Не работает доступ к веб-приложениям через KeenDNS

[uneasy]

По официальному гайду настроил доступ через KeenDNS к видеорегистратору Trassir, находящемуся в локальной сети удаленного офиса, через подключение к camera.domain.keenetic.link. У Кинетика реального IP там нет, настраиваю его через облако (тут все работает).

В регистраторе нешифрованного HTTP нет, только HTTPS, доступен на 8080 порту (хотя порт я пробовал менять на 5443, все то же самое), сертификат самоподписанный (сам регистратор его и создал при первой настройке). При подключении через авторизованный доступ спрашивает логин-пароль, после чего ERR_CONNECTION_TIMED_OUT, веб-морда так и не появляется. Через свободный доступ то же самое, но без запроса логина-пароля.

Причем что меня удивляет - в строке браузера URL меняется на внутренний IPшник регистратора. При подключении curl'ом то же самое:

<html><body>Temporary redirect to <a href="https://192.168.20.200:8080/webgui/">https://192.168.20.200:8080/webgui/</a></body></html>

Естественно соединение работать не будет, IP то внутренний. Или я что-то не понимаю? В логах пусто.

Через SSTP VPN доступ к регистратору работает прекрасно, но тут уже другие проблемы возникают.

Изменено 1 марта, 2023 пользователем uneasy

[Mamay]

  В 01.03.2023 в 11:41, uneasy сказал:

Естественно соединение работать не будет, IP то внутренний. 

Показать  

1. https://help.keenetic.com/hc/ru/articles/360015908920-Часто-задаваемые-вопросы-по-сервису-KeenDNS

2. https://help.keenetic.com/hc/ru/articles/360002171260-Доступ-к-устройству-по-протоколу-HTTPS-через-службу-KeenDNS-и-доменное-имя-4-го-уровня

3. https://help.keenetic.com/hc/ru/articles/360000563719

[uneasy]

  В 01.03.2023 в 12:05, Mamay сказал:

<ссылки>

Показать  

В первой ссылке ничего полезного, вторая устарела ("информация актуальна для устройств с KeeneticOS до версии 2.15"), третья - собственно гайд по которому все было сделано

[Mamay]

На этом полномочия волонтёров всё. Ступайте в официальную ТП. 

[habahaba]

  В 01.03.2023 в 11:41, uneasy сказал:

По официальному гайду настроил доступ через KeenDNS к видеорегистратору Trassir, находящемуся в локальной сети удаленного офиса, через подключение к camera.domain.keenetic.link. У Кинетика реального IP там нет, настраиваю его через облако (тут все работает).

В регистраторе нешифрованного HTTP нет, только HTTPS, доступен на 8080 порту (хотя порт я пробовал менять на 5443, все то же самое), сертификат самоподписанный (сам регистратор его и создал при первой настройке). При подключении через авторизованный доступ спрашивает логин-пароль, после чего ERR_CONNECTION_TIMED_OUT, веб-морда так и не появляется. Через свободный доступ то же самое, но без запроса логина-пароля.

Причем что меня удивляет - в строке браузера URL меняется на внутренний IPшник регистратора. При подключении curl'ом то же самое:

Естественно соединение работать не будет, IP то внутренний. Или я что-то не понимаю? В логах пусто.

Через SSTP VPN доступ к регистратору работает прекрасно, но тут уже другие проблемы возникают.

Показать  

Тоже вчера столкнулся с таким поведением. Пропал доступ из Интернета к NAS Unraid в домашней сети по портам 80 и 443. При вводе адреса NASа в строке браузера адрес меняется на внутренний (domain.keenetic.link на 192.168.1.2) и естественно доступа нет.

И случилось это после обновления KeeneticOS с 3.9.2 до 3.9.4. 

Через SSTP VPN доступ к NASe работает прекрасно.

[guantvas]

Подтверждаю проблемы KeenDNS на прошивке 3.9.4

IP-адрес белый но динамический от провайдера - не обновляется в DNS.

Доступ по https не работает.

[uneasy]

  В 02.03.2023 в 06:16, habahaba сказал:

И случилось это после обновления KeeneticOS с 3.9.2 до 3.9.4. 

Показать  

Попробовал сделать даунгрейд до 3.9.2, но изменений не вижу - по прежнему форвард на внутренний IP и таймаут.

[admin]

  В 02.03.2023 в 08:19, guantvas сказал:

Подтверждаю проблемы KeenDNS на прошивке 3.9.4

IP-адрес белый но динамический от провайдера - не обновляется в DNS.

