Не работает доступ к веб-приложениям через KeenDNS

[uneasy]

По официальному гайду настроил доступ через KeenDNS к видеорегистратору Trassir, находящемуся в локальной сети удаленного офиса, через подключение к camera.domain.keenetic.link. У Кинетика реального IP там нет, настраиваю его через облако (тут все работает).

В регистраторе нешифрованного HTTP нет, только HTTPS, доступен на 8080 порту (хотя порт я пробовал менять на 5443, все то же самое), сертификат самоподписанный (сам регистратор его и создал при первой настройке). При подключении через авторизованный доступ спрашивает логин-пароль, после чего ERR_CONNECTION_TIMED_OUT, веб-морда так и не появляется. Через свободный доступ то же самое, но без запроса логина-пароля.

Причем что меня удивляет - в строке браузера URL меняется на внутренний IPшник регистратора. При подключении curl'ом то же самое:

<html><body>Temporary redirect to <a href="https://192.168.20.200:8080/webgui/">https://192.168.20.200:8080/webgui/</a></body></html>

Естественно соединение работать не будет, IP то внутренний. Или я что-то не понимаю? В логах пусто.

Через SSTP VPN доступ к регистратору работает прекрасно, но тут уже другие проблемы возникают.

Изменено 1 марта, 2023 пользователем uneasy

[Mamay]

22 минуты назад, uneasy сказал:

Естественно соединение работать не будет, IP то внутренний. 

1. https://help.keenetic.com/hc/ru/articles/360015908920-Часто-задаваемые-вопросы-по-сервису-KeenDNS

2. https://help.keenetic.com/hc/ru/articles/360002171260-Доступ-к-устройству-по-протоколу-HTTPS-через-службу-KeenDNS-и-доменное-имя-4-го-уровня

3. https://help.keenetic.com/hc/ru/articles/360000563719

[uneasy]

1 hour ago, Mamay said:

<ссылки>

В первой ссылке ничего полезного, вторая устарела ("информация актуальна для устройств с KeeneticOS до версии 2.15"), третья - собственно гайд по которому все было сделано

[Mamay]

На этом полномочия волонтёров всё. Ступайте в официальную ТП. 

[habahaba]

18 часов назад, uneasy сказал:

По официальному гайду настроил доступ через KeenDNS к видеорегистратору Trassir, находящемуся в локальной сети удаленного офиса, через подключение к camera.domain.keenetic.link. У Кинетика реального IP там нет, настраиваю его через облако (тут все работает).

В регистраторе нешифрованного HTTP нет, только HTTPS, доступен на 8080 порту (хотя порт я пробовал менять на 5443, все то же самое), сертификат самоподписанный (сам регистратор его и создал при первой настройке). При подключении через авторизованный доступ спрашивает логин-пароль, после чего ERR_CONNECTION_TIMED_OUT, веб-морда так и не появляется. Через свободный доступ то же самое, но без запроса логина-пароля.

Причем что меня удивляет - в строке браузера URL меняется на внутренний IPшник регистратора. При подключении curl'ом то же самое:

Естественно соединение работать не будет, IP то внутренний. Или я что-то не понимаю? В логах пусто.

Через SSTP VPN доступ к регистратору работает прекрасно, но тут уже другие проблемы возникают.

Тоже вчера столкнулся с таким поведением. Пропал доступ из Интернета к NAS Unraid в домашней сети по портам 80 и 443. При вводе адреса NASа в строке браузера адрес меняется на внутренний (domain.keenetic.link на 192.168.1.2) и естественно доступа нет.

И случилось это после обновления KeeneticOS с 3.9.2 до 3.9.4. 

Через SSTP VPN доступ к NASe работает прекрасно.

[guantvas]

Подтверждаю проблемы KeenDNS на прошивке 3.9.4

IP-адрес белый но динамический от провайдера - не обновляется в DNS.

Доступ по https не работает.

[uneasy]

2 hours ago, habahaba said:

И случилось это после обновления KeeneticOS с 3.9.2 до 3.9.4. 

Попробовал сделать даунгрейд до 3.9.2, но изменений не вижу - по прежнему форвард на внутренний IP и таймаут.

[admin]

2 minutes ago, guantvas said:

Подтверждаю проблемы KeenDNS на прошивке 3.9.4

IP-адрес белый но динамический от провайдера - не обновляется в DNS.

