openwrt 内网域名 解析错误

最新推荐文章于 2025-07-07 11:10:19 发布
最新推荐文章于 2025-07-07 11:10:19 发布
阅读量1.5w 收藏 7
点赞数 6
分类专栏: linux
本文介绍了解决因DNSMasq的“PreventDNS-rebindattacks”配置导致无法解析内网地址的问题。提供了两种解决方案:一是直接关闭安全配置;二是保留安全配置的同时,将需要响应的域名加入白名单。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

具体问题和资料看前面两篇博客啦。主要引起原因为 DNSMASQ 的 “Prevent DNS-rebind attacks” 的安全配置,拒绝解析内网地址包。

解决方法
方法一,直接关闭该安全配置
打开路由后台 -> 网络 ->DHCP/DNS-> 一般设置 -> 重绑定保护(丢弃 RFC1918 上行响应数据)
把这个的勾去掉,就关闭了该安全设置

方法二,按照上面的设置不关闭安全设置,直接在下面 “域名白名单” 中输入需要响应的域名就可以了。

注意:刚才测试了一下,把域名的 A 记录设置成内网地址,就会产生这样的问题。



系统版本 OpenWrt Chaos Calmer 15.05.1,网络连接为:WAN 口连接内网 10.x.x.x 网段,WAN 口设置为静态 IP。设置 L2TP 接口,通过 L2TP 访问外网。问题出现于,所有外网域名均可解析和访问,telnet 或 ssh 登入 OpenWRT,在 OpenWRT 上可以 ping 通外网,WAN 口网段内网域名不能 ping 通,通过 LAN 口也只能 ping 通外网,WAN 网段无法 ping 通。

    问题解决:确定为 DNSMasq 设置问题。1. 登入 OpenWRT,创建软连接 / etc/resolv.conf -> /tmp/resolv.conf.auto。该文件配置了不同 interface 的 nameserver,经过设置,在 OpenWRT 上可以 ping 通 WAN 口内网和外网,问题只有 LAN 口无法 ping 通 WAN 口连接的内网服务器。2. 修改 DNSMasq 设置,如下图:


我昨天想查一下自己的 DNS,然后使用 cat 了一下 / etc/resolv.conf,却发现 DNS 指向自己:127.0.0.1,后来发现我自己电脑上面开了 dns 服务器,然后 netstate 查了一下 53 端口,果然是 dnsmasq 开启的。
接着我想查 dnsmasq 获取的学校的 DNS,我想她没法解析的应该会转发到这个 DNS 的吧,可是我发现我的 dnsmasq 是 ubuntu12.04 的 network manage 嵌入的,那我怎么才能获得那个我想要的 DNS 呢?后来发现 / run/nm-dns-dnsmasq.conf 这个文件里面记录了我学校分配的 DNS,不过现在又发现一个问题,nslookup 不能进行反向解析了。。。


