DNS record pingbaar vanaf het publieke netwerk laat LAN IP zien
Goedenavond,
Ik zit met een apart probleem, waar ik vanavond achter ben gekomen met behulp van een collega, Het zit namelijk zo. Ik heb een DNS naam bij OVH waarna ik A records heb aangemaakt die gericht zijn naar mijn LAN IP’s.
Nu kan mijn collega vanuit zijn thuisnetwerk dus deze DNS naam bijv. gitlab.dnsnaam.nl pingen waarna hij ook het interne LAN IP te weten komt via de CLI, dus met andere woorden, als iemand die DNS record pingt dan weet diegene ook gelijk het LAN IP van deze machine. Ik ben nu wel benieuwd hoe dit kan want dit zou toch niet mogen kunnen?
Daarbij moet wel gezegd worden dat mijn DNS naam ook was gekoppeld aan mijn publieke WAN IP (Heb dit inmiddels verwijderd voor test).
Heeft iemand hier antwoord op?
Bladzijde 1 / 1
Ik neem aan dat je bedoelt dat dat DNS record naar jouw WAN IP wijst.
Het klopt dat jouw WAN IP adres vanaf jouw thuisnetwerk prima te pingen is maar dat dit van buitenaf niet lukt.
Goedenavond,
Ik zit met een apart probleem, waar ik vanavond achter ben gekomen met behulp van een collega, Het zit namelijk zo. Ik heb een DNS naam bij OVH waarna ik A records heb aangemaakt die gericht zijn naar mijn LAN IP’s.
Dat is niet de normale gang van zaken. Je stelt geen LAN ip in op een publiek toegankelijke DNS server.
Nu kan mijn collega vanuit zijn thuisnetwerk dus deze DNS naam bijv. gitlab.dnsnaam.nl pingen waarna hij ook het interne LAN IP te weten komt via de CLI, dus met andere woorden, als iemand die DNS record pingt dan weet diegene ook gelijk het LAN IP van deze machine.
Logisch toch? Je zelf dat ip ingesteld. Dan is het toch ook logisch dat iedereen dat kan zien?
Ik bedoelde meer dit:
Zoals te zien heb ik meerdere services draaien binnen mijn netwerk en heb ik deze gekoppeld aan een DNS record voor betere toegang. Dit zijn al mijn LAN IP adressen die aan de betreffende records zijn gekoppeld.
Daarbij had ik de generieke DNS naam dus verwezen naar mijn publieke WAN IP. Alleen dit heb ik even verwijderd om te zien of dan nog steeds mijn lokale LAN IP die gekoppeld is aan dat betreffende DNS record is te zien.
Ik ken meerdere mensen die het op deze manier doen, omdat sommige mensen een HomeLAB hebben waaronder ik ook. Waar ze niet constant ieder IP adres willen invoeren, maar ook gebruik willen maken van een DNS record. Dit maakt het overigens ook makkelijker om Letsencrypt certificaten aan te vragen (zelf nog niet gedaan).
Maar zoals Nick al aangeeft, het kan misschien ook komen doordat de DNS server publiekelijk toegankelijk is, dat het daardoor komt. Voor mij ook een eerste keer dat ik dit meemaak.
EDIT: Mijn vraag is voornamelijk: Wat kan een persoon met het LAN IP adres die te zien is zodra ze een DNS record pingen vanaf het publieke netwerk? Mij lijkt dat het niet veel kan zijn toch (Kan het mis hebben)?
EDIT: Mijn vraag is voornamelijk: Wat kan een persoon met het LAN IP adres die te zien is zodra ze een DNS record pingen vanaf het publieke netwerk? Mij lijkt dat het niet veel kan zijn toch (Kan het mis hebben)?
Daar kan die persoon helemaal niets mee.
Eigenlijk is het niet de bedoeling om DNS records naar lokale IP adressen te laten wijzen maar goed, blijkbaar kan dat bij OVH.
Als iemand die dns entry pingt en response krijgt dan heeft die persoon op zijn/haar eigen thuisnetwerk een apparaat met hetzelfde IP adres die reageert op dat ping verzoek.
