Jump to content
Как правильно добавить self-test и прочую отладку в тему
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 0

HTTP 403 при доступе через IPv6

atam

Asked by atam,

 Share

Question

atam Member

atam

Posted
Posted

Здравствуйте.

Когда я пытаюсь достучаться до web UI своего KN-1811 по IPv6, в браузере получаю HTTP 403 Forbidden.

Первая мысль была - фаервол. Но потом одумался :) Фаервол бы не отвечал "в терминах HTTP" - 403, а просто бы дропнул пакеты. И увидел бы я в браузере connection timeout (т.е. ошибку транспорта, а не аппликейшен уровня, как 403).

Подскажите, в чём может быть причина? 

P.S. Попробовать достучаться по IPv4 и посмотреть что будет не имею возможности - сижу за CGNAT.

P.P.S. Хоть это и бесполезно (по описанным выше причинам), "на всякий случай" пробовал добавить в ip6table первым правилом принимать весь IPv6 трафик: 

ip6tables -I INPUT 1 -p tcp --dport 443 -j ACCEPT

Как и положено, никакого эффекта это не дало, и на уровне http запрос всё так же реджектится.

Link to comment
Share on other sites

4 answers to this question

Recommended Posts

  • 1
Denis P Honored Flooder

Denis P

Posted
Posted (edited)
3 часа назад, atam сказал:

исключительно по HTTPS

Кто ж вам сертификат выпишет на ipv6 адрес, без домена, le, используемый в кинетике, так не умеет (для v4 тоже)

Edited by Denis P
  • Thanks 1
Link to comment
Share on other sites
  • 0
atam Member

atam

Posted
  • Author
Posted (edited)
7 hours ago, CBLoner said:

ip http security-level public

Так по IPv6 доуступ к web UI появнляется. Но в этом случае он отрыт по голому HTTP, чего категорически не хочется. К тому же эта команда как-то странно действует: в руководстве по cli ясным по белому написано: 

public: Access to the web interface is allowed for public, private and protected interfaces via HTTP and HTTPS.

(kn-1811, стр .347)

При этом, даже когда доступ по по HTTP появляется, по HTTPS всё равно достучаться не получается - 403 ошибка.

А хочется ведь совсем простого: публичный доступ исключительно по HTTPS..

Edited by Andrey Tamelo
Link to comment
Share on other sites
  • 0
atam Member

atam

Posted
  • Author
Posted
4 hours ago, Denis P said:

Кто ж вам сертификат выпишет на ipv6 адрес, без домена, le, используемый в кинетике, так не умеет (для v4 тоже)

Вот рояль в кустах-то я и проморгал :) Спасибо!

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to question listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...