Переадресация TCP/443 в KeeneticOS

[nogood]

Доброго всем дня. Проблема следующая - после обновления до 3.9 при попытке включить перенаправление порта TCP/443 Кинетик сообщает следующее:

Цитата

Встроенный в KeeneticOS сервер SSL использует номер порта по умолчанию, TCP/443. Поэтому, переадресация HTTPS-трафика на порту TCP/443 не будет работать. Для настройки веб-доступа к устройствам локальной сети снаружи, мы рекомендуем использовать прокси-сервер доменных имен KeenDNS.

А дело в том, что у меня 443 перенаправлялся на nginx, в котором настроен модуль stream с анализом SNI и который, на основе этого анализа, если видел, что запрос к кинетику - пересылал запрос обратно кинетику, а если нет - обрабатывал сам. с 3.8 проблем не было. Работал и RMM, и SSTP сервер, и, ессно, облачный доступ. И, самое главное, работали нужные мне сервисы умного дома. Теперь же я не могу даже self-hosting на одноплатнике у себя настроить, ибо 443 не пробрасывает. Вопрос - а можно ли для таких как я добавить галочку - "принудительно пробросить"? Или настроить на самом кинетике в nmds модуль stream для nginx из коробки (ЕМНИП там же тоже nginx под капотом), чтобы оно это делало само при включении подобной галочки? Оно же много не просит, если надо - скину пример конфигурации.

[Atlantis]

https://help.keenetic.com/hc/ru/articles/360003847820-Смена-номера-порта-управления-интернет-центром

 

 

Вы же порт веб конфигураторе поменяли?

[PonomarevMM]

версия: 4.0 Beta 1

Цитата

ip http port 8080
ip http security-level private
ip http lockout-policy 5 15 3
ip http ssl no enable
ip http ssl no redirect

[Atlantis]

Судя по статье по ссылке нет необходимости настраивать сетевой экран отдельно. Может удалить настройку сетевого экрана по порту 80, удалить переадресацию по порту 80, перегрузить роутер и заново настроить только переадресацию 80->8888

https://help.keenetic.com/hc/ru/articles/360000360760-Переадресация-портов

 

Что-то кажется тут дело в другом, но стоит отмести и этот вариант

 

[PonomarevMM]

В 12.06.2023 в 23:07, Atlantis сказал:

Судя по статье по ссылке нет необходимости настраивать сетевой экран отдельно. Может удалить настройку сетевого экрана по порту 80, удалить переадресацию по порту 80, перегрузить роутер и заново настроить только переадресацию 80->8888

https://help.keenetic.com/hc/ru/articles/360000360760-Переадресация-портов

Что-то кажется тут дело в другом, но стоит отмести и этот вариант

Все сделал по написанному - результат такой же.

Посмотрел статью https://help.keenetic.com/hc/ru/articles/360000756260

решил попробовать один из советов, а именно "Некоторые провайдеры осуществляют фильтрацию входящего трафика пользователей по стандартным протоколам и портам"

сделал переадресацию 8888->8888 и заработало (отдельно на межесетевом экране ничего не настраивал)

т.е. что провайдер (beeline) траффик блокирует ?

 

[Atlantis]

Почему бы для пробы вместо того что у вас есть

Билайн->роутер(80на8888)->NAS

Соорудить временно

ПК->роутер(80на8888)->NAS

Все на статических ip, ПК подсоединиться на тот же wan что был на билайне.

Тогда вы вместо вашего провайдера сможете напрямую зайти на 80 порт роутера и понять есть ли переадресация. Тут и поймёте провайдер блокирует или проблема в роутере.  Ну то есть как модно называть интернет-центре.

 

 

[Кирилл Кулаков]

Получилось найти решение?

Тоже поставил 4.0 beta. Поудалял все компоненты для удаленной работы, и с keendns связанные, применил все правила типа no ssl enable и redirect для https отключил через консольку тоже. Отключил upnp (хотя его и нет в 4.0 версии, по крайней мере no service upnp не отрабатывает, в вэб морде тоже всякие upnp удалил/отключил).