Dit maakt het overigens ook makkelijker om Letsencrypt certificaten aan te vragen (zelf nog niet gedaan).
Dat gaat hem niet worden immers LetsEncrypt zal het domein via http willen benaderen om zo het IP adres te controleren. Dat zal dus niet gaan lukken.
EDIT: Mijn vraag is voornamelijk: Wat kan een persoon met het LAN IP adres die te zien is zodra ze een DNS record pingen vanaf het publieke netwerk? Mij lijkt dat het niet veel kan zijn toch (Kan het mis hebben)?
Daar kan die persoon helemaal niets mee.
Eigenlijk is het niet de bedoeling om DNS records naar lokale IP adressen te laten wijzen maar goed, blijkbaar kan dat bij OVH.
Als iemand die dns entry pingt en response krijgt dan heeft die persoon op zijn/haar eigen thuisnetwerk een apparaat met hetzelfde IP adres die reageert op dat ping verzoek.
Dit is het antwoord wat ik nodig had, dankjewel Natuurlijk snap ik dat alleen het was gewoon om te zien van wat zal er gebeuren als ik de DNS record die verwijst naar mijn WAN IP verwijder.
Dit maakt het overigens ook makkelijker om Letsencrypt certificaten aan te vragen (zelf nog niet gedaan).
Dat gaat hem niet worden immers LetsEncrypt zal het domein via http willen benaderen om zo het IP adres te controleren. Dat zal dus niet gaan lukken.
Ik voeg het DNS record met de verwijzing naar het WAN IP weer toe ook om deze reden en ik heb nu antwoord op mijn vraag.
Ik bedoelde meer dit:
Zoals te zien heb ik meerdere services draaien binnen mijn netwerk en heb ik deze gekoppeld aan een DNS record voor betere toegang. Dit zijn al mijn LAN IP adressen die aan de betreffende records zijn gekoppeld.
Daarbij had ik de generieke DNS naam dus verwezen naar mijn publieke WAN IP. Alleen dit heb ik even verwijderd om te zien of dan nog steeds mijn lokale LAN IP die gekoppeld is aan dat betreffende DNS record is te zien.
Ik ken meerdere mensen die het op deze manier doen, omdat sommige mensen een HomeLAB hebben waaronder ik ook. Waar ze niet constant ieder IP adres willen invoeren, maar ook gebruik willen maken van een DNS record.
Ja, ik ook. Maar dan doe ik dat wel op mn eigen DNS server, die op mn eigen (thuis) router draait. Waar alleen ikzelf vanuit mn eigen netwerk bij kan.
Ja, ik ook. Maar dan doe ik dat wel op mn eigen DNS server, die op mn eigen (thuis) router draait. Waar alleen ikzelf vanuit mn eigen netwerk bij kan.
Op de meeste routers (ook de Experia Boxen) kan je een domein instellen.
Apparaten hebben veelal ook een naam waarmee ze zich aanmelden op het netwerk.
Daarmee is zo'n apparaat ook benaderbaar via naam.domein.
In het onderstaande voorbeeld is het domein ingesteld op "iot.local" terwijl het apparaat de naam "telefoon" heeft.
Het resultaat is dat mijn telefoon benaderbaar is op telefoon.iot.local.
<Knip>
Heb denk ik inmiddels al de juiste oplossing gevonden, zoals Nick al aangaf. Ga ik ook maar eens proberen, kijken wat er dan gebeurd :)
Schijnbaar heeft de collega geen 192.168.3.x range in zijn thuisnetwerk zitten… Dus dat maakt het nu nog aparter, dus kan hij wel gitlab.dnsnaam.nl pingen en dan ziet hij het LAN IP van deze machine. Hij kan trouwens alleen resolven en niet het IP-adres zelf pingen uiteraard. Maar laat dit voor ‘derden’ geen gaten op in het netwerk, waarbij ze eventueel kwaadwillende actie zouden kunnen uitvoeren?
