Jump to content
  • 0

Не работает доступ к веб-приложениям через KeenDNS


uneasy

Question

По официальному гайду настроил доступ через KeenDNS к видеорегистратору Trassir, находящемуся в локальной сети удаленного офиса, через подключение к camera.domain.keenetic.link. У Кинетика реального IP там нет, настраиваю его через облако (тут все работает).

В регистраторе нешифрованного HTTP нет, только HTTPS, доступен на 8080 порту (хотя порт я пробовал менять на 5443, все то же самое), сертификат самоподписанный (сам регистратор его и создал при первой настройке). При подключении через авторизованный доступ спрашивает логин-пароль, после чего ERR_CONNECTION_TIMED_OUT, веб-морда так и не появляется. Через свободный доступ то же самое, но без запроса логина-пароля.

Причем что меня удивляет - в строке браузера URL меняется на внутренний IPшник регистратора. При подключении curl'ом то же самое:

<html><body>Temporary redirect to <a href="https://192.168.20.200:8080/webgui/">https://192.168.20.200:8080/webgui/</a></body></html>

Естественно соединение работать не будет, IP то внутренний. Или я что-то не понимаю? В логах пусто.

Через SSTP VPN доступ к регистратору работает прекрасно, но тут уже другие проблемы возникают.

Edited by uneasy
  • Upvote 1
Link to comment
Share on other sites

19 answers to this question

Recommended Posts

  • 0
  • 0
1 hour ago, Mamay said:

<ссылки>

В первой ссылке ничего полезного, вторая устарела ("информация актуальна для устройств с KeeneticOS до версии 2.15"), третья - собственно гайд по которому все было сделано

Link to comment
Share on other sites

  • 0
18 часов назад, uneasy сказал:

По официальному гайду настроил доступ через KeenDNS к видеорегистратору Trassir, находящемуся в локальной сети удаленного офиса, через подключение к camera.domain.keenetic.link. У Кинетика реального IP там нет, настраиваю его через облако (тут все работает).

В регистраторе нешифрованного HTTP нет, только HTTPS, доступен на 8080 порту (хотя порт я пробовал менять на 5443, все то же самое), сертификат самоподписанный (сам регистратор его и создал при первой настройке). При подключении через авторизованный доступ спрашивает логин-пароль, после чего ERR_CONNECTION_TIMED_OUT, веб-морда так и не появляется. Через свободный доступ то же самое, но без запроса логина-пароля.

Причем что меня удивляет - в строке браузера URL меняется на внутренний IPшник регистратора. При подключении curl'ом то же самое:

Естественно соединение работать не будет, IP то внутренний. Или я что-то не понимаю? В логах пусто.

Через SSTP VPN доступ к регистратору работает прекрасно, но тут уже другие проблемы возникают.

Тоже вчера столкнулся с таким поведением. Пропал доступ из Интернета к NAS Unraid в домашней сети по портам 80 и 443. При вводе адреса NASа в строке браузера адрес меняется на внутренний (domain.keenetic.link на 192.168.1.2) и естественно доступа нет.

И случилось это после обновления KeeneticOS с 3.9.2 до 3.9.4. 

Через SSTP VPN доступ к NASe работает прекрасно.

Link to comment
Share on other sites

  • 0

Подтверждаю проблемы KeenDNS на прошивке 3.9.4

IP-адрес белый но динамический от провайдера - не обновляется в DNS.

Доступ по https не работает.

Link to comment
Share on other sites

  • 0
2 hours ago, habahaba said:

И случилось это после обновления KeeneticOS с 3.9.2 до 3.9.4. 

Попробовал сделать даунгрейд до 3.9.2, но изменений не вижу - по прежнему форвард на внутренний IP и таймаут.

Link to comment
Share on other sites

  • 0
2 minutes ago, guantvas said:

Подтверждаю проблемы KeenDNS на прошивке 3.9.4

IP-адрес белый но динамический от провайдера - не обновляется в DNS.

Доступ по https не работает.

Проблема определенно присутствует. Носит вероятностный характер. Подозрение на потерю синхронизации в облачном сервисе, не на прошивку, т.е. обновление на 3.9.4 повлияло косвенно. На наших автотестах и вручную искусственно она не воспроизводится, поэтому отлаживаем реальных кейсах. Просьба ко всем, кто столкнулся, сообщать в поддержку. Все случаи собираются в общую задачу, которая сейчас в работе.

