Переадресация TCP/443 в KeeneticOS

[nogood]

Доброго всем дня. Проблема следующая - после обновления до 3.9 при попытке включить перенаправление порта TCP/443 Кинетик сообщает следующее:

Цитата

Встроенный в KeeneticOS сервер SSL использует номер порта по умолчанию, TCP/443. Поэтому, переадресация HTTPS-трафика на порту TCP/443 не будет работать. Для настройки веб-доступа к устройствам локальной сети снаружи, мы рекомендуем использовать прокси-сервер доменных имен KeenDNS.

А дело в том, что у меня 443 перенаправлялся на nginx, в котором настроен модуль stream с анализом SNI и который, на основе этого анализа, если видел, что запрос к кинетику - пересылал запрос обратно кинетику, а если нет - обрабатывал сам. с 3.8 проблем не было. Работал и RMM, и SSTP сервер, и, ессно, облачный доступ. И, самое главное, работали нужные мне сервисы умного дома. Теперь же я не могу даже self-hosting на одноплатнике у себя настроить, ибо 443 не пробрасывает. Вопрос - а можно ли для таких как я добавить галочку - "принудительно пробросить"? Или настроить на самом кинетике в nmds модуль stream для nginx из коробки (ЕМНИП там же тоже nginx под капотом), чтобы оно это делало само при включении подобной галочки? Оно же много не просит, если надо - скину пример конфигурации.

[Atlantis]

https://help.keenetic.com/hc/ru/articles/360003847820-Смена-номера-порта-управления-интернет-центром

 

 

Вы же порт веб конфигураторе поменяли?

[PonomarevMM]

версия: 4.0 Beta 1

Цитата

ip http port 8080
ip http security-level private
ip http lockout-policy 5 15 3
ip http ssl no enable
ip http ssl no redirect

[Atlantis]

Судя по статье по ссылке нет необходимости настраивать сетевой экран отдельно. Может удалить настройку сетевого экрана по порту 80, удалить переадресацию по порту 80, перегрузить роутер и заново настроить только переадресацию 80->8888

https://help.keenetic.com/hc/ru/articles/360000360760-Переадресация-портов

 

Что-то кажется тут дело в другом, но стоит отмести и этот вариант

 

[PonomarevMM]

В 12.06.2023 в 23:07, Atlantis сказал:

Судя по статье по ссылке нет необходимости настраивать сетевой экран отдельно. Может удалить настройку сетевого экрана по порту 80, удалить переадресацию по порту 80, перегрузить роутер и заново настроить только переадресацию 80->8888

https://help.keenetic.com/hc/ru/articles/360000360760-Переадресация-портов

Что-то кажется тут дело в другом, но стоит отмести и этот вариант

Все сделал по написанному - результат такой же.

Посмотрел статью https://help.keenetic.com/hc/ru/articles/360000756260

решил попробовать один из советов, а именно "Некоторые провайдеры осуществляют фильтрацию входящего трафика пользователей по стандартным протоколам и портам"

сделал переадресацию 8888->8888 и заработало (отдельно на межесетевом экране ничего не настраивал)

т.е. что провайдер (beeline) траффик блокирует ?

 

[Atlantis]

Почему бы для пробы вместо того что у вас есть

Билайн->роутер(80на8888)->NAS

Соорудить временно

ПК->роутер(80на8888)->NAS

Все на статических ip, ПК подсоединиться на тот же wan что был на билайне.

Тогда вы вместо вашего провайдера сможете напрямую зайти на 80 порт роутера и понять есть ли переадресация. Тут и поймёте провайдер блокирует или проблема в роутере.  Ну то есть как модно называть интернет-центре.

 

 

[Кирилл Кулаков]

Получилось найти решение?

Тоже поставил 4.0 beta. Поудалял все компоненты для удаленной работы, и с keendns связанные, применил все правила типа no ssl enable и redirect для https отключил через консольку тоже. Отключил upnp (хотя его и нет в 4.0 версии, по крайней мере no service upnp не отрабатывает, в вэб морде тоже всякие upnp удалил/отключил).

443 порт так и не пробрасывается, при чем 80 тыкаю все время - пробрасывает мгновенно, 443 висит и на сервер запрос не приходит😭

Может как-то откатится на версию на которой все работает? Вариант?

[Кирилл Кулаков]

3 minutes ago, ANDYBOND said:

Вариант - дать селфтест скрытым сообщением со ссылкой на это, и ждать выхода новой беты прошивки 4.0. Дабы в релиз эта ошибка не попала.

