keenet07

Ну для кого-то мелочи, а кто-то может быть только ради этого новую версию ждал. ) Нет, ну... Вообще, неофициальный список всех более менее значимых правок был бы весьма уместен. Я уже темы 3 или 4 с исправленными ошибками в этом релизе увидел. А в офф.списке изменений ни одна не упоминается.

Сколько всего исправлено, а список изменений такой короткий. 😃

Попробуйте 2.15.A.3.0-2. Там исправляли некоторые ошибки в этой вкладке. Может и на ваш случай влияет.

@Александр Рыжов Поясните пожалуйста, как работает ваше решение из первого поста? Почему на локальный ПК приходят UDP пакеты на порт 5353. Почему вся переадресация не происходит внутри кинетика? При блокировке активности на порту 5353 на ПК, схема перестает работать совсем.

@Александр Рыжов А есть от этого какой-то эффект? Провайдеры не мониторят нестандартные порты известных DNS серверов? Или их не анализирует оборудование? Есть не стандартный порт для 1.1.1.1? Не могу найти.

Разобрался с обеими проблемами. Теперь правила для исходящих на интерфейсе провайдера можно добавлять также в веб-интерфейсе роутера. Добавил в Межсетевом экране web-интерфейса ещё одну вкладку, назвал "ISP out". Что для этого нужно было сделать: 1) Выгружаем текущую конфигурацию startup-config.txt и делаем его резервную копию, на случай, если вы чего-то напортачите, чтоб вернуться к исходной конфигурации. 2) В веб-интерфейсе в Других подключениях создаем любое VPN соединение. Называем его к примеру "ISP out". Остальное заполняем любыми данными и сохраняем. Отключаем его. Этим действием в startup-config.txt у нас создаются необходимы параметры. 3) И в Межсетевом экране появляется новая вкладка "ISP out". В ней в будущем и будем добавлять все правила для исходящих на ISP. Создаем в этой вкладке любое правило, главное, чтоб вы его потом смогли опознать в файле конфига. К примеру в качестве ip адреса назначения вписываем 111.111.111.111 4) Теперь выгружаем файл startup-config.txt в Общих настройках. Открываем выгруженный файл любым удобным текстовым редактором и находим блок в котором есть строчка с адресом 111.111.111.111 Выглядит это примерно вот так: ! access-list _WEBADMIN_L2TP1 deny tcp 0.0.0.0 0.0.0.0 111.111.111.111 255.255.255.255 deny disable ! Это список правил для созданного нами интерфейса VPN. Копируем отсюда только название самого листа _WEBADMIN_L2TP1. У вас может называться немного иначе. Зависит от типа созданного VPN и его порядкового номера. 5) Далее ищем в файле блок примерно следующего содержания: ! interface GigabitEthernet1 rename ISP description MyISP mac address aa:aa:aa:aa:aa:aa mac address factory wan security-level public ip address x.x.x.x x.x.x.x ip dhcp client hostname Keenetic_Giga ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1500 ip access-group _WEBADMIN_ISP in ip global 700 igmp upstream up ! Где description это название вашего провайдера в том виде как вы его прописали. По умолчанию вроде было слово Провайдер. Строчка "ip access-group _WEBADMIN_ISP in" у вас может отсутствовать, если вы не создавали ранее никаких правил для входящих Провайдера. В общем либо под ней, либо в том месте, где она расположена на моем образце добавляем сточку: ip access-group _WEBADMIN_L2TP1 out где _WEBADMIN_L2TP1 это имя листа с правилам которое мы нашли чуть ранее. Параметр out, соответственно, исходящие соединения. В общем получается, что-то вроде: ! interface GigabitEthernet1 rename ISP description MyISP mac address aa:aa:aa:aa:aa:aa mac address factory wan security-level public ip address x.x.x.x x.x.x.x ip dhcp client hostname Keenetic_Giga ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1500 ip access-group _WEBADMIN_ISP in ip access-group _WEBADMIN_L2TP1 out ip global 700 igmp upstream up ! 6) Сохраняем файл и загружаем его в роутер, как startup-config. Роутер перезагружается. И всё. теперь у вас есть рабочая новая вкладка в Межсетевом экране, где можно добавлять правила для исходящих на интерфейсе провайдера. 7) Созданное ранее правило с 111.111.111.111 можно удалить или заменить на любое своё. А вот VPN (ISP out) ни в коем случае не удаляем. Таким же образом можно добавить вкладки с правилами для исходящих для любого интерфейса. PS: Если у вас для подключения интернета используется дополнительное соединение (PPPOE или модем), то строчку "ip access-group _WEBADMIN_L2TP1 out" нужно добавлять именно в нем. PPS: Если бы программисты @Le ecureuil сделали универсальные правила с возможностью выбора входящие/исходящие, не пришлось бы так изворачиваться. А ещё пришлось создавать несколько запрещающих правил для одного узла, чтоб полностью весь трафик перекрыть. (TCP, UDP, ICMP). Вот было бы возможно в веб-нитерфейсе как-нибудь всё это невпихуемое впихнуть в одно правило.

