledě na to, že to není jen pro mě, ale i pro další členy rodiny a nechci je mást takovými technikáliemi, že z domu dělej tohle a z venku to dělaj takhe jinak apod… Takže bych skutečně potřeboval “spoofovat” to doménové jméno.
Nerozumím, jak by mi to pomohlo… Asi se pořád nechápeme. Jak jsem již zmínil, nejde mi primárně o webové aplikace, ale primárně mi jde o další jiné služby, které na tom serveru běží a nemají žádné webové rozhraní, ale jen nějakou službu nebo klienta na koncových stanicích přímo komunikující s tím serverem pomocí toho doménového jména na nějakém portu.
Tedy opravdu potřebuji překládat to jedno doménové jméno v rámci LAN na lokální IP toho serveru. Jiné řešení mi nepomůže.
Mohl by jsi být konkrétnější ? O jaké služby jde ? Běží na NAS ?
Bývá zvykem, že další služby, pokud běží na NAS, mají vlastní setup pro nastavení portů, pro veřejnou dostupnost. Tedy veřejná IP a odlišné porty. Pak stačí nastavit port forward. Ale to ti asi zase nebude stačit :-).
A pokud přistupuješ na spec. služby NASu lokálně je to stejné … lokální IP a port. (+záložka v prohlížeči)
Těch služeb tam běží víc různých. Ale většinou mají společné to, že na koncové stanici je nějaký klient (aplikace - zmínil jsi Synology, tak si představ třeba jejich Synology Drive klient pro Windows), ve kterém zadám doménového jméno toho serveru a ta aplikace se se serverem spojí. Aby to fungovalo i z internetu, když PC není v lokální síti, musím tam zadat veřejné doménové jméno. Jenže kvůli tomu, že i z lokální sítě se mi to jméno přeloží na veřejnou IP, tak i z lokální sítě fakticky lezu přes WAN na ten server, i když ten server je ve stejné lokální síti a tedy bych mohl na něj jít přímo a výrazně rychleji.
Proto potřebuji, aby Turris jako lokální DNS server mi to jméno z lokální sítě přeložil na lokální IP toho serveru a já nechodil z lokální sítě přes veřejnou IP přes WAN.
Záložky apod. ve webovém prohlížeči mi nějak nepomůžou, protože drtivá většina z těch služeb není webových a nemá žádné webové rozhraní, ale jen klientskou aplikaci nainstalovanou na PC, která se připojuje na nějaké zadané doménové jméno.
Anebo aby ten IP forwarding fungoval nejen z WAN ale i z LAN. Přišlo by mi to principiálně čistší.* Osobně mám v tomhle nejraději IPv6, protože tam není potřeba dělat “komplikované prasárny” typu NAT, port forwarding (apod.) – a prostě stejná adresa funguje vždy (samozřejmě kromě povolení přístupu na ni z WAN ve firewallu).
* Například až si někdo (Firefox, apod.) usmyslí, že lokální DNS není důvěryhodné a musí se ptát jiného providera, anebo se pokusí tu lokální odpověď zvalidovat a zjistí že byla zfalšována.
Bylo by rozumné napsat o jaké služby bez webového rozhraní se jedná, už jsem se jednou ptal. Když chce někdo pomoci s problémem a protistrana v diskusi chce nějaké upřesnění, je dobré to číst a odpovědět.
Předpokládám, že v configu aplikace mohu vždy nastavit na dva profily pro lokál a WAN. Stejně jako si nastavím SSH klienta (aplikaci) pro použití v LAN nebo zvolím přednastavený profil na přihlášení z WAN.
Podobně se chovají android aplikace Synology, kde nazadávám http adresu pro universální překlad domény pro připojení v lan a WAN, ale v přihlašovacím dialogu mám dva profily se dvěma číselnými IP adresami pro lokál a WAN.
Ahoj,
také mám Turris 1.0 a veřejnou IP adresu a doménu. A před lety jsem řešil myslím stejný problém.
Aktuálně mám TurrisOS 5.1.4, Turris 1.x, ale fungovalo mi to i na starších verzích řady 3.
Pro blokaci reklam užívám unbound
Zajišťuje to překlad jmen. Reklamní servery to směřuje na 127.0.0.1. Web server provozovaný na Turrisu mi to směřuje na 192.168.1.1.
Někam (já to mám na začátku) do souboru /etc/unbound/ad_servers.conf přidej řádky:
local-zone: “server.domena.cz.” redirect
local-data: “server.domena.cz. IN A 192.168.10.10”
Po uložení je třeba restartovat službu:
/etc/init.d/unbound restart
První ping je přes mobilní hotspot a druhý přes lokální Wifi.
Zařízení v lokální síti mají většinou jména v cache, proto možná bude potřeba ji vyprázdnit, to pokud bys záznamy v unbound měnil:
ipconfig /flushdns
Jirka
Zajímavé řešení. A pokud se stanice používá střídavě v lokální síti a střídavě ve WAN ?
Notebooky, tablet i mobily požíváme jak doma (lokální síť), tak v práci i na cestách (přístup z WAN). Nikdy s tím problém nebyl. Vždy se používá příslušný DNS a je na něm, aby vrátil správnou adresu.
Původní motivace byla HTTPS na domácí stránky, ale hodí se to i na blokaci nevhodných serverů.
Jirka
Pak je to asi řešení problému.
Díky, tohle bude řešení, které jsem hledal.
