Werld

Ну почему никто не читает базу знаний? Читаем статью https://help.keenetic.com/hc/ru/articles/360000969039-FTP-сервер, видим выделенное жирным: Важно! При использовании авторизации клиенту нужно настроить права доступа к папкам USB-накопителя, иначе не получится подключиться к FTP-серверу. Кстати, в стандартный набор компонет "Контроль доступа к папкам" не входит, т.е. вы сами его доустановили а настроить не подумали. Подробнее здесь https://help.keenetic.com/hc/ru/articles/360000797340

Это предположение. У меня нет 12 андроида чтобы попробовать. Но по логике вещей это ikev2/ipsec mschapv2 на скринах должно быть как раз то что нужно, в кинетике используется сервер ikev2/ipsec с аутентификацией клиента eap-mschapv2.

Туда Keendns доменное имя вашего роутера, на которое получен сертификат, например xxx.keenetic.pro

По идее, используя вариант ikev2/ipsec mschapv2 вы должны суметь подключиться к кинетику с настроенным Vpn-сервером IKEv2

@Sereja Smirnoff В этой статье, на которую вы ссылаетесь просят выключить "NAT для клиентов" в настройках l2tp/ipsec сервера. Попробуйте включить эту галочку и снова проверить.

Читаем внимательно вверху вашего скрина: Чтобы добавить правило межсетевого экрана, выберите из списка интерфейс, на котором будет отслеживаться входящий трафик... Т.е. через веб-интерфейс мы создаем правила для входящего трафика для интерфейсов. Создавать правила для исходящего трафика можно через cli. Подробнее по ссылкам: Межсетевой экран Как реализован межсетевой экран? Примеры использования правил межсетевого экрана

Для примера ситуация. Хотим ограничить удаленный доступ к веб-интерфейсу, разрешив доступ только определенным айпишникам. Включаем удаленный доступ. Далее создаем два правила в межсетевом экране для интерфейса провайдера: И все работает как нам хотелось бы. Но если к роутеру подключается впн клиент по ikev2 ipsec, то на нем в таком случае не открываются никакие веб-страницы. Т.к. созданные правила межсетевого экрана на интерфейсе провайдера применяются и для входящих ipsec подключений. Самым простым решением было бы написание более конкретного правила фаерволла, где в графе "Адрес назначения" был бы адрес роутера на интерфейсе провайдера. Но зачастую на интерфейсе провайдера мы имеем динамический ip-адрес, а значит прописывать вручную текущий адрес на интерфейсе бесполезно, т.к. после переподключения айпишник будет уже другой. Поэтому и хотелось бы иметь возможность в графе "IP-адрес назначения" выбрать "Адрес роутера на этом интерфейсе", чтобы айпишник на интерфейсе определялся автоматически и создавалось правило в нетфильтре уже с соответствующим адресом. По типу того, как это сделано, когда мы задаем правило вида: ip static Home ISP, а в нетфильтре при этом создается src: 192.168.1.0/24, dst: 0.0.0.0/0, in: "*", out: "eth3", proto: "any"; "ndmmark" match, value: 0x4/0x4, invert: 0x0; SNAT, address: x.x.x.x Т.е. роутер сам подставляет адрес интерфейса ISP в правило нетфильтра. Описанный пример не единственный, когда было бы полезно иметь возможность создавать более конкретные правила в фаерволле, выбирая "Адрес роутера на этом интерфейсе" в графе "IP-адрес назначения". Поэтому прошу разработчиков рассмотреть возможность реализации такого функционала. Спасибо.

Вы уже используете обратный прокси на роутере. "На роутере назначен доступ из Интернет к веб-приложениям домашней сети site1.dom.keenetic.link и site2.dom.keenetic.link" - это оно и есть. Вам лишь нужно прописать вышеприведённые команды в cli роутера, чтобы заголовок "host" не перезаписывался.

Так может проблема в том, что сервер не шлёт никакие данные после перехода, а ждёт их от клиента, который не знает нового ендпоинта? Попробуйте включить keepalive на стороне сервера для пира клиента. Тогда сервер будет периодически слать пакеты клиенту, и при смене ip это позволит клиенту увидеть новый адрес.