1. Да. Мне это известно. Собственно пришёл сюда за готовым образцом команды. Нужно правило для исходящих на определенный узел на интерфейсе провайдера. Кому не сложно, набросайте. ) 2. И кстати, вопрос. Почему отказались или ещё не реализовали такую возможность в веб-интерфейсе?

Необходимо реализовать следующую схему. На роутере в "Другие подключения" подключен VPN. В "Маршрутизации" создан Статический маршрут для определенного IP (узел в интернете), чтоб он работал через этот VPN. Это всё работает прекрасно. Из домашней сети можно обращаться к узлу через VPN. При отключении VPN доступ к этому узлу сразу начинает проходить через WAN соединение провайдера, т.е. напрямую. Задача: запретить прямое прохождение трафика к узлу при разрыве VPN соединения. Но чтобы при активном VPN соединении этот трафик шел через него. Если создать запрещающее правило в Межсетевом экране для узла на интерфейсе Домашняя сеть. То доступ к узлу перекрывается полностью. В том числе и через VPN. Если создать то же правило на интерфейсе провайдера, оно не работает как нужно. Трафик из Домашней сети проходит напрямую к узлу. Потому-что Межсетевой экран в веб-интерфейсе может блокировать только входящие соединения. И есть приоритет NAT. Т.е. запрос к узлу спокойно проходит через NAT и выходит по каналу провайдера. Вопрос. Как запретить исходящий трафик через интерфейс провайдера к этому узлу, но при этом, чтобы он спокойно проходил через VPN когда он подключен?

Некоторые HDD и сами на уровне прошивки умеют парковать головки при бездействии. Только вот люди предпочитают такой функционал отключать. HDD проработает гораздо больше если его поминимуму отключать, чтоб не было старт-стопов и всяких парковок. И на Windows есть всякие энергосберегающие функции постоянно отключающие бездействующие HDD. Тоже лучше отключить. Во всяком случае для ПК.

Всё это конечно классно. Но долго разбираться нужно. Есть способ для ленивых. Никаких OPKG, телнетов и установки сторонних пакетов не требуется. Всё настраивается в web-интерфейсе роутера. Если у вас используется какое-нибудь PPPOE или VPN соединение для входа в инет, перенастраиваем его чтоб подключалось по IP. Провайдерские DNS везде убираем. В клиенте роутера настраиваем любой бесплатный VPN по IP адресу с шифрованием. (выбирайте стабильный, чтоб соединение не разрывалось часто). Прописываем на вкладке Интернет-Фильтр гугловские или клаудовские DNS сервера в роутере и там же выбираем "Подключение" через вашу бесплатную VPN. Тем самым заворачиваем работу DNS на этот VPN тунель. И всё. Весь DNS трафик спрятан. У данного решения есть rконечно и свои минусы. За то предельно просто.

Но т.к. я не подключал облако, мой домен запаркован на один из адресов компании, по которому также открывается основной сайт кинетик.ком Всё верно? Трассировка, кстати обрывается. Проверил из онлайн сервиса.

Круто. А куда приведёт трассировка на мой адрес в домене io за пределами самого устройства?

Да. Ошибся. Трассировка 1 хоп. А адрес пишет внешний интернетовский. Т.е. всё остается внутри устройства. Немного не понял только для чего этот хитрый адрес в домене io, если он мог бы просто внутри себя редиректить на свой локальный адрес?

Как это работает? У меня открылась https страница с кучей цифр и букв вначале и доменом .keenetic.io И в ней стандартная морда входа в кинетик с просьбой залогиниться. Трассировка уходит в германию. Как через эту штуку я попал бы в своё устройство?

Это что за my.keenetic.net находящийся в Германии по вашей ссылке?