[Чем ограничивается скорость диска по USB]

В 14.04.2023 в 07:07, d6oj3z3 сказал:

А чем ограничена эта скорость?

 

[ntp server]

21 минуту назад, AL_O сказал:

а реализация от кинетик ВИДИМО пока что не отвечает.

У кинетика реализован SNTP сервер. SNTP основан на NTPv3. Как видно из ваших же скриншотов в захваченных пакетах, то при успешных синхронизациях используется ntp version 3, а при неудачных ntp version 1. Винда умеет в sntp, но при использовании консольной утилиты w32tm, видимо, всегда используется ntp version 1. А если добавить сервер, как ниписал выше @PASPARTU, то винда будет успешно синхронизировать время, видимо перебирая версии ntp.

[Информация по работе с FireWall]

https://help.keenetic.com/hc/ru/articles/360001740099-Как-заблокировать-доступ-к-определенному-сайту-

Способ 4 в статье.

[Double VPN ( маршрутизация трафика от VPN клиента через VPN туннель)]

23 часа назад, Amid000 сказал:

в целом работает, но это какая-то странная схема

Это не странная схема, а установленная разработчиками логика работы. Для впн-клиентов форвард разрешен только в интерфейсы с признаком ip global (галочка "Использовать для выхода в интернет"), иначе форвард запрещен. Если по какой-то причине не хотите ставить эту галочку, создавайте вручную правила разрешающие нужный вам форвард (делается через cli), примеры как раз в теме по ссылке.

[Вопрос по логике работы NAT]

Пару лет назад уже создавал тему в развитии. Предлагаю всем заинтересованным голосовать. 

 

[WAN и LAN на одном порту]

В 20.02.2023 в 01:52, Arata сказал:

можно ли настроить такую схему на данном Кинетике?

Да, можно. Такая схема называется Router-on-a-Stick. Отдельной статьи в базе знаний, расписывающей настройки именно такой схемы, нет, но есть статья, из которой вы сможете почерпнуть примеры настройки vlan на кинетике. Ну а остальное - дело техники. Кроме того, можно обратиться в техподдержку. Думаю, они смогут вам помочь с настройкой.

[KN-1410 отключить SNAT для маршрутов в локальную сеть]

1 час назад, elfinith сказал:

Смущает, что в файле self-test имеются вот такие строки:

== Chain _NDM_STATIC_LOOP ==
src: 192.168.0.0/24, dst: 192.168.0.0/24, in: "*", out: "br0", proto: "any"; SNAT, address: 192.168.0.1
src: 192.168.0.0/24, dst: 0.0.0.0/0, in: "*", out: "br0", proto: "any"; "ndmmark" match, value: 0x4/0x4, invert: 0x0; SNAT, address

Это, насколько я понимаю, nat loopback (hairpin nat). Есть ли возможность его отключать лучше спросить у техподдержки. Но даже если окажется, что такая возможность есть, нужно понимать зачем нужен nat loopback и к чему приведет его отключение.

[KN-1410 отключить SNAT для маршрутов в локальную сеть]

В 06.02.2023 в 13:26, elfinith сказал:

Добрый день!
Роутер Keenetic Omni KN-1410.
К локальной сети через другой шлюз подключена отдельная подсеть. Так как роутер является шлюзом по-умолчанию, настроил дополнительный статический маршрут в локальной сети (Home), чтобы маршрутизировать трафик в эту подсеть. Проблема в том, что роутер применяет SNAT ко всему трафику, который через него проходит, даже если это локальный трафик, который идёт по созданному статическому маршруту и не выходит через интерфейс провайдера (ISP).

Подскажите, как настроить роутер, чтобы к трафику, который возвращается в локальную сеть, не применялся SNAT.

В cli кинетика выполнить: 

no ip nat Home - отключает snat для всех пакетов из сети Home.

ip static Home ISP - включаем snat для пакетов из сети Home, уходящих в интерфейс ISP. Если соединение с провайдером организвано по протоколу pppoe, то еще понадобится правило ip static Home PPPoE0. 

Подробнее по всем командам в cli-manual.

[Ограничение доступа в LAN для определённого клиента SSTP]

7 часов назад, Arfus сказал:

У VPN клиента действительно пропал доступ ко всем устройствам в домашней сети, кроме самого роутера, его веб-интерфейса и smb шары на нём.

А можно как-то сделать так, чтобы и на адрес 192.168.21.1 тоже доступа не было?

