Сбой SSL подключения

[Александр Л.]

Недавно у нескольких узлов возникла такая ошибка. В мобильном приложении видны, но при попытке зайти удаленно через веб-интерфейс выходит: "Доступ закрыт (0x14) Код ошибки 403"

Перезагрузка не помогает.

 

[dchusovitin]

Изменить пароль админа, поставить более сложный. https://blog.keenetic.ru/pre-keeneticos-43-update/
 

Версия 4.3.6.3:

Публичный доступ к веб-конфигуратору теперь блокируется на устройствах со слабыми паролями администратора, что снижает риск несанкционированного доступа. [NDM-4097]

 

[Александр Л.]

2 минуты назад, dchusovitin сказал:

Изменить пароль админа, поставить более сложный. https://blog.keenetic.ru/pre-keeneticos-43-update/
 

Версия 4.3.6.3:

Публичный доступ к веб-конфигуратору теперь блокируется на устройствах со слабыми паролями администратора, что снижает риск несанкционированного доступа. [NDM-4097]

 

Стоит очень сложный пароль типа такого: kVcErvKeix1QaKG

[KeyYerS]

@dchusovitin    Советы исчерпаны?

@Александр Л.    ГрузИте ТП, пусть разбираются...

[KeenTaur]

Сертификаты CrazeDNS дейстительны?

[Mosc]

Скорее всего сертификат keenetic.io стал недействительным и не перевыпустился. Если удалить объект из RMM и попробовать добавить заново, выпадет ошибка, как и в соседней теме.

[Daria]

1 час назад, Mosc сказал:

Скорее всего сертификат keenetic.io стал недействительным и не перевыпустился. Если удалить объект из RMM и попробовать добавить заново, выпадет ошибка, как и в соседней теме.

это очень вероятно, чтобы переустановить сертификат необходимо выполнить команды через cli в веб-интерфейсе устройства:

ip http ssl acme drop (подставьте ваш служебный сертификат).keenetic.io
ip http ssl acme get (подставьте ваш служебный сертификат).keenetic.io

[Александр Л.]

На некоторых устройствах проблему удалось решить путем смены пароля (хотя он и был сложный) через мобильное приложение и последующего обновления до предварительной прошивки 5.0.5.
Но есть устройства на которые пароль неизвестен. Физический доступ к ним несколько затруднен. Есть какие-то варианты удаленного  решения проблемы?

[Александр Л.]

2 часа назад, KeenTaur сказал:

Сертификаты CrazeDNS дейстительны?

Нет

[Daria]

3 часа назад, Александр Л. сказал:

Недавно у нескольких узлов возникла такая ошибка. В мобильном приложении видны, но при попытке зайти удаленно через веб-интерфейс выходит: "Доступ закрыт (0x14) Код ошибки 403"

Перезагрузка не помогает.

 

если у вас нет доступа к устройству, то можете написать мне в лс сервисный тег устройства, посмотрим подробнее

[KeenTaur]

2 часа назад, Daria сказал:

ip http ssl acme drop (подставьте ваш служебный сертификат).keenetic.io

Извините, не увидел drop, ни в справочнике cli 4.3, ни по автодополнению, использовал revoke
 

[KeenTaur]

С пятницы по сегодня столкнулся с двумя случаями, когда служебный сертификат был недействителен. Но мне было проще, у меня оба проблемных устройства были в пределах досягаемости, хотя все было решено дистанционно.

Одно устройство, Orbiter 6, подключалось в wifi-систему с отключенным интернетом (чтобы оно автоматически не обновилось до 5.0.4).

На странице KeenDNS служебный сертификат присутствовал, но не был действителен. ip http ssl acme list вообще не показывал наличие выданных сертификатов. Запустил ip http ssl acme get <служебный сертификат>, заработало. 

Замечание. Таким же образом в эту же wifi-систему были в тот же день введены еще два таких же Орбитера, с ними этой проблемы не возникло.

 

Вторая проблема с Voyager Pro, который уже довольно давно входит в другую wifi-систему. На странице KeenDNS служебный сертификат присутствовал, но не был действителен. ip http ssl acme list сертификат показывал. При этом, сертификат обновления не требует, срок действия еще не истек. Честно говоря, когда проблема возникла, сказать не берусь. Запустил ip http ssl acme revoke <служебный сертификат>, а затем, ip http ssl acme get <служебный сертификат>, подождал, но не заработало. Перезапустил этот Вояджер, сертификат заработал.

