Jump to content

PonomarevMM

Forum Members
 View Profile  See their activity

  • Posts

    6

  • Joined

  • Last visited

 Content Type 

Posts posted by PonomarevMM

    Переадресация TCP/443 в KeeneticOS

    in Обмен опытом

    Posted · Edited by PonomarevMM

    В 15.06.2023 в 09:30, PonomarevMM сказал:

    Все сделал по написанному - результат такой же.

    Посмотрел статью https://help.keenetic.com/hc/ru/articles/360000756260

    решил попробовать один из советов, а именно "Некоторые провайдеры осуществляют фильтрацию входящего трафика пользователей по стандартным протоколам и портам"

    сделал переадресацию 8888->8888 и заработало (отдельно на межесетевом экране ничего не настраивал)

    pf2.thumb.jpg.77bcf11d64578db61ecfe28f8209783d.jpg

    т.е. что провайдер (beeline) траффик блокирует ?

     

    В конечном счете заработало, оказалось beeline рубил (стояло на среднем уровне)

    перегрузил и все заработало. 

    все остальное как выше писал.

    image.thumb.png.6572b56eb7c3203a72838b93b74495bb.png

    • Thanks 1

    Переадресация TCP/443 в KeeneticOS

    in Обмен опытом

    Posted

    В 12.06.2023 в 23:07, Atlantis сказал:

    Судя по статье по ссылке нет необходимости настраивать сетевой экран отдельно. Может удалить настройку сетевого экрана по порту 80, удалить переадресацию по порту 80, перегрузить роутер и заново настроить только переадресацию 80->8888

    https://help.keenetic.com/hc/ru/articles/360000360760-Переадресация-портов

    Что-то кажется тут дело в другом, но стоит отмести и этот вариант

    Все сделал по написанному - результат такой же.

    Посмотрел статью https://help.keenetic.com/hc/ru/articles/360000756260

    решил попробовать один из советов, а именно "Некоторые провайдеры осуществляют фильтрацию входящего трафика пользователей по стандартным протоколам и портам"

    сделал переадресацию 8888->8888 и заработало (отдельно на межесетевом экране ничего не настраивал)

    pf2.thumb.jpg.77bcf11d64578db61ecfe28f8209783d.jpg

    т.е. что провайдер (beeline) траффик блокирует ?

     

    Переадресация TCP/443 в KeeneticOS

    in Обмен опытом

    Posted · Edited by PonomarevMM

    Здравствуйте, как убедится что 80 порт открыт?

    - Keenetic Speedster (KN-3010)

    - beeline + IPoE

    - статический ip адрес (+ A запись в доменной зоне .house)

    - открыт 80 и 443 порт

    fw.thumb.jpg.b82cb21349a3ff9cbc9036949a514cda.jpg

    - Synology NAS в локалке (192.168.1.2)- на нем nginx в докере со статической страницей, наружу порт 8888

    - порт форвардинг на роутере (80 ->8888 на NAS)

    pf.thumb.jpg.01e1a660633c6b007567305b760967b5.jpg

    - http://192.168.1.2:8888/ - все ОК - Welcome to nginx!

    - http://мой.статический.ип.адрес  внутри локалки - все ОК - Welcome to nginx!

    - http://мой.статический.ип.адрес  извне не из домашней сети - connection timeout

    - настроен захват пакетов

    cp.jpg.88c85400b92c875fb0edbaf041a21ac2.jpg

    - стучусь по статическому ip адресу, в захвате пакетов ничего нет

    куда копать ?

    проблема с получением сертификата на собственный домен

    in Обмен опытом

    Posted

    Здравствуйте,

    есть белый статический адрес и собственный домен 2-уровня: yyy.xxx (и  CNAME запись для поддомена 3-го уровня zzz.yyy.xxx, но пока это отношение к делу не имеет).

    Хочу настроить свой Keenetic Speedster, как реверс прокси. С 80 портом вроде как получилось. Следующий шаг настроить 443.

    На текущий момент все http proxy удалены.

    show running-config 

    ...
ip http security-level private
ip http lockout-policy 5 15 3
ip http ssl enable
ip http ssl redirect
ip nat Home
...

    В моем понимании ssl сертификат должен терминейтится на роутере и дальнейшее общение роутер <-> устройство в локальной сети происходит уже по http.

    начинаю получать сертификат на собственный домен 

    ip http ssl acme get xxx.yyy
Acme::Client: Obtaining certificate for domain "xxx.yyy" is started.

    что вижу потом в логе (вывод для удобства отформатирован) 

    I [Jan  3 13:25:53] ndm: Acme::Tools: [312] "out": "
{
    "identifier": {
        "type": "dns",
        "value": "xxx.yyy"
    },
    "status": "invalid",
    "expires": "2022-01-10T10:25:39Z",
    "challenges": [{
            "type": "http-01",
            "status": "invalid",
            "error": {
                "type": "urn:ietf:params:acme:error:connection",
                "detail": "Fetching http://xxx.yyy/.well-known/acme-challenge/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx: Timeout during connect (likely firewall problem)",
                "status": 400
            },
            "url": "https://acme-v02.api.letsencrypt.org/acme/chall-v3/00000000000/xxxxxx",
            "token": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx",
            "validationRecord": [{
                    "url": "http://xxx.yyy/.well-known/acme-challenge/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx",
                    "hostname": "xxx.yyy",
                    "port": "80",
                    "addressesResolved": ["a.b.c.d"],
                    "addressUsed": "a.b.c.d"
                }
            ],
            "validated": "2022-01-03T10:25:40Z"
        }
    ]
}
".

    addressesResolved и addressUsed резолвятся правильно и это один и тот же мой статический белый IP.

    Если понимаю правильно, то acme должен положить токен-файл xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx по пути: .well-known/acme-challenge, а letsencrypt достучаться до него по 80-му порту, но не может.

    Проблема так понимаю: Timeout during connect (likely firewall problem)

    Собственно как это пофиксить и пофиксить правильно?

     

    P.S. повторю, что считаем на текущий момент за роутером ничего нет, как следствие все настройки реверс прокси убраны на данный момент.

×
×
  • Create New...