  • Thanks 2
Link to comment
Share on other sites

  • 0
1 hour ago, admin said:

Проблема определенно присутствует. Носит вероятностный характер. Подозрение на потерю синхронизации в облачном сервисе, не на прошивку, т.е. обновление на 3.9.4 повлияло косвенно. На наших автотестах и вручную искусственно она не воспроизводится, поэтому отлаживаем реальных кейсах. Просьба ко всем, кто столкнулся, сообщать в поддержку. Все случаи собираются в общую задачу, которая сейчас в работе.

А по моему вопросу можете что-то посоветовать? Не думаю, что он как-то связан с проблемой guantvas.

Link to comment
Share on other sites

  • 0
8 minutes ago, uneasy said:

А по моему вопросу можете что-то посоветовать? Не думаю, что он как-то связан с проблемой guantvas.

Не связан. Покажите фрагмент конфига с настроенным прокси к регистратору. Редирект идет от регистратора. То есть, надо пытаться что-то подкрутить в HTTP-заголовках между кинетиком и ним, что заставит его не редиректить. (Не факт, что удастся.)

Link to comment
Share on other sites

  • 0
1 hour ago, admin said:

Не связан. Покажите фрагмент конфига с настроенным прокси к регистратору. Редирект идет от регистратора. То есть, надо пытаться что-то подкрутить в HTTP-заголовках между кинетиком и ним, что заставит его не редиректить. (Не факт, что удастся.)

Да, похоже, это регистратор редиректит.

Посмотрел конфиг, там как-то негусто с настройками. Вот это нужно?

ip http security-level public ssl
ip http lockout-policy 5 15 3
ip http ssl enable
ip http ssl redirect
ip http proxy cam
    upstream https 00:xx:xx:xx:xx:b9 8080
    domain ndns
    security-level public
    auth

При подключении без использования KeenDNS регистратор перебрасывает на /webgui - может быть из-за этого?

 

UPD: Попробовал curl -k https://192.168.20.200:8080

<html><body>Moved permanently to <a href="/webgui/">/webgui/</a></body></html>

 

Edited by uneasy
Link to comment
Share on other sites

  • 0
1 hour ago, uneasy said:
<html><body>Moved permanently to <a href="/webgui/">/webgui/</a></body></html>

Хороший редирект. Пробуйте добиться такого же при обращении через прокси. Включите curl с печатью заголовков, может быть это наведет на мысль `curl -kv https://192.168.20.200:8080`.

Можно внутри `ip http proxy cam` поиграть с настройками:

  • preserve-host — посылать оригинальный заголовок Host, который был до проксирования
  • force-host {host} — посылать принудительно заданный заголовок Host
  • x-real-ip — посылать заголовки X-Real-IP и X-Forwarded-For
Link to comment
Share on other sites

  • 0
13 часа назад, admin сказал:

Проблема определенно присутствует. Носит вероятностный характер. Подозрение на потерю синхронизации в облачном сервисе, не на прошивку, т.е. обновление на 3.9.4 повлияло косвенно. На наших автотестах и вручную искусственно она не воспроизводится, поэтому отлаживаем реальных кейсах. Просьба ко всем, кто столкнулся, сообщать в поддержку. Все случаи собираются в общую задачу, которая сейчас в работе.

Общался пол дня с поддержкой - в итоге говорят проблема в протоколе HTTPS \ SSL и 443 порту на стороне NAS. Как так, если у всего мира с такими же NAS и другими роутерами всё ок и только у Кинетиков проблема в последние дни...

И ещё, вот эта проблема связана же с проблемой в этой ветке: https://forum.keenetic.com/topic/14696-переадресация-tcp443-в-keeneticos/

Edited by habahaba
Link to comment
Share on other sites

  • 0
On 3/2/2023 at 5:21 PM, admin said:

Хороший редирект. Пробуйте добиться такого же при обращении через прокси. Включите curl с печатью заголовков, может быть это наведет на мысль `curl -kv https://192.168.20.200:8080`.