443 порт так и не пробрасывается, при чем 80 тыкаю все время - пробрасывает мгновенно, 443 висит и на сервер запрос не приходит😭

Может как-то откатится на версию на которой все работает? Вариант?

[Кирилл Кулаков]

3 minutes ago, ANDYBOND said:

Вариант - дать селфтест скрытым сообщением со ссылкой на это, и ждать выхода новой беты прошивки 4.0. Дабы в релиз эта ошибка не попала.

Благодарю за ответ. Как долго обычно ждут новой прошивки?

[Кирилл Кулаков]

1 minute ago, ANDYBOND said:

Это бета: тестовая прошивка. Потому как только - так сразу.

Можете посмотреть журнал: 

 

Декабрь 2022 ? Видимо не быстро)

Блин, мне стартап нужно запускать, а у меня роутер порт не пробрасывает.))

Может можно как-то поковырять конфиг nginx? добавить proxy_pass и тд? Как он редактируется?

 

[PonomarevMM]

В 15.06.2023 в 09:30, PonomarevMM сказал:

Все сделал по написанному - результат такой же.

Посмотрел статью https://help.keenetic.com/hc/ru/articles/360000756260

решил попробовать один из советов, а именно "Некоторые провайдеры осуществляют фильтрацию входящего трафика пользователей по стандартным протоколам и портам"

сделал переадресацию 8888->8888 и заработало (отдельно на межесетевом экране ничего не настраивал)

т.е. что провайдер (beeline) траффик блокирует ?

 

В конечном счете заработало, оказалось beeline рубил (стояло на среднем уровне)

перегрузил и все заработало. 

все остальное как выше писал.

Edited July 16, 2023 by PonomarevMM

[Евгения Стекольникова]

Добрый день! По советам отключить облачную службу и управление, чтобы освободить 443 порт. У меня прошивка 4.0.4, облачную службу я нашла, вырубила (включая зависимые сервера WebDAV и SSTP), но не могу найти службу удаленного управления. У меня её просто нет. В настройках подключения удалённое управление отключено совсем.  Нашла какую то службу "Мобильное приложение Keenetic" и тоже её отключила. Однако это не помогло. При запросе с внешних клиентов в статистике соединений на 443 порт SYN SENT. Что ещё нужно вырубить в этом наворочанном модеме за 20 к.р. чтобы наконец нужное заработало?

[Евгения Стекольникова]

В 11.12.2022 в 20:47, Randi сказал:

Теперь по действиям.
Вариант 1.
Отключаем SSL и теряем KeenDNS, увы.

В CLI роутера пишем:

no ip http ssl enable
no ip http ssl redirect
system configuration save

Здравствуйте!
Подключилась через PuTTY, набрала команды:
(config)> no ip http ssl enable
Http::Manager: Disabled SSL service.
(config)> no ip http ssl redirect
Http::Manager: Disabled SSL redirect.
(config)> system configuration save
Core::System::StartupConfig: Saving (cli).
(config)>
Вроде как всё правильно сделала, но проброс 443 порта так и не работает. Предварительно снесла "Мобильное приложение «Keenetic»" и "Агент облачной службы Keenetic Cloud и KeenDNS" перезапустила роутер, но всё равно запросы от внешних клиентов по 443 банятся (см. картинку) Или в версии 4.0.4 это уже не работает?

[admin]

6 часов назад, Евгения Стекольникова сказал:

Что ещё нужно вырубить в этом наворочанном модеме за 20 к.р. чтобы наконец нужное заработало?

В 4.0 ничего не нужно удалять и выключать. KeenDNS, WebDAV и прочее — тоже можно не удалять (если удалили, не беда). Нужно переставить порт встроенного HTTPS на что-то другое, тем самым освободив его для проброса. Нужно всего две настройки:

ip http ssl port 8443
ip static <ваше_правило_проброса>

Пришлите self-test в ЛС или скрытым сообщением сюда, если останутся вопросы.