Доступ по https не работает.

Проблема определенно присутствует. Носит вероятностный характер. Подозрение на потерю синхронизации в облачном сервисе, не на прошивку, т.е. обновление на 3.9.4 повлияло косвенно. На наших автотестах и вручную искусственно она не воспроизводится, поэтому отлаживаем реальных кейсах. Просьба ко всем, кто столкнулся, сообщать в поддержку. Все случаи собираются в общую задачу, которая сейчас в работе.

[uneasy]

1 hour ago, admin said:

Проблема определенно присутствует. Носит вероятностный характер. Подозрение на потерю синхронизации в облачном сервисе, не на прошивку, т.е. обновление на 3.9.4 повлияло косвенно. На наших автотестах и вручную искусственно она не воспроизводится, поэтому отлаживаем реальных кейсах. Просьба ко всем, кто столкнулся, сообщать в поддержку. Все случаи собираются в общую задачу, которая сейчас в работе.

А по моему вопросу можете что-то посоветовать? Не думаю, что он как-то связан с проблемой guantvas.

[admin]

8 minutes ago, uneasy said:

А по моему вопросу можете что-то посоветовать? Не думаю, что он как-то связан с проблемой guantvas.

Не связан. Покажите фрагмент конфига с настроенным прокси к регистратору. Редирект идет от регистратора. То есть, надо пытаться что-то подкрутить в HTTP-заголовках между кинетиком и ним, что заставит его не редиректить. (Не факт, что удастся.)

[uneasy]

1 hour ago, admin said:

Не связан. Покажите фрагмент конфига с настроенным прокси к регистратору. Редирект идет от регистратора. То есть, надо пытаться что-то подкрутить в HTTP-заголовках между кинетиком и ним, что заставит его не редиректить. (Не факт, что удастся.)

Да, похоже, это регистратор редиректит.

Посмотрел конфиг, там как-то негусто с настройками. Вот это нужно?

ip http security-level public ssl
ip http lockout-policy 5 15 3
ip http ssl enable
ip http ssl redirect
ip http proxy cam
    upstream https 00:xx:xx:xx:xx:b9 8080
    domain ndns
    security-level public
    auth

При подключении без использования KeenDNS регистратор перебрасывает на /webgui - может быть из-за этого?

 

UPD: Попробовал curl -k https://192.168.20.200:8080

<html><body>Moved permanently to <a href="/webgui/">/webgui/</a></body></html>

 

Изменено 2 марта, 2023 пользователем uneasy

[admin]

1 hour ago, uneasy said:

<html><body>Moved permanently to <a href="/webgui/">/webgui/</a></body></html>

Хороший редирект. Пробуйте добиться такого же при обращении через прокси. Включите curl с печатью заголовков, может быть это наведет на мысль `curl -kv https://192.168.20.200:8080`.

Можно внутри `ip http proxy cam` поиграть с настройками:

• preserve-host — посылать оригинальный заголовок Host, который был до проксирования
• force-host {host} — посылать принудительно заданный заголовок Host
• x-real-ip — посылать заголовки X-Real-IP и X-Forwarded-For

[habahaba]

13 часа назад, admin сказал:

Проблема определенно присутствует. Носит вероятностный характер. Подозрение на потерю синхронизации в облачном сервисе, не на прошивку, т.е. обновление на 3.9.4 повлияло косвенно. На наших автотестах и вручную искусственно она не воспроизводится, поэтому отлаживаем реальных кейсах. Просьба ко всем, кто столкнулся, сообщать в поддержку. Все случаи собираются в общую задачу, которая сейчас в работе.

Общался пол дня с поддержкой - в итоге говорят проблема в протоколе HTTPS \ SSL и 443 порту на стороне NAS. Как так, если у всего мира с такими же NAS и другими роутерами всё ок и только у Кинетиков проблема в последние дни...

И ещё, вот эта проблема связана же с проблемой в этой ветке: https://forum.keenetic.ru/topic/14696-переадресация-tcp443-в-keeneticos/

Изменено 2 марта, 2023 пользователем habahaba

[uneasy]

On 3/2/2023 at 5:21 PM, admin said:

Хороший редирект. Пробуйте добиться такого же при обращении через прокси. Включите curl с печатью заголовков, может быть это наведет на мысль `curl -kv https://192.168.20.200:8080`.

