Publiek domein naar kantoor ip adres Ubuntu server - Internet en hosting

vrijdag 1 juli 2022 12:12

Acties:

0 Henk 'm!

Topicstarter

Goedemiddag,

Voor onze development omgeving wil ik een publiek .nl domein doorsturen naar een ubuntu server op kantoor (virtual machine draaiend op een synology).

Ik heb een domein gekocht en via een A record (DNS) ons eigen publiek ip adres ingevuld.

Op de router (Draytek) heb ik via LAN DNS een record aangemaakt met het interne IP adres van de ubuntu server (virtual machine).

Nu werkt dit op mijn Mac via Safari perfect (inclusief Let's Encrypt certificaat).
Ga ik op dezelfde Mac via Microsoft Edge naar dit domein, dan krijg ik een certificaat fout en als ik dat accepteer kom ik op de login pagina van de Router terecht.

Via mijn mobiel kan ik soms verbinden via dit domein (routerpagina wordt getoond i.p.v. de webserver), maar soms kan hij de server niet vinden.

Hoe kan dit en wat doe ik fout?

Ik moet het domein toch gewoon met mijn ubuntu server kunnen linken die ik via een virtual machine draai?

Als ik via WiFi verbonden ben op mijn Mac en ping naar het domein krijg ik dit:

code:

64 bytes from 192.168.1.40: icmp_seq=6648 ttl=64 time=3.008 ms
64 bytes from 192.168.1.40: icmp_seq=6649 ttl=64 time=2.815 ms
64 bytes from 192.168.1.40: icmp_seq=6650 ttl=64 time=3.305 ms
64 bytes from 192.168.1.40: icmp_seq=6651 ttl=64 time=2.834 ms
64 bytes from 192.168.1.40: icmp_seq=6652 ttl=64 time=2.737 ms
64 bytes from 192.168.1.40: icmp_seq=6653 ttl=64 time=3.493 ms

Waarbij 192.168.1.40 het IP adres is van de Ubuntu virtuele server.

Maak ik verbinding via 4G (hotspot van mijn telefoon), dan krijg ik dit:

code:

Request timeout for icmp_seq 6752
Request timeout for icmp_seq 6753
Request timeout for icmp_seq 6754
Request timeout for icmp_seq 6755
Request timeout for icmp_seq 6756

[ Voor 31% gewijzigd door blb op 01-07-2022 12:14 ]

vrijdag 1 juli 2022 12:14

Acties:

0 Henk 'm!

CyBeRSPiN

sinds 2001

@blb waarom gebruik je niet het interne IP adres in je A record? Of wil je de omgeving ook extern kunnen benaderen?
Met 4G zit je niet op je LAN uiteraard dus logisch dat het dan niet werkt?
Het zal te maken hebben met je DNS configuratie. Misschien dat Edge standaard een externe DNS gebruikt (en dus je publieke IP vindt, en dus niet het juiste server certificaat voorgeschoteld krijgt) ipv de DNS van je router?

[ Voor 60% gewijzigd door CyBeRSPiN op 01-07-2022 12:17 ]

vrijdag 1 juli 2022 12:18

Acties:

0 Henk 'm!

blb

Topicstarter

Hmmz, dat is een goeie. Dan moet ik bij de partij waar ik mijn domein heb gekocht alleen het A record instellen op 192.168.1.40 in dit geval?

Extern hoeft niet per se aangezien ik via VPN kan verbinden met kantoor indien ik van buitenaf op mijn omgeving moet kunnen

vrijdag 1 juli 2022 12:19

Acties:

0 Henk 'm!

CyBeRSPiN

sinds 2001

@blb ja dat kan. Je Lets Encrypt config zal je misschien iets moeten aanpassen zodat de validatie via een TXT record gaat, want Lets Encrypt kan dan niet langer connected naar die host om het eigendom te valideren.

vrijdag 1 juli 2022 12:22

Acties:

0 Henk 'm!

blb

Topicstarter

Bedankt, ik heb LetsEncrypt al voor elkaar (inderdaad via een TXT record).
Nu bedenk ik me wel dat ik soms van buitenaf verbinding moet kunnen maken (een callback van een koppeling bijvoorbeeld).

