Werld
Forum Members-
Posts
436 -
Joined
-
Last visited
-
Days Won
6
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Everything posted by Werld
-
Работа с Сервер FTP. Ошибка авторизации
Werld replied to engelsit's question in Тестирование Dev-сборок
Ну почему никто не читает базу знаний? Читаем статью https://help.keenetic.com/hc/ru/articles/360000969039-FTP-сервер, видим выделенное жирным: Важно! При использовании авторизации клиенту нужно настроить права доступа к папкам USB-накопителя, иначе не получится подключиться к FTP-серверу. Кстати, в стандартный набор компонет "Контроль доступа к папкам" не входит, т.е. вы сами его доустановили а настроить не подумали. Подробнее здесь https://help.keenetic.com/hc/ru/articles/360000797340 -
Это предположение. У меня нет 12 андроида чтобы попробовать. Но по логике вещей это ikev2/ipsec mschapv2 на скринах должно быть как раз то что нужно, в кинетике используется сервер ikev2/ipsec с аутентификацией клиента eap-mschapv2.
-
Туда Keendns доменное имя вашего роутера, на которое получен сертификат, например xxx.keenetic.pro
-
По идее, используя вариант ikev2/ipsec mschapv2 вы должны суметь подключиться к кинетику с настроенным Vpn-сервером IKEv2
-
Читаем внимательно вверху вашего скрина: Чтобы добавить правило межсетевого экрана, выберите из списка интерфейс, на котором будет отслеживаться входящий трафик... Т.е. через веб-интерфейс мы создаем правила для входящего трафика для интерфейсов. Создавать правила для исходящего трафика можно через cli. Подробнее по ссылкам: Межсетевой экран Как реализован межсетевой экран? Примеры использования правил межсетевого экрана
-
Для примера ситуация. Хотим ограничить удаленный доступ к веб-интерфейсу, разрешив доступ только определенным айпишникам. Включаем удаленный доступ. Далее создаем два правила в межсетевом экране для интерфейса провайдера: И все работает как нам хотелось бы. Но если к роутеру подключается впн клиент по ikev2 ipsec, то на нем в таком случае не открываются никакие веб-страницы. Т.к. созданные правила межсетевого экрана на интерфейсе провайдера применяются и для входящих ipsec подключений. Самым простым решением было бы написание более конкретного правила фаерволла, где в графе "Адрес назначения" был бы адрес роутера на интерфейсе провайдера. Но зачастую на интерфейсе провайдера мы имеем динамический ip-адрес, а значит прописывать вручную текущий адрес на интерфейсе бесполезно, т.к. после переподключения айпишник будет уже другой. Поэтому и хотелось бы иметь возможность в графе "IP-адрес назначения" выбрать "Адрес роутера на этом интерфейсе", чтобы айпишник на интерфейсе определялся автоматически и создавалось правило в нетфильтре уже с соответствующим адресом. По типу того, как это сделано, когда мы задаем правило вида: ip static Home ISP, а в нетфильтре при этом создается src: 192.168.1.0/24, dst: 0.0.0.0/0, in: "*", out: "eth3", proto: "any"; "ndmmark" match, value: 0x4/0x4, invert: 0x0; SNAT, address: x.x.x.x Т.е. роутер сам подставляет адрес интерфейса ISP в правило нетфильтра. Описанный пример не единственный, когда было бы полезно иметь возможность создавать более конкретные правила в фаерволле, выбирая "Адрес роутера на этом интерфейсе" в графе "IP-адрес назначения". Поэтому прошу разработчиков рассмотреть возможность реализации такого функционала. Спасибо.
-
Веб-сервер в локальной сети за Keenetic'ом
Werld replied to Никита Валентинович Корняков's question in Обмен опытом
Вы уже используете обратный прокси на роутере. "На роутере назначен доступ из Интернет к веб-приложениям домашней сети site1.dom.keenetic.link и site2.dom.keenetic.link" - это оно и есть. Вам лишь нужно прописать вышеприведённые команды в cli роутера, чтобы заголовок "host" не перезаписывался. -
Так может проблема в том, что сервер не шлёт никакие данные после перехода, а ждёт их от клиента, который не знает нового ендпоинта? Попробуйте включить keepalive на стороне сервера для пира клиента. Тогда сервер будет периодически слать пакеты клиенту, и при смене ip это позволит клиенту увидеть новый адрес.
