Jump to content
  • 0
sousstudio

KeenDNS на Omni с прошивкой 2.09

Question

Здравствуйте, форумчане!

Такой вопрос. Есть старенький Keenetic OMNI работающий через 4G модем от Yota. Понабилось осуществить проброс портов на ресурсы локальной сети за ним. Yota статики физикам не даёт, поэтому варианта решения (как мне кажется) два:

1) пробрасывать через облако KeenDNS;

2) сделать какой-нибудь туннель на внешний сервак (или другой роутер) с белым IP.

Стал читать https://help.keenetic.net/hc/ru/articles/213965569-Использование-сервиса-удаленного-доступа-KeenDNS https://help.keenetic.net/hc/ru/articles/115000477609-Пример-удаленного-доступа-к-ресурсам-домашней-сети-через-сервис-KeenDNS-с-помощью-доменных-имен-4-го-уровня- - вроде как возможно на прошивках выше 2.08, а на Omni последняя официальная была 2.06. Поставил 2.08 http://files.keenopt.ru/firmware/Keenetic_Omni/2017-02-24/ отсюда (2.09 не встала сначала, поэтому 2.08).

Захожу в KeenDNS и вижу всё тоже "Открывает доступ только к веб-интерфейсу интернет-центра."

Вопрос - это я чего-то не так делаю, Omni этого не поддерживает или это требует каких-то действий в CLI?

И второй - я правильно понимаю что при появлении опции облачных клиентов, я смогу сделать через облако проброс порта? (например, чтобы при обращении (mykeenetic).mykeentic.net на порт 1234 он перебрасывался в локалку на 192.168.1.123?

Огромное человеческое спасибо за любой ответ!

Edited by sousstudio

Share this post


Link to post
Share on other sites

Recommended Posts

  • 1

Через keendns только http(s) работает, и если пробрасывать то поддерживается только определенный список портов, поищите по форуму, эта информация есть.

зы список портов вроде как совподает с предлагаемыми в настройке порта веб морды роутера.

Edited by r13

Share this post


Link to post
Share on other sites
  • 1

Не... через облако он только на веб морду пускает иначе бы все тунели через зюхель клеили! [emoji16]
А вот через pptp или что-то подобное наверное можно попробовать, если смаршрутизировать получиться.

Отправлено с моего SM-A520F через Tapatalk

Share this post


Link to post
Share on other sites
  • 1
19 часов назад, sousstudio сказал:

Вот сейчас колдую как раз над PPTP. Дикое решение, конечно, security-wise, вообще никто не советует, но какие есть ещё варианты если IP серый? 

Ещё есть IPseс и L2TP, там проблем с безопасностью нет. Сервер L2TP пока работает в тестовом режиме на прошивке 2.11. 

По IPsec настраивать так https://help.keenetic.net/hc/ru/articles/214471405-Организация-туннеля-IPSec-VPN-между-двумя-интернет-центрами-Keenetic-Ultra-II-и-Giga-III

Share this post


Link to post
Share on other sites
  • 1
12 минуты назад, sousstudio сказал:

А на 2.09 компонент IPSec VPN это клиент?

Есть Virual IP сервер и для него к сожалению разработчики клиент не сделали. А есть "двухфазное" подключение, оно может быть и сервером и клиентом. 

12 минуты назад, sousstudio сказал:

Для Omni на сколько я понимаю IPSec нет вообще.

Есть. Ещё раз внимательно осмотрите вебморду Омни. Насколько я помню на 2.09 IPsec уже был. Если не было, то на на 2.10 точно есть. Может у вас этот компонент просто не установлен?

15 минут назад, sousstudio сказал:

Но думаю по соединению все равно проблема останется. Хочется добить уже PPTP и если всё ок, тогда двигаться дальше.

По пробросу порта не скажу, т.к. такой конфиг как у вас я не делал, а вот от дырявого PPTP лучше отказаться сразу, у меня его уже пытались ломать. Не тратьте время на решето, переходите сразу к безопасным вариантам.

18 минут назад, sousstudio сказал:

L2TP - хороший вариант!

Если захотите использовать L2TP, то на "белый" Кинетик ставьте 2.11 Есть ли клиент L2TP/IPsec на 2.10 я не знаю, на 2.11 точно есть. Возможно и на Омни придётся залить 2.11.

Share this post


Link to post
Share on other sites
  • 1
6 минут назад, sousstudio сказал:

Дело в том, что сколько я не пробую ставить туда 2.08 или 2.09, при переходе в вкладки где есть поля ввода (например, там где модули), интерфейс начинает обновляться 2 раза в секунду, что делает его неюзабельным. Может там нужно полный резет сделать, но так как я сейчас удаленно работаю, этого сделать не могу.

Это глюк браузера. На Хроме такое было. Зайдите с Мозиллы или почистите кэш браузера. 

 

7 минут назад, sousstudio сказал:

Вам сюда 

 

Share this post


Link to post
Share on other sites
  • 1
5 минут назад, sousstudio сказал:

Спасибо, добрый человек, что просветили! :14_relaxed:

Пойду ставить...

Я бы на вашем месте, все таки сперва установил от сюда: http://files.keenopt.ru/experimental/Keenetic_Omni/2017-07-25/ (2.10)

Потом, через веб обновился до 2.11( с нужными компонентами).

