Jump to content

Timoha

Forum Members
  • Content Count

    3
  • Joined

  • Last visited

Community Reputation

0 Neutral

About Timoha

  • Rank
    Newbie

Equipment

  • Keenetic
    Keenetic Extra II
  1. Хм, да, действительно. В настройках везде ругается, что для работы нужен доступ по HTTP. Но попробовал подключиться к сети VPN и оказалось, что сервер работает... Отлично, спасибо! Ждём 2.15, чтобы сертификат обновлялся без проблем))
  2. Попробовал. Нет, так не работает. Порт управления 443 (или любой другой), в firewall 80 порт перекрыт. В логах видим строки: Dec 18 15:08:46 ndm: Acme::Client: start automatic reissuing of certificate for domain "xxx.keenetic.link". [E] Dec 18 15:08:46 ndm: Acme::Client: obtaining certificate is available only when HTTP port is set to 80. Если же порт управления не менять, оставить 80, но в firewall его перекрыть, то получаем вот такое: Dec 18 15:33:34 ndm: Acme::V2: got result from server. Dec 18 15:33:34 ndm: [truncated] Acme::Tools: [309] "out": "{"identifier":{"type":"dns","value":"xxx.keenetic.pro"},"status":"invalid","expires":"2018-12-25T12:33:21Z","challenges":[{"type":"tls-alpn-01","status":"invalid","url":"https://acme-v02.api.letsencrypt.org/acme/challenge/UwZOGvZ1wYLGKBsUgBI8-WF2loJ3od8_EVBZiQMBEUE/10463384827","token":"OZjzLA5HkgscpsNt2KpJ8e1WmnMBmbHaEz2ho55n_oI"},{"type":"dns-01","status":"invalid","url":"https://acme-v02.api.letsencrypt.org/acme/challenge/UwZOGvZ1wYLGKBsUgBI8-WF2loJ3od8_EVBZiQMBEUE/10463384828","token":"vT5ky5ivFy-AQ_yKBOieipUbPeybGwhuVm77txh2iqk"},{"type":"http-01","status":"invalid","error":{"type":"urn:ietf:params:acme:error:connection","detail":"Fetching http://xxx.keenetic.pro/.well-known/acme-challenge/rOCvbPYln_wPIwiL5HR6I2fdB3EFQHcj8rG_3OAS0Cg: Timeout during connect (likely firewall problem)","status":400},"url":"https://acme-v02.api.letsencrypt.org/acme/challenge/UwZOGvZ1wYLGKBsUgBI8-WF2loJ3od8_EVBZiQMBEUE/10463384829","token":"rOCvbPYln_wPIw [C] Dec 18 15:33:34 ndm: Acme::V2: system failed [0xcffd030d], got invalid answer from server. Dec 18 15:33:34 ndm: Http::Manager: security level unchanged. Dec 18 15:33:34 ndm: Acme::Client: retry after 15 s, retry 1. А что за 2.15 прошивка? У меня Keenetic Extra II на последней стабильной 2.14. Когда ожидать выход 2.15 не известно? Да, без галки сервер SSTP не работает. Проблемы с сертификатом при закрытом 80 порту остаются. Вообще я много чего перепробовал уже, судя по всему, пока это не переделают в прошивке - обойти не получится.
  3. Поддерживаю вопрос, только немного с другого ракурса. Подскажите, почему нельзя настроить VPN-сервер SSTP, но не разрешать доступ к интернет-центру напрямую из интернета? А то получается любой кто введет наш IP адрес в адресной строке, попадает сразу на страницу входа в интернет-центр... Как-то не очень безопасно получается. Если же запретить 80 TCP на WAN IP роутера в файрволле, тогда остается только 443 порт и безопасный доступ по https. По IP-адресу тогда ничего открываться не будет, подключение к роутеру и к SSTP серверу будет возможно только по доменному имени и только по https. НО, сертификат истечет через 90 дней. Запрет 80 TCP будет препятствовать его обновлению (проверено). По этому вопросу обращался в техподдержку, там длинная переписка с привлечением специалиста, который в keenetic занимается разработкой SSTP, он подтверждает техническую возможность смены порта для SSTP. Но в результате сказали, что пока мало обращений по этому поводу и дело с места не двигается.
×