[nginx https]

Добрый день, не знаю куда именно написать, но что то подсказывает что сюда.

Имеется: nginx с нестандратными портами (81,82,83 для http, 481,482,483 для https), проброшенные через облачный доступ keendns доступы, полученный сертификат acme для <mysite>.keenetic.pro.

В чем проблема: до 2.11.A.7.0-0 мог спокойно заходить на сайты, которые проброшены по https (к примеру на https://extwebui.<mysite>.keenetic.pro) и по http (к примеру на http://extwebui.<mysite>.keenetic.pro). Теперь же, после 2.11.A.8.0-1 при попытке входа на такой сайт по https пишется 403 Forbidden, но при том же сайте по http входит без проблем.

Подскажите, в связи с чем это может быть? Читал сообщения в этой ветке, читал что нужен обязательно порт 80. Пробовал и так настраивать (extwebui.<mysite>.keenetic.pro проброшен на альтернативный адрес с портом 80). Все равно та же ошибка выходит.

[Ошибки и косяки "Нового" интерфейса]

После обновления Ultra II на 2.11.A.7.0-0 постоянно настройки Band Steering отмечаются как "Недоступен". При попытке изменения на пару секунд выходит нужные параметр, затем снова "Недоступен"

Судя по логу, проблем вроде нет. проверить на деле пока не могу. При необходимости могу выложить self.

Скрытый текст

Nov  9 08:45:29 ndm: Network::Interface::Rtx::WifiMaster: "WifiMaster1": band steering enabled.
Nov  9 08:45:29 ndm: Network::Interface::Rtx::WifiMaster: "WifiMaster1": band steering preference is 5 GHz.
Nov  9 08:45:29 ndm: Core::ConfigurationSaver: saving configuration...
Nov  9 08:45:29 ndm: Network::Interface::Rtx::Wps: "WifiMaster0/AccessPoint0": WPS enabled.
Nov  9 08:45:29 ndm: Network::Interface::Rtx::Wps: "WifiMaster0/AccessPoint0": an auto self PIN mode enabled.
Nov  9 08:45:29 ndm: Network::Interface::Wifi: "WifiMaster0/AccessPoint0": WPA PSK set.
Nov  9 08:45:29 ndm: Network::Interface::Rtx::AccessPoint: "WifiMaster0/AccessPoint0": wireless encryption enabled.
Nov  9 08:45:29 ndm: Network::Interface::Rtx::AccessPoint: "WifiMaster0/AccessPoint0": WPA algorithms enabled.
Nov  9 08:45:29 ndm: Network::Interface::Rtx::AccessPoint: "WifiMaster0/AccessPoint0": WPA2 algorithms enabled.
Nov  9 08:45:29 ndm: Network::Interface::Wireless: "WifiMaster0/AccessPoint0": SSID saved.
Nov  9 08:45:29 ndm: Network::Interface::Rtx::AccessPoint: "WifiMaster0/AccessPoint0": WMM extensions enabled.
Nov  9 08:45:29 ndm: Network::Interface::Base: "WifiMaster0/AccessPoint0": interface is up.
Nov  9 08:45:29 ndm: Network::Interface::Base: "WifiMaster0/AccessPoint0": schedule cleared.
Nov  9 08:45:29 ndm: Core::ConfigurationSaver: saving configuration...
Nov  9 08:45:29 ndm: Network::Interface::Rtx::Wps: "WifiMaster1/AccessPoint0": WPS enabled.
Nov  9 08:45:29 ndm: Network::Interface::Rtx::Wps: "WifiMaster1/AccessPoint0": an auto self PIN mode enabled.
Nov  9 08:45:29 ndm: Network::Interface::Wifi: "WifiMaster1/AccessPoint0": WPA PSK set.
Nov  9 08:45:29 ndm: Network::Interface::Rtx::AccessPoint: "WifiMaster1/AccessPoint0": wireless encryption enabled.
Nov  9 08:45:29 ndm: Network::Interface::Rtx::AccessPoint: "WifiMaster1/AccessPoint0": WPA algorithms enabled.
Nov  9 08:45:29 ndm: Network::Interface::Rtx::AccessPoint: "WifiMaster1/AccessPoint0": WPA2 algorithms enabled.
Nov  9 08:45:29 ndm: Network::Interface::Wireless: "WifiMaster1/AccessPoint0": SSID saved.
Nov  9 08:45:29 ndm: Network::Interface::Rtx::AccessPoint: "WifiMaster1/AccessPoint0": WMM extensions enabled.
Nov  9 08:45:29 ndm: Network::Interface::Base: "WifiMaster1/AccessPoint0": interface is up.
Nov  9 08:45:29 ndm: Network::Interface::Base: "WifiMaster1/AccessPoint0": schedule cleared.
Nov  9 08:45:29 ndm: Core::ConfigurationSaver: saving configuration...
Nov  9 08:45:34 ndm: Core::ConfigurationSaver: configuration saved.

