atam
-
Posts
24 -
Joined
-
Last visited
atam's Achievements
Member (2/5)
6
Reputation
-
Ну для отчаянных, если разрешить доступ по http (а не исключительнопо https), то тоже можно достучаться. Но врядли на практике такое кому-то может быть интересно По https не работает, как я понял, ввиду того что self-signed certificate нет возможности выдавать сейчас. Из-за этого дивайс отвечает 403 forbidden при попытках доступа по https. Т.к. это код ошибки hppt (app layer), к фаерволу (рабтатает с transport layer) это отношения не имеет. Изначально не заметил, что там не timeout а 403 и грешил на фаервол. P.S. а что факрвола в UI для IPv6 нормального нету, это жаль. С iptables пришлось копаться. Спасибо за поддержку opkg, конечно- это оч большое подспорье.. Но фаервол нормальный имхо давно просится.
-
Вот рояль в кустах-то я и проморгал Спасибо!
-
Так по IPv6 доуступ к web UI появнляется. Но в этом случае он отрыт по голому HTTP, чего категорически не хочется. К тому же эта команда как-то странно действует: в руководстве по cli ясным по белому написано: public: Access to the web interface is allowed for public, private and protected interfaces via HTTP and HTTPS. (kn-1811, стр .347) При этом, даже когда доступ по по HTTP появляется, по HTTPS всё равно достучаться не получается - 403 ошибка. А хочется ведь совсем простого: публичный доступ исключительно по HTTPS..
-
Здравствуйте. Когда я пытаюсь достучаться до web UI своего KN-1811 по IPv6, в браузере получаю HTTP 403 Forbidden. Первая мысль была - фаервол. Но потом одумался Фаервол бы не отвечал "в терминах HTTP" - 403, а просто бы дропнул пакеты. И увидел бы я в браузере connection timeout (т.е. ошибку транспорта, а не аппликейшен уровня, как 403). Подскажите, в чём может быть причина? P.S. Попробовать достучаться по IPv4 и посмотреть что будет не имею возможности - сижу за CGNAT. P.P.S. Хоть это и бесполезно (по описанным выше причинам), "на всякий случай" пробовал добавить в ip6table первым правилом принимать весь IPv6 трафик: ip6tables -I INPUT 1 -p tcp --dport 443 -j ACCEPT Как и положено, никакого эффекта это не дало, и на уровне http запрос всё так же реджектится.
-
Здравствуйте! Пытаюсь установить nftables: opkg install nftables. Получаю Unknown package 'nftables'. Collected errors: * opkg_install_cmd: Cannot install package nftables. Это значит, что данный пакет недоступен для данного дивайса/архтектуры в принципе, или надо где-то прописать линк к какому-нить дополнительному репозиторию, который я не прописал? Спасибо.
-
Благодарю!
-
Здравствуйте. Волею обстоятельсв отлучён от локального доступа к дивайсу (KN-1811). Дивайс за CGNAT по IPv4, по IPv6 входящие соединения, похоже, блокирует фаервол, котрый через UI не отключить и не настроить. Хочу установить opkg nftables. Все необходимые шаги по добавлению в систему opkg сделаны. Когда в Web CLI пытаюсь выполнить opkg install nftables, получаю ошибку (скрин приаттачен). Если просто выполнить opkg без аргументов, то вроде всё ок, что по идее (думаю) значит что сам пакет-менеджер доступен (см. второй скрин). Вопрос: возможно ли устанавливать пакеты через web cli в принципе и если да, то как? Спасибо.
-
Update: Накопал, что кинетик kn-1811 поддерживает opkg пакеты. В частности, netfilter. Попробую установить - ибо если всё так, как задекларировано и есть поддержка iptables, то это по сути и есть управление фаерволом IPv6 в cli (и много больше). Update 2: поставил opkg iptables, блокирующих правил не нашёл, судя по существующим chains/rules, входящие соединения по IPv6 должно приниматься.. но нет. Продолжаю копать.
-
"..Жаль.." - это не вывод, это эмоция. И речь там не об этом, а об обоснованных сомнениях, что нужная функциональность (настройки фаервола для IPv6) доступна в принципе. Кроме предоставленных скринов приложения, основанием служит полное отсутствие секции про настройки фаервола для IPv6 в руковостве по cli. Что касается других брэндов, до этого приходилось работать с asus и tp-link (линейка omada). Там фаервол для IPv6 есть в UI. А в кинетиках его, похоже, даже на уровне cli нету. Если так, то честно - затрудняюсь понять, что мешает. Там же линукс под капотом всё равно. Ну+ надо ли говорить про такие вещи как openwrt.. это для примера того, как организовать в UI нормальный фаервол.
-
Imo it's a must-have feature even for an entry-level router in 2024. I'm using KN-1811. Excellent device. Too bad it just falls flat when it comes to setting up firewall rules overall - too basic, simplistic rules, no flexibility (take for example OpenWRT's firewall). And for IPv6 specifically it simply doesn't exist at all, afaiu. Any plans to introduce it at least via cli?
-
Покопался в приложении. Сомнения в том, что в дивайсе есть адекватная поддержка IPv6 подтвержадются ещё и тем, что для KeenDNS отсутсвует опция `Direct Access` для IPv6 (в отличие от IPv4). Детали - в картинках. Жаль.. и это в 2024-то году)
-
Методом перебора выяснено: `ip http security level {...}` управляет доступом только в связке с KeenDNS. Т.е. это не механизм управления фаерволом/открытияем портов (80/443) для IPv6 (как я надеялся).
-
Благодарю! Пойду покопаю `cli manual` - интересно, можно ли выборочно настраивать открытые порты и т.п. для IPv6? Или это тупо "Web интерфес ВКЛ/ВЫКЛ". Судя по UI, гибкость фаервола - явно слабое место кинетиков. Особенно для IPv6. UPDATE: Всё равно не пускает, когда из браузера по IPv6 пытаюсь законнектиться - 403 Forbidden. Похоже ip http security-level public ssl не работает для IPv6.
-
Мне это не нужно. Мой юз-кейс гораздо проще. И для него будет достаточно просто выяснить, как настроить фаервол для IPv6 чтобы разрешить входящие соединения по моему выбору.
-
Сударь, а где вы увидели, что я писал про грубость и проблемы с конструктивом? Вы, очевидно, меня не поняли. За дармовую помощь - строго респект и благодарность.
