Transmission Remote : 403 Forbidden - Too Many Attemps

[KYTECHNGAMING]

Torrent engine is working without issue.

But remote transmission get error. 

Spoiler

 

Изменено 25 апреля, 2021 пользователем yerebakan

[KYTECHNGAMING]

And...

[hellonow]

Проблема связана с тем, что по умолчанию TCP\8090 transmission "светит" в интернет и из вне боты могут пытаться подобрать пароль - брутфорсить.

После несколько попыток неудачного подбора пароля, RPC блокирует доступ в веб и пока демон не будет перезапущен, доступ не появится.

В будущих версиях планируется исправления данной проблемы.

На счет TCP\8090, сейчас его можно зафильтровать в межсетевом экране на интерфейсе, через который вы выходите в интернет.

Пример:

Добавьте запрещающее правило для TCP\8090:



И чтобы управлять загрузками через Transmission Remote, потребуется настроить домен 4го уровня:



В настройках сервера на стороне Remote указываете:



Получаете защищенный, зашифрованный доступ в RPC торрент-клиента.

------

@yerebakan Add a firewall rule for TCP\8090 in CLI, example:

access-list _WEBADMIN_ISP
deny tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 8090
deny description transmission
exit
system configuration save

 Use the setting to access in the Transmission Remote - https://help.keenetic.com/hc/tr/articles/360000563719 

[KYTECHNGAMING]

4 hours ago, enpa said:

Проблема связана с тем, что по умолчанию TCP\8090 transmission "светит" в интернет и из вне боты могут пытаться подобрать пароль - брутфорсить.

После несколько попыток неудачного подбора пароля, RPC блокирует доступ в веб и пока демон не будет перезапущен, доступ не появится.

В будущих версиях планируется исправления данной проблемы.

На счет TCP\8090, сейчас его можно зафильтровать в межсетевом экране на интерфейсе, через который вы выходите в интернет.

Пример:

Добавьте запрещающее правило для TCP\8090:



И чтобы управлять загрузками через Transmission Remote, потребуется настроить домен 4го уровня:



В настройках сервера на стороне Remote указываете:



Получаете защищенный, зашифрованный доступ в RPC торрент-клиента.

------

@yerebakan Add a firewall rule for TCP\8090 in CLI, example:

access-list _WEBADMIN_ISP
deny tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 8090
deny description transmission
exit
system configuration save

 Use the setting to access in the Transmission Remote - https://help.keenetic.com/hc/tr/articles/360000563719 

Thank you so much for detailed information.

I also use domain. I will add firewall rule. 

Issue that same as ssh login attack attemp or try login attempt many times. result access denied for 15 minutes.

 

 

Изменено 26 апреля, 2021 пользователем yerebakan

[meine12]

<p><u>https://synology.xxx.keenetic.pro:443/transmission/rpc</u></p>Hostname synology.xxx.keenetic.pro not verified:
    certificate: sha1/l4cXL237VRYsN8U9db/omN6LLVQ=
    DN: CN=keenetic.pro
    subjectAltNames: [*.keenetic.pro, keenetic.pro]

 

подскажите куда копать?

Изменено 24 августа, 2021 пользователем meine12

[Dale]

1 час назад, meine12 сказал:

<p><u>https://synology.xxx.keenetic.pro:443/transmission/rpc</u></p>Hostname synology.xxx.keenetic.pro not verified:
    certificate: sha1/l4cXL237VRYsN8U9db/omN6LLVQ=
    DN: CN=keenetic.pro
    subjectAltNames: [*.keenetic.pro, keenetic.pro]

 

подскажите куда копать?

 

У меня в SAN стоит *.xxx.keenetic.pro, xxx.keenetic.pro и все работает нормально. Возможно, у Вас сертификат криво выдался?

[meine12]

а как это проверить?

[Le ecureuil]

Покажите 
> ip http ssl acme list
> show acme

[meine12]

 acme:
         server-enabled: yes
              real-time: yes
            ndns-domain: xxx.keenetic.pro
       ndns-domain-acme: yes
      ndns-domain-error: no
         default-domain: c3d98c3a0b9d92865d21088e.keenetic.io
        account-pending: no
        account-running: no
            get-pending: no
            get-running: no
         revoke-pending: no
         revoke-running: no
     reissue-queue-size: 0
      revoke-queue-size: 0
                retries: 0
          checker-timer: 73050
            apply-timer: 0
           acme-account: 94676060
            next-try-ta: -1629975483
                 jitter: 370850

[meine12]

а на втором NAS 

<p><u>https://tr.xxx.keenetic.link:443/transmission/rpc</u></p><html> 
<head><title>502 Bad Gateway</title></head> 
<body> 
<center><h1>502 Bad Gateway</h1></center> 
<hr><center>Web server</center> 
</body> 
</html>

[meine12]

может кто разъяснить как вернуть Tranmission в работу?