Такое правило нужно было бы добавлять на in для интерфейса впн-клиента. Но, к сожалению, применять правила для интерфейсов впн-клиентов в текущей реализации keenetic os невозможно. Поэтому ограничить доступ именно к ресурсам самого роутера, для впн клиента средствами межсетевого экрана нельзя. Используйте отдельную учетку для впн-клиентов и не сообщайте им учетки для доступа к к шарам роутера и другим сервисам.

[Будет ли работать Wi-Fi Mesh, если DHCP-сервер не в меше]

https://help.keenetic.com/hc/ru/articles/360014436120-Возможно-ли-использовать-контроллер-Wi-Fi-системы-в-режиме-обычной-точки-доступа-

[Ограничение доступа в LAN для определённого клиента SSTP]

Посмотрите здесь. Там хоть речь не о sstp, но действия потребуются абсолютно такие же.

[Маршрутизация между L2TP/IPSEC и Wireguard]

21 час назад, mburyakov сказал:

Почему такое не получается создать из web-интерфейс, понятно - там правила только на IN (ими мыслить проще и чаще всего их и хватает), а интерфейса, через который приходят пакеты от L2TP, нет. Не понятно только, почему по умолчанию стоит запрет на это направление? Потому что в настройках L2TP в пункте "Доступ к сети" выбрана домашяя сеть, поэтому по умочанию доступ только к ней? А почему тогда выход в интернет работает без дополнительных правил?

В кинетикОС у интерфейсов есть такая характеристика как security-level. Если у интерфейса security-level private, то на него разрешены входящие. Если seciruty-level public, то входящие запрещены. Из интерфейса с security-level private разрешен форвард в интерфейс с security-level public. Из public в private - нет. Между интерфейсами c security-level private форвард, по-умолчанию, тоже запрещен.

От впн-клиентов l2tp, sstp и pptp серверов разрешен форвард в интерфейс, указанный в настройках в пункте "Доступ к сети", а также к любым интерфейсам с security-level public и признаком ip global (это галочка в настройках интерфейса "Использовать для выхода в интернет"). У любого создаваемого интерфейса по умолчанию seciruty-levle public. Так и у созданного вами wireguard интерфейса, если вы сами не меняли руками. Если у такого public wireguard интерфейса выставить в настройках галочку "Использовать для выхода в интернет" (признак ip global), то создавать разрешающие правила черел cli бы не пришлось.

Подробнее можно почитать в базе знаний: https://help.keenetic.com/hc/ru/articles/360001434079

 

[Маршрутизация между L2TP/IPSEC и Wireguard]

7 часов назад, Михаил Буряков сказал:

Подозреваю, что не хватает разрешающего правила межсетевого экрана, но не могу его настроить для интерфейса L2TP, потому что такого интерфейса нет, как я понял из этой темы. Более того, для клиента, подключенного чере L2TP, не работает захват пакетов - я не могу настроить захват пакетов, чтобы он ловил даже пинг с 192.168.1.32 на 192.168.1.1. Подскажите, это и вправду совсем не работает, и я что-то не понимаю?

Обратите внимание на это сообщение. Только вам нужно будет привязывать acl к интерфейсу Wireguard, а не Bridge, но точно так же на OUT. Ну и сами правила в acl'e у вас должны быть разрешающие. Например permit ip 192.168.1.32/27 0.0.0.0/0 

[Использование ethernet портов в режиме повторителя]

1 час назад, artitrue сказал:

Добрый день! Подскажите, если роутер Keenetic (например, Extra 2 или Air) используется в режиме повторителя, можно ли использовать его ethernet порты для подключения других устройств к сети или он будет доступен только для "раздачи" интернета по Wi-FI? 

Можно

[L2TP/IPsec сервер]

В 24.12.2022 в 18:01, qch сказал:

Но оно не хочет работать для подключающихся L2TP клиентов, хотя для обычных клиентов, находящихся в этой локалке, отрабатывает как надо.

Потому что вы создаете правило для пакетов, у которых входящий интерфейс Bridge. У пакетов от vpn-клиентов входящий интерфейс ppp, а Bridge - исходящий. Через веб вам такое правило не создать, только в cli. 