(config)> ip http proxy site1 preserve-host (config)> ip http proxy site2 preserve-host (config)> system configuration save

Allowed ip у пиров не пересекаются?

Ознакомиться с этим https://help.keenetic.com/hc/ru/articles/360014436120 и с этим https://help.keenetic.com/hc/ru/articles/360000581749

Home он натит во все интерфейсы, в ipip в том числе. Можете убедиться изучив вывод show netfilter То понадобится правило, разрешающее forward между home и ipip, т.к. оба будут private. Т.е. кардинально ничего не измениться, просто придется больше правил вешать. Я поднимал ipip/ipsec и между кинетиками и между кинетиком и микротиком и вполне успешно. Но, конечно, можете подождать других пользователей и разработчиков.))

Вы nat отключали? По умолчанию он же натит. А вы правила пишете для сетей за натом. Кроме того, даже если нат отключить, правила, по моему, вы не правильно пишете. На первом устройстве, к примеру, вы вешаете на интерфейс Home на out правило permit ip 192.168.2.0/24 192.168.3.0/24. Трафик с source ip из сети 192.168.2.0/24 для интерфейса Home - это in. Я бы на вашем месте оставил на интерфейсе ipip на обоих роутерах security-level public, и вешал правила на интерфейс ipip на in, так будет легче для понимания, ведь из private в public все разрешено. На устройстве с сетью 192.168.2.0/24, на интерфейс ipip с security-level public на in вешаем правила permit ip 192.168.3.0/24 192.168.2.0/24 и permit ip 192.168.254.252/30 192.168.2.0/24 (Второе правило если включен nat). На устройстве с сетью 192.168.3.0/24, на интерфейс ipip с security-level public на in вешаем правила permit ip 192.168.2.0/24 192.168.3.0/24 и permit ip 192.168.254.252/30 192.168.3.0/24 (Второе правило если включен nat) И все, этого должно быть достаточно для случая, когда на ipip стоит уровень public.

Endpoint на вашем скрине

Для случаев, когда кинетик выступает клиентом, полагаю. Создав исходящее l2tp/ipsec подключение с кинетика, например, можно ему задать уровень шифрования interface l2tp0 ipsec encryption-level strong

Да, вот так. Только имейте в виду, что клиент должен поддерживать выбранные вами алгоритмы.

Конкретно вот это - dhcp, вероятно от вашего провайдера. Возможно, в этот момент dhcp-сервер продлевает аренду ip-адреса на wan-порту роутера.

Смотрите в cli manual. Группа команд crypto ike proposal для настройки параметров первой фазы; группа команд crypto ipsec transform-set - для настройки фазы 2.

https://help.keenetic.com/hc/ru/articles/4402854785170-Почему-не-подключается-к-сети-Wi-Fi-одно-из-устройств-домашней-сети-

Попробуйте в cli: ip hotspot auto-scan no interface Home и ip hotspot auto-scan no interface Guest

Так сразу бы и писали. Я то подумал вам нужно видеть админку роутера по кинднс-имени и все. Если вам нужно обращаться к веб-админке роутера через свое доменное имя по https, то нужно выполнить ряд условий: 1) Должна существовать днс-запись связывающая ваше доменное имя с внешним ip-адресом роутера. 2) На роутере необходимо получить сертификат на это ваше доменное имя. В CLI: ip http ssl acme get mydomain.ru

Странно, вот так должно работать. Проверил, вот с такими правилами переадреcсации все работает: Убедитесь, что вводите https в начале, т.к. редиректа на нестандартном порту никакого нет. Т.е. нужно вводить именно https://<name>.keenetic.pro:8443

You can just open all tcp and all udp for 192.168.5.0/24 network source. For that to work you need to disable dhcp server on Giga and manually add 192.168.5.10 ip-address on Bridge0 interface. This will be equivalent to switching the device to the Access point mode. That's why I said that the easiest way is to switch your Giga to access point mode. This has nothing to do with switching to the access point mode.

На ваших скринах разрешающие правила для интерфейса "Белтелеком", т.е. видимо, для интерфейса провайдера, а не для интерфеса sstp-клиента. Убедитесь, что прописали правила на интерфейс SSTP на клиенте.