Jump to content

werldmgn

Forum Members
  • Content Count

    181
  • Joined

  • Last visited

  • Days Won

    1

werldmgn last won the day on June 1 2020

werldmgn had the most liked content!

Community Reputation

50 Excellent

About werldmgn

  • Rank
    Advanced Member

Equipment

  • Keenetic
    ZK Lite 3 rev.A, Duo KN-2110

Recent Profile Visitors

406 profile views
  1. Выставление признака global на интерфейс не делает его сразу же основным, не пускает через него маршрут по умолчанию, так что не переживайте. Этот признак просто ставит соединение в список "потенциальных основных" Их очередность определяется числом, чем ниже тем ниже приоритет.
  2. Еще раз повторю, для того, чтобы все заработало вам нужно поставить галочку "Использовать для выхода в интернет." Установка этой галочки равносильна выставлению признака ip global на интерфейсе. Просто чтобы не грузить вас признаками, которые вам могут быть и не интересны, сразу сказал вариант решения. Выставление вышеобозначенной галочкой признака global на интерфейс, позволит впн-клиентам роутера использовать openvpn соединение. Приоритет можно опустить на странице "Приоритеты подключений" просто перетащив openvpn ниже основного соединения к провайдеру, либо через cli, как вам уже сказали вы
  3. https://help.keenetic.com/hc/ru/articles/115003690689-Какой-интервал-используется-для-обновления-ключей-rekey-interval-между-клиентом-и-точкой-доступа-Wi-Fi-
  4. Самый простой способ решения - поставить на интерфейсе OpenVPN галочку "Использовать для выхода в интернет". Тогда впн-клиенты роутера смогут пользоваться этим подключением.
  5. Каждый сегмент - это отдельный бридж, то есть l2 связность, то есть "широковещательный домен". Это не прихоть разработчиков, что dhcp (по сути броадкаст) работает только в пределах широковещательного домена. Это концептуально так, это основа сетевых взаимодействий. Так что тут не в переделывании логики дело. Как я вам выше показал, вы можете разбить подсети и привязать их на разные бриджы, но это не имеет смысла, т.к. l2 связности между бриджами это все равно не даст, да и не может дать. А l3 связность можно получить и без извращений с разбиением 24ой сетки на подсети для сегментов.
  6. Если грамотно разбить на подсети 24-ую сеть, то возможно привязать на разные сегменты. Например: Домашняя сеть: И в тоже время гостевая сеть: Так можно сделать уже сейчас, можете проверить. Зачем так делать, это другой вопрос. Смысла, конечно, мало. Да и ТС спрашивает не об этом. Он просит один сквозной dhcp с одним пулом на два бриджа. А это принципиально невозможно.
  7. @T3ch Cat Думаю, еще на роутере провайдера нужен маршрут до 192.168.3.0/24. Так как, по идее, кинетик 2 пересылая пакеты от кинетик 1 не натит их, то до провайдерского роутера они доходят с адресом источника из сети 192.168.3.0/24, а значит чтобы отправлять ответы, этому роутеру тоже нужен маршрут.
  8. На кинетике 2 есть маршрут в сеть кинетика 1(192.168.3.0/24)? На впн-интерфейсе кинетика 2 есть разрешающие правила межсетевого экрана? На кинетике 1 есть маршрут в сеть кинетика 2 (192.168.1.0/24)?
  9. В начале вы упоминаете vps'ку c ikev2/ipsec сервером, при этом кто к ней подключен и какое она вообще имеет отношение, никакой информации. intel nuc с win 10 - дома или на работе? Что значит "wi-fi - интернет. ethernet - провод от keenetic" по wifi интернет не от кинетика, а от куда? Рисуйте схему, потому что вообще ничего не понятно.
  10. В cli с помощью команды show netfilter можно посмотреть все текущие правила. В filter->INPUT есть правило вида -A INPUT -m conntrack --ctstate DNAT -j ACCEPT . Правила межсетевого экрана созданные через веб-морду располагаются выше приведенного правила. Соответственно, вам нужно в межсетевом экране создать два правила. В первом нужно разрешить доступ к пробрасываемому порту для нужных IP. Во втором запретить доступ к этому порту всем. Разумеется, порт надо указывать тот, который уже после DNAT преобразования. Поднобнее об устройстве МСЭ в keenetic здесь, здесь и здесь.
  11. ip static tcp ISP 443 185.0.0.1 443 - работает. Если посмотреть show netfilter, можно увидеть, что правило создается: src: 0.0.0.0/0, dst: х.х.х.х/32, in: "*", out: "*", proto: "TCP"; "tcp" match, mask: , cmp: , dport: 443; DNAT, address: 185.0.0.1, port: 443 Это правило аналог того, что приведено на вашем скрине с микротика. Так что копайте дальше, что вообще должно происходить по вашему? Может у вас микротик еще и snat выполнял, чтобы ответные пакеты от 185.0.0.1 шли к нему? Иначе ответные пакеты от 185.0.0.1 пойдут в соответствии с его таблицей маршрутизации во внешний интернет
  12. Что-то типа такого ip static tcp ISP 443 185.0.0.1 443 , ISP здесь имя входного интерфейса, у вас может быть другое. cli manual взять здесь
  13. https://forum.keenetic.net/announcement/5-где-взять-тестовые-прошивки/
  14. Согласен. Особенно учитывая, что под капотом то по сути нетфильтр, где все это элементарно выполняется. Ну, допустим, есть проблема с интерпретацией команды ip static, слишком она сложная и универсальная, ну так сделали бы две отдельные ip snat и ip dnat.
  15. Ничего себе какие дела. Очень плохо, что такие замечания к работе не записаны в cli manual'e. Полагаю, в данном конкретном случае, должна сработать как нужно только ip static Wireguard0 PPPoE0
×
×
  • Create New...