Marat0Sh

То есть 80ый порт снаружи должен быть всегда открыт, чтобы сертификат успешно выдался?

Большое спасибо! Действительно снаружи порт 80 был закрыт, хотя из локалки через внешний IP на 80ый порт он меня пускал. Подкорректировал одно правило в межсетевом экране и доступ появился и сертификат также успешно сгенерировался. И ещё вопрос, правильно ли я понимаю, что сертификат сгенерировался только на 3 месяца? Если да, то потом нужно будет самому опять генерировать новый, или роутер сам его продлит?

Добрый вечер! Не получается сгенерировать сертификат командой ip http ssl acme get, в журнале появляется вот такая ошибка: Sep 30 20:08:19ndm Acme::Client: system failed [0xcffd019a]. Sep 30 20:08:19ndm Acme::Client: system failed [0xcffd05f2]. Домен в KeenDns создал, доступ снаружи на 80ый порт есть, список сертификатов командой ip http ssl acme list пуст. Self-test прилагаю self-test.txt

Не подскажите как прикрутили PAC?

Подскажите пожалуйста, пытаюсь настроить тор по данной инструкции, хочу чтобы в локальной сети через тор открывались только заблокированные или onion сайты, но что-то не срабатывает, не могу понять что, при попытке открыть допустим рутрекер вылезает: файл /opt/etc/tor/torrc выглядит следующим образом: PidFile /opt/var/run/tor.pid DataDirectory /opt/var/lib/tor ExcludeExitNodes {RU} VirtualAddrNetwork 10.192.0.0/10 # виртуальные адреса для .onion ресурсов AutomapHostsOnResolve 1 TransPort 9040 TransListenAddress 192.168.1.1 DNSPort 9053 DNSListenAddress 192.168.1.1 Для ipset создал файл в /opt/etc/init.d/S25ipset, туда поместил: #!/bin/sh ipset -N rublack-dns iphash ipset -N rublack-ip iphash ipset -N rublack-ip-tmp iphash ipset -N onion iphash cat /opt/etc/runblock/runblock.ipset | ipset restore /opt/etc/init.d/S35tor restart Правила iptables поместил вместе со скриптом, отвечающим за dnscrypt вот сюда /opt/etc/ndm/netfilter.d/010-intercept-dns.sh: #!/bin/sh [ "$table" != "nat" ] && exit 0 lan_ip=$(ndmq -p 'show interface Bridge0' -P address) iptables -t nat -I PREROUTING -p udp -m udp --dport 53 -j DNAT --to-destination $lan_ip:65053 iptables -t nat -I PREROUTING -p tcp -m tcp --dport 53 -j DNAT --to-destination $lan_ip:65053 iptables -t nat -I PREROUTING -i br0 -p tcp -m set --match-set rublack-dns dst -j REDIRECT --to-ports 9040 iptables -t nat -I PREROUTING -i br0 -p tcp -m set --match-set rublack-ip dst -j REDIRECT --to-ports 9040 iptables -t nat -I PREROUTING -i br0 -p tcp -m set --match-set onion dst -j REDIRECT --to-ports 9040 iptables -t nat -I PREROUTING -i ppp0 -p tcp -m set --match-set rublack-dns dst -j REDIRECT --to-ports 9040 iptables -t nat -I PREROUTING -i ppp0 -p tcp -m set --match-set rublack-ip dst -j REDIRECT --to-ports 9040 iptables -t nat -I PREROUTING -i ppp0 -p tcp -m set --match-set onion dst -j REDIRECT --to-ports 9040 Соответственно первые 2 правила dnscrypt, остальные для перенаправления заблокированных сайтов в тор. После перезагрузки роутера правила командой iptables -L -n -v -t nat --line-numbers вижу в цепочке PREROUTING: Chain PREROUTING (policy ACCEPT 27422 packets, 2062K bytes) num pkts bytes target prot opt in out