PonomarevMM
-
Posts
6 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by PonomarevMM
-
-
В 12.06.2023 в 23:07, Atlantis сказал:
Судя по статье по ссылке нет необходимости настраивать сетевой экран отдельно. Может удалить настройку сетевого экрана по порту 80, удалить переадресацию по порту 80, перегрузить роутер и заново настроить только переадресацию 80->8888
https://help.keenetic.com/hc/ru/articles/360000360760-Переадресация-портов
Что-то кажется тут дело в другом, но стоит отмести и этот вариант
Все сделал по написанному - результат такой же.
Посмотрел статью https://help.keenetic.com/hc/ru/articles/360000756260
решил попробовать один из советов, а именно "Некоторые провайдеры осуществляют фильтрацию входящего трафика пользователей по стандартным протоколам и портам"
сделал переадресацию 8888->8888 и заработало (отдельно на межесетевом экране ничего не настраивал)
т.е. что провайдер (beeline) траффик блокирует ?
-
версия: 4.0 Beta 1
Цитатаip http port 8080
ip http security-level private
ip http lockout-policy 5 15 3
ip http ssl no enable
ip http ssl no redirect -
Здравствуйте, как убедится что 80 порт открыт?
- Keenetic Speedster (KN-3010)
- beeline + IPoE
- статический ip адрес (+ A запись в доменной зоне .house)
- открыт 80 и 443 порт
- Synology NAS в локалке (192.168.1.2)- на нем nginx в докере со статической страницей, наружу порт 8888
- порт форвардинг на роутере (80 ->8888 на NAS)
- http://192.168.1.2:8888/ - все ОК - Welcome to nginx!
- http://мой.статический.ип.адрес внутри локалки - все ОК - Welcome to nginx!
- http://мой.статический.ип.адрес извне не из домашней сети - connection timeout
- настроен захват пакетов
- стучусь по статическому ip адресу, в захвате пакетов ничего нет
куда копать ?
-
А есть тех. поддержка? Куда обратиться?
Может можно включить какой-нибудь дополнительный уровень отладки?
-
Здравствуйте,
есть белый статический адрес и собственный домен 2-уровня: yyy.xxx (и CNAME запись для поддомена 3-го уровня zzz.yyy.xxx, но пока это отношение к делу не имеет).
Хочу настроить свой Keenetic Speedster, как реверс прокси. С 80 портом вроде как получилось. Следующий шаг настроить 443.
На текущий момент все http proxy удалены.
show running-config
... ip http security-level private ip http lockout-policy 5 15 3 ip http ssl enable ip http ssl redirect ip nat Home ...
В моем понимании ssl сертификат должен терминейтится на роутере и дальнейшее общение роутер <-> устройство в локальной сети происходит уже по http.
начинаю получать сертификат на собственный домен
ip http ssl acme get xxx.yyy Acme::Client: Obtaining certificate for domain "xxx.yyy" is started.
что вижу потом в логе (вывод для удобства отформатирован)
I [Jan 3 13:25:53] ndm: Acme::Tools: [312] "out": " { "identifier": { "type": "dns", "value": "xxx.yyy" }, "status": "invalid", "expires": "2022-01-10T10:25:39Z", "challenges": [{ "type": "http-01", "status": "invalid", "error": { "type": "urn:ietf:params:acme:error:connection", "detail": "Fetching http://xxx.yyy/.well-known/acme-challenge/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx: Timeout during connect (likely firewall problem)", "status": 400 }, "url": "https://acme-v02.api.letsencrypt.org/acme/chall-v3/00000000000/xxxxxx", "token": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", "validationRecord": [{ "url": "http://xxx.yyy/.well-known/acme-challenge/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", "hostname": "xxx.yyy", "port": "80", "addressesResolved": ["a.b.c.d"], "addressUsed": "a.b.c.d" } ], "validated": "2022-01-03T10:25:40Z" } ] } ".
addressesResolved и addressUsed резолвятся правильно и это один и тот же мой статический белый IP.
Если понимаю правильно, то acme должен положить токен-файл xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx по пути: .well-known/acme-challenge, а letsencrypt достучаться до него по 80-му порту, но не может.
Проблема так понимаю: Timeout during connect (likely firewall problem)
Собственно как это пофиксить и пофиксить правильно?
P.S. повторю, что считаем на текущий момент за роутером ничего нет, как следствие все настройки реверс прокси убраны на данный момент.
Переадресация TCP/443 в KeeneticOS
in Обмен опытом
Posted · Edited by PonomarevMM
В конечном счете заработало, оказалось beeline рубил (стояло на среднем уровне)
перегрузил и все заработало.
все остальное как выше писал.