[Евгения Стекольникова]

10 часов назад, admin сказал:

В 4.0 ничего не нужно удалять и выключать. KeenDNS, WebDAV и прочее — тоже можно не удалять (если удалили, не беда). Нужно переставить порт встроенного HTTPS на что-то другое, тем самым освободив его для проброса. Нужно всего две настройки:

ip http ssl port 8443
ip static <ваше_правило_проброса>

Пришлите self-test в ЛС или скрытым сообщением сюда, если останутся вопросы.

Здравствуйте! Спасибо за помощь, тут ещё один факт выяснился и не знаю с какой стороны к нему подойти. Внутри сети поимо веб сервера на 443 порту ещё и первичный сервер имён (вторичный на nic.ru). Я настроила правила переадресации для 53 го порта вроде как всё работает, по крайней мере, но при попытке получить трансфер зоны (я уже в настройках бинда прописала any; см. ниже)
с внешних адресов проверка отваливается по таймауту:

[evgeniya@znv-1c ~]$ dig @***.234.252.94 *************.xn--p1ai axfr
;; Connection to ***.234.252.94#53(***.234.252.94) for *************.xn--p1ai failed: timed out.
;; Connection to ***.234.252.94#53(***.234.252.94) for *************.xn--p1ai failed: timed out.

; <<>> DiG 9.16.27-RH <<>> @***.234.252.94 *************.xn--p1ai axfr
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached

Однако если без параметра axfr то записи зоны вполне себе прекрасно получаются:

[evgeniya@znv-1c ~]$ dig @***.234.252.94 *************.xn--p1ai

; <<>> DiG 9.16.27-RH <<>> @***.234.252.94 *************.xn--p1ai
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8866
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;чекушкины.рф.  IN      A

;; ANSWER SECTION:
*********.рф. 86400     IN      A       ***.234.252.94

;; AUTHORITY SECTION:
*********.рф. 86400     IN      NS      ns4-cloud.nic.ru.
*********.рф. 86400     IN      NS      ns.*********.рф.

;; ADDITIONAL SECTION:
ns.*********.рф. 86400 IN       A       ***.234.252.94

;; Query time: 10 msec
;; SERVER: 213.234.252.94#53(***.234.252.94)
;; WHEN: Mon Oct 09 17:59:25 +04 2023
;; MSG SIZE  rcvd: 135

Я уже думала что откуда то из кэша данные берутся, ан нет, службу bind9 останавливаю и для простых запросов начинается таймаут
Ранее я аналогичный квест с передачей зоны проходила на микротике, тогда я с протоколом пролетела, забыла что для DNS нужен UDP, как только UDP на 53й открыла сразу заработали запросы, в т.ч. и axfr. Ощущение что именно запросы на скачивание зоны блокируются на самом роутере и не доходят до службы.

zone "*************.xn--p1ai" {
        type master;
        file "/var/lib/bind/zone_rf";
        allow-transfer {
                any;
        };
};

Ваш вариант с перенастройкой вcтроенного https я тоже попробовала, но всё безрезультативно - ничего не изменилось, при попытке снаружи достучаться до 443 порта - SYN SENT. Самодиагностику пришлю в личку.

UPD Попробовала настроить правило переадресации TCP 1443 --> 443 сайт заработал. Т.е. точно какие то настройки внутри роутера препятствуют.