[Александр Л.]

Проблема возникает на некоторых узлах, на которых включен удаленный доступ к веб-конфигратору. Выключил его через приложение, перезагрузил, и устройство в RMM появилось и появился доступ к веб-интерфейсу. После чего поменял пароль через веб-интерфейс, опять включил удаленный доступ к веб-конфигратору. Проблема не проявляется.

Изменено Вторник в 05:51 пользователем Александр Л.

[NeeDforKill]

Так в итоге что делать то ? У меня отвалились 8 устройств. 
Некоторые 2 дня назад, другие 5, дней, есть которые 4 дня назад. 

Пароли везде стоят сгенерированные 20+ символов. На этих устройствах везде динамический ip. Я подключался в веб морду на них через rmm либо по домену, если с RMM была проблема. Сейчас если по домену попробовать зайти то Код ошибки 403. 

Да оборудование Кинетик и домены где то keenetic.io , где то keenetic.pro 

[FlyWin]

KN-3610 Hopper DSL 4.3.6.3 Подтверждаю проблему. Из 3 устройств сегодня ночью выпало одно из RMM на такое длительное время. По доменному имени netcraze.pro пустил, после перезагрузки все нормально. Устройство по понедельникам ребутается, т.е. ровно за сутки до отлупа была перезагрузка.

Раньше были подобные ошибки, но быстро само устранялись, узнавал о них только из журнала.

[Daria]

если нет возможности вручную сбросить, сертификат перевыпустится автоматически, нужно подождать

[Александр Л.]

14 часов назад, Daria сказал:

если нет возможности вручную сбросить, сертификат перевыпустится автоматически, нужно подождать

Сколько ждать? 

 

[NeeDforKill]

У меня перестали работать и другие роутеры, где ещё вчера всё нормально работало

[sankin]

Была аналогичная проблема SSL с одним из двух роутеров.

В настройках приложения SSL серт обновился и светится зеленым, но удаленного доступа к нему до сих пор нет.

Попробовал вдалить устройство и добавить заново - не выходит.

Удалось импортировать устройство - появилось в списке но требует подтверждения прав, при вводе логина и пароля пишет "Невозможно подключиться к узлу"

Все устройства обновлены до 5.0.4

 

 

UPD. Вопрос решился установкой версии OS 5.0.6

Изменено Среда в 21:19 пользователем sankin

[Сергий Stern]

Тоже самое (только без ошибок по DNS) сертификат есть,  на странице ошибка 403 доступ закрыт. И порт менял, и домены меняли, и время выжидал, и пароль еще сложнее делал, и сбрасывал - перенастраивал. С одной системы wifi не пускает на страницу, а сам со своего wifi заходит на страницу удаленного доступа и работает... DNS'ы одинаковые везде... RMM вторую систему прекрасно видит, удаленный доступ работает, а эту пишет проверьте интернет соединение и не подключает.

Проблема на Carrier c 5.0.4 и на 5.0.6 ничего не меняется, а программа на android его тоже видит удаленно и работает. Что за ерунда не понятно.

Изменено Суббота в 19:03 пользователем Сергий Stern

[KeyYerS]

Обнаружил в журнале инфо-сообщение:      -обнова сертификата *********************.keenetic.io доступна только если порт 80-

Спойлер

Фев 15 02:48:16    ndm Acme::Client: obtaining certificate is available only when HTTP port is set to 80.
Фев 15 02:48:16    ndm Core::Pki::Tools: certificate for "********************b216.keenetic.io" should be renewed.
Фев 15 02:48:16    ndm Acme::Client: start automatic reissuing of certificate for domain "********************b216.keenetic.io".

Порт не *80*, и не *443*. С приложения (по нужде) доступ открываю только себе на сессию в вебку, остальное время "закрыто".   Тело - 1713, ос - 5.0.4.

[NeeDforKill]

@Daria Будет ли какая то информация ? У меня некоторое оборудование уже 11 дней с ошибкой сбой SSL