解决 docker 容器无法正常解析域名
JineD的博客
11-07 4690
a. docker内修改。在/etc/resolv.conf添加一下内容。这种方法只能修改单个docker容器。b. 宿主机内修改。这种方法之后创建的docker容器都会生效。返回如果是not running就说明不是防火墙问题。b. 修改/etc/sysctl.conf。重启主机或者执行下面的命令使之生效。检查docker的DNS服务器。如果为no,执行下面的命令开启。如果返回的结果为0说明未开启。检查宿主机是否开启转发功能。查看防火墙是否开启伪装功能。查看DNS服务器是否正确。a. 直接修改上述文件。
cloudflare动态域名解析-并实现自定义内外网混合动态域名DDNS脚本
开摆工作室(kbai.cc)
12-16 7108
CloudFlare进行自定义内外网混合动态域名DDNS脚本,实现同一个二级域名,多个内外网的同时解析
openwrt的dns无法解析内网地址的问题解决方案
m0_63529939的博客
10-17 1万+
最近买了电犀牛的R66S,想整个那个上网,下面挂个ap,给树莓派、香橙派的一些linux用,免得换源改地址什么的,然后网络环境是校园网,就遇到了这个问题,刚开始一直以为问题是来自于那个上网的插件,甚至还去官方github发了issue,但是后来发现关闭了这个插件,甚至都重置了也无法访问校内的域名网站,使用dns附带参数把dns地址发给windows也无法访问,?这也能被openwrt拦截我也没想到,什么防火墙啊什么的也都关了,还是不行,后来就b站看到一篇文章,说这个问题。其实解决方案非常简单,两种办法。
openwt dns 解析部分域名出错问题。
qq_36600682的博客
12-30 4210
openwt dns 解析部分域名出错
自己内网服务器怎么绑定自主域名访问?教你无公网IP本地端口完成域名绑定给互联网使用!
csghdn的博客
07-07 508
进入“高级网站标识”属性面板后,保持“ip地址”、“TCP端口”、“主机头值”下原有的默认值不变,点击选择“添加”按钮,出现“添加\编辑网站标识”的对话框,保持“IP地址”默认值不变,将“TCP端口”设置成“80”,“主机头值”建议用127表示本机(如输入域名,则只能用域名访问),设置完成后点击“确定”按钮保存即可。进入站点属性面板后可见“目录安全性”、“HTTP头”、“自定义错误”等选项标签,选择“网站”标签,保持“网站标识”以及“连接”内容的默认值,直接选择“高级”进入“高级网站标识”面板。
Openwrt无法解析内网地址
fa23456789的博客
12-14 1844
项目场景: 网上购买的二手NETGEAR-R6100路由器,价格大概40RMB而且还包邮,真的很划算,作为openwrt入门还是很有的搞,比较这个路由器的硬件还是可以的,毕竟是双频AC1200M的带宽,查了下芯片厂商是Atheros,现在好像是被高通收购了,想想如果很渣的话,高通也不会去收购它,我已经成功刷了 OpenWrt 19.07.4 r11208-ce6496d796 / LuCI openwrt-19.07 branch git-20.247.75781-0d0ab01,主要用户wifi项目的开
OpenWRT DNS无法解析WAN连接的内网服务器域名
weixin_30871293的博客
01-03 3220
系统版本OpenWrt Chaos Calmer 15.05.1,网络连接为:WAN口连接内网10.x.x.x网段,WAN口设置为静态IP。设置L2TP接口,通过L2TP访问外网。问题出现于,所有外网域名均可解析和访问,telnet或ssh登入OpenWRT,在OpenWRT上可以ping通外网,WAN口网段内网域名不能ping通,通过LAN口也只能ping通外网,WAN网段无法ping通...
openwrt编译问题:frp编译失败 https://proxy.golang.org *** connect: connection refused
u013921164的博客
12-26 1359
openwrt编译问题:frp编译失败 https://proxy.golang.org *** connect: connection refused
拯救pan.ezdial.cn的个人存储空间-frp内网穿透域名解析和DNS域名重定向
wjcroom的专栏
07-04 1119
域名指向一个地址,关于家庭网络提供访问的处理。目前我没有商业服务,只有这样才能这样免费提供。
权威域名解析没有域名怎么办
05-15
查看BIND日志(`/var/log/named.log`)定位解析错误。 --- ### 对比表格 | 方案 | 适用场景 | 维护成本 | 扩展性 | |---------------------|-------------------------|----------|--------------| | 私有权威DNS...
openwrt路由的IPV6相关设置
weixin_65409651的博客
05-22 2250
:55c 完整写法应该是 0:0:0:0:0:0:0:55c 前面都是0所以可以简写成::55c。自己内网能访问,外网不能访问. 这个就是IPV6没开放端口的问题.也属于防火墙的问题.::ffff 同理 0:0:0:0:0:0:0:ffff 这么说吧.你访问你路由器的网站服务器,虽然你用的公网IP访问.实际还是走的内网.上面说的是开放路由器的IPV6端口.这里是开放某台电脑的IPV6端口.前面4节是运营分配,你不用管,.后面4节是你路由器生成的IPV6后缀.
[路由][问题]OpenWrt解决局域网设备无法通过域名访问主机的问题
热门推荐
qq_38844263的博客
01-11 1万+
文章解决了“OpenWrt开启NAT环回但无效的问题”
关于内网或者本机域名解析导致服务无法正常运行
赖太阳的专栏
10-11 1215
本地机器连接线上hbase集群是发生“java.net.NoRouteToHostException: No route to host”;线上服务起中hbase集群配置region使用的内网域名,本地链接访问时不能正常访问;解决方案是;需要在本地hosts配置对应的解析,或者配置内部的DNS解析。 例: [root@localhost etc]# chattr -i /etc/resol
为什么无论在本机设置什么dns,都要被lede/openwrt劫持
u011466735的博客
07-01 3642
最近总感觉dns有点不对劲,就开始研究,竟然发现了这事! 环境介绍 本文环境是esxi虚拟化的lede和爱快 Lede地址为192.168.10.251 爱快地址为192.168.10.253 爱快设置dhcp的网关地址为192.168.10.251,也就是lede的地址 lede关闭dhcp,设置本地的网关地址为192.168.10.253,也就是爱快的地址 然后这样所有的流量都是先经过lede然后再经过爱快然后出外网(因为lede上面跑的有ss) 准备工作 1.我是先把lede的ss服务关掉了,怕影响测