Edited October 9, 2023 by Евгения Стекольникова

[Евгения Стекольникова]

Дело было не в бобине. а чудаки (на букву м) сидели в машине, спасибо @admin за то что подсказали, не ожидала такой подставы от пчелайна (см скрин). Услуга подключена по умолчанию. Отключайте услугу Firewall в ЛК (второй снимок). Сразу не отключится. Спрашивать пеньков с глазами в техподдержке бесполезно, они ничего не знают и не умеют, сразу просите инженера, чтобы перезапустил подключение после того, как отключите услугу в ЛК. Порты они блокируют очень выборочно. Для входящих DNS запросов режут пакеты AXFR (загрузка зоны) и ANY (все записи зоны), потому DNS сервер кажется что вроде как работает, но на самом деле не до конца. Порт 80 вообще открыт, что тоже вводило в заблуждение, другие все порты с 1 по 1024 закрыты. Всем бесперебойной работы оборудования... 

 

 

Edited October 10, 2023 by Евгения Стекольникова
Замазала адреса на скринах

[Buba]

В 11.12.2022 в 19:47, Randi сказал:

2. Если у вас белый IP, то будет проще, нужно настроить правило в разделе переадресации портов, чтобы заходить в роутер по другому порту

Аналогично такая же ситуация с Synology была, что все IP отображались как от роутера, пробросил на 80/443 на Synology, проблема ушла. Но тут задумался, а как тогда будут SSL сертификаты обновляться для домена от Keenetic? Им же вроде нужен 80/443 тоже?

Нужен обратный прокси (reverse proxy) здорового человека на роутере, т.к. если вдруг выключил свой NAS, то доступ к другим устройствам не упадет (например, к малине с Home Assistant). Но почитав форум люди пишут, что ip http proxy в CLI кривой, не позволяет задать 80/443 на один домен, какие-то проблемы с поддоменами...

На стороне Synology тоже пытался через его обратные-прокси перенаправлять в роутер обратно, если набрал адрес роутера, чтобы не надо было указывать альтернативные порты для 80/443 в URL, не получается, либо кинетик ругается, либо выбивает ошибку от самого Synology.

[Кирилл Кулаков]

2 hours ago, Buba said:

Аналогично такая же ситуация с Synology была, что все IP отображались как от роутера, пробросил на 80/443 на Synology, проблема ушла. Но тут задумался, а как тогда будут SSL сертификаты обновляться для домена от Keenetic? Им же вроде нужен 80/443 тоже?

Нужен обратный прокси (reverse proxy) здорового человека на роутере, т.к. если вдруг выключил свой NAS, то доступ к другим устройствам не упадет (например, к малине с Home Assistant). Но почитав форум люди пишут, что ip http proxy в CLI кривой, не позволяет задать 80/443 на один домен, какие-то проблемы с поддоменами...

На стороне Synology тоже пытался через его обратные-прокси перенаправлять в роутер обратно, если набрал адрес роутера, чтобы не надо было указывать альтернативные порты для 80/443 в URL, не получается, либо кинетик ругается, либо выбивает ошибку от самого Synology.

Думаю лучший вариант тут использовать сервер с nginx на борту, не него заводить через роутер весь трафик на 80/443 и там уже разруливать/проксировать домены с ssl. 

[Denis P]

5 часов назад, Buba сказал:

Аналогично такая же ситуация с Synology была, что все IP отображались как от роутера

А лечится это буквально одной командой в cli, вы чего-то там где-то читали, но не там где нужно.

ip http proxy <name> x-real-ip

[Buba]

19 часов назад, Denis P сказал:

А лечится это буквально одной командой в cli

ip http proxy <name> x-real-ip

Не лечится, про ip http proxy в посте я упоминул в чем его проблема

Edited February 22 by Buba

[Denis P]

1 час назад, Buba сказал:

Не лечится, про ip http proxy в посте я упоминул в чем его проблема

Нет никакой проблемы, 443 порт можно освободить, у вас не актуальная информация двухлетней давности.

[Buba]

В 22.02.2024 в 15:40, Denis P сказал:

Нет никакой проблемы, 443 порт можно освободить, у вас не актуальная информация двухлетней давности.

При чем тут освобождение 443, если речь про обратный прокси:

Цитата

 ip http proxy в CLI не позволяет задать 80 и 443 на один домен