 

["AVAHI": unexpectedly stopped.]

@vst Спасибо большое, буду пробовать

[Internet access is disappeared]

Только что, ndm сказал:

Это не пингчек. Это internet-checker, который в 2.11 делали. Он работает индикатором интернета! На его "наличие" никак не влияет. Скорее, констатирует факт.

Просто была такая же проблема, решилось именно отключением проверок пингчеком.

[Internet access is disappeared]

Отключите Pingcheck. Должно помочь

["AVAHI": unexpectedly stopped.]

С новыми обновлениями проблема не ушла. Если включен AFP то после перезагрузки роутера сыпятся ошибки. Если выключить и включить заново, то ошибка пропадает до перезагрузки.

При необходимости self-тесты выложу чуть позже.

[KeenDNS с автоматическим получением SSL-сертификата]

@Le ecureuil Аналогичная проблема, правда на роутер не захожу, ошибки лезут, но не могу отследить при каких обстоятельствах

Скрытый текст

Nov 07 06:51:47lordmaster-inet nginx

2017/11/07 06:51:47 [error] 2269#0: *124281 open() "/usr/share/htdocs/apple-touch-icon-120x120-precomposed.png" failed (2: No such file or directory), client: 78.47.125.180, server: my.keenetic.net, request: "GET /apple-touch-icon-120x120-precomposed.png HTTP/1.0", host: "my.keenetic.net"

Nov 07 06:51:47lordmaster-inet nginx

2017/11/07 06:51:47 [error] 2269#0: *124283 open() "/usr/share/htdocs/apple-touch-icon-120x120.png" failed (2: No such file or directory), client: 78.47.125.180, server: my.keenetic.net, request: "GET /apple-touch-icon-120x120.png HTTP/1.0", host: "my.keenetic.net"

Nov 07 06:51:47lordmaster-inet nginx

2017/11/07 06:51:47 [error] 2269#0: *124285 open() "/usr/share/htdocs/apple-touch-icon-precomposed.png" failed (2: No such file or directory), client: 78.47.125.180, server: my.keenetic.net, request: "GET /apple-touch-icon-precomposed.png HTTP/1.0", host: "my.keenetic.net"

Nov 07 06:51:47lordmaster-inet nginx

2017/11/07 06:51:47 [error] 2269#0: *124287 open() "/usr/share/htdocs/apple-touch-icon.png" failed (2: No such file or directory), client: 78.47.125.180, server: my.keenetic.net, request: "GET /apple-touch-icon.png HTTP/1.0", host: "my.keenetic.net"

Nov 07 06:51:47lordmaster-inet nginx

2017/11/07 06:51:47 [error] 2269#0: *124291 open() "/usr/share/htdocs/apple-touch-icon-120x120-precomposed.png" failed (2: No such file or directory), client: 78.47.125.180, server: my.keenetic.net, request: "GET /apple-touch-icon-120x120-precomposed.png HTTP/1.0", host: "my.keenetic.net"

Nov 07 06:51:47lordmaster-inet nginx

2017/11/07 06:51:47 [error] 2269#0: *124293 open() "/usr/share/htdocs/apple-touch-icon-120x120.png" failed (2: No such file or directory), client: 78.47.125.180, server: my.keenetic.net, request: "GET /apple-touch-icon-120x120.png HTTP/1.0", host: "my.keenetic.net"

Nov 07 06:51:47lordmaster-inet nginx

2017/11/07 06:51:47 [error] 2269#0: *124295 open() "/usr/share/htdocs/apple-touch-icon-precomposed.png" failed (2: No such file or directory), client: 78.47.125.180, server: my.keenetic.net, request: "GET /apple-touch-icon-precomposed.png HTTP/1.0", host: "my.keenetic.net"