Dit idee zou toch ook moeten kunnen? Of klopt mijn eerste omschrijving dan niet

vrijdag 1 juli 2022 12:22

Acties:

0 Henk 'm!

martijn.s

Waarschijnlijk wordt jouw ping via een buitenverbinding geblokkeerd door de firewall

[ Voor 17% gewijzigd door martijn.s op 01-07-2022 12:23 ]

vrijdag 1 juli 2022 12:24

Acties:

+1 Henk 'm!

Falcon93

blb schreef op vrijdag 1 juli 2022 @ 12:22:
Bedankt, ik heb LetsEncrypt al voor elkaar (inderdaad via een TXT record).
Nu bedenk ik me wel dat ik soms van buitenaf verbinding moet kunnen maken (een callback van een koppeling bijvoorbeeld).

Dit idee zou toch ook moeten kunnen? Of klopt mijn eerste omschrijving dan niet

Als je je port geforward hebt, kun je lokaal ook de server via je publiek ip adres benaderen, mits NAT loopback/hairpinning ingeschakeld staat.

Dan hoef je lokaal geen verwijzing te maken naar een intern ipadres.

vrijdag 1 juli 2022 12:24

Acties:

0 Henk 'm!

CyBeRSPiN

sinds 2001

blb schreef op vrijdag 1 juli 2022 @ 12:22:

Dit idee zou toch ook moeten kunnen? Of klopt mijn eerste omschrijving dan niet

Ja zeker, dit moet kunnen werken. 1 DNS name die van buiten een ander IP levert dan vanuit je LAN.

vrijdag 1 juli 2022 12:25

Acties:

0 Henk 'm!

blb

Topicstarter

martijn.s schreef op vrijdag 1 juli 2022 @ 12:22:
Waarschijnlijk wordt jouw ping via een buitenverbinding geblokkeerd door de firewall

Maar hoe kan Safari dan wel op de juiste manier verbinden?
En ik kom wel op de login pagina van de Router (draytek)

Falcon93 schreef op vrijdag 1 juli 2022 @ 12:24:
[...]

Als je je port geforward hebt, kun je lokaal ook de server via je publiek ip adres benaderen, mits NAT loopback/hairpinning ingeschakeld staat.

Dan hoef je lokaal geen verwijzing te maken naar een intern ipadres.

Port forwarding lukt niet omdat de router aangeeft dat poort 80 en 443 al in gebruik zijn voor de webomgeving om de router in te stellen

vrijdag 1 juli 2022 12:28

Acties:

0 Henk 'm!

Falcon93

blb schreef op vrijdag 1 juli 2022 @ 12:25:
[...]

Maar hoe kan Safari dan wel op de juiste manier verbinden?
En ik kom wel op de login pagina van de Router (draytek)

[...]
Port forwarding lukt niet omdat de router aangeeft dat poort 80 en 443 al in gebruik zijn voor de webomgeving om de router in te stellen

De router is toevallig niet vanaf het internet bereikbaar?

of is het een router aan een router opstelling, dubbele NAT

vrijdag 1 juli 2022 12:29

Acties:

0 Henk 'm!

blb

Topicstarter

Ik weet niet helemaal hoe het zit, ik heb in een kantoor pand een eigen IP (zit wellicht wel achter het kantoorcomplex netwerk).

Achter mijn router hangt een Ubiquiti AP maar dat is alles (aan mijn kant maar 1 router dus)

vrijdag 1 juli 2022 12:32

Acties:

0 Henk 'm!

Falcon93

blb schreef op vrijdag 1 juli 2022 @ 12:29:
Ik weet niet helemaal hoe het zit, ik heb in een kantoor pand een eigen IP (zit wellicht wel achter het kantoorcomplex netwerk).

Achter mijn router hangt een Ubiquiti AP maar dat is alles (aan mijn kant maar 1 router dus)

Geeft je Draytek router bij WAN een lokaal ip adres aan of een publiek ip? Waar beginnen de cifjers mee?

Het kan best zijn dat je draytek een lokaal ip adres krijgt.

vrijdag 1 juli 2022 12:34

Acties:

0 Henk 'm!

pennywiser

Ik gok ook op dubbel nat. Controleer dit in je Draytek wan info.