-
Веб-сервер в локальной сети за Keenetic'ом
Werld replied to Никита Валентинович Корняков's question in Обмен опытом
(config)> ip http proxy site1 preserve-host (config)> ip http proxy site2 preserve-host (config)> system configuration save -
Проблема с настройкой гостевой зоны в MESH-системе без провайдера
Werld replied to Виталий Чеботарев's question in Обмен опытом
Ознакомиться с этим https://help.keenetic.com/hc/ru/articles/360014436120 и с этим https://help.keenetic.com/hc/ru/articles/360000581749 -
Home он натит во все интерфейсы, в ipip в том числе. Можете убедиться изучив вывод show netfilter То понадобится правило, разрешающее forward между home и ipip, т.к. оба будут private. Т.е. кардинально ничего не измениться, просто придется больше правил вешать. Я поднимал ipip/ipsec и между кинетиками и между кинетиком и микротиком и вполне успешно. Но, конечно, можете подождать других пользователей и разработчиков.))
-
Вы nat отключали? По умолчанию он же натит. А вы правила пишете для сетей за натом. Кроме того, даже если нат отключить, правила, по моему, вы не правильно пишете. На первом устройстве, к примеру, вы вешаете на интерфейс Home на out правило permit ip 192.168.2.0/24 192.168.3.0/24. Трафик с source ip из сети 192.168.2.0/24 для интерфейса Home - это in. Я бы на вашем месте оставил на интерфейсе ipip на обоих роутерах security-level public, и вешал правила на интерфейс ipip на in, так будет легче для понимания, ведь из private в public все разрешено. На устройстве с сетью 192.168.2.0/24, на интерфейс ipip с security-level public на in вешаем правила permit ip 192.168.3.0/24 192.168.2.0/24 и permit ip 192.168.254.252/30 192.168.2.0/24 (Второе правило если включен nat). На устройстве с сетью 192.168.3.0/24, на интерфейс ipip с security-level public на in вешаем правила permit ip 192.168.2.0/24 192.168.3.0/24 и permit ip 192.168.254.252/30 192.168.3.0/24 (Второе правило если включен nat) И все, этого должно быть достаточно для случая, когда на ipip стоит уровень public.
-
Endpoint на вашем скрине
-
L2TP/IPsec сервер
Werld replied to Le ecureuil's topic in Обсуждение IPsec, OpenVPN и других туннелей
Для случаев, когда кинетик выступает клиентом, полагаю. Создав исходящее l2tp/ipsec подключение с кинетика, например, можно ему задать уровень шифрования interface l2tp0 ipsec encryption-level strong -
L2TP/IPsec сервер
Werld replied to Le ecureuil's topic in Обсуждение IPsec, OpenVPN и других туннелей
Да, вот так. Только имейте в виду, что клиент должен поддерживать выбранные вами алгоритмы. -
Конкретно вот это - dhcp, вероятно от вашего провайдера. Возможно, в этот момент dhcp-сервер продлевает аренду ip-адреса на wan-порту роутера.
-
L2TP/IPsec сервер
Werld replied to Le ecureuil's topic in Обсуждение IPsec, OpenVPN и других туннелей
Смотрите в cli manual. Группа команд crypto ike proposal для настройки параметров первой фазы; группа команд crypto ipsec transform-set - для настройки фазы 2. -
https://help.keenetic.com/hc/ru/articles/4402854785170-Почему-не-подключается-к-сети-Wi-Fi-одно-из-устройств-домашней-сети-
-
Попробуйте в cli: ip hotspot auto-scan no interface Home и ip hotspot auto-scan no interface Guest
-
Доступ к web-админке снаружи по https на нестандартный порт
Werld replied to booroondook's question in Обмен опытом
Так сразу бы и писали. Я то подумал вам нужно видеть админку роутера по кинднс-имени и все. Если вам нужно обращаться к веб-админке роутера через свое доменное имя по https, то нужно выполнить ряд условий: 1) Должна существовать днс-запись связывающая ваше доменное имя с внешним ip-адресом роутера. 2) На роутере необходимо получить сертификат на это ваше доменное имя. В CLI: ip http ssl acme get mydomain.ru -
Доступ к web-админке снаружи по https на нестандартный порт
Werld replied to booroondook's question in Обмен опытом
Странно, вот так должно работать. Проверил, вот с такими правилами переадреcсации все работает: Убедитесь, что вводите https в начале, т.к. редиректа на нестандартном порту никакого нет. Т.е. нужно вводить именно https://<name>.keenetic.pro:8443 -
You can just open all tcp and all udp for 192.168.5.0/24 network source. For that to work you need to disable dhcp server on Giga and manually add 192.168.5.10 ip-address on Bridge0 interface. This will be equivalent to switching the device to the Access point mode. That's why I said that the easiest way is to switch your Giga to access point mode. This has nothing to do with switching to the access point mode.