Nov 07 06:51:48lordmaster-inet nginx

2017/11/07 06:51:48 [error] 2269#0: *124297 open() "/usr/share/htdocs/apple-touch-icon.png" failed (2: No such file or directory), client: 78.47.125.180, server: my.keenetic.net, request: "GET /apple-touch-icon.png HTTP/1.0", host: "my.keenetic.net"

Self-test ниже

[pptp mikrotik to keneetic]

16 минут назад, Андрэ Палыч сказал:

На кинетике вручную прописал, да, микротик добавил автоматом сам. Со стороны кинетика ничего не прописывал т.к. на нем уже есть pptp клиенты с другими кинетиками и все работает и так. А со стороны микротика добавил правило в самый верх accept с интерфейса pptp клиента, не уверен что правильно но что смог понять/вычитать.

Если с другими кинетиками все нормально, то проблема получается в микротике. Какие маршруты он автоматом прописал?

[Debian stable на кинетике]

12 минуты назад, avtogen сказал:

а где посмотреть правильный путь?

Сделайте по аналогии:

Ent_REC - имя раздела

CHROOT_DIR=`readlink -f /opt/debian`

mkdir -p $CHROOT_DIR/disk/Ent_REC
mount -o bind /tmp/mnt/Ent_REC $CHROOT_DIR/disk/Ent_REC

У меня установлен debian в entware, но не думаю что идея слишком уж кардинально иная.

Главное о чем было сказано, что путь примонтированного диска по умолчанию находится в /tmp/mnt/

[pptp mikrotik to keneetic]

Маршруты на обоих роутерах прописаны? Настройки в межсетевом экране настроены?

[[Entware-3x] Netdata - мониторим систему в реальном времени]

@Женя ЗориоДиВанДорио спасибо за решение. Еще вопрос: как вы добились что netdata полностью русифицирован?

[[Entware-3x] Netdata - мониторим систему в реальном времени]

Только что, Женя ЗориоДиВанДорио сказал:

Посмотрите на графики и выберите оптимальный, возможно заработает )

Не срабатывает. Опробовал уже различные значения. На счетчике сразу выскакивает надпись "empty"

[[Entware-3x] Netdata - мониторим систему в реальном времени]

6 минут назад, Женя ЗориоДиВанДорио сказал:

как я понял, но это не факт но очень близко ), вот вырезка из файла /opt/share/netdata/web/index.html а значения можно брать из netdata.conf

 

или видны в графиках например (disk.sda)

 

еще не пробовал но по логике должно))

Правильно ли я Вас понял что заменить надо system.io на disk.sda?

[[Entware-3x] Netdata - мониторим систему в реальном времени]

@Sergey Zozulya @Женя ЗориоДиВанДорио Подскажите, пожалуйста, не могу разобраться в данном деле. Интересуют 2 вопроса:

1) Нормально что имя_вашего_netdata_сервера/netdata.conf  отличается от /opt/etc/netdata/netdata.conf ?

2) Диски так же на нуле, не могу разобрать что именно прописать необходимо. Если есть возможность, подскажите, пожалуйста.

[Как настроить IntelliQoS на L2TP интерфейсе?]

Только что, balookrd сказал:

Согласен, получилось (в прошлую попытку тоннель почему-то не поднимался). Но как я понял IntelliQoS для меня бесполезен, т.к. мне не нужно рулить торентами

Он нужен не только для торрентов. Он балансировщик скорости. Не знаю прав ли я, может просто совпало, когда на телике смотрю фильм по dlna (не встроенному в роутер), жена сидит в интернете, еще толпа устройств ломится в интернет...

В общем пока этой настройки не было, фильмы часто подвисали. Сейчас же могу смотреть и работает нормально.

[Как настроить IntelliQoS на L2TP интерфейсе?]

7 минут назад, balookrd сказал:

У вас не включен "доступ в интернет" по тоннелям (в столбце интернет стоит нет), но идея понятна.

То что написано НЕТ, это означает что они в резервировании находятся и интернет идет по первому подключению. Были подключения L2TP и не одно (сейчас заменил это на OpenVPN), там галочка была, писалось все так же, но интернет все равно идет по подключению с высшим приоритетом. Если оно пропадает, то переходит к следующему.

[Как настроить IntelliQoS на L2TP интерфейсе?]

