Posted in Kompiuterija Patarimai

Dynamic DNS pradedantiesiems

on
novatech.lt

Kas tas Dynamic DNS ir kodėl tau tai rūpi?

Jei esi kada nors bandęs prisijungti prie savo namų serverio iš darbo, žaisti su Raspberry Pi projektais ar tiesiog norėjai pasiekti savo namų kamerą iš kito miesto – greičiausiai susidūrei su problema, kurios iš pirmo žvilgsnio net nesupratai. Interneto adresas, kuriuo vakar viskas veikė, šiandien tiesiog nebeveikia. Ir ne todėl, kad kažkas sugedo. Tiesiog tavo interneto tiekėjas pakeitė tavo IP adresą. Tyliai, be įspėjimo, kaip ir daro.

Čia į sceną įžengia Dynamic DNS – arba DDNS, kaip dažniausiai matysi sutrumpintą. Tai technologija, kuri išsprendžia vieną iš labiausiai erzinančių namų tinklo problemų: kaip pasiekti savo įrenginius, kai jų adresas nuolat keičiasi.

Bet pradėkime nuo pradžių, nes be konteksto DDNS koncepcija skamba kaip beprasmis techninis žargonas.

IP adresai – kodėl jie keičiasi ir ką tai reiškia praktiškai

Kiekvienas įrenginys internete turi IP adresą – unikalų skaitinį identifikatorių, kuris leidžia kitiems įrenginiams jį rasti. Galvok apie tai kaip apie namų adresą, tik skaitmeninį. Problema ta, kad daugelis interneto tiekėjų (ISP) nenori arba negali suteikti kiekvienam klientui pastovaus, nekintančio IP adreso.

Kodėl? Paprasčiausiai todėl, kad IPv4 adresų yra ribotas kiekis – apie 4,3 milijardo, ir jie seniai išnaudoti. Tiekėjai naudoja dinaminį adresų priskyrimą (DHCP), kad efektyviai paskirstytų turimus adresus tarp klientų. Kai tavo maršrutizatorius prisijungia prie interneto, jis gauna laisvą adresą iš tiekėjo adresų „baseino”. Kai atsijungi arba po tam tikro laiko – adresas grąžinamas atgal ir gali būti priskirtas kažkam kitam.

Praktiškai tai reiškia štai ką:

  • Šiandien tavo namų serveris pasiekiamas adresu 85.206.44.123
  • Po maršrutizatoriaus perkrovimo ar tiekėjo sprendimo – jau 85.206.44.201
  • Visi nuorodos, kurias sukonfigūravai, nustoja veikti
  • Tu sėdi darbe ir galvoji, kodėl niekas neveikia

Statinis IP adresas šią problemą išsprendžia, bet jis paprastai kainuoja papildomai – nuo kelių iki keliasdešimt eurų per mėnesį, priklausomai nuo tiekėjo. Namų vartotojui tai dažnai per brangu dėl to, ką gauni mainais.

Kaip Dynamic DNS veikia po gaubtu

DDNS sprendimas yra elegantiškai paprastas. Vietoj to, kad bandytum atsiminti ar sekti besikeičiantį IP adresą, tu naudoji fiksuotą domeną – pavyzdžiui, manonamai.ddns.net. Šis domenas visada nurodo į tavo dabartinį IP adresą, nesvarbu, koks jis šiuo metu yra.

Visa sistema veikia trimis komponentais:

1. DDNS paslaugos teikėjas – tai serveris, kuris saugo DNS įrašus ir leidžia juos atnaujinti programiškai. Jie suteikia tau domeną ir API, per kurį galima pranešti apie IP pasikeitimus.

2. Klientas tavo tinkle – programa ar skriptas, kuris nuolat stebi tavo viešąjį IP adresą ir, jam pasikeitus, iš karto praneša DDNS teikėjui. Daugelis šiuolaikinių maršrutizatorių turi šią funkciją įmontuotą.

