Вход в вебинтерфейс через nginx 4.3 Beta 2

[Lefey]

У меня настроен доступ к вебинтерфейсу роутера на своем домене через nginx (работает на отдельном хосте в домашней сети). После обновления на 4.3 Beta 2 войти в роутер с рабочим логином-паролем невозможно, получаю ошибку Неправильное имя пользователя или пароль   если открыть вебинтерфейс по ip адресу роутера, вход с тем-же логином-паролем без проблем. После отката на 4.2.6.1 через nginx работает без проблем как прежде.

[Leshiyart]

Подтверждаю, так же столкнулся с этим еще на версии ниже 4.3б2.

не успел написать так как ожидалось исправление в4.3.б2 со схожей проблемой, когда не принимало пароль. Но на 4.3б2 доступ через внешнюю прокси так же не работает.

Изменено 1 марта пользователем Leshiyart

[keenet07]

Вышла beta 3?

На форуме по beta 2 ещё молчок в Журнале изменений. Забыли что ли  сообщение открыть?

Изменено 1 марта пользователем keenet07

[Leshiyart]

Отпечатался)) про бету 2 конечно же речь 

[Le ecureuil]

В 01.03.2025 в 15:05, Lefey сказал:

У меня настроен доступ к вебинтерфейсу роутера на своем домене через nginx (работает на отдельном хосте в домашней сети). После обновления на 4.3 Beta 2 войти в роутер с рабочим логином-паролем невозможно, получаю ошибку Неправильное имя пользователя или пароль   если открыть вебинтерфейс по ip адресу роутера, вход с тем-же логином-паролем без проблем. После отката на 4.2.6.1 через nginx работает без проблем как прежде.

В 4.3 добавлена более строгая проверка origin и referer, посмотрите что там в заголовках приходит в proxy.

[taxall]

В 02.03.2025 в 19:38, Le ecureuil сказал:

В 4.3 добавлена более строгая проверка origin и referer, посмотрите что там в заголовках приходит в proxy.

А чего он ждет в них? Сейчас столкнулся с тем же на основной 4.3.2 версии. Заголовки заполнены норм, при этом ошибка логина/пароля есть. В логах роутера чисто. Куда копать?

proxy_pass

proxy_pass

proxy_pass

[eralde]

7 часов назад, taxall сказал:

А чего он ждет в них? Сейчас столкнулся с тем же на основной 4.3.2 версии. Заголовки заполнены норм, при этом ошибка логина/пароля есть. В логах роутера чисто. Куда копать?

Посмотрите, какие заголовки уходят в запросах к <адрес_роутера>/auth, когда вы авторизуетесь через веб-интерфейс.

[igor_x]

У меня вот такая же проблема.

Посмотрел заголовки при успешной активации:

 

#### POST

POST /auth HTTP/1.1
Accept: application/json, text/plain, */*
Accept-Encoding: gzip, deflate
Accept-Language: ru-RU,ru;q=0.9
Connection: keep-alive
Content-Length: 94
Content-Type: application/json
Cookie: HHFA*****=WETZR******
Host: 192.168.2.1 
Origin: http://192.168.2.1
Referer: http://192.168.2.1/login?backUrl=%2Fdashboard

 

#### GET

URL запроса
http://192.168.2.1/auth
Метод запроса
GET
Код статуса
200 OK
Удаленный адрес
192.168.2.1:80
Правило для URL перехода
strict-origin-when-cross-origin
cache-control
no-cache
cache-control
private
cache-control
must-revalidate
connection
keep-alive
content-security-policy
default-src 'self'; script-src 'self' 'unsafe-eval' 'unsafe-hashes' 'unsafe-inline'; script-src-attr 'self' 'unsafe-inline' 'unsafe-hashes'; connect-src 'self'; img-src 'self'; style-src 'self' 'unsafe-inline' 'unsafe-eval' 'unsafe-hashes'; style-src-elem 'self' 'unsafe-inline' 'unsafe-eval' 'unsafe-hashes'; base-uri 'self'; form-action 'self';
date
Sun, 01 Jun 2025 12:52:49 GMT
expires
Sun, 01 Jun 2025 12:52:48 GMT
referrer-policy
strict-origin-when-cross-origin
server
Web server
set-cookie
HHFA*****=WETZR******; Path=/; SameSite=Strict; Max-Age=300
transfer-encoding
chunked
x-frame-options
DENY
GET /auth HTTP/1.1
Accept: application/json, text/plain, */*
Accept-Encoding: gzip, deflate
Accept-Language: ru-RU,ru;q=0.9
Connection: keep-alive
Cookie: HHFA*****=WETZR******
Host: 192.168.2.1
Referer: http://192.168.2.1/login?backUrl=%2Fdashboard

Как я понимаю, мне нужно что-то на панели nginx proxy manager поменять с включенным SSL.

