Ubuntu 20.04 Bind9 — не открывает домен если не в домашней сети находишься?

Question

[Евгений Долбановский]

Развернул сервер Ubuntu 20.04 + IspConfig 3(Apache+Bind9) на raspberry Pi который висит на проводе lan и находится за роутером с выделенным ip адресом. На роутере TP-Link порты открыты 21,22,53,80, 443,8080. Настроил сервер и панель, добавил DNS записи, создал зону. Создал сайт в панели + ssl сертификат. Всё работает, но только из домашней сети. Обнаружил когда с работы надо было установить ПО.
Причем, панель открывается с работы через адрес вида https://sever.site.ru:8080
Но сам домен https://site.ru или другие поддомены вида https://test.site.ru - НЕ ОТКРЫВАЮТСЯ.
Из дома всё открывается без проблем.
То есть, если я нахожусь внутри сети роутера Lan или WiFi, то все работает. Отключаю Wifi на смартфоне, и всё, на сайт не зайти.

Отключил ufw.

Гуглил на тему настройки /etc/bind/named.conf.options - ничего не выходит настраивал и по дефолту и с правилами, вот сейчас содержимое, 192.168.0.2 - адрес сервера в локальной сети роутера:

acl "trusted" { 192.168.0.2; };
options {
        directory "/var/cache/bind";
        recursion yes;
        allow-recursion { trusted; };
        listen-on { 192.168.0.2; };
        allow-transfer { none; };
        forwarders { 8.8.8.8; 8.8.4.4; };
};

Содержимое /etc/systemd/resolved.conf
DNS=192.168.0.2

Но резолвер пишет что адрес 192.168.0.1 - а это адрес роутера в локалке

Global
       LLMNR setting: no
MulticastDNS setting: no
  DNSOverTLS setting: no
      DNSSEC setting: no
    DNSSEC supported: no
  Current DNS Server: 192.168.0.2
         DNS Servers: 192.168.0.2
          DNSSEC NTA: 10.in-addr.arpa
                      16.172.in-addr.arpa
                      168.192.in-addr.arpa
                      17.172.in-addr.arpa
                      18.172.in-addr.arpa
                      19.172.in-addr.arpa
                      20.172.in-addr.arpa
                      21.172.in-addr.arpa
                      22.172.in-addr.arpa
                      23.172.in-addr.arpa
                      24.172.in-addr.arpa
                      25.172.in-addr.arpa
                      26.172.in-addr.arpa
                      27.172.in-addr.arpa
                      28.172.in-addr.arpa
                      29.172.in-addr.arpa
                      30.172.in-addr.arpa
                      31.172.in-addr.arpa
                      corp
                      d.f.ip6.arpa
                      home
                      internal
                      intranet
                      lan
                      local
                      private
                      test

Link 2 (eth0)
      Current Scopes: DNS
DefaultRoute setting: yes
       LLMNR setting: yes
MulticastDNS setting: no
  DNSOverTLS setting: no
      DNSSEC setting: no
    DNSSEC supported: no
  Current DNS Server: 192.168.0.1
         DNS Servers: 192.168.0.1
                      8.8.4.4

Содержимое /etc/resolv.conf:

nameserver 127.0.0.1
nameserver 127.0.0.53

Не понимаю что не так.

Comments

[Drno]

Ваш сервер bind - указан у хостера (где домен брали) как DNS Для домена Вашего?

[Евгений Долбановский]

Drno, да
ns1.site.ru + ip
ns1.site.ru + ip

Корневые сервера имен видят домен и его ip адрес.

[Drno]

Евгений Долбановский, а... увидел. ISP по этому домену открывается...