3. DNS sistema – kai kažkas bando pasiekti tavo domeną, DNS sistema grąžina dabartinį IP adresą, kurį DDNS teikėjas turi savo duomenų bazėje.

Visas procesas vyksta per sekundes. Tavo IP pasikeitė? Klientas tai pastebi per kelias minutes, atnaujina įrašą, ir po DNS propagacijos (kuri su DDNS yra labai greita, nes TTL reikšmės būna mažos) tavo domenas vėl rodo į teisingą adresą. Tu nieko net nepastebėjai.

DDNS paslaugų teikėjai – ką rinktis ir kodėl

Rinkoje yra nemažai DDNS paslaugų, ir jos skiriasi tiek kaina, tiek funkcionalumu. Čia trumpas praktinis apžvalga:

No-IP – vienas populiariausių nemokamų variantų. Suteikia nemokamą subdomeną, bet yra vienas didelis minusas: kas 30 dienų reikia patvirtinti, kad vis dar nori naudoti paslaugą. Jei pamiršti – domenas išjungiamas. Mokama versija šios problemos neturi ir kainuoja apie 25 USD per metus.

DuckDNS – absoliučiai nemokamas, atviro kodo projektas. Veikia ant duckdns.org subdomeno. Nėra jokio patvirtinimo reikalavimo, veikia patikimai, turi puikią dokumentaciją. Jei tik pradedate ir nenorite mokėti – tai geriausias pasirinkimas.

Dynu (buvęs DynDNS) – vienas iš originalių DDNS teikėjų, bet dabar tik mokamas ir orientuotas į verslo klientus. Namų vartotojui per brangus ir per sudėtingas.

Cloudflare – techniškai tai ne tradicinis DDNS, bet jei turi savo domeną ir naudoji Cloudflare DNS, gali naudoti jų API kartu su klientu kaip ddclient, kad automatiškai atnaujintum A įrašus. Tai pats lankstumas ir patikimiausias variantas tiems, kurie rimtai žiūri į savo namų infrastruktūrą.

FreeDNS (afraid.org) – nemokamas, leidžia naudoti daugybę pasirinktų domenų. Šiek tiek pasenusi sąsaja, bet veikia patikimai.

Mano rekomendacija: jei tik pradedate – DuckDNS. Jei turite savo domeną – Cloudflare API su ddclient. Jei norite kažko tarp – No-IP mokama versija.

Praktinis diegimas – nuo nulio iki veikiančio DDNS

Parodysiu, kaip tai padaryti su DuckDNS ir Linux sistema (Raspberry Pi, Ubuntu serveris ar bet kas panašaus). Tai vienas paprasčiausių scenarijų.

Žingsnis 1: Registracija ir domeno kūrimas

Eik į duckdns.org, prisijunk per Google, GitHub ar Reddit paskyrą. Sukurk subdomeną – pavyzdžiui, manonamai.duckdns.org. Puslapyje matysi savo token – tai tavo autentifikacijos raktas, saugok jį.

Žingsnis 2: Klientas Linux sistemoje

DuckDNS dokumentacija siūlo paprastą bash skriptą. Sukurk direktoriją ir skriptą:

mkdir ~/duckdns
cd ~/duckdns
nano duck.sh

Į failą įrašyk:

echo url="https://www.duckdns.org/update?domains=TAVO_DOMENAS&token=TAVO_TOKEN&ip=" | curl -k -o ~/duckdns/duck.log -K -

Pakeisk TAVO_DOMENAS ir TAVO_TOKEN į savo reikšmes. Tada:

chmod 700 duck.sh

Žingsnis 3: Automatizavimas su cron

Kad skriptas veiktų automatiškai, pridėk jį į cron:

crontab -e

Pridėk eilutę, kuri paleis skriptą kas 5 minutes:

*/5 * * * * ~/duckdns/duck.sh >/dev/null 2>&1

Žingsnis 4: Maršrutizatoriaus DDNS nustatymai

Jei tavo maršrutizatorius palaiko DDNS (daugelis Asus, TP-Link, Netgear modelių palaiko), gali viską konfigūruoti ten ir nebereikia atskiro kliento. Eik į maršrutizatoriaus administravimo panelę, rask DDNS sekciją ir įvesk paslaugos teikėją, domeną ir token/slaptažodį.