Создаете acl и привязываете его к нужному bridge на out. Команды средующие:

access-list vpn             - создаем acl с именем "vpn"

deny tcp 192.168.1.64/27 192.168.1.1/32 port range 80 443    - например, создаем правило запрещающее tcp с адресов 192.168.1.64/27 на адрес 192.168.1.1 на порты в диапазоне 80-443. Вам нужно правило для адресов, l2tp клиентов, которым нужно запретить доступ, также нужно указать нужные вам протоколы и порты. Можно создать несколько правил.

exit                - Выходим из подгруппы команд создания acl

interface Bridge0 ip access-group vpn out        - Привязываем acl с именем vpn на out к интерфейсу, к которому включен доступ в настройках l2tp сервера. По умолчанию это "Домашняя сеть", то есть Bridge0.

system configuration save

[VPN L2TP/IPSec доступ к нескольким сегментам]

6 часов назад, IKollegaI сказал:

Скорее всего необходимо создать какое-нибудь разрешающие правило на сегменте Test, не могу понять какое.

 

[Порт накрылся, или ?]

6 часов назад, ANDYBOND сказал:

Поставьте везде провайдерские DNS безо всяких адгвардов - и будет всё хорошо.

Судя по предоставленным логам, падает pppoe, в первом логе даже падение линка есть. Каким боком здесь может помочь замена днс?

[2 кинетика по Wireguard]

7 минут назад, M V сказал:

Подскажите, плиз, как разрешить NAT для траффика, приходящего через wg туннель из локальной сети клиента?

Попробуйте в cli: ip nat <сеть A> , должно помочь. А вообще, лучше чтобы Wg клиент натил свою сеть А при выходе в WG-туннель.

[2 кинетика по Wireguard]

2 часа назад, vasek00 сказал:

Продолжайте жить 93 годом.

Так получается наоборот, это вы продолжаете жить 93 годом, если отрицаете изменения произошедшие с тех пор. 

В общем-то продолжайте оставаться при своем мнении, если вам rfc не указ. Можете и дальше удивляться, когда еще у кого-нибудь увидите такие ip-адреса, как у создателя темы.

[2 кинетика по Wireguard]

17 минут назад, avn сказал:

Попробовал три калькулятора по ipv4, все умерли от 0-ля. Вам шашечки или ехать?

Это вопрос не ко мне а к авторам этих калькуляторов. На вашем скрине видно, что они до сих пор пишут class c, при том, что как я уже говорил, бесклассовая адресация введена в 93 году. А насчет шашечки или ехать, я привел реальный пинг до реального адреса в реальном интернете, если по вашему это не подпадает под понятие "ехать", то я даже не знаю.

[2 кинетика по Wireguard]

29 минут назад, vasek00 сказал:

Почаще заглядывайте в таблицу маршрутизации, что там и как.

Спасибо за совет. Порекомендую вам того же, далеко, кстати говоря, ходить не надо. Вон у ТС на скринах таблицы маршрутизации как раз адреса с 0 на конце увидите. То, что этот адрес маршрутизируется наверное мне привиделось да?

Обмен пакетами с 188.168.15.0 по с 32 байтами данных:
Ответ от 188.168.15.0: число байт=32 время=18мс TTL=58
Ответ от 188.168.15.0: число байт=32 время=18мс TTL=58
Ответ от 188.168.15.0: число байт=32 время=18мс TTL=58
Ответ от 188.168.15.0: число байт=32 время=18мс TTL=58

Статистика Ping для 188.168.15.0:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0

[Ребята нужна помощь]

16 минут назад, Алексей717 сказал:

 

 

 

 

[Ребята нужна помощь]

По поводу видео со вторым вашим вопросом, которое вы оставили в другой теме: А вы на кинетике icmp протокол в межсетевом экране на интерфейсе pppoe разрешить на вход не забыли? 

[Ребята нужна помощь]

21 час назад, Алексей717 сказал:

 вот

Ответ на вапш вопрос гуглится за секунду:

https://wiki.wireshark.org/SLL#linux-cooked-mode-capture-sll

 

[Гостевая сеть через точку доступа]

2 часа назад, Denis P сказал:

Это не совсем так, в данной реализации Wi-Fi системы, vlan других сегментов присутствует на портах ретранслятора с тэгом, т.е достаточно на клиенте (и/или свиче) указать его

Спасибо за уточнение, буду знать.  Все-таки в изначальном вопросе ТС спрашивалось, если я правильно понял, о возможности иметь на портах ретранслятора vlan, отличный от домашней сети. Наличие на портах гостевого vlan с тэгом - это все-таки не совсем то что нужно.