Início / server / Perguntas / 767311
Accepted
Squid_Vicious
Asked: 2016-04-01 03:59:46 +0800 CST

Conexão SSH porta 22 via nome de domínio, mas não endereço IP público

  • 772

Eu tenho um roteador Draytek configurado para encaminhar conexões SSH para um servidor interno apenas de endereços IP específicos. Os clientes e eu podemos nos conectar externamente com sucesso, exceto aquele que não pode se conectar ao endereço IP estático público do nosso roteador, mas apenas ao seu nome de domínio. router.domain.com O roteador deve ter um nome de domínio atribuído a ele? Não tenho certeza porque eles só podem se conectar ao nome de domínio e não ao ip - Conselho apreciado

domain-name-system

1 respostas

  1. Best Answer

    Com base nas informações limitadas da pergunta, não é possível dizer com certeza por que a conectividade usando um nome de host funciona, mas conectar-se ao mesmo servidor usando um endereço IP não funciona.

    No entanto, acho que a explicação mais provável é que o cliente depende do DNS64 + NAT64 para se conectar ao servidor. Desde que os endereços IPv4 acabaram, as implantações de vários tipos de soluções CGN tornaram-se mais comuns. Um deles é DNS64+NAT64, e tem a limitação de que os clientes não podem se conectar a servidores IPv4 por endereço IP.

    O que acontecerá quando esse cliente se conectar a um servidor somente IPv4 é o seguinte:

    • Cliente envia consulta AAAA paraserver.example.com
    • Servidor DNS64 envia consulta AAAA paraserver.example.com
    • O servidor autoritativo envia NOANSWER.
    • O servidor DNS64 envia uma consulta paraserver.example.com
    • O servidor autoritativo responde com192.0.2.1
    • DNS64 se traduz 192.0.2.1em64:ff9b::192.0.2.1
    • O cliente se conecta ao NAT64 no endereço64:ff9b::192.0.2.1
    • NAT64 se traduz 64:ff9b::192.0.2.1em192.0.2.1

    Se o cliente for OpenSSH, você pode usar ssh -vno lado do cliente para ver a qual endereço IP ele está se conectando. Se o servidor for apenas IPv4 e o cliente se conectar a um endereço IPv6 quando receber o nome do host, você saberá que o cliente depende de DNS64+NAT64.

    Mitigações possíveis se você não conseguir se conectar ao endereço IP devido ao NAT64:

    • Habilite o IPv6 no servidor e crie um registro AAAA juntamente com o registro A atual. O cliente agora pode se conectar diretamente ao endereço IPv6 do servidor. Este é o método preferencial mesmo que o cliente continue usando conexões por nome de host, pois removerá a dependência do NAT64.
    • Deixe como está. Você disse que as conexões usando o nome do host do servidor funcionam. Portanto, o DNS64+NAT64 está funcionando conforme o esperado e não há necessidade imediata de alterar nada. Na maioria dos casos, as conexões usando um nome de host são consideradas práticas melhores do que conectar-se diretamente ao endereço IP, portanto, não há motivo real para parar de usar o nome de host.
    • Faça com que o cliente se conecte usando o nome do host uma vez para aprender o endereço IPv6 para o qual o DNS64 mapeou e, em seguida, continue se conectando por meio do NAT64 usando esse endereço IPv6. (Funciona, mas parece um pouco bobo)
    • Faça com que o cliente use o NAT464. Esta é uma solução destinada ao caso em que o software cliente suporta apenas IPv4, mas o cliente está conectado a uma rede de acesso apenas IPv6. No entanto, se as conexões por nome de host já funcionarem, você não precisará do NAT464 e será melhor usar uma das outras soluções.
    • 2

relate perguntas