Изменено Воскресенье в 13:15 пользователем exeigor
update

[igor_x]

Вот заголовки при неудачной авторизации через HTTPS

 

#### GET

:authority
kn1010.local
:method
GET
:path
/auth
:scheme
https
accept
application/json, text/plain, */*
accept-encoding
gzip, deflate, br, zstd
accept-language
ru-RU,ru;q=0.9
cookie
HHFA*****=WETZR******
priority
u=1, i
referer
https://kn1010.local/login?backUrl=%2Fdashboard
sec-ch-ua
"Not.A/Brand";v="99", "Chromium";v="136"
sec-ch-ua-mobile
?0
sec-ch-ua-platform
"Windows"
sec-fetch-dest
empty
sec-fetch-mode
cors
sec-fetch-site
same-origin

 

#### POST

:authority
kn1010.local
:method
POST
:path
/auth
:scheme
https
accept
application/json, text/plain, */*
accept-encoding
gzip, deflate, br, zstd
accept-language
ru-RU,ru;q=0.9
content-length
94
content-type
application/json
cookie
HHFA*****=WETZR******
origin
https://kn1010.local
priority
u=1, i
referer
https://kn1010.local/login?backUrl=%2Fdashboard
sec-ch-ua
"Not.A/Brand";v="99", "Chromium";v="136"
sec-ch-ua-mobile
?0
sec-ch-ua-platform
"Windows"
sec-fetch-dest
empty
sec-fetch-mode
cors
sec-fetch-site
same-origin

 

[Le ecureuil]

А kn1010.local - про этот хост роутер откуда-то знает? Если нет, то совершенно логично отлупливает.

[igor_x]

Ну так про него DNS сервер знает
 

nslookup kn1010.local
╤хЁтхЁ:  UnKnown
Address:  192.168.2.50

Не заслуживающий доверия ответ:
╚ь :     kn1010.local
Address:  192.168.2.1

>nslookup 192.168.2.1
╤хЁтхЁ:  UnKnown
Address:  192.168.2.50

*** UnKnown не удалось найти 192.168.2.1: Non-existent domain

Может из-за последнего? 

[Le ecureuil]

3 минуты назад, exeigor сказал:

Ну так про него DNS сервер знает
 

nslookup kn1010.local
╤хЁтхЁ:  UnKnown
Address:  192.168.2.50

Не заслуживающий доверия ответ:
╚ь :     kn1010.local
Address:  192.168.2.1

>nslookup 192.168.2.1
╤хЁтхЁ:  UnKnown
Address:  192.168.2.50

*** UnKnown не удалось найти 192.168.2.1: Non-existent domain

Может из-за последнего? 

Нет, это значит "не знает".

У вас как апстрим в прокси настроен? Покажите-ка поточнее.

[Denis P]

35 минут назад, exeigor сказал:

Вот заголовки при неудачной авторизации через HTTPS

 

#### GET

:authority
kn1010.local
:method
GET
:path
/auth
:scheme
https
accept
application/json, text/plain, */*
accept-encoding
gzip, deflate, br, zstd
accept-language
ru-RU,ru;q=0.9
cookie
HHFA*****=WETZR******
priority
u=1, i
referer
https://kn1010.local/login?backUrl=%2Fdashboard
sec-ch-ua
"Not.A/Brand";v="99", "Chromium";v="136"
sec-ch-ua-mobile
?0
sec-ch-ua-platform
"Windows"
sec-fetch-dest
empty
sec-fetch-mode
cors
sec-fetch-site
same-origin

 

#### POST

:authority
kn1010.local
:method
POST
:path
/auth
:scheme
https
accept
application/json, text/plain, */*
accept-encoding
gzip, deflate, br, zstd
accept-language
ru-RU,ru;q=0.9
content-length
94
content-type
application/json
cookie
HHFA*****=WETZR******
origin
https://kn1010.local
priority
u=1, i
referer
https://kn1010.local/login?backUrl=%2Fdashboard
sec-ch-ua
"Not.A/Brand";v="99", "Chromium";v="136"
sec-ch-ua-mobile
?0
sec-ch-ua-platform
"Windows"
sec-fetch-dest
empty
sec-fetch-mode
cors
sec-fetch-site
same-origin

 

вот так сделайте, только с вашим ip роутера

Изменено Воскресенье в 13:49 пользователем Denis P

[igor_x]

Спасибо. Получилось починить 🙂
Пробовал разные параметры , кромe location и pass

[_villi_]

Спасибо всем, указали в нужную сторону и помогли поправить настройки traefik.

Вот готовый конфиг, только поправить под свои значения.

http:

  middlewares:
    keenetic-headers:
      headers:
        customRequestHeaders:
          Origin: "http://192.168.1.1"
          Referer: "http://192.168.1.1"
          Host: "192.168.1.1"

    keenetic:
      entrypoints:
        - https
      service: keenetic
      rule: "Host(`keenetic.home.arpa`)"
      middlewares:
        - "keenetic-headers"
      tls: {}

  services:
    keenetic:
      loadBalancer:
        servers:
          - url: "http://192.168.1.1"