entware geo split routing для Keenetic с Entware (GeoIP + домены) [.ipk пакеты]

[0xkee]

4 hours ago, cryoPanda said:

В listen.conf адрес корректный:

listen 192.168.10.1:8080;

 

А вот при проверке доступа через curl выдает 403:

curl -s -o /dev/null -w '%{http_code}' http://127.0.0.1:80/

403

У Вас похоже, ситуация следующая:
- выключен доступ к веб снаружи
- прошивка оставляет только доступ из LAN
- прошивка не считает 127.0.0.1 роутера ланом (что в целом правильно)

Если это так, попробуйте, пожалуйста:
 

**Решение — изменить upstream на LAN IP:**

Сначала проверяем что stock httpd доступен с LAN IP:

```sh
curl -s -o /dev/null -w '%{http_code}' http://192.168.10.1:80/
```

Если ответ 200 (или 401 — значит просит авторизацию, это нормально), исправляем upstream:

```sh
# Открыть конфиг nginx-webui
vi /opt/keenetic-entware-extras/webui/config/nginx.conf
```

Найти строку:
```nginx
upstream keenetic_ui {
    server 127.0.0.1:80;
    keepalive 4;
}
```

Заменить на:
```nginx
upstream keenetic_ui {
    server 192.168.10.1:80;
    keepalive 4;
}
```

Перезапустить:
```sh
/opt/etc/init.d/S80nginx-webui restart
```

**Проверка:**

```sh
# Должно вернуть 200 или 302 (перенаправление на login)
curl -s -o /dev/null -w '%{http_code}' http://192.168.10.1:8080/auth
```

После этого зайти в браузере на `http://192.168.10.1:8080/` — должна появиться стандартная форма логина Keenetic. Учётные данные те же, что для штатного WebUI.

> **Примечание:** `listen.conf` у вас правильный (`listen 192.168.10.1:8080;`), менять его не нужно. Проблема была только в upstream (куда проксируется auth).

***

Если так, то ситуация повторяемая, нужен патч...

[0xkee]

22 minutes ago, cryoPanda said:

Ещё обнаружил по логам, что похоже cron мешает и снова запускает указанные сервисы. Там тоже что-то нужно модифицировать?

Да, это ошибка. 

Делаю патч...

**Проблема:** `smartdns-redirect/scripts/watchdog.sh` (cron */5) видит «iptables rules missing» после ручного `stop` → восстанавливает правила + рестартует SmartDNS через ≤5 мин. geo-split `refresh` безвреден (заполняет таблицы, но не ставит ip rules). NDM hooks тоже могут восстановить.

[cryoPanda]

13 минут назад, 0xkee сказал:

У Вас похоже, ситуация следующая:
- выключен доступ к веб снаружи
- прошивка оставляет только доступ из LAN
- прошивка не считает 127.0.0.1 роутера ланом (что в целом правильно)

Если это так, попробуйте, пожалуйста:
 

**Решение — изменить upstream на LAN IP:**

Сначала проверяем что stock httpd доступен с LAN IP:

```sh
curl -s -o /dev/null -w '%{http_code}' http://192.168.10.1:80/
```

Если ответ 200 (или 401 — значит просит авторизацию, это нормально), исправляем upstream:

```sh
# Открыть конфиг nginx-webui
vi /opt/keenetic-entware-extras/webui/config/nginx.conf
```

Найти строку:
```nginx
upstream keenetic_ui {
    server 127.0.0.1:80;
    keepalive 4;
}
```

Заменить на:
```nginx
upstream keenetic_ui {
    server 192.168.10.1:80;
    keepalive 4;
}
```

Перезапустить:
```sh
/opt/etc/init.d/S80nginx-webui restart
```

**Проверка:**

```sh
# Должно вернуть 200 или 302 (перенаправление на login)
curl -s -o /dev/null -w '%{http_code}' http://192.168.10.1:8080/auth
```

После этого зайти в браузере на `http://192.168.10.1:8080/` — должна появиться стандартная форма логина Keenetic. Учётные данные те же, что для штатного WebUI.

> **Примечание:** `listen.conf` у вас правильный (`listen 192.168.10.1:8080;`), менять его не нужно. Проблема была только в upstream (куда проксируется auth).

***

Если так, то ситуация повторяемая, нужен патч...

 

После смены upstream вебка заработала. Спасибо!

11 минут назад, 0xkee сказал:

Да, это ошибка. 

Делаю патч...

**Проблема:** `smartdns-redirect/scripts/watchdog.sh` (cron */5) видит «iptables rules missing» после ручного `stop` → восстанавливает правила + рестартует SmartDNS через ≤5 мин. geo-split `refresh` безвреден (заполняет таблицы, но не ставит ip rules). NDM hooks тоже могут восстановить.

Хорошо, тогда буду ждать патч!