Of paste eens een tracert naar google.nl bv.

vrijdag 1 juli 2022 12:36

Acties:

0 Henk 'm!

blb

Topicstarter

In de Draytek configuratie (WAN1 -> Static or Dynamic IP) heb ik bij "Specify an IP address" het publieke IP adres moeten invullen

vrijdag 1 juli 2022 12:38

Acties:

0 Henk 'm!

Falcon93

blb schreef op vrijdag 1 juli 2022 @ 12:36:
In de Draytek configuratie (WAN1 -> Static or Dynamic IP) heb ik bij "Specify an IP address" het publieke IP adres moeten invullen

Maar wat zijn de eerste 2/3 getallen van je publieke IP?

vrijdag 1 juli 2022 12:38

Acties:

0 Henk 'm!

blb

Topicstarter

213.34....

vrijdag 1 juli 2022 12:44

Acties:

0 Henk 'm!

CH4OS

It's a kind of magic

CyBeRSPiN schreef op vrijdag 1 juli 2022 @ 12:14:
@blb waarom gebruik je niet het interne IP adres in je A record? Of wil je de omgeving ook extern kunnen benaderen?

Dan nog. Ook als je extern een "dev" domein wilt benaderen, zou ik dat lekker binnen de VPN of iets dergelijks doen. Nooit een (test|dev) (sub)domein publiekelijk beschikbaar stellen! Makkelijkste is dus om te zorgen dat het .nl domein wel in de DNS zit van het bedrijf en de VPN, daar buiten hoeft het op zich niet te werken.

vrijdag 1 juli 2022 12:46

Acties:

0 Henk 'm!

blb

Topicstarter

Voor mij kan dat wel maar als een API een callback uitvoert kan hij ons development domein niet bereiken. Maar hier kan ik wel mee leven. Misschien is dit het veiligste

vrijdag 1 juli 2022 12:46

Acties:

0 Henk 'm!

Falcon93

Ja dat is goed. Wat betreft pingen, je router blokkeert ICMP verzoeken van de buitenwereld.

Als je je webserver van buiten bereikbaar wilt maken zul je moeten port forwarden of gebruikmaken van een dienst zoals ngrok.

Kijk ook of de firewall op de host (systeem waar je vm op draait), ook die poort toestaat.

Port forwarden kun je vaak ook limiteren op basis van ip adres ipv voor iedereen.

ICMP staat los van port forwarding

[ Voor 10% gewijzigd door Falcon93 op 01-07-2022 12:47 ]

vrijdag 1 juli 2022 12:52

Acties:

0 Henk 'm!

blb

Topicstarter

Bedankt, ik hou het voor nu even op intern, als ik het extern nodig heb zoek ik wat de ICMP betekent

vrijdag 1 juli 2022 12:55

Acties:

0 Henk 'm!

CH4OS

It's a kind of magic

blb schreef op vrijdag 1 juli 2022 @ 12:52:
Bedankt, ik hou het voor nu even op intern, als ik het extern nodig heb zoek ik wat de ICMP betekent

De ICMP is wat gebruikt wordt om een ping te kunnen doen.

[ Voor 12% gewijzigd door CH4OS op 01-07-2022 12:55 ]

vrijdag 1 juli 2022 12:56

Acties:

0 Henk 'm!

blb

Topicstarter

Bedankt, maar hoe kan het dan alsnog dat het via Safari wel werkte? De router bepaalt toch wat wel kan en wat niet?

vrijdag 1 juli 2022 12:57

Acties:

0 Henk 'm!

CH4OS

It's a kind of magic

blb schreef op vrijdag 1 juli 2022 @ 12:56:
Bedankt, maar hoe kan het dan alsnog dat het via Safari wel werkte? De router bepaalt toch wat wel kan en wat niet?

De Mac staat op kantoor? Dan het interne netwerk.

Indien de Mac was/is verbonden met de VPN van de zaak, dan pakt de VPN client de DNS van de VPN als primaire DNS? In die trant zou ik het zoeken.

[ Voor 5% gewijzigd door CH4OS op 01-07-2022 12:58 ]

vrijdag 1 juli 2022 12:58

Acties:

0 Henk 'm!

blb

Topicstarter

De Mac staat op kantoor (verbonden via het kantoor wifi zonder vpn). Zowel Safari als Edge draaien op die Mac waarbij het via Safari wel werkt maar via Edge niet

vrijdag 1 juli 2022 12:59

Acties:

0 Henk 'm!

CH4OS

It's a kind of magic

Misschien een proxy in Edge ingesteld?

vrijdag 1 juli 2022 13:00

Acties:

0 Henk 'm!

blb

Topicstarter

Niet dat ik weet, heb edge zelf geïnstalleerd en verder niets ingesteld