Переадресация TCP/443 в KeeneticOS

[nogood]

Доброго всем дня. Проблема следующая - после обновления до 3.9 при попытке включить перенаправление порта TCP/443 Кинетик сообщает следующее:

Цитата

Встроенный в KeeneticOS сервер SSL использует номер порта по умолчанию, TCP/443. Поэтому, переадресация HTTPS-трафика на порту TCP/443 не будет работать. Для настройки веб-доступа к устройствам локальной сети снаружи, мы рекомендуем использовать прокси-сервер доменных имен KeenDNS.

А дело в том, что у меня 443 перенаправлялся на nginx, в котором настроен модуль stream с анализом SNI и который, на основе этого анализа, если видел, что запрос к кинетику - пересылал запрос обратно кинетику, а если нет - обрабатывал сам. с 3.8 проблем не было. Работал и RMM, и SSTP сервер, и, ессно, облачный доступ. И, самое главное, работали нужные мне сервисы умного дома. Теперь же я не могу даже self-hosting на одноплатнике у себя настроить, ибо 443 не пробрасывает. Вопрос - а можно ли для таких как я добавить галочку - "принудительно пробросить"? Или настроить на самом кинетике в nmds модуль stream для nginx из коробки (ЕМНИП там же тоже nginx под капотом), чтобы оно это делало само при включении подобной галочки? Оно же много не просит, если надо - скину пример конфигурации.

[LLIaMMaH]

Та же проблема. Не заметил, когда это случилось, была прошивка 3.8.3 и вроде всё было нормально. Обновился до 3.8.5 и всё сломалось. Как теперь нормально сделать проброс по 443 порту на сервак?

 

PS: Потом уже заметил, что это про Dev ветку. У меня прошивка 3.8.5. Моя проблема из-за плагина для wordpress возникла. Стоят на авто обновлении. Вот по этой причине не мог зайти.

Но забирать порт 443 считаю не очень. Я когда увидел предупреждение в настройках переадресации, подумал: "Всё, приплыли." Расстроился конечно. Отключил KeeDNS, но это не помогло (про плагин выяснил позже). Поскольку не помогло, то вернул его обратно. В мобильном приложении кстати уведомления нет, что 443 порт теперь нельзя использовать, так как его забирает KeeDNS.

Edited September 11, 2022 by LLIaMMaH
Дописал постскриптум.

[Crovax]

В 14.09.2022 в 09:49, Oleg Nekrylov сказал:

Верните порт 443 юзерам!!! Куча сайтов повалилась.

Поддерживаю. Та же проблема.

[nikas]

Тоже присоединюсь, 443 нужен но вариантов его пробросить во внутренний вебсервер ноль

[Atlantis]

Поддерживаю. Переадресация порта 443 необходима. Ну или как минимум обратный прокси, с поддержкой пользовательских доменов.

Edited October 6, 2022 by Atlantis

[Eric750]

Я так понимаю нас никто не слышит из разрабов?

Поддерживаю. Верните порт 443 пользователю!

[Randi]

После общения с тех поддержкой, как я понял, есть два варианта решения:

1. Если у вас серый IP, то это самый печальный сценарий, придется отключить поддержку SSL-сервера на стороне роутера в CLI
2. Если у вас белый IP, то будет проще, нужно настроить правило в разделе переадресации портов, чтобы заходить в роутер по другому порту

Теперь по действиям.
Вариант 1.
Отключаем SSL и теряем KeenDNS, увы.

В CLI роутера пишем:

no ip http ssl enable
no ip http ssl redirect
system configuration save

Чтобы вернуть как было по умолчанию:

ip http ssl enable
ip http ssl redirect
system configuration save

 

Вариант 2.
Меняем порт роутеру, KeenDNS продолжит работать (если включен прямой доступ, а не облако, но при белом IP в автомате выбирает режим прямого доступа).

В разделе "Переадресация портов" создаем правило:
Вход: подключение Ethernet
Выход: этот интернет-центр (если нету, то пишите 127.0.0.1)
Протокол: TCP
Открыть порт: 2443 (придумайте любой не занятый)
Порт назначения: 443

Если надо попасть к роутеру через интернет, то теперь обращаетесь обязательно с указанием порта (2443 который открыли) в конце, https://домен:порт. KeenDNS продолжает работать, но обязательно указываем порт (2443) в конце, если у вас работает без порта, это ненадолго, кеш возможно просто.