Port forwarding – neišvengiama DDNS palydovė

Čia dažnai sustoja pradedantieji: sukonfigūravai DDNS, viskas atrodo gerai, bet vis tiek negali pasiekti savo serverio. Problema – port forwarding, arba uostų peradresavimas.

Tavo maršrutizatorius veikia kaip vartininkas tarp interneto ir tavo namų tinklo. Kai kažkas iš interneto bando pasiekti tavo domeną, jis pasiekia maršrutizatoriaus išorinį IP adresą. Bet maršrutizatorius nežino, kuriam įrenginiui tavo namų tinkle perduoti šį srautą – juk gali turėti dešimtis įrenginių.

Port forwarding nurodo maršrutizatoriui: „Kai gauni ryšį į 80 uostą – perduok jį į 192.168.1.100 adresą.” Tai daroma maršrutizatoriaus administravimo panelėje, paprastai sekcijoje „Port Forwarding” arba „Virtual Servers”.

Keletas praktinių patarimų:

  • Niekada neatidaryk uosto 22 (SSH) be papildomos apsaugos – botai jį nuolat skenuoja. Naudok kitą uostą arba SSH raktus vietoj slaptažodžių
  • Atidaryti tik tuos uostus, kurie tikrai reikalingi – kiekvienas atidarytas uostas yra potenciali saugumo spraga
  • Apsvarstyk fail2ban naudojimą – tai programa, kuri automatiškai blokuoja IP adresus po kelių nesėkmingų prisijungimo bandymų
  • Prieš atidarant uostus, įsitikink, kad serveryje naudoji stiprius slaptažodžius arba raktų autentifikaciją

Taip pat svarbu žinoti apie CG-NAT problemą. Kai kurie interneto tiekėjai (ypač mobilaus interneto) naudoja Carrier-Grade NAT, kur tavo maršrutizatorius gauna ne tikrą viešą IP adresą, o privatų adresą tiekėjo tinkle. Tokiu atveju port forwarding tiesiog neveiks, ir DDNS bus bevertis tiesioginiam pasiekimui. Sprendimas – kreiptis į tiekėją dėl statinio arba tikro dinaminio IP, arba naudoti VPN tunelius (kaip Tailscale ar ZeroTier).

DDNS ir saugumas – ką reikia žinoti

Kai atidarai savo namų tinklą internetui, saugumas tampa rimtu klausimu. DDNS pats savaime nesukuria saugumo problemų, bet jis padaro tavo įrenginius pasiekiamus, o tai reiškia, kad jie tampa matomi potencialiems užpuolikams.

Keletas dalykų, kuriuos tikrai turėtum padaryti:

HTTPS vietoj HTTP. Jei paleidi bet kokią web paslaugą, naudok SSL sertifikatą. Let’s Encrypt suteikia nemokamus sertifikatus, o Certbot įrankis juos automatiškai atnaujina. Tai nebėra „nice to have” – tai būtinybė.

Reverse proxy. Vietoj to, kad tiesiogiai atidaryti kiekvienos paslaugos uostą, naudok reverse proxy kaip Nginx ar Caddy. Caddy ypač patogus – automatiškai tvarko SSL sertifikatus ir turi paprastą konfigūraciją.

VPN kaip alternatyva. Jei nori pasiekti savo namų tinklą tik pats, apsvarstyk WireGuard VPN. Tai saugiau nei atidaryti atskirus uostus, nes visas srautas šifruojamas ir tereikia atidaryti vieną WireGuard uostą. Su DDNS tai veikia puikiai – WireGuard klientas prisijungia prie tavo DDNS domeno, o ne tiesiogiai prie IP.