тогда надо смотреть настройки апача я думаю. раз проброс есть и фаерволл выключен

[Александр Карабанов]

dig site.ru что выведет?
Если нет dig или нет возможности проверить, то проверь, как резолвится домен с помощью DNS-Checker

[Евгений Долбановский]

Александр Карабанов, вот прям в консоли сервера только что выполнил

; <<>> DiG 9.16.1-Ubuntu <<>> site.ru.
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 13447
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: bf4a346a50f37ec00100000061fadf81183c5786cd4ed3cc (good)
;; QUESTION SECTION:
;site.ru.                     IN      A

;; ANSWER SECTION:
site.ru.              3600    IN      A       xx.xxx.xxx.xxx

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Feb 02 22:46:09 MSK 2022
;; MSG SIZE  rcvd: 82

[Александр Карабанов]

Евгений Долбановский, это из домашней сети и ответ получен от твоего DNS сервера?
Если да, теперь попробуй проверить из интернета с помощью DNS-Checker

[Евгений Долбановский]

Александр Карабанов, dnschecker.org проверил, по A записи домен.
Все сервера Resolved

[Александр Карабанов]

Евгений Долбановский, какую ошибку ты видишь в браузере, когда пытаешься подключиться?

[Евгений Долбановский]

Александр Карабанов, ERR_CONNECTION_ABORTED и всё, явных ошибок нет.
С телефона открывается www.site.ru(страница Апача дефолтная) и НЕ открывается https://www.site.ru так же не открывается https://site.ru

[Александр Карабанов]

Евгений Долбановский, ERR_CONNECTION_ABORTED вполне явная ошибка. Проверь правила NAT на роутере и настройки фаирвола на сервере.

Проверить доступность TCP порта можно с помощью NetCat, например:

srv-test:~# nc -zv yandex.ru 80
sdyandex.ru [77.88.55.70] 80 (http) open

Если не open или success, то NAT настроен криво, либо фаирвол блокирует прохождение пакетов.

PS
Можно ещё telnet-ом, но не так наглядно:

telnet yandex.ru 80
Trying 5.255.255.55...
Connected to yandex.ru.
Escape character is '^]'.

Выйти из telnet Ctrl+] и потом Ctrl+d

[Евгений Долбановский]

Александр Карабанов, NetCat и Telnet - не выдают ошибок, по портам 80,443 выдают Connection to xxxx 443 port [tcp/https] succeeded! и Trying - Connected to xxxxx

[Александр Карабанов]

Евгений Долбановский, ты из интернета проверял или из локалки?
Если из интернета то теперь проверь web сервер curl -vL http://example.com

[Евгений Долбановский]

Александр Карабанов, вот ответы с другого сервера моего на работе.

art@server1:~$ curl -vL https://xxxxxx.ru
*  Trying xx.xxx.xxx.xxx:443...
* TCP_NODELAY set
* connect to xx.xxx.xxx.xxx port 443 failed: Connection timed out
* Failed to connect to saunin.su port 443: Connection timed out
* Closing connection 0
curl: (28) Failed to connect to xxxxxx.ru port 443: Connection timed out

art@server1:~$ curl -vL http://xxxxxx.ru
*   Trying xx.xxx.xxx.xxx:80...
* TCP_NODELAY set
* Connected to xxxxxx.ru (xx.xxx.xxx.xxx) port 80 (#0)
GET / HTTP/1.1
Host: xxxxxx.ru
User-Agent: curl/7.68.0
Accept: */*
* Mark bundle as not supporting multiuse
HTTP/1.1 200 OK
Date: Thu, 03 Feb 2022 12:57:58 GMT
Server: Apache
Upgrade: h2,h2c
Connection: Upgrade
Last-Modified: Mon, 10 Jan 2022 05:06:05 GMT
ETag: "746-5d5334b316d40"
Accept-Ranges: bytes
Content-Length: 1862
Vary: Accept-Encoding
Content-Type: text/html
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
........

[Александр Карабанов]

Евгений Долбановский

Failed to connect to xxxxxx.ru port 443: Connection timed out

криво настроен NAT или фаирвол блокирует подключение. А можт сервер и в принципе не настроен слушать 443 порт.

Connected to saunin.su (xx.xxx.xxx.xxx) port 80 это успех, работает. Браузер же может пытаться сразу подключаться по https и в браузере ты будешь видеть ошибку.