Мне надо было 443 пробросить на NAS от Synology, на котором запущен свой DDNS домен и очень хотелось без портов в конце (и видеть ip подключений клиентов из интернета, ибо через KeenDNS все отображались как 192.168.1.1, наверное, так ведет себя обратный прокси роутера или NAT, не разбираюсь), но тогда к роутеру и KeenDNS надо порт указывать везде, пробовал на самом NAS настроить обратный прокси, чтобы по домену роутера (без порта в конце) перебрасывал к роутеру как это сделано в KeenDNS, не работает, может кто подскажет способ?

У меня недостаточно знаний в этой области, но мне видится, что лучшим решением было бы разрешить пользователю указать сторонний домен в роутере с привязкой локального ip устройства как это делает KeenDNS с доменами 4 уровня.
Что-то такого, если источник запрашивает randi.keenetic.pro, то перевести на роутер, если randi.synology.me, то на NAS, то что и было написано в первом посту, но сам так делать не умею.
 

[s0nify]

Ровно таже самая проблема, информацию по этому поводу найти не могу..

[JHecks]

Необходимо отключить "Облачная служба Keenetic Cloud для мобильных приложений" и "Удаленное управление" также отключить, они и занимают порт по умолчанию

Edited December 10, 2022 by JHecks

[Atlantis]

 

Согласен это выход.

 

Но тогда зачем мне keenetic? Открыть переадресацию, но потерять удобное управление и мониторинг роутера? Тогда легче выбрать mesh от другого производителя.

 

Выход только в одном виде, допилить возможность менять порт "Облачная служба Keenetic Cloud для мобильных приложений" и "Удаленное управление" на другой, не только на 433. Я понимаю что это возможно большая работа для программистов, но если keneetic рекламируют себя как решение для бизнеса(особенно малого), то стоит задуматься что на роутере такие ограничения не должны быть. Дома не у всех есть сервисы и устройства с доступом по 433, там они не нужны. Но в бизнесе тут всегда думаешь на будущее. У меня стоит в нескольких организациях вместо keenetic простой старый mikrotik. Ключевое "ВМЕСТО".  Я не живу и не работаю в СНГ. Но каждый раз когда есть возможно привести 1-2 из РФ привожу и себе и друзьям. Для дома и для офисов. Он действительно из разряда "настроил и забыл". Да подбешивает что если юсб диск отвалился то только перезагрузка спасет, но это мелочи, удобств намного меньше. Но рекомендовать кому-нибудь другому ставить и самому обслуживать в офисе пока из-за переадресации 433 воздержусь.

[Atlantis]

Возможно я ошибаюсь, но в keeneticOS встроен nginx. По мне так если вместо переадресации порта 443 будет возможность добавит reverse proxy на 2-5 доменов это будет компромис. Даже через cli. Если ещё с  ssl вообще идеально. Реально не хватает в офисе возможности по своему домену заходить на web-сервер. Только через keenDNS, за него отдельная благодарность.

 

Сейчас есть возможность добавить только ddns, как другой не keendns домен, но без возможности переадресации запроса во внутренюю сеть (или я не нашел)..

Edited February 21, 2023 by Atlantis

[Atlantis]

Похоже наши "хотелки" услышаны. Будем ждать стабильную версию 4.0. надеюсь реализация не подкачает.

 

[Александр Головин]

Купил вчера Keenetic Sprinter, порадовался пол часика и все. Попытка проброса портов к synology на личном домене и.... вот думаю делать возврат в магазин или исправят проблему с портом 443?

[Denis P]

1 час назад, Александр Головин сказал:

Купил вчера Keenetic Sprinter, порадовался пол часика и все. Попытка проброса портов к synology на личном домене и.... вот думаю делать возврат в магазин или исправят проблему с портом 443?

Обязательно возвращать и ни в коем случае не читать предыдущее сообщение.

[PASPARTU]

11 час назад, Александр Головин сказал:

Купил вчера Keenetic Sprinter, порадовался пол часика и все. Попытка проброса портов к synology на личном домене и.... вот думаю делать возврат в магазин или исправят проблему с портом 443?

Можете удалить KeenDNS и пробросить 443 порт на сино или куда вам надо.

[Александр Головин]

Уважаемые форумчане, дельного совета дать никто не может, а только минусовать в состоянии. Я долго выбирал роутер, и хочу чтобы "из коробки" все работало как положено (думаю это нормальное желание потребителя). По поводу возврата - так же нормальное желание, так как я его купил "сейчас" и хочу чтобы работало так же "сейчас" а не писать в центр поддержки клиентов по банальным вопросам, что считаю совершенно неправильным.

