Здравствуйте,
есть белый статический адрес и собственный домен 2-уровня: yyy.xxx (и CNAME запись для поддомена 3-го уровня zzz.yyy.xxx, но пока это отношение к делу не имеет).
Хочу настроить свой Keenetic Speedster, как реверс прокси. С 80 портом вроде как получилось. Следующий шаг настроить 443.
На текущий момент все http proxy удалены.
show running-config
...
ip http security-level private
ip http lockout-policy 5 15 3
ip http ssl enable
ip http ssl redirect
ip nat Home
...
В моем понимании ssl сертификат должен терминейтится на роутере и дальнейшее общение роутер <-> устройство в локальной сети происходит уже по http.
начинаю получать сертификат на собственный домен
ip http ssl acme get xxx.yyy
Acme::Client: Obtaining certificate for domain "xxx.yyy" is started.
что вижу потом в логе (вывод для удобства отформатирован)
I [Jan 3 13:25:53] ndm: Acme::Tools: [312] "out": "
{
"identifier": {
"type": "dns",
"value": "xxx.yyy"
},
"status": "invalid",
"expires": "2022-01-10T10:25:39Z",
"challenges": [{
"type": "http-01",
"status": "invalid",
"error": {
"type": "urn:ietf:params:acme:error:connection",
"detail": "Fetching http://xxx.yyy/.well-known/acme-challenge/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx: Timeout during connect (likely firewall problem)",
"status": 400
},
"url": "https://acme-v02.api.letsencrypt.org/acme/chall-v3/00000000000/xxxxxx",
"token": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx",
"validationRecord": [{
"url": "http://xxx.yyy/.well-known/acme-challenge/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx",
"hostname": "xxx.yyy",
"port": "80",
"addressesResolved": ["a.b.c.d"],
"addressUsed": "a.b.c.d"
}
],
"validated": "2022-01-03T10:25:40Z"
}
]
}
".
addressesResolved и addressUsed резолвятся правильно и это один и тот же мой статический белый IP.
Если понимаю правильно, то acme должен положить токен-файл xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx по пути: .well-known/acme-challenge, а letsencrypt достучаться до него по 80-му порту, но не может.
Проблема так понимаю: Timeout during connect (likely firewall problem)
Собственно как это пофиксить и пофиксить правильно?
P.S. повторю, что считаем на текущий момент за роутером ничего нет, как следствие все настройки реверс прокси убраны на данный момент.