Reguliarūs atnaujinimai. Tai skamba banaliai, bet serveryje esančios programos turi būti atnaujinamos. Pasenusi WordPress versija ar nepataisyta SSH versija gali tapti įėjimo tašku.

Kai DDNS nebeužtenka – kitos alternatyvos

DDNS yra puikus sprendimas daugeliui situacijų, bet ne visoms. Štai keletas scenarijų, kur gali reikėti kitokio požiūrio:

Tailscale ir ZeroTier – tai mesh VPN sprendimai, kurie leidžia tavo įrenginiams „matyti” vienas kitą tarsi jie būtų tame pačiame tinkle, nepriklausomai nuo to, kur jie fiziškai yra. Nereikia port forwarding, nereikia DDNS – tiesiog instaliuoji klientą ir viskas veikia. Tailscale nemokama versija leidžia iki 100 įrenginių. Tai ypač geras sprendimas CG-NAT situacijose.

Cloudflare Tunnel – leidžia eksponuoti vietines paslaugas internete per Cloudflare infrastruktūrą, visiškai be atvirų uostų. Klientas tavo serveryje sukuria išeinantį tunelį į Cloudflare, ir srautas eina per jį. Tai labai saugus sprendimas, nes nereikia atidaryti jokių uostų maršrutizatoriuje.

Ngrok – greitas ir patogus tuneliavimo sprendimas testavimui. Nemokama versija turi apribojimų (atsitiktiniai URL, ryšių limitai), bet mokama versija leidžia naudoti savo domenus ir yra labai paprasta naudoti.

Kiekvienas iš šių sprendimų turi savo privalumų ir trūkumų. DDNS su port forwarding suteikia daugiausiai kontrolės ir lankstumo, bet reikalauja daugiau konfigūracijos ir saugumo žinių. Tailscale ar Cloudflare Tunnel yra paprastesni, bet labiau priklausomi nuo trečiųjų šalių infrastruktūros.

Nuo teorijos prie veikiančio sprendimo – paskutiniai žodžiai

Dynamic DNS nėra raketų mokslas, bet reikalauja suprasti kelias susijusias koncepcijas – kaip veikia DNS, ką reiškia dinaminis IP, kaip veikia NAT ir port forwarding. Kai šie gabalai susidėlioja į vietą, viskas tampa logišku ir nuosekliu.

Geriausia mokymosi strategija – tiesiog pradėti. Užsiregistruok DuckDNS, sukurk subdomeną, instaliuok klientą ant Raspberry Pi ar bet kokio Linux įrenginio, ir pabandyk pasiekti jį iš telefono per mobilų internetą (ne per namų WiFi). Kai tai veiks – turėsi pagrindą, ant kurio galėsi statyti toliau.

Svarbu nepamiršti, kad DDNS yra tik viena dalis ekosistemos. Port forwarding, saugumas, SSL sertifikatai – visa tai eina kartu. Neapsigauk galvodamas, kad vien DDNS sukonfigūravimas reiškia, kad viskas padaryta. Tai tik pirmas žingsnis.

Ir jei kažkuriame etape viskas atrodo per sudėtinga – Tailscale yra tas sprendimas, kuris veikia beveik be jokios konfigūracijos. Kartais paprasčiausias kelias yra geriausias, ypač kai tikslas yra pasiekti savo namų serverį, o ne išmokti tinklo administravimą.

Technologijų pasaulyje retai yra vienas teisingas atsakymas. DDNS yra puiki priemonė tinkamose rankose – o dabar tu žinai pakankamai, kad nuspręstum, ar ji tinkama tau.

Taip pat gali patikti

Daugiau

Geriausios mechaninės klaviatūros iki 150 eurų