Доступ по https не работает.

Показать  

Проблема определенно присутствует. Носит вероятностный характер. Подозрение на потерю синхронизации в облачном сервисе, не на прошивку, т.е. обновление на 3.9.4 повлияло косвенно. На наших автотестах и вручную искусственно она не воспроизводится, поэтому отлаживаем реальных кейсах. Просьба ко всем, кто столкнулся, сообщать в поддержку. Все случаи собираются в общую задачу, которая сейчас в работе.

[uneasy]

  В 02.03.2023 в 09:39, admin сказал:

Проблема определенно присутствует. Носит вероятностный характер. Подозрение на потерю синхронизации в облачном сервисе, не на прошивку, т.е. обновление на 3.9.4 повлияло косвенно. На наших автотестах и вручную искусственно она не воспроизводится, поэтому отлаживаем реальных кейсах. Просьба ко всем, кто столкнулся, сообщать в поддержку. Все случаи собираются в общую задачу, которая сейчас в работе.

Показать  

А по моему вопросу можете что-то посоветовать? Не думаю, что он как-то связан с проблемой guantvas.

[admin]

  В 02.03.2023 в 11:06, uneasy сказал:

А по моему вопросу можете что-то посоветовать? Не думаю, что он как-то связан с проблемой guantvas.

Показать  

Не связан. Покажите фрагмент конфига с настроенным прокси к регистратору. Редирект идет от регистратора. То есть, надо пытаться что-то подкрутить в HTTP-заголовках между кинетиком и ним, что заставит его не редиректить. (Не факт, что удастся.)

[uneasy]

  В 02.03.2023 в 11:25, admin сказал:

Не связан. Покажите фрагмент конфига с настроенным прокси к регистратору. Редирект идет от регистратора. То есть, надо пытаться что-то подкрутить в HTTP-заголовках между кинетиком и ним, что заставит его не редиректить. (Не факт, что удастся.)

Показать  

Да, похоже, это регистратор редиректит.

Посмотрел конфиг, там как-то негусто с настройками. Вот это нужно?

ip http security-level public ssl
ip http lockout-policy 5 15 3
ip http ssl enable
ip http ssl redirect
ip http proxy cam
    upstream https 00:xx:xx:xx:xx:b9 8080
    domain ndns
    security-level public
    auth

При подключении без использования KeenDNS регистратор перебрасывает на /webgui - может быть из-за этого?

 

UPD: Попробовал curl -k https://192.168.20.200:8080

<html><body>Moved permanently to <a href="/webgui/">/webgui/</a></body></html>

 

Изменено 2 марта, 2023 пользователем uneasy

[admin]

  В 02.03.2023 в 12:26, uneasy сказал:

<html><body>Moved permanently to <a href="/webgui/">/webgui/</a></body></html>

Показать  

Хороший редирект. Пробуйте добиться такого же при обращении через прокси. Включите curl с печатью заголовков, может быть это наведет на мысль `curl -kv https://192.168.20.200:8080`.

Можно внутри `ip http proxy cam` поиграть с настройками:

• preserve-host — посылать оригинальный заголовок Host, который был до проксирования
• force-host {host} — посылать принудительно заданный заголовок Host
• x-real-ip — посылать заголовки X-Real-IP и X-Forwarded-For

[habahaba]

  В 02.03.2023 в 09:39, admin сказал:

Проблема определенно присутствует. Носит вероятностный характер. Подозрение на потерю синхронизации в облачном сервисе, не на прошивку, т.е. обновление на 3.9.4 повлияло косвенно. На наших автотестах и вручную искусственно она не воспроизводится, поэтому отлаживаем реальных кейсах. Просьба ко всем, кто столкнулся, сообщать в поддержку. Все случаи собираются в общую задачу, которая сейчас в работе.

Показать  

Общался пол дня с поддержкой - в итоге говорят проблема в протоколе HTTPS \ SSL и 443 порту на стороне NAS. Как так, если у всего мира с такими же NAS и другими роутерами всё ок и только у Кинетиков проблема в последние дни...

И ещё, вот эта проблема связана же с проблемой в этой ветке: https://forum.keenetic.ru/topic/14696-переадресация-tcp443-в-keeneticos/

Изменено 2 марта, 2023 пользователем habahaba

[uneasy]

  В 02.03.2023 в 14:21, admin сказал:

Хороший редирект. Пробуйте добиться такого же при обращении через прокси. Включите curl с печатью заголовков, может быть это наведет на мысль `curl -kv https://192.168.20.200:8080`.