Благодарю за ответ. Как долго обычно ждут новой прошивки?

[Кирилл Кулаков]

1 minute ago, ANDYBOND said:

Это бета: тестовая прошивка. Потому как только - так сразу.

Можете посмотреть журнал: 

 

Декабрь 2022 ? Видимо не быстро)

Блин, мне стартап нужно запускать, а у меня роутер порт не пробрасывает.))

Может можно как-то поковырять конфиг nginx? добавить proxy_pass и тд? Как он редактируется?

 

[PonomarevMM]

В 15.06.2023 в 09:30, PonomarevMM сказал:

Все сделал по написанному - результат такой же.

Посмотрел статью https://help.keenetic.com/hc/ru/articles/360000756260

решил попробовать один из советов, а именно "Некоторые провайдеры осуществляют фильтрацию входящего трафика пользователей по стандартным протоколам и портам"

сделал переадресацию 8888->8888 и заработало (отдельно на межесетевом экране ничего не настраивал)

т.е. что провайдер (beeline) траффик блокирует ?

 

В конечном счете заработало, оказалось beeline рубил (стояло на среднем уровне)

перегрузил и все заработало. 

все остальное как выше писал.

Изменено 16 июля, 2023 пользователем PonomarevMM

[Евгения Стекольникова]

Добрый день! По советам отключить облачную службу и управление, чтобы освободить 443 порт. У меня прошивка 4.0.4, облачную службу я нашла, вырубила (включая зависимые сервера WebDAV и SSTP), но не могу найти службу удаленного управления. У меня её просто нет. В настройках подключения удалённое управление отключено совсем.  Нашла какую то службу "Мобильное приложение Keenetic" и тоже её отключила. Однако это не помогло. При запросе с внешних клиентов в статистике соединений на 443 порт SYN SENT. Что ещё нужно вырубить в этом наворочанном модеме за 20 к.р. чтобы наконец нужное заработало?

[Евгения Стекольникова]

В 11.12.2022 в 20:47, Randi сказал:

Теперь по действиям.
Вариант 1.
Отключаем SSL и теряем KeenDNS, увы.

В CLI роутера пишем:

no ip http ssl enable
no ip http ssl redirect
system configuration save

Здравствуйте!
Подключилась через PuTTY, набрала команды:
(config)> no ip http ssl enable
Http::Manager: Disabled SSL service.
(config)> no ip http ssl redirect
Http::Manager: Disabled SSL redirect.
(config)> system configuration save
Core::System::StartupConfig: Saving (cli).
(config)>
Вроде как всё правильно сделала, но проброс 443 порта так и не работает. Предварительно снесла "Мобильное приложение «Keenetic»" и "Агент облачной службы Keenetic Cloud и KeenDNS" перезапустила роутер, но всё равно запросы от внешних клиентов по 443 банятся (см. картинку) Или в версии 4.0.4 это уже не работает?

[admin]

6 часов назад, Евгения Стекольникова сказал:

Что ещё нужно вырубить в этом наворочанном модеме за 20 к.р. чтобы наконец нужное заработало?

В 4.0 ничего не нужно удалять и выключать. KeenDNS, WebDAV и прочее — тоже можно не удалять (если удалили, не беда). Нужно переставить порт встроенного HTTPS на что-то другое, тем самым освободив его для проброса. Нужно всего две настройки:

ip http ssl port 8443
ip static <ваше_правило_проброса>

Пришлите self-test в ЛС или скрытым сообщением сюда, если останутся вопросы.

[Евгения Стекольникова]

10 часов назад, admin сказал:

В 4.0 ничего не нужно удалять и выключать. KeenDNS, WebDAV и прочее — тоже можно не удалять (если удалили, не беда). Нужно переставить порт встроенного HTTPS на что-то другое, тем самым освободив его для проброса. Нужно всего две настройки:

ip http ssl port 8443
ip static <ваше_правило_проброса>

Пришлите self-test в ЛС или скрытым сообщением сюда, если останутся вопросы.

Здравствуйте! Спасибо за помощь, тут ещё один факт выяснился и не знаю с какой стороны к нему подойти. Внутри сети поимо веб сервера на 443 порту ещё и первичный сервер имён (вторичный на nic.ru). Я настроила правила переадресации для 53 го порта вроде как всё работает, по крайней мере, но при попытке получить трансфер зоны (я уже в настройках бинда прописала any; см. ниже)
с внешних адресов проверка отваливается по таймауту:

[evgeniya@znv-1c ~]$ dig @***.234.252.94 *************.xn--p1ai axfr
;; Connection to ***.234.252.94#53(***.234.252.94) for *************.xn--p1ai failed: timed out.
;; Connection to ***.234.252.94#53(***.234.252.94) for *************.xn--p1ai failed: timed out.