1 час назад, balookrd сказал:

не могу, тогда весь трафик польется в тоннель, а я этого хотел бы избежать

Поставьте приоритеты, и не будет трафик уходить

Скрытый текст

 

У меня трафик идет только по первому соединению, через остальные гуляют пакеты для работы

[Некорректное отображение активного подключения при использовании OpenVPN]

Ответы ниже прикрепленного поста

[Проброс порта в локальной сети]

В 07.10.2017 в 05:55, Shadow87 сказал:

Для правильной работы команды ip static адрес, с которого перенаправляется порт, 192.168.178.5/32 в вашем варианте, должен принадлежать интерфейсу роутера. Но если локальная сеть у вас 192.168.178.0/24, то назначить какой-либо адрес из неё на дополнительный интерфейс в роутере вам не дадут:

Network::Interface::IP error[72220686]: "GigabitEthernet0/Vlan4": network 192.168.178.5/32 conflicts with interface "Home".

Есть один финт, который вам, возможно, понравится:

(config)> interface GigabitEthernet0/Vlan10
Network::Interface::Repository: "GigabitEthernet0/Vlan10" interface created.
(config-if)> ip address 192.168.180.1/32
Network::Interface::IP: "GigabitEthernet0/Vlan10": IP address is 192.168.180.1/32.
(config-if)> exit
Core::Configurator: Done.
(config)> ip static tcp GigabitEthernet0/Vlan10 80 192.168.178.1 1999
Network::StaticNat: Static NAT rule has been added.
(config)> system configuration save
Core::ConfigurationSaver: Saving configuration...

Конфигурация собрана на Keenetic Ultra 2. В ней мы создаём дополнительный интерфейс на роутере и назначаем ему IP адрес, отличный от того, который используется в локальной сети, а затем делаем перенаправление с него 80 порта на порт 1999 вашего хоста 192.168.178.1.

После этого содержимое адреса 192.168.178.1:1999 становится доступным также на 192.168.180.1:80.

Спасибо большое. Тогда еще вопрос, может подскажете. Таких подключению у меня около десятка (ip:port). Для каждого нужно делать интерфейс? Или можно как то "поиграть" адресами на одном?

[Проброс порта в локальной сети]

Доброго времени суток, подскажите пожалуйста, в какую сторону искать ответ:

Пытаюсь переделать адрес из 192.168.178.1:19999 в 192.168.178.5 (для личного удобства).

Из cli пытался командой "ip static tcp 192.168.178.5/32 80 192.168.178.1 19999" и столкнулся с тем, что в локальной сети адрес недоступен.

Можно ли вообще так сделать? И если можно, то как это можно провернуть?

["AVAHI": unexpectedly stopped.]

Помогло банально выключить сеть AFP и заново включить. Не знаю насколько правильно все работает (мало работаю с afp на данном роутере), но ошибки в лог не лезут.

[Клиент ACME для получения бесплатного сертификата Let's Encrypt]

5 минут назад, Le ecureuil сказал:

Да, пока используется Staging Environment, потому что только тестируем. Об этом подробно описано в прикрепленном посте.

Спасибо большое! Просто увидел скриншот выше от @enpa, на котором сертификат нарисован зеленым, это и смутило.

[Клиент ACME для получения бесплатного сертификата Let's Encrypt]

Все браузеры (не только из дома, но и из офиса) пишут что сертификат ненадежен. подскажите, так и должно быть? Или что то не так настроил? (self ниже)

Скрытый текст

хххххх.mykeenetic.net использует недействительный сертификат безопасности.

К сертификату нет доверия, так как сертификат его издателя неизвестен. Сервер мог не отправить соответствующие промежуточные сертификаты. Может понадобиться импортировать дополнительный корневой сертификат.

Код ошибки: SEC_ERROR_UNKNOWN_ISSUER

 

["AVAHI": unexpectedly stopped.]

Доброго времени суток!

На Keenetic II в логах сыпет ошибками:

Sep 30 16:11:46ndm

Service: "AVAHI": unexpectedly stopped.

 

В связи с чем это может быть?

 

Self-Test ниже

[Tor на Keenetic]

5 минут назад, Dorik1972 сказал:

Прикольное решение ... но есть "нюансы" . Например если взять "экзотику" ... macOS то из Chrome  по тестовой ссылочке check.torproject.org - увидите "некий IP" ... а вот если при всех тех же раскладах на той же машине запустить родной Safary то ссылочка - check.torproject.org - чудно "засветит" Ваш оригинальный IP ...

Так что будьте осторожны .... 

Знаю. Поэтому в мак оси стоит еще и хром. Сафари воспринимает из предложенного только i2p сеть.