OpenWrt的ssh无法登陆问题Permission denied, please try again.解决
log_zhan的博客
02-10 6458
对红米AC2100路由器进行刷机。最开始刷的Openwrt是可以连接ssh的,后面的升级改进版就无法进入ssh了,具体的错误如下。文件中,并通过Web管理界面的文件管理功能上传到OpenWrt上,然后重启路由器。​ 为了解决上述的问题,我调查了好几种原因和解决方案。我遇到的问题是系统目录的。​ 上述问题在于,我输入的密码是对的但是依旧无法登陆。​ 通过OpenWrt的web界面查看文件管理,下载。​ 在Powershell中输入。​ 我根据B站的博主提供的。
(N1盒子) Openwrt 下 docker 容器访问互联网故障排除
tfel-ypoc
12-13 1万+
处理N1盒子刷openwrt后docker容器无法联网问题
内网主机无法通过域名访问内网服务器的解决方案2
Bungehurst
06-02 1万+
现在假设我们已经配置好服务器的域名DNS解析且已经将服务器端口转发到公网上。我们发现位于公网的主机可以通过域名成功访问服务器,但是内网主机却无法使用域名访问位于内网的服务器。这是由于,当内网主机发送的和接收的TCP握手信息指向不同的IP,这就导致TCP无法建立连接。 那么,如果我们在防火墙中设置一层中转,将PC发出的............
openwrt校园网无法登录(登录网页打不开)
蓝调城市的博客
01-04 1万+
问题描述: 自己淘工控板折腾了软路由,刷上openwrt发现联网不弹校园网登录网页,手动打开也不行。 解决方法: 先说解决方法。进入openwrt后台管理,然后菜单栏找网络→DHCP/DNS,把服务器设置里的重绑定保护对勾去掉,如图。。。 原因排查: 校园网登录大致原理就是在登录前把你的所有请求强制转发到某个内网服务器提供的登录服务,登陆后才能分配到合法的主机IP。显然现在连不上该服务器了。 第一步,尝试ping该登录服务的域名。不通 第二步,nslookup看看域名服务器的解析情况。压根没找到 随手
Rejected request from RFC1918 IP to public server address
weixin_33940102的博客
11-16 1713
Rejected request from RFC1918 IP to public server address
上述问题中 lan内设备通过域名访问域名解析结果是路由器wan ip吗
最新发布
07-09
<think>我们之前讨论的是在LAN内通过域名访问Home Assistant,现在用户问:域名解析结果是否是路由器的WAN IP? 回答要点: 1. 正常情况下,在LAN内通过域名访问,如果配置了正确的内部DNS(如路由器上的hosts或dnsmasq),解析结果应该是Home Assistant的LAN IP(如192.168.x.x)。 2. 如果解析结果变成了路由器的WAN IP,说明内部DNS没有正确配置,导致请求被转发到外部DNS,而外部DNS返回的是公网IP(即路由器的WAN IP)。这会导致“回环NAT”问题,即内网设备通过公网IP访问内网服务,可能被路由器防火墙阻止或效率低下。 因此,我们需要解释两种情况: - 正确配置:解析内网IP - 错误配置:解析为WAN IP,并说明原因和解决方法。 同时,根据问题提出3-5个相关问题。</think>### LAN内设备通过域名访问Home Assistant的解析原理 #### 一、核心解析机制 **域名解析结果取决于DNS配置策略**: ```mermaid graph LR A[客户端请求域名] --> B{路由器DNS处理策略} B -->|正确配置| C[返回LAN IP<br>192.168.x.x] B -->|错误配置| D[返回WAN IP<br>公网地址] ``` #### 二、解析结果类型分析 | **配置场景** | **解析结果** | **访问路径** | **问题风险** | |---------------------------|-------------------|----------------------------|------------------------------| | **正确配置本地DNS** | LAN IP (192.168.x) | 直连HA服务 | 无 | | **未配置本地DNS** | WAN IP (公网地址) | 流量绕行公网回传 | 防火墙拦截/NAT回环限制 | | **混合DNS环境** | 随机返回IP | 时快时慢/间歇失败 | 服务不稳定 | | **公共DNS服务(如8.8.8.8)** | 必然返回WAN IP | 完全走公网路径 | 高延迟/带宽浪费 | #### 三、WAN IP解析的根本原因 1. **路由器DNS未配置本地覆盖** ```bash # 错误配置示例(dnsmasq未覆盖公网域名) address=/hass.example.com/ # 缺少LAN IP参数 ``` 2. **DNS劫持功能开启** ```router-config # 某些路由器的"安全DNS"功能 dns-redirect = enable # 强制所有查询返回WAN IP ``` 3. **客户端使用外部DNS** ```powershell # Windows查看DNS服务器 Get-DnsClientServerAddress -AddressFamily IPv4 ``` #### 四、解决方案(强制返回LAN IP) ##### 1. 路由器DNS覆写(通用方案) ```router-config # 主流固件配置示例 address=/yourdomain.com/192.168.1.100 # OpenWrt static-host=hass.local,192.168.1.100 # DD-WRT ip host hass.local 192.168.1.100 # Cisco ``` ##### 2. 客户端本地hosts文件(临时方案) ```powershell # Windows管理员权限执行 Add-Content -Path $env:windir\System32\drivers\etc\hosts -Value "192.168.1.100 hass.local" ``` ##### 3. 禁用DNS重绑定保护(高风险) > 仅当路由器无本地DNS配置功能时使用 ```router-ui 高级设置 → 安全 → DNS重绑定保护 → 关闭 ``` #### 五、验证命令 ```bash # Linux/macOS dig hass.local @路由器IP +short # 应返回LAN IP # Windows nslookup hass.local 路由器IP # 查看返回的Addresses ``` > **关键指标**:当TTL值显示`0`(零)时,表明结果来自本地DNS缓存或hosts文件,而非公网查询。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值