MT2500A 上 raw.githubusercontent.com 域名证书异常 [已解决]

ccc

1. 环境

型号: GL-MT2500
系统版本: 4.4.6

2. 问题
在MT2500A上访问 raw.githubusercontent.com 会报证书错误. 例如执行:

1. curl -v https://raw.githubusercontent.com/gl-inet/gl-feeds/main/README.md

复制代码

其它域名正常, 比如:

1. curl -v https://api.github.com

复制代码

作为对比, 在其它电脑上访问 raw.githubusercontent.com 也是正常的.

通过 openssl 命令查看系统中域名的证书信息, 发现其它域名的书签发人正常, 但 raw.githubusercontent.com 的证书签发人是 gl-inet. 这肯就有问题了.
应该是Openwrt的系统证书被 gl-inet 修改了(路径: /etc/ssl/certs, 软件包: ca-certificates), 为啥会改 raw.githubusercontent.com 的证书呢?
详细可以参考附件中的截图. 萝卜大侠帮忙分析下 orz

3. 解决办法
原来是上级路由的DNS被污染所导致. 手动设置MT2500的DNS之后解决了.

设置MT2500的DNS

萝卜大侠

看起来像是你没有设置WEB管理密码，访问域名被强制劫持到路由器的管理界面了你可以登录路由器的管理界面，设置密码后再试一下。
也可以用下面的命令看下防火墙和dnsmasq的状态

1. uci show dhcp
   
2. uci show firewall

复制代码

上面俩条命令执行后贴一下结果

ccc

萝卜大侠 发表于 2023-11-1 09:48
看起来像是你没有设置WEB管理密码，访问域名被强制劫持到路由器的管理界面了你可以登录路由器的管理界面， ...

密码是设置了的，首次登陆web第一步就是设置密码。
另外，如果是这个原因，为啥只有这一个域名有问题，其它域名都正常呢。是因为劫持规则刚好匹配到了吗？

9528

看起来是你的运营商禁用了github，翻墙试试看。

ccc

9528 发表于 2023-11-1 15:15
看起来是你的运营商禁用了github，翻墙试试看。

肯定不是墙的问题.
github.com 能正常访问, 是 raw.githubusercontent.com 的系统证书有问题.

不望月的狼人

ccc 发表于 2023-11-1 17:34
肯定不是墙的问题.
github.com 能正常访问, 是 raw.githubusercontent.com 的系统证书有问题. ...

是墙或者dns的问题，你多个设备ping 一下raw.githubusercontent.com 看看是否返回127.0.0.1，如果是的话，在路由器上访问raw.githubusercontent.com则会默认转到路由器，所以看到的证书即为gl的证书。

ccc

不望月的狼人 发表于 2023-11-1 17:49
是墙或者dns的问题，你多个设备ping 一下raw.githubusercontent.com 看看是否返回127.0.0.1，如果是的话 ...

raw.githubusercontent.com 的 DNS 看起来是有问题, 指到 127.0.0.1 上去了. DNS配置也没动过, 这是为啥

不望月的狼人

ccc 发表于 2023-11-1 20:11
raw.githubusercontent.com 的 DNS 看起来是有问题, 指到 127.0.0.1 上去了. DNS配置也没动过, 这是为啥
...

在天朝，这些事情你不应该习以为常么，很多不让你访问的直接dns响应127.0.0.1

这是饭店

这样
https://ghproxy.com/https://raw.githubusercontent.com

DoubleU

你是不是装了open clas？覆写设置里的dns选项打开试试看？我就是这么好的

ccc

DoubleU 发表于 2023-11-9 15:04
你是不是装了open clas？覆写设置里的dns选项打开试试看？我就是这么好的

不是这个原因, 覆写去掉也是一样的