; <<>> DiG 9.16.27-RH <<>> @***.234.252.94 *************.xn--p1ai axfr
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached

Однако если без параметра axfr то записи зоны вполне себе прекрасно получаются:

[evgeniya@znv-1c ~]$ dig @***.234.252.94 *************.xn--p1ai

; <<>> DiG 9.16.27-RH <<>> @***.234.252.94 *************.xn--p1ai
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8866
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;чекушкины.рф.  IN      A

;; ANSWER SECTION:
*********.рф. 86400     IN      A       ***.234.252.94

;; AUTHORITY SECTION:
*********.рф. 86400     IN      NS      ns4-cloud.nic.ru.
*********.рф. 86400     IN      NS      ns.*********.рф.

;; ADDITIONAL SECTION:
ns.*********.рф. 86400 IN       A       ***.234.252.94

;; Query time: 10 msec
;; SERVER: 213.234.252.94#53(***.234.252.94)
;; WHEN: Mon Oct 09 17:59:25 +04 2023
;; MSG SIZE  rcvd: 135

Я уже думала что откуда то из кэша данные берутся, ан нет, службу bind9 останавливаю и для простых запросов начинается таймаут
Ранее я аналогичный квест с передачей зоны проходила на микротике, тогда я с протоколом пролетела, забыла что для DNS нужен UDP, как только UDP на 53й открыла сразу заработали запросы, в т.ч. и axfr. Ощущение что именно запросы на скачивание зоны блокируются на самом роутере и не доходят до службы.

zone "*************.xn--p1ai" {
        type master;
        file "/var/lib/bind/zone_rf";
        allow-transfer {
                any;
        };
};

Ваш вариант с перенастройкой вcтроенного https я тоже попробовала, но всё безрезультативно - ничего не изменилось, при попытке снаружи достучаться до 443 порта - SYN SENT. Самодиагностику пришлю в личку.

UPD Попробовала настроить правило переадресации TCP 1443 --> 443 сайт заработал. Т.е. точно какие то настройки внутри роутера препятствуют.

Изменено 9 октября, 2023 пользователем Евгения Стекольникова

[Евгения Стекольникова]

Дело было не в бобине. а чудаки (на букву м) сидели в машине, спасибо @admin за то что подсказали, не ожидала такой подставы от пчелайна (см скрин). Услуга подключена по умолчанию. Отключайте услугу Firewall в ЛК (второй снимок). Сразу не отключится. Спрашивать пеньков с глазами в техподдержке бесполезно, они ничего не знают и не умеют, сразу просите инженера, чтобы перезапустил подключение после того, как отключите услугу в ЛК. Порты они блокируют очень выборочно. Для входящих DNS запросов режут пакеты AXFR (загрузка зоны) и ANY (все записи зоны), потому DNS сервер кажется что вроде как работает, но на самом деле не до конца. Порт 80 вообще открыт, что тоже вводило в заблуждение, другие все порты с 1 по 1024 закрыты. Всем бесперебойной работы оборудования... 

 

 

Изменено 10 октября, 2023 пользователем Евгения Стекольникова
Замазала адреса на скринах

[Buba]

В 11.12.2022 в 19:47, Randi сказал:

2. Если у вас белый IP, то будет проще, нужно настроить правило в разделе переадресации портов, чтобы заходить в роутер по другому порту

Аналогично такая же ситуация с Synology была, что все IP отображались как от роутера, пробросил на 80/443 на Synology, проблема ушла. Но тут задумался, а как тогда будут SSL сертификаты обновляться для домена от Keenetic? Им же вроде нужен 80/443 тоже?

Нужен обратный прокси (reverse proxy) здорового человека на роутере, т.к. если вдруг выключил свой NAS, то доступ к другим устройствам не упадет (например, к малине с Home Assistant). Но почитав форум люди пишут, что ip http proxy в CLI кривой, не позволяет задать 80/443 на один домен, какие-то проблемы с поддоменами...

На стороне Synology тоже пытался через его обратные-прокси перенаправлять в роутер обратно, если набрал адрес роутера, чтобы не надо было указывать альтернативные порты для 80/443 в URL, не получается, либо кинетик ругается, либо выбивает ошибку от самого Synology.

