есть белый статический адрес и собственный домен 2-уровня: yyy.xxx (и CNAME запись для поддомена 3-го уровня zzz.yyy.xxx, но пока это отношение к делу не имеет).
Хочу настроить свой Keenetic Speedster, как реверс прокси. С 80 портом вроде как получилось. Следующий шаг настроить 443.
На текущий момент все http proxy удалены.
show running-config
...
ip http security-level private
ip http lockout-policy 5 15 3
ip http ssl enable
ip http ssl redirect
ip nat Home
...
В моем понимании ssl сертификат должен терминейтится на роутере и дальнейшее общение роутер <-> устройство в локальной сети происходит уже по http.
начинаю получать сертификат на собственный домен
ip http ssl acme get xxx.yyy
Acme::Client: Obtaining certificate for domain "xxx.yyy" is started.
что вижу потом в логе (вывод для удобства отформатирован)
I [Jan313:25:53] ndm:Acme::Tools:[312]"out":"{"identifier":{"type":"dns","value":"xxx.yyy"},"status":"invalid","expires":"2022-01-10T10:25:39Z","challenges":[{"type":"http-01","status":"invalid","error":{"type":"urn:ietf:params:acme:error:connection","detail":"Fetching http://xxx.yyy/.well-known/acme-challenge/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx: Timeout during connect (likely firewall problem)","status":400},"url":"https://acme-v02.api.letsencrypt.org/acme/chall-v3/00000000000/xxxxxx","token":"xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx","validationRecord":[{"url":"http://xxx.yyy/.well-known/acme-challenge/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx","hostname":"xxx.yyy","port":"80","addressesResolved":["a.b.c.d"],"addressUsed":"a.b.c.d"}],"validated":"2022-01-03T10:25:40Z"}]}".
addressesResolved и addressUsed резолвятся правильно и это один и тот же мой статический белый IP.
Если понимаю правильно, то acme должен положить токен-файл xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx по пути: .well-known/acme-challenge, а letsencrypt достучаться до него по 80-му порту, но не может.
Проблема так понимаю: Timeout during connect (likely firewall problem)
Собственно как это пофиксить и пофиксить правильно?
P.S. повторю, что считаем на текущий момент за роутером ничего нет, как следствие все настройки реверс прокси убраны на данный момент.
You can post now and register later.
If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.
Question
PonomarevMM
Здравствуйте,
есть белый статический адрес и собственный домен 2-уровня: yyy.xxx (и CNAME запись для поддомена 3-го уровня zzz.yyy.xxx, но пока это отношение к делу не имеет).
Хочу настроить свой Keenetic Speedster, как реверс прокси. С 80 портом вроде как получилось. Следующий шаг настроить 443.
На текущий момент все http proxy удалены.
show running-config
В моем понимании ssl сертификат должен терминейтится на роутере и дальнейшее общение роутер <-> устройство в локальной сети происходит уже по http.
начинаю получать сертификат на собственный домен
что вижу потом в логе (вывод для удобства отформатирован)
addressesResolved и addressUsed резолвятся правильно и это один и тот же мой статический белый IP.
Если понимаю правильно, то acme должен положить токен-файл xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx по пути: .well-known/acme-challenge, а letsencrypt достучаться до него по 80-му порту, но не может.
Проблема так понимаю: Timeout during connect (likely firewall problem)
Собственно как это пофиксить и пофиксить правильно?
P.S. повторю, что считаем на текущий момент за роутером ничего нет, как следствие все настройки реверс прокси убраны на данный момент.
Link to comment
Share on other sites
3 answers to this question
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.