Можно внутри `ip http proxy cam` поиграть с настройками:

  • preserve-host — посылать оригинальный заголовок Host, который был до проксирования
  • force-host {host} — посылать принудительно заданный заголовок Host
  • x-real-ip — посылать заголовки X-Real-IP и X-Forwarded-For

 

Есть подвижки, но опять застрял. Переадресацию на локальный IP удалось победить при помощи команды ip http proxy cam preserve-host 

 

On 3/2/2023 at 9:16 AM, habahaba said:

При вводе адреса NASа в строке браузера адрес меняется на внутренний

habahaba, обратите внимание, возможно этого вам будет достаточно, только cam поменяйте.

 

Также пришлось поменять порт на 8083, с 8080 не заработало. И сначала обрадовался - при подключении на https://cam.domain.keenetic.link получил NET::ERR_CERT_COMMON_NAME_INVALID - при прямом подключении тоже выскаивает ошибка сертификата (правда другая - NET::ERR_CERT_AUTHORITY_INVALID). Однако далее при выборе "все равно перейти" получаю новую ошибку от Кинетика - Доступ к веб-интерфейсу запрещен (0x14) Код ошибки 403

UPD: Уффф, кажется, удалось победить. Включил дополнительно к KeenDNS еще и правило переадресации портов - вход: Ethernet-подключение, выход: регистратор, порт: 8083. Теперь вижу веб морду регистратора наконец.

UPD2: Ну в общем, не совсем то, что надо получилось. Если включить переадресацию портов, то все, собственно, работает и без доменного имени 4-го уровня - веб морда доступна по адресу https://domain.keenetic.link:8083 (без всякого cam) и настройки авторизованного доступа не применяются. Ладно, черт с ним, и так сойдет. Домен снес, буду пользоваться переадресацией, хотя в этом случае придется надеяться, что разработчики Трассира уязвимостей в веб морде не оставили.

Edited by uneasy
Link to comment
Share on other sites

  • 0

Хотел сделать доступ к своему венчестеру по WebDav, создал доменное имя.

Мало того, что сервис так и не заработал, так и часто на доменное имя не попасть, пишет: 

 

Доступ к веб-интерфейсу запрещен (0x14)

Код ошибки403

Извините, мы не смогли обслужить ваш запрос!

Пожалуйста, проверьте корректность имени запрашиваемого ресурса или попробуйте обновить эту страницу немного позже, если вы допускаете, что причина ошибки могла быть временной.
Link to comment
Share on other sites

  • 0
34 минуты назад, Геннадий_Минск сказал:

Хотел сделать доступ к своему венчестеру по WebDav, создал доменное имя.

Если вы думаете что это информации достаточно, то спешу вас разочаровать. Здесь никто не гадает на кофейной гуще.

Link to comment
Share on other sites

  • 0
1 час назад, Mamay сказал:

Если вы думаете что это информации достаточно, то спешу вас разочаровать. Здесь никто не гадает на кофейной гуще.

К своему серверу то есть доступ, то нет, часто пишет: "

Потеряно соединение с интернет-центром

Link to comment
Share on other sites

  • 0
31 минуту назад, Геннадий_Минск сказал:

К своему серверу то есть доступ, то нет

Перечитайте ваше первое сообщение. Согласно него у вас вообще нет доступа, а теперь у вас то потухнет, то погаснет. 

Проследуйте в официальную  поддержку, если верить вашему так называемому "багрепорту" похоже проблема на стороне либо вашего провайдера, либо в облаке.

Link to comment
Share on other sites

  • 0
45 минут назад, Mamay сказал:

Согласно него у вас вообще нет доступа

Не совсем понял, что значит у меня ВООБЩЕ нет доступа ?

Я заходил утром, даже большой файл удалось закачать к себе.

А уже в обед то есть связь с сервером, то нет..

  • Confused 1
Link to comment
Share on other sites

  • 0
3 часа назад, Геннадий_Минск сказал:

Мало того, что сервис так и не заработал

58 минут назад, Mamay сказал:

Перечитайте ваше первое сообщение. Согласно него у вас вообще нет доступа, а теперь у вас то потухнет, то погаснет. 

10 минут назад, Геннадий_Минск сказал:

Не совсем понял, что значит у меня ВООБЩЕ нет доступа ?

 

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...