Jump to content

werldmgn

Forum Members
  • Content Count

    192
  • Joined

  • Last visited

  • Days Won

    1

werldmgn last won the day on June 1 2020

werldmgn had the most liked content!

Community Reputation

51 Excellent

About werldmgn

  • Rank
    Advanced Member

Equipment

  • Keenetic
    Viva KN-1910, Lite KN-1311, Duo KN-2110

Recent Profile Visitors

458 profile views
  1. На Старте стоит МТ7628 там аппаратно ускоряется не полностью весь ipsec, а только шифрование AES.
  2. Не совсем понял, нет доступа из сети сервера в сеть клиента? И что значит "в таком случае"? Без признака ip global доступ из второй сети есть?
  3. Чтобы клиентов впн-сервера кинетика пускало по маршруту в исходящее с этого роутера впн-соединение, нужно чтобы на этом исходящем впн-интерфейсе был признак ip global (в веб-интерфейсе галочка "Использовать для выхода в интернет") Только убедитесь, что приоритет ip global на этом интерфейсе ниже основного соединения к провайдеру, чтобы через впн не шел весь трафик. У вас аналогично, убедитесь в наличие признака ip global на wg интерфейсе. Есть альтернативный способ, не требующий ip global, т.е. не требующий выставления галочки "Использовать для выхода в интернет". Этот способ за
  4. Я веду к тому, что видимо недостаточно только того, что вы разрешили, хотя на первый взгляд и не могу сказать чего не хватает. Вообще смысла в ваших правилах нет. Безопасности они не прибавили от слова совсем. В межсетевом экране по умолчанию созданы нужные разрешения для работы нужных впн-серверов, а в конце стоит дроп всего, что не разрешено. Своими правилами Вы по сути пытаетесь дублировать этот функционал.
  5. Если убрать правила разрешающие всё для 172.16.203.67 и 172.16.212.115, они продолжают беспроблемно подключаться с запрещающим правилом внизу?
  6. crypto map l2tp-server mtu - Установить значение MTU, которое будет передано L2TP серверу Для Virtual IP VPN-сервера по идее: crypto ipsec mtu
  7. У Вас в правилах разрешено всё для 172.16.203.67 и 172.16.212.115, поэтому правило запрещающее все, расположенное внизу, на эти IP не распространяется. А iphone - это 91.234.60.135?
  8. Не знаю. Никаким особым левелом не обладаю, однако имея ноль знаний о wireguard, прочитал и теперь использую без вопросов. И в кинетике и на vps'ке на линухе. Я не говорю, что там нужно понять всю внутреннюю кухню устройства протокола, но базовые принципы, endpoint'ы, allowed ip и т.д. там расписаны очень хорошо, вопросов не возникло.
  9. В настройках WG отключить keepalive, не будет попыток подключения - не будет сообщений о неудаче
  10. Выставление признака global на интерфейс не делает его сразу же основным, не пускает через него маршрут по умолчанию, так что не переживайте. Этот признак просто ставит соединение в список "потенциальных основных" Их очередность определяется числом, чем ниже тем ниже приоритет.
  11. Еще раз повторю, для того, чтобы все заработало вам нужно поставить галочку "Использовать для выхода в интернет." Установка этой галочки равносильна выставлению признака ip global на интерфейсе. Просто чтобы не грузить вас признаками, которые вам могут быть и не интересны, сразу сказал вариант решения. Выставление вышеобозначенной галочкой признака global на интерфейс, позволит впн-клиентам роутера использовать openvpn соединение. Приоритет можно опустить на странице "Приоритеты подключений" просто перетащив openvpn ниже основного соединения к провайдеру, либо через cli, как вам уже сказали вы
  12. https://help.keenetic.com/hc/ru/articles/115003690689-Какой-интервал-используется-для-обновления-ключей-rekey-interval-между-клиентом-и-точкой-доступа-Wi-Fi-
  13. Самый простой способ решения - поставить на интерфейсе OpenVPN галочку "Использовать для выхода в интернет". Тогда впн-клиенты роутера смогут пользоваться этим подключением.
×
×
  • Create New...