Можно внутри `ip http proxy cam` поиграть с настройками:

• preserve-host — посылать оригинальный заголовок Host, который был до проксирования
• force-host {host} — посылать принудительно заданный заголовок Host
• x-real-ip — посылать заголовки X-Real-IP и X-Forwarded-For

 

Есть подвижки, но опять застрял. Переадресацию на локальный IP удалось победить при помощи команды ip http proxy cam preserve-host 

 

On 3/2/2023 at 9:16 AM, habahaba said:

При вводе адреса NASа в строке браузера адрес меняется на внутренний

habahaba, обратите внимание, возможно этого вам будет достаточно, только cam поменяйте.

 

Также пришлось поменять порт на 8083, с 8080 не заработало. И сначала обрадовался - при подключении на https://cam.domain.keenetic.link получил NET::ERR_CERT_COMMON_NAME_INVALID - при прямом подключении тоже выскаивает ошибка сертификата (правда другая - NET::ERR_CERT_AUTHORITY_INVALID). Однако далее при выборе "все равно перейти" получаю новую ошибку от Кинетика - Доступ к веб-интерфейсу запрещен (0x14) Код ошибки 403

UPD: Уффф, кажется, удалось победить. Включил дополнительно к KeenDNS еще и правило переадресации портов - вход: Ethernet-подключение, выход: регистратор, порт: 8083. Теперь вижу веб морду регистратора наконец.

UPD2: Ну в общем, не совсем то, что надо получилось. Если включить переадресацию портов, то все, собственно, работает и без доменного имени 4-го уровня - веб морда доступна по адресу https://domain.keenetic.link:8083 (без всякого cam) и настройки авторизованного доступа не применяются. Ладно, черт с ним, и так сойдет. Домен снес, буду пользоваться переадресацией, хотя в этом случае придется надеяться, что разработчики Трассира уязвимостей в веб морде не оставили.

Изменено 10 марта, 2023 пользователем uneasy

[Геннадий_Минск]

Хотел сделать доступ к своему венчестеру по WebDav, создал доменное имя.

Мало того, что сервис так и не заработал, так и часто на доменное имя не попасть, пишет: 

 

Доступ к веб-интерфейсу запрещен (0x14)

Код ошибки403

Извините, мы не смогли обслужить ваш запрос!

Пожалуйста, проверьте корректность имени запрашиваемого ресурса или попробуйте обновить эту страницу немного позже, если вы допускаете, что причина ошибки могла быть временной.

[Mamay]

34 минуты назад, Геннадий_Минск сказал:

Хотел сделать доступ к своему венчестеру по WebDav, создал доменное имя.

Если вы думаете что это информации достаточно, то спешу вас разочаровать. Здесь никто не гадает на кофейной гуще.

[Геннадий_Минск]

1 час назад, Mamay сказал:

Если вы думаете что это информации достаточно, то спешу вас разочаровать. Здесь никто не гадает на кофейной гуще.

К своему серверу то есть доступ, то нет, часто пишет: "

Потеряно соединение с интернет-центром

[Mamay]

31 минуту назад, Геннадий_Минск сказал:

К своему серверу то есть доступ, то нет

Перечитайте ваше первое сообщение. Согласно него у вас вообще нет доступа, а теперь у вас то потухнет, то погаснет. 

Проследуйте в официальную  поддержку, если верить вашему так называемому "багрепорту" похоже проблема на стороне либо вашего провайдера, либо в облаке.

[Геннадий_Минск]

45 минут назад, Mamay сказал:

Согласно него у вас вообще нет доступа

Не совсем понял, что значит у меня ВООБЩЕ нет доступа ?

Я заходил утром, даже большой файл удалось закачать к себе.

А уже в обед то есть связь с сервером, то нет..

[Mamay]

3 часа назад, Геннадий_Минск сказал:

Мало того, что сервис так и не заработал

58 минут назад, Mamay сказал:

Перечитайте ваше первое сообщение. Согласно него у вас вообще нет доступа, а теперь у вас то потухнет, то погаснет. 

10 минут назад, Геннадий_Минск сказал:

Не совсем понял, что значит у меня ВООБЩЕ нет доступа ?