source destination 1 0 0 REDIRECT tcp -- ppp0 * 0.0.0.0/0 0.0.0.0/0 match-set onion dst redir ports 9040 2 0 0 REDIRECT tcp -- ppp0 * 0.0.0.0/0 0.0.0.0/0 match-set rublack-ip dst redir ports 9040 3 0 0 REDIRECT tcp -- ppp0 * 0.0.0.0/0 0.0.0.0/0 match-set rublack-dns dst redir ports 9040 4 0 0 REDIRECT tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 match-set onion dst redir ports 9040 5 0 0 REDIRECT tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 match-set rublack-ip dst redir ports 9040 6 0 0 REDIRECT tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 match-set rublack-dns dst redir ports 9040 7 1 52 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 to:192.168.1.1:65053 8 515 32758 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 to:192.168.1.1:65053 9 29869 2199K _NDM_DNAT all -- * * 0.0.0.0/0 0.0.0.0/0 Команда lua /opt/usr/bin/rublupdate.lua создаёт 2 файла в директории /opt/etc/runblock: runblock.dnsmasq и runblock.ipset, в которых содержатся заблокированные домены и IP адреса. Вот кстати настройки dnsmasq.conf: no-resolv conf-file=/opt/etc/runblock/runblock.dnsmasq server=/onion/127.0.0.1#9053 server=8.8.8.8 server=8.8.4.4 Системный днс сервер выключен в системе opkg dns-override system configuration save dnsmasq работает на 53 порту. Модель Keenetic Ultra II, прошивка v2.09(AAUX.3)A0, установлена Entware-3x, список установленных компонентов: ~ # opkg list-installed curl - 7.51.0-1 dnscrypt-proxy - 1.7.0-1 dnscrypt-proxy-resolvers - 1.7.0+git-20161129-f17bace-1 dnsmasq-full - 2.76-7a dropbear - 2016.74-1 ext-ui-nginx - 0.1-5a fake-hwclock - 0.11-1 findutils - 4.6.0-1 glib2 - 2.49.7-1 ipset - 6.30-1 ipset-dns - 2013-05-03-6be3afd819a86136b51c5ae722ab48266187155b iptables - 1.4.21-2 ldconfig - 2.23-7 libattr - 20160302-1 libblkid - 2.28-1b libbz2 - 1.0.6-2 libc - 2.23-7 libcap - 2.24-1 libcurl - 7.51.0-1 libevent2 - 2.0.22-1 libffi - 3.2.1-2 libfreetype - 2.5.5-2 libgcc - 5.4.0-7 libiconv-full - 1.11.1-3 libintl-full - 0.19.8.1-1 libjpeg - 9a-1 liblua - 5.1.5-1 libmnl - 1.0.4-1 libmount - 2.28-1b libndm - 1.1.0-1a libnetfilter-conntrack - 1.0.6-1 libnfnetlink - 1.0.1-1 libopenssl - 1.0.2j-1a libpcre - 8.39-1 libpng - 1.2.56-1 libpthread - 2.23-7 librt - 2.23-7 libslang2 - 2.3.1-1 libsodium - 1.0.11-2 libssh2 - 1.7.0-1 libssp - 5.4.0-7 libstdcpp - 5.4.0-7 libuuid - 2.28-1b libxml2 - 2.9.4-1 locales - 2.23-7 lua - 5.1.5-1 luasocket - 3.0-rc1-20130909-3a mc - 4.8.18-1a ndmq - 1.0.2-1a net-tools-netstat - 2016-10-06-1 nginx - 1.10.1-2 opt-ndmsv2 - 1.0-6a php5 - 5.6.29-1 php5-cgi - 5.6.29-1 php5-cli - 5.6.29-1 php5-fastcgi - 5.6.29-1 php5-mod-curl - 5.6.29-1 php5-mod-dom - 5.6.29-1 php5-mod-exif - 5.6.29-1 php5-mod-gd - 5.6.29-1 php5-mod-json - 5.6.29-1 php5-mod-mbstring - 5.6.29-1 php5-mod-session - 5.6.29-1 php5-mod-simplexml - 5.6.29-1 php5-mod-xml - 5.6.29-1 php5-mod-xmlreader - 5.6.29-1 php5-mod-xmlwriter - 5.6.29-1 php5-mod-zip - 5.6.29-1 shellinabox - 2.20-20161109-1 terminfo - 6.0-1c tor - 0.2.8.9-1 tor-geoip - 0.2.8.9-1 vnstat - 1.15-1 zlib - 1.2.8-1 zoneinfo-asia - 2016j-1 zoneinfo-europe - 2016j-1 Помогите кто знает, в чём может быть проблема?