-
Posts
623 -
Joined
-
Last visited
-
Days Won
4
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by Oleg Nekrylov
-
-
В 19.01.2024 в 13:46, zloi78 сказал:
Завернуть wireguard в тот же shadowsocks или wstunnel как вариант.
Пробовал на KN-1810. К сожалению, когда дело заходит до загрузки проекта WinCC (интегрированный в Step7) на сервер и клиенты, Keenetic захлёбывается, в итоге загрузка аварийно завершается на открытии базы SQL на удалённой машине. Хотя древний Buffalo WZR-600DHP2 с DD-WRT и обфускацией Wireguard прекрасно справляется.
-
Есть какие-нибудь соображения по теме? А то Роскомнадзор совсем очешуел: начал резать туннели между заводами/подразделениями внутри РФ!!! Например, между Санкт-Петербургом и Чебоксарами, обращался к местным провайдерам (Эр-телеком), те кричат, что доступа к ТСПУ Роскомнадзора у них нет поэтому сделать ничего не могут. Причем режется всё: L2TP, PPTP, IPSec, OpenVPN, Wireguard. Ладно бы дело касалось физ.лиц, но тут разговор идёт о юр.лицах.
PS: проблемы начались после уплотнения ipv4-адресов провайдерами (когда перебрасывали с AS на AS). Приходится выкручиваться таким образом: Эр-телеком(Чебоксары, внешний ip)<->Дом.ру (Чебоксары, CGNAT )<---внутренний пиринг Дом.ру--->Дом.ру(Санкт-Петербург, CGNAT)<->Эр-телеком(Санкт-Петербург, внешний ip)
-
В 14.07.2023 в 10:14, ANDYBOND сказал:
А можно уточнить для правильного понимания вот что.
Сейчас на маршрутизаторе можно любое устройство добавить в профиль без доступа в Интернет. Доступ к устройству не нужен вообще.
А также можно отдельные адреса или сети маршрутизировать на любой несуществующий адрес статическими маршрутами.
Чем Ваш вариант превосходит эти, уже имеющиеся, возможности?
1) Доступ в интернет всё-таки нужен, иначе робот отказывается запускаться (синхронизация времени с сервером производителя по протоколу Modbus TCP...)
2) Блокируются адреса производителя робота для удалённого управления (тк производитель блокирует работу из-за санкций)
3) Если указать несуществующие ip, то робот опрашивая их впадает в ступор по таймауту, (толи косяк прошивки, толи какая-то защита, сложно разобраться, тк прошивка частично зашифрована), а если прилетает 0.0.0.0 или 127.0.0.1 (насколько я понял ковыряя EPROM, он переходит в специальный режим [типа тестового-заводского]) то продолжает работу как ни в чем небывало (опрос 0.0.0.0 или 127.0.0.1 всё же делает, но это происходит намного быстрее, чем несуществующий адрес).
- 1
-
Я не понял: в чём проблема? VPN в nat (ip nat VPN), указали маршрут и поехали (обычный проброс портов на "Другой клиент", указываем ip клиента в туннеле).
У меня так ~ с полгода крутились DNS/почта/web, пока родственник (в другой стране) не получил белый ip, временно пользуясь моими белыми ip: всё крутилось через wireguard 😁, да, латентность сумасшедшая, но работало!
ЗЫ: Единственно, не забыть на удалённом хосте указать шлюз по умолчанию - туннель, иначе трафик будет отдаваться через локальный шлюз (внешний ip удалённого роутера - ASUS) и тогда клиенты не смогут получать ответы от вашего Keenetic.
-
Разрешить 0.0.0.0 и 127.0.0.1 в команде ip host для того, чтобы можно было делать глобальные блокировки на уровне роутера, а не на отдельных хостах (особенно когда нет root-прав).
-
Здравствуйте!
1) Если ли возможность добавить обфускацию Wireguard, как это сделано в DD-WRT (см. скриншот)?
2) Есть ли какие-то мысли по поводу внедрения Rosenpass?
Некоторые провайдеры опять в угаре начали резать VPN, теперь и Wireguard попадает под раздачу. Сначала пришлось отказаться от IPSec, потом от OpenVPN, недавно и от SSTP, а теперь уже и до Wireguard добрались - вот как теперь работать предприятиям? 😡
- 7
-
В 04.07.2018 в 11:52, Le ecureuil сказал:
Включите торрент на ПК на всю скорость, и при этом пару фильтров. Лучший тест.
На R8000 проблем нет, причем на штатной прошивке 1.0.4.84, а ведь ему уже пошёл 9-й год.
-
2 часа назад, keenet07 сказал:
Чтоб транзит заработал нужно либо интерфейс перезагрузить, либо устройство полностью.
Делал. И перегружал и конфиг перезаливал - без толку, в tsig опять мусор.
-
Прошивка 3.9.2 - сломали 🙁 Опять не работает (KN-2710, KN-1810, KN-1910)
-
Ура!
Прошивка 3.9b2 - заработало: зоны оттрансферились и напрямую и с TSIG!
