Jump to content

werldmgn

Forum Members
  • Content Count

    112
  • Joined

  • Last visited

  • Days Won

    1

Everything posted by werldmgn

  1. В настройках l2tp/ipsec сервера поставить галочку "nat для клиентов". В настройках wireguard клиента поставить галочку "Использовать для выхода в Интернет". После выставления этой галочки, убедиться на странице "Приоритеты подключений", что wireguard соединение ниже приоритетом чем основное соедиенение с провайдером. После проведенных манипуляций все должно заработать. Для l2tp/ipsec сервера рекомендую использовать диапазон не из пула домашней сети.
  2. А если посмотреть в сторону команды interface ipsec encryption-level (см. в cli manual). Там есть разные предустановленные "уровни шифрования". Думаю, стоит попробовать что-то типа interface l2tp0 ipsec encryption-level strong В наборе "strong" только AES128 и AES256, 3DES отключен. Не уверен на 100%, что эти уровни применяются к созданным через веб l2tp/ipsec интерфейсам, но попробовать определенно стоит.
  3. На первом роутере (за которым сеть 192.168.10.0/24) необходимо добавит маршрут вида: На дальнем роутере (за которым сеть 192.168.11.0/24) необходимо добавить правило в межсетевой экран для Wan интерфейса:
  4. @r3L4x Подумайте об одной простой вещи. Вот для вас обсуждаемое поведение не очевидно, вы использовали одновременно интернет-фильтр и для этого же пк софт, который выполняет те же функции, что и фильтр и даже больше. Однако вы сходили в поддержку и к тем и к другим, выяснили, как это все работает и почему такое происходит. Вам не приятно, что пришлось ходить, ок. Вот только ваш случай можно сказать редкий. А все те сотни и тысячи пользователей, которые включают интернет-фильтр, например, для блокировки взрослого контента на устройствах детей, также будут считать совершенно не очевидным и не правильным, что обойти фильтр так же легко как прописать другие днс-серверы в пк. И требовали бы, чтобы поведение было именно таким какое есть сейчас. Это плохой тон, знаете ли, изменять сообщение, которое было процитировано и на которое было отвечено, таким образом, что ответ становится не в тему. Больше не вижу смысла с вами спорить.
  5. Вы серьезно? В документации пишется факт, а какие следствия из этого факта следуют мы уже определяем сами. Когда у интернет провайдера написано, что при неоплате интернет будет заблокирован, вы пишете им претензию, что они не уточнили, что блокировка интернета приведет к его неработоспособности даже для функции Антифишинга в AdGurard?
  6. Вы же сами процитировали из хелпа кинетика информацию "Это связано с тем, что при включенных интернет-фильтрах по умолчанию включается блокировка транзитного DoT/DoH, чтобы избежать утечки DNS-запросов." Именно из хелпа это и узнается "домашними пользователями", для них его и пишут.
  7. Имхо это какие-то полумеры. Либо оставлять как есть, т.к. это ожидаемое поведеие. Либо вообще дать возможность настраивать перехватывать или нет транзитный днс траффик определенных устройств, в виде опции хотя бы в cli.
  8. Не очевиден. Перехват транзитного днс-трафика при включенном фильтре - документированное и ожидаемое поведение. Если на каком-то клиенте нужен транзитный днс траффик, то этому устройству концептуально нельзя ставить фильтр
  9. Смотреть в сторону mtu. Автоподстройка tcp mss на pptp интерфесе включена?
  10. Я так понимаю в настройках vpn сервера на GigaIII для впн-клиентов доступ к сети указан как раз Home? Я подобную задачу решал следующим образом: создаем правила в фаерволле разрешающие впн-клиентам доступ в подсеть 192.168.2.0/24 и навешиваем эти правила на сегмент LAN2 на out. Т.к. правила надо вешать на out, то делать это можно только через сli. Команды следующие: Создаем ACL access-list myacl Далее команды добавляют в созданный акл нужные правила, т.к. впн-клиенты получают у вас 172.16.2.х, а в вашем новом сегменте адресация 192.168.2.0 /24 : permit ip 172.16.2.0/24 192.168.2.0/24 Далее команда exit - это мы выходим из подгруппы комманд access-list в основной конфиг. Теперь нам осталось привязать созданный ACL к нужному бриджу. Основной Home сегмент - это Bridge0, гостевой - Bridge1, допустим ваш сегмент LAN2 - это Bridge2. interface bridge2 ip access-group myacl out И сохраняем изменения: system configuration save