[Кирилл Кулаков]

2 hours ago, Buba said:

Аналогично такая же ситуация с Synology была, что все IP отображались как от роутера, пробросил на 80/443 на Synology, проблема ушла. Но тут задумался, а как тогда будут SSL сертификаты обновляться для домена от Keenetic? Им же вроде нужен 80/443 тоже?

Нужен обратный прокси (reverse proxy) здорового человека на роутере, т.к. если вдруг выключил свой NAS, то доступ к другим устройствам не упадет (например, к малине с Home Assistant). Но почитав форум люди пишут, что ip http proxy в CLI кривой, не позволяет задать 80/443 на один домен, какие-то проблемы с поддоменами...

На стороне Synology тоже пытался через его обратные-прокси перенаправлять в роутер обратно, если набрал адрес роутера, чтобы не надо было указывать альтернативные порты для 80/443 в URL, не получается, либо кинетик ругается, либо выбивает ошибку от самого Synology.

Думаю лучший вариант тут использовать сервер с nginx на борту, не него заводить через роутер весь трафик на 80/443 и там уже разруливать/проксировать домены с ssl. 

[Denis P]

5 часов назад, Buba сказал:

Аналогично такая же ситуация с Synology была, что все IP отображались как от роутера

А лечится это буквально одной командой в cli, вы чего-то там где-то читали, но не там где нужно.

ip http proxy <name> x-real-ip

[Buba]

19 часов назад, Denis P сказал:

А лечится это буквально одной командой в cli

ip http proxy <name> x-real-ip

Не лечится, про ip http proxy в посте я упоминул в чем его проблема

Изменено 22 февраля пользователем Buba

[Denis P]

1 час назад, Buba сказал:

Не лечится, про ip http proxy в посте я упоминул в чем его проблема

Нет никакой проблемы, 443 порт можно освободить, у вас не актуальная информация двухлетней давности.

[Buba]

В 22.02.2024 в 15:40, Denis P сказал:

Нет никакой проблемы, 443 порт можно освободить, у вас не актуальная информация двухлетней давности.

При чем тут освобождение 443, если речь про обратный прокси:

Цитата

 ip http proxy в CLI не позволяет задать 80 и 443 на один домен

 

[upachko]

Тоже столкнулся с пробемой проброса портов на свой сервер домашний.

Провайдер ростелеком с gpon NTU-RG-5420G-Wac. Далее воткнут keenetic. До кинетика всё ок работало.

Все порты из поста у кинетика отрубил, сделал перебросы с 80 и 443 на локальный ип сервера, но извне мои домены так и не работают.

Если кто-то может помочь - буду благодарен.

 

ps: 

делал проброс через интерфейс 443 и 80 на сервак

делал проброс через кли

ip static tcp ISP 80 192.168.1.108

ip static tcp ISP 443 192.168.1.108

даже бахнул дмз

ip static ISP 192.168.1.108

на всякий отключил ссл

no ip http ssl enable

no ip http ssl redirect

Грешу на NTU-RG-5420G-Wac.

Продкидывание через keendns работает только по облаку (по прямому доступу не работает), но nginx там по доменам раскидывает, поэтому с кастомным просто 404

Попробовал прокинуть дмз на NTU-RG-5420G-Wac на айпишник кинетика, но не помогло.

 

pss:

Внезапно, если я включаю ВПН или перехожу на свои сайты не подключаясь к вайфаю (с мобильного интернета, например), то все работает.  Что это означает?

Изменено 18 октября пользователем upachko
дополнил инфой

[upachko]

Сам спросил - сам ответил. Пришлось только треть дня потратить.

Помогло:
1. Пробрасываем порты 80 и 443 через веб морду переадресации портов на ip сервака

2. На NTU-RG-5420G-Wac (ростелеком) (или аналоге, я думаю они все одинаковые +-) можно пойти 2 путями

2.1 Сделать дмз для ip кинетика
В этом варианте в локальной сети не будут резолвиться нужные домены (охереть какая неочевидная хрень, ибо до кинетика все работало идеально) и придется прокидывать через cli кинетика командами для каждого домена

"ip host {ваш домен} {локальный ip сервака}" 

 
2.2 Прокинуть только нужные порты по ip кинетика с галкой NAT loopback

В данном случае работает идеально. Домены без бубнов завелись на нужный сервак и через nginx на этом серваке перекидывются куда надо далее по локалке.

 

Все что выключал до этого включил и все работает. Так что в целом прям на "чистой" машине можно это делать с нуля.

 

ps: не сетевик, не бейте меня