Можно внутри `ip http proxy cam` поиграть с настройками:

• preserve-host — посылать оригинальный заголовок Host, который был до проксирования
• force-host {host} — посылать принудительно заданный заголовок Host
• x-real-ip — посылать заголовки X-Real-IP и X-Forwarded-For

Показать  

 

Есть подвижки, но опять застрял. Переадресацию на локальный IP удалось победить при помощи команды ip http proxy cam preserve-host 

 

  В 02.03.2023 в 06:16, habahaba сказал:

При вводе адреса NASа в строке браузера адрес меняется на внутренний

Показать  

habahaba, обратите внимание, возможно этого вам будет достаточно, только cam поменяйте.

 

Также пришлось поменять порт на 8083, с 8080 не заработало. И сначала обрадовался - при подключении на https://cam.domain.keenetic.link получил NET::ERR_CERT_COMMON_NAME_INVALID - при прямом подключении тоже выскаивает ошибка сертификата (правда другая - NET::ERR_CERT_AUTHORITY_INVALID). Однако далее при выборе "все равно перейти" получаю новую ошибку от Кинетика - Доступ к веб-интерфейсу запрещен (0x14) Код ошибки 403

UPD: Уффф, кажется, удалось победить. Включил дополнительно к KeenDNS еще и правило переадресации портов - вход: Ethernet-подключение, выход: регистратор, порт: 8083. Теперь вижу веб морду регистратора наконец.

UPD2: Ну в общем, не совсем то, что надо получилось. Если включить переадресацию портов, то все, собственно, работает и без доменного имени 4-го уровня - веб морда доступна по адресу https://domain.keenetic.link:8083 (без всякого cam) и настройки авторизованного доступа не применяются. Ладно, черт с ним, и так сойдет. Домен снес, буду пользоваться переадресацией, хотя в этом случае придется надеяться, что разработчики Трассира уязвимостей в веб морде не оставили.

Изменено 10 марта, 2023 пользователем uneasy

[Геннадий_Минск]

Хотел сделать доступ к своему венчестеру по WebDav, создал доменное имя.

Мало того, что сервис так и не заработал, так и часто на доменное имя не попасть, пишет: 

 

Доступ к веб-интерфейсу запрещен (0x14)

Код ошибки403

Извините, мы не смогли обслужить ваш запрос!

Пожалуйста, проверьте корректность имени запрашиваемого ресурса или попробуйте обновить эту страницу немного позже, если вы допускаете, что причина ошибки могла быть временной.

[Mamay]

  В 07.04.2023 в 06:44, Геннадий_Минск сказал:

Хотел сделать доступ к своему венчестеру по WebDav, создал доменное имя.

Показать  

Если вы думаете что это информации достаточно, то спешу вас разочаровать. Здесь никто не гадает на кофейной гуще.

[Геннадий_Минск]

  В 07.04.2023 в 07:19, Mamay сказал:

Если вы думаете что это информации достаточно, то спешу вас разочаровать. Здесь никто не гадает на кофейной гуще.

Показать  

К своему серверу то есть доступ, то нет, часто пишет: "

Потеряно соединение с интернет-центром

[Mamay]

  В 07.04.2023 в 08:31, Геннадий_Минск сказал:

К своему серверу то есть доступ, то нет

Показать  

Перечитайте ваше первое сообщение. Согласно него у вас вообще нет доступа, а теперь у вас то потухнет, то погаснет. 

Проследуйте в официальную  поддержку, если верить вашему так называемому "багрепорту" похоже проблема на стороне либо вашего провайдера, либо в облаке.

[Геннадий_Минск]

  В 07.04.2023 в 09:08, Mamay сказал:

Согласно него у вас вообще нет доступа

Показать  

Не совсем понял, что значит у меня ВООБЩЕ нет доступа ?

Я заходил утром, даже большой файл удалось закачать к себе.

А уже в обед то есть связь с сервером, то нет..

[Mamay]

  В 07.04.2023 в 06:44, Геннадий_Минск сказал:

Мало того, что сервис так и не заработал

Показать  

  В 07.04.2023 в 09:08, Mamay сказал:

Перечитайте ваше первое сообщение. Согласно него у вас вообще нет доступа, а теперь у вас то потухнет, то погаснет. 

Показать  

  В 07.04.2023 в 09:55, Геннадий_Минск сказал:

Не совсем понял, что значит у меня ВООБЩЕ нет доступа ?

Показать