"Уже исправили в версии 4.0." - как я понимаю это бета или альфа версия? насколько стабильно работает? Где скачать? 

"Можете удалить KeenDNS и пробросить 443 порт на сино или куда вам надо." - тут ответ был выше в этой же ветке - для чего мне тогда keenetic? 
 

[Александр Головин]

В маршрутизаторе смените канал получения прошивок - увидите. При вопросах почитать можно там: https://help.keenetic.com/hc/ru/articles/360000399339-Обновление-интернет-центра

Спасибо!

[sp595]

Можете, пожалуйста, объяснить как можно переадресовать 443 порт.

Подключаюсь по ssh и ввожу команду

ip http ssl port 4443

В ответ пишет что нет команды port

Command::Base error[7405600]: no such command: port.

 

[Atlantis]

Предполагаеться что это можно сделать на версии выше KeeneticOS 4.0 alpha 14. Стабильной пока нету, только бета. Если получиться отпишитесь как работает плз.

Edited May 12, 2023 by Atlantis

[sp595]

Установил бета-версию на свой роутер и теперь все работает)

Даже не надо ничего перенаправлять

Просто порт открываешь и все работает

[sp595]

16 часов назад, Atlantis сказал:

Если получиться отпишитесь как работает плз.

Пинганул

[sp595]

Немного поторопился с выводами, после перезапуска если не переадресовать 443 порт веб интерфейс не работает. После переадресации естественно надо вводить порт для входа.

[Atlantis]

То есть после рестарта надо все заново? А вы сохраняли конфигурацию после смены порта ssl?

[sp595]

Я просто думал что можно порт не переадресовывать, но оказалось что в итоге конфликтуют порты хотя знака восклицательного нет.  Переадресовываешь порт и после сохраняешь конфигурацию

[boliwar]

Попробовал прошивку 4.0 Порт 443 переадресовал, но в интерфейс зайти невозможно 403: Forbidden. А 80 порт так открыть и не смог. Могу только из своей локальной сети к своему внешнему белому IP по http зайти на свой вэб ресурс. А еще могу из интернета пингануть свой внешний IP. Да уж, не того я ожидал от топа...

Edited May 13, 2023 by boliwar

[Atlantis]

То есть вы ввели команду примерно

ip http ssl port 4443

 

И после не заходило по вашему адресу по keendns? С портом :4443 в конце ссылки?
 

https://.......keneetik.link:4443

 Пока к сожалению не могу свой обновить до 4.0, так что очень интересно что у других получается....

[boliwar]

Вроде получилось. 443 порт проброшен, интернет центр переехал на 4443, но он доступен по порту только при включенном внешнем доступе.

[sp595]

В 01.06.2023 в 19:14, boliwar сказал:

Вроде получилось. 443 порт проброшен, интернет центр переехал на 4443, но он доступен по порту только при включенном внешнем доступе.

Потому что в локальной сети к роутеру через https нельзя достучаться, да и это не очень то и надо. Можете просто подключаться по http://192.168.1.1

[boliwar]

В 04.06.2023 в 13:10, sp595 сказал:

Потому что в локальной сети к роутеру через https нельзя достучаться, да и это не очень то и надо. Можете просто подключаться по http://192.168.1.1

Но еще и VPN сервер поломался, для него тоже стал нужен внешний доступ.

[PonomarevMM]

Здравствуйте, как убедится что 80 порт открыт?

- Keenetic Speedster (KN-3010)

- beeline + IPoE

- статический ip адрес (+ A запись в доменной зоне .house)

- открыт 80 и 443 порт

- Synology NAS в локалке (192.168.1.2)- на нем nginx в докере со статической страницей, наружу порт 8888

- порт форвардинг на роутере (80 ->8888 на NAS)

- http://192.168.1.2:8888/ - все ОК - Welcome to nginx!

- http://мой.статический.ип.адрес  внутри локалки - все ОК - Welcome to nginx!

- http://мой.статический.ип.адрес  извне не из домашней сети - connection timeout

- настроен захват пакетов

- стучусь по статическому ip адресу, в захвате пакетов ничего нет

куда копать ?

Edited June 12, 2023 by PonomarevMM

[Atlantis]

Какая keneeticOS установлена?

Если будет продолжение  плз выложите в этом форуме тоже.