Het is logisch dat jouw collega dat IP adres te zien krijgt immers in de DNS server ligt dat IP adres vast bij het domein en dus is dat het IP adres wat door de DNS server teruggegeven wordt. Als hij hetzelfde subnet (192.168.3.x) zou hebben gehad dan zou het een apparaat gehad kunnen hebben met dat IP adres die hij dan had kunnen pingen. Heeft hij een ander subnet dan kan hij dus niets pingen.
Een ander persoon heeft werkelijk helemaal niets aan een LAN IP adres, die zullen ze vanaf Internet nooit kunnen gebruiken. Don't worry.
Schijnbaar heeft de collega geen 192.168.3.x range in zijn thuisnetwerk zitten… Dus dat maakt het nu nog aparter, dus kan hij wel gitlab.dnsnaam.nl pingen en dan ziet hij het LAN IP van deze machine. Hij kan trouwens alleen resolven en niet het IP-adres zelf pingen uiteraard. Maar laat dit voor ‘derden’ geen gaten op in het netwerk, waarbij ze eventueel kwaadwillende actie zouden kunnen uitvoeren?
Het is logisch dat jouw collega dat IP adres te zien krijgt immers in de DNS server ligt dat IP adres vast bij het domein en dus is dat het IP adres wat door de DNS server teruggegeven wordt. Als hij hetzelfde subnet (192.168.3.x) zou hebben gehad dan zou het een apparaat gehad kunnen hebben met dat IP adres die hij dan had kunnen pingen. Heeft hij een ander subnet dan kan hij dus niets pingen.
Een ander persoon heeft werkelijk helemaal niets aan een LAN IP adres, die zullen ze vanaf Internet nooit kunnen gebruiken. Don't worry.
Bedankt voor je vriendelijke antwoord, stelt me al gerust
Wellicht dat ik de Domain Name alsnog thuis ga draaien.
Welke Experia Box heb je en waar heb je het domein op ingesteld staan?
Wellicht dat ik de Domain Name alsnog thuis ga draaien.
Welke Experia Box heb je en waar heb je het domein op ingesteld staan?
Ik draai de ER-X, heb op het moment daar de DNS naam standaard op thuis.local staan. Als ik die verander naar mijn eigen dnsnaam dan zouden de servers automatisch die moeten oppakken.
Ik draai de ER-X, heb op het moment daar de DNS naam standaard op thuis.local staan. Als ik die verander naar mijn eigen dnsnaam dan zouden de servers automatisch die moeten oppakken.
Twee methoden:
1) Domein naam in DHCP server met device namen.
2) Via static host mappings waar de willekeurige domeinen kunt vastleggen.
In het bovenstaande voorbeeld laat ik het domein wat naar mijn publieke IP adres verwijst op het LAN juist naar het lokale IP adres wijzen.
Ik draai de ER-X, heb op het moment daar de DNS naam standaard op thuis.local staan. Als ik die verander naar mijn eigen dnsnaam dan zouden de servers automatisch die moeten oppakken.
Twee methoden:
1) Domein naam in DHCP server met device namen.
2) Via static host mappings waar de willekeurige domeinen kunt vastleggen.
In het bovenstaande voorbeeld laat ik het domein wat naar mijn publieke IP adres verwijst op het LAN juist naar het lokale IP adres wijzen.
Dit is wel een goede om mezelf even in te verdiepen namelijk. Is namelijk wel interessant want dan host ik het domein gewoon binnen mijn eigen netwerk zelf. Bedankt voor de tip(s).
De Kennisbank
Heb je vragen over diensten, producten of wil je weten hoe je modeminstellingen verandert? Vind het antwoord op de meest gestelde vragen in onze Kennisbank
Enter your E-mail address. We'll send you an e-mail with instructions to reset your password.
Bestand scannen voor virussen
Sorry, we zijn de inhoud van dit bestand nog aan het controleren om er zeker van te zijn dat het veilig is om te downloaden. Probeer het nog een keer over een paar minuten.
Natuurlijk snap ik dat alleen het was gewoon om te zien van wat zal er gebeuren als ik de DNS record die verwijst naar mijn WAN IP verwijder.