  11. А не блокирует ли случаем провайдер вам 80 порт, борясь тем самым с любителями держать web-серверы дома? Поставьте обратно свой предыдущий роутер, чтобы это проверить, возможно, блокировка началась не давно.
  12. Я разве написал, что это нужное действие? Я написал человеку, что озвученный им вариант работать не будет.
  13. В свете того, что началась некоторая движуха по-поводу темы Есть ли возможность добавить в МСЭ списки IP-адресов? То хочется напомнить и про данную тему. Фичу со списками в МСЭ и фичу о возможности наполнения списка из резолва доменного имени для использования в маршрутах или том же МСЭ логично внедрять вместе.
  14. В данном случае не имеет значения. Пакет все равно попадет в цепочку INPUT нетфильтра. Но даже если бы пакет попадал в FORWARD, все равно бы не работало, т.к. правило назначенное для внешнего интерфейса в вебе появляется в дополнительной созданной прошивкой цепочке "_NDM_ACL_IN", а jump на нее есть как в INPUT так и в FORWARD.
  15. Нет, так работать не будет. Если заблокировать порт 22, то и пакеты после проброса 50022 -->22 будут также дропаться.
  16. Как уже написано выше, порт для SSH и SFTP слушает один и тот же демон. Порт можно сменить, но сменится он для обоих протоколов сразу.
  17. Одинарное нажатие запускает wps на точке доступа 2.4 ГГц, двойное нажатие запускает wps на точке доступа 5 ГГц. Так как двухдиапазонные модели соединяются в мэш на диапазоне 5 ГГц, то и нажимать на обоих устройствах нужно кратковременно два раза , как и сказано в мануале, что вы процитировали. После соединения устройств, можно будет на контроллере произвести захват экстендера. После захвата экстендер будет раздавать те же сети в тех же диапазонах, что и контроллер.
  18. К слову, реализовать необходимый вам сценарий возможно, просто сделав статическую днс-запись на самом роутере. В cli: ip host ‹domain› ‹address› В локальной сети нужное имя будет разрешаться правильно для всех устройств, которым днс-сервером назначен роутер. И тогда не придется городить А-запись с айпишником из частного диапазона на публичных днс-серверах, и не придется отключать защиту от днс ребиндинга.
  19. А если попробовать выключить защиту от DNS Rebinding ( в cli: dns-proxy no rebind-protect ) ?
  20. Скорее всего, днс-серверы провайдера доступны даже при неоплаченном интернете, и продолжают резолвить адреса внутренних ресурсов. Так как, при неоплаченном интернете, публичные днс-серверы не доступны, то они и не могут вам резолвить адреса внутренних ресурсов. Если адресов внутренних ресурсов не очень много, в качестве решения, предлагаю Вам сделать необходимые записи на самом роутере, с помощью команды ip host ‹domain› ‹address›
  21. Если Кинетик у вас в wireguard выступает "сервером", то просто не выставляйте в нем пункт "Проверка активности" для пиров.
  22. Судя по всему да. KeenDNS имя из переписки с техподдержкой резолвится в ip 31.180.xxx.xxx Название провайдера: OJSC Rostelecom Macroregional Branch South
  23. Вы прям цитируете из той ссылки, что я привел)) Чудес не бывает, раз техподдержка, посмотрев конфиг, сообщила, что порт открыт, никаких правил взапрещающих в межсетевом экране нет, то что остается?
  24. Я думаю ответ прост - блокирует провайдер. Вот есть похожие случаи на ростелекоме https://www.nn.ru/community/techno/internet/rostelekom_blokiruet_podklyucheniya_na_80_port.html
×
×
  • Create New...