DNS были настроены и каждый час сыпали мне в телеграм ошибки. И вдруг, буквально час назад, ошибки исчезли. Заглянул в DNS-slave - зоны наконец-то оттрансферены, заглянул Keenetic'и, а у них прошивки обновились и в changelog есть упоминание [NDM-2403].
Вы даже представить себе не можете мою радость - эта проблема, сломала мне все мозги начиная с Zyxel Keenetic Ultra (ku_ra). Это ж сколько лет (почти десяток) прошло!
-
Странно, у меня когда-то был 1 провайдер с 2 договорами и KN-1810 тогда работал, но пользы от этого было 0, тк кабели шли с одного и того же свитча: и в один прекрасный момент в свитч попала молния - оба канала легли. Поэтому сейчас 3 провайдера: 2 витая пара и 1 GPON
-
21 час назад, vasek00 сказал:
А если allow-ips прописать 192.168.10.0/24
Не помогает
21 час назад, beepop сказал:У вас наверное стоит security level private (скорее всего по гайду настраивали) в таком режиме доступ у подключенным клиентам заблокирован.
Не, не по гайду, изначально он был public, я его специально в private переключил, чтобы multicast работал для Siemens SIMATIC NET, тк:
access-list _WEBADMIN_Wireguard18 permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 auto-delete ! interface Wireguard18 ip access-group _WEBADMIN_Wireguard18 in
эту проблему не решает.
PS: Проблема появляется только когда в туннеле имеется 2+ пира, с 1 пиром проблем нет. В принципе жить не мешает, да и с точки безопасности это к лучшему (тк при падении сервера отлетят все пиры [и трафик между ними]) - но не красиво, хотелось бы сгруппировать заводы/полёвку по группам.
-
Прошивка 3.9b0
Не работает
interface Wireguard18 description OFFICE security-level private ip address 10.10.0.254 255.255.255.0 wireguard peer jmi... !01. Клиент 01 allow-ips 10.10.0.1 255.255.255.255 allow-ips 0.0.0.0 0.0.0.0 ! wireguard peer Wr2... !02. Клиент 02 allow-ips 10.10.0.2 255.255.255.255 allow-ips 0.0.0.0 0.0.0.0 ! wireguard peer rFE... !03. Клиент 03 allow-ips 10.10.0.3 255.255.255.255 allow-ips 0.0.0.0 0.0.0.0 ! up ! ip route 192.168.10.0 255.255.255.0 10.10.0.3 Wireguard18 ip nat Wireguard18
Клиенты ко мне ходят, а я не могу. Например в клиентскую сетку 192.168.10.0/24 клиента 3, хотя 10.10.0.3 пингуется.
-
Такая же проблема и с ipoe: SkyNet/Дом.ру.
-
43 минуты назад, Le ecureuil сказал:
это из-за того, что хост в политике находится.
Даже если хост переместить в политику "по умолчанию", то всё равно ничего не меняется.
Политика Server включает в себя только проводные сегменты (WAN + SFP), Wireless ISP - это резервный канал (iPhone)
-
Попробовал синхронизировать зоны через Wireguard и IPSec (ну раз не работает через переадресацию портов, решил попробовать синхронизировать зоны через Site-to-Site VPN) - dns-proxy перехватывает трафик и тут.
-
-
Предлагаю добавить режим passthrough для переадресованных портов 53 (TCP/UDP) в dns-proxy.
dns-proxy всегда вмешивается в работу DNS-сервера, стоящего за Keenetic, в частности из-за этого не работает синхронизация зон (портит даже содержимое TSIG).
На текущий момент, единственный выход, это только удаление компонента "Фильтрация контента и блокировка рекламы при помощи облачных сервисов" (Интернет-фильтр) - установка режима фильтрации в "Интернет-фильтре" в положение "выключен" не помогает.
-
В 31.08.2022 в 20:33, Denys сказал:
Например, чтобы было возможно двумя нажатиями кнопок в веб-интерфейсе соединить пару своих роутеров в единую сеть
Я еще раз повторю: а сейчас в чём проблема? Вам не хватает IPSec...?
С точки зрения безопасности: я против!
- 1
-
А сейчас в чем проблема? Плюс, с точки зрения безопасности, zerotier весьма сомнительное решение.
-
Прошу добавить к имеющемуся balance-xor, 802.3ad (LACP), чтобы можно было подключать стандартное оборудование: управляемые коммутаторы/СХД/сервера...
На текущий момент, balance-xor, я даже не припомню кто поддерживает, так, что польза от его наличия весьма сомнительна.
- 1
- 4
-
К серверу обновлений тоже нет доступа.
-
И не забыть бы добавить в DHCP опцию 042 (RFC 1769)
- 1
-
Собственный аналог zerotier для роутеров Keenetic
in Развитие
Posted · Edited by Oleg Nekrylov
В неконтролируемой сетевой активности zerotier, я об этом где-то в соседних темах писал. Если в IPSec у вас точка-точка, то в Zerotier, кто рулит хабом, тот рулит вашей сеткой, хотите вы этого или нет.