[Mamay]

19 часов назад, meine12 сказал:

может кто разъяснить как вернуть Tranmission в работу?

Тут

[meine12]

я не пользуюсь встроенным клиентом, у меня Synology

[Mamay]

22 часа назад, meine12 сказал:

может кто разъяснить как вернуть Tranmission в работу?

 

23 минуты назад, meine12 сказал:

я не пользуюсь встроенным клиентом, у меня Synology

Хм. Вы спрашиваете как починить transmission от synology на форуме кинетик? 

[meine12]

ну я же лог выложил, сделал по инструкции выше

[hellonow]

Вариант настройки с учетом нововведения: 
 

Версия 3.7 Beta 0.9 (пре-бета):

• Transmission: включен веб-интерфейс на адресе 127.0.0.1:78 (по просьбе @enterfaza) [NDM-1806]

Теперь мы не открываем доступ для торрент-клиента по порту TCP\8090, а также можно не открывать доступ по домену 3го уровня службы KeenDNS.

Пример настройки.

Делаем настройку домена 4го уровня для торрент-клиента:

В CLI:

ip http proxy torrent
upstream http 127.0.0.1 78
domain ndns
security-level public
auth
exit
system configuration save

В веб-интерфейсе:





После проверяем доступ по домену 4го уровня, указав данный линк, пример:

https://torrent.name.keenetic.link/app/transmission/ 

Пример настройки в Transmission Remote:

RPC URL указываем app/transmission/rpc и порт 443 с указанием протокола https.

[meine12]

это будет в стабильной исправлено? и удалять прошлые правила? 

[hellonow]

данный вариант настройки доступа будет доступен и в стабильной версии ветки 3.07

[meine12]

а на Ultra II как быть? 

3.5.10 прошивка

[enterfaza]

9 минут назад, meine12 сказал:

а на Ultra II как быть? 

3.5.10 прошивка

перейти на канал дельты 

[enterfaza]

если самый простой вариант—поставить расширение для браузера с тёмной темой и там доступен канал дельты как опция

если на «ты» с кли, то можно через неё ввести команду 

[meine12]

сорри, разобрался, не понял снчала что это канал обновлений

[meine12]

на первом скрине - настройки доступа - подскажите как вызвать это меню, выбираю synology из списка устройств, но там нет добавить для него доменное имя

[enterfaza]

1 минуту назад, meine12 сказал:

на первом скрине - настройки доступа - подскажите как вызвать это меню, выбираю synology из списка устройств, но там нет добавить для него доменное имя

не забываем, что 3.7 нет в релизе и собственно в дельте, она в бете, поэтому если Вы хотите получить на данный момент 3.7 с нужными правками, то перейдите на канал драфт (тестировщика), иначе Вы 3.7 получите на дельте после публичного релиза

[meine12]

а для ультры2 3.7 будет?

[enterfaza]

2 минуты назад, meine12 сказал:

а для ультры2 3.7 будет?

внимательнее ещё раз прочтите последние пару постов, просто так бы я Вам не отвечал 

[meine12]

получается рабочего варианта для меня сейчас нет? только бету ставить?

[enterfaza]

4 минуты назад, meine12 сказал:

получается рабочего варианта для меня сейчас нет? только бету ставить?

Вам же нужна эта правка, значит ставить бету или ждать релиз (в Вашем случае дельту)

[meine12]

upstream http 127.0.0.1 78

не то написал в этой строке, подскажите как ее исправить?

 

[r3L4x]

@meine12no upstream же? Удалить и заново вписать правильно.

[Евгений Гусев]

В 31.08.2021 в 13:46, hellonow сказал:

указываем app/transmission/rpc и порт 443 с указанием протокола https.

Сделал по инструкции. Мобильное приложение прекрасно работает, а вот GUI для Windows никак не хочет подключаться:

Пробовал порт 78, 443 галочка использовать\не использовать SSL, результат один:

префикс https:\\ в удаленном узле тоже не помогает.. 

Как настроить правильно?