 

Share this post


Link to post
Share on other sites
  • 1
7 минут назад, sousstudio сказал:

@Кинетиковод Что-то у меня пошла сплошная загрузка ЦП на Omni. Он наверное слабоват для IPSec? Или может я намудрил с шифрованием, выставив AES-128/SHA1/DH2-5? Попробовал на 3DES/SHA1/DH2 - опять тоже самое.

Кстати, в нём аппаратное шифрование есть? И если да, но нужно ли его активировать как тут:

?

Да, для ipsec он не самый лучший выбор, нет аппаратного ускорителя, даже старт2 на MT7628 будет быстрее работать.

Edited by r13

Share this post


Link to post
Share on other sites
  • 1

Странно, у меня такой проблемы нет. Но у вас два Кинетика в паре, а я подключаюсь с компа или смарта. 

Не надо PPTP, лучше L2TP, Омни его тянет намного лучше IPSec и работает он не хуже PPTP. Попробуйте сначала L2TP, если и с ним будут проблемы, тогда вернётесь на PPTP. 

Share this post


Link to post
Share on other sites
  • 1

Yota-модемы реально раздражают отсутствием выходов по антенны, а прием LTE у нас в основном так себе. Приходится использовать SIM Yota с разлоченными модемами других операторов :(

Share this post


Link to post
Share on other sites
  • 1

Мегафоновский E3372, перешитый в Hilink с индивидуальным питанием (я где-то в курилке описывал устройство) и 2-мя MIMO антеннами с горизонтальной и вертикальной поляризацией. Работает месяцами без вопросов.

Share this post


Link to post
Share on other sites
  • 1
18 минут назад, sousstudio сказал:

Спасибо большое!!! Будем считать...

Кстати, народ, а кто чего может сказать о Keenetic LTE? Конечно в плане вафли он не супер, но во-первых он насколько я понимаю мощнее Omni (будет IPSec/AES-128/SHA1 держать?), во-вторых тут встроенный 4G модем (лучше yotо'вского?), с возможностью подключения внешней MIMO-антенны. Что думаете вообще о нём?

В нем есть и работает аппаратный IPsec, можете смело рассчитывать на 200 Мбит/с. Модем не самый крутой из возможных, но работает очень недурно.

Share this post


Link to post
Share on other sites
  • 0
29 минут назад, r13 сказал:

Через keendns только http(s) работает, и если пробрасывать то поддерживается только определенный список портов, поищите по форуму, эта информация есть.

зы список портов вроде как совподает с предлагаемыми в настройке порта веб морды роутера.

Гмм... т.е. Keendns работает с http и https? А можно попробовать тогда перебросить 443 через Keendns на 80 порт в локальной сети?

31 минуту назад, cbloner сказал:

Не... через облако он только на веб морду пускает иначе бы все тунели через зюхель клеили! emoji16.png
А вот через pptp или что-то подобное наверное можно попробовать, если смаршрутизировать получиться.

Отправлено с моего SM-A520F через Tapatalk
 

Вот сейчас колдую как раз над PPTP. Дикое решение, конечно, security-wise, вообще никто не советует, но какие есть ещё варианты если IP серый? 

Share this post


Link to post
Share on other sites
  • 0
15 минут назад, sousstudio сказал:

Гмм... т.е. Keendns работает с http и https? А можно попробовать тогда перебросить 443 через Keendns на 80 порт в локальной сети?

Можно, также 8080, и ряд других портов. Главное чтобы ваш сервер был http. 

Share this post


Link to post
Share on other sites
  • 0
9 минут назад, r13 сказал:

Можно, также 8080, и ряд других портов. Главное чтобы ваш сервер был http. 

ОК. Сделал так: в NAT выставил TCP 8080 перенаправил на локальный IP порт 80. Сервер там HTTP. Выдает ошибку 400.

Далее попробовал добавить NAT 443 на локальный IP с 443 (там тоже есть HTTPS). Рвёмся на TLS Handshake.

Вопрос - это Keendns "понимает" что я хочу сделать что-то не заложенное в функционал и блокирует запросы?

Просто оставшийся вариант перебрасывания 80 не подходит так как сейчас нахожусь далеко, и если управление по Keendns вырубится, то ничего хорошего не будет.

Share this post


Link to post
Share on other sites
  • 0

Идём дальше. Настроил PPTP. Omni на сером IP подключается к другому Keenetic'у на белом. Соединение есть.

Видимо минус в том что в обеих сетях одинковые внутренние pool'ы - 10.0.1.1 и 10.0.1.1.

На "белом" Keenetic добавил маршрут до хоста 10.0.1.2 (http сервер в сети серого кинетика), через адрес шлюза - IP получаемый по PPTP.

Соединение с 10.0.1.2 - не выходит.

Проблема в том что разные сети? Нужно их развести по скажем 10.0.1.1 и 10.0.2.1? Или я чего-то не понимаю?

Share this post


Link to post
Share on other sites
  • 0

PPTP поднято. Прописаны индивидуальные машруты на удаленном Omni, чтобы запросы на локалку 10.0.1.40 шли через шлюз PPTP'шнего IP. На всякий отключил firewall'ы, и открыл все что можно. Пинги от локальной машины до PPTPшнего шлюза удаленной и обратно идут на ура. Через PPTPшный шлюз можно открыть морду роутера - отлично. НО, опять таки не идёт связь с http-сервером за Omni, хотя там четко написано 8080 передавать на 10.0.1.2.

В WireShark сплошные TCP Retransmission. В статусе PPTP Server видно что пакеты уходят, но ответов нет.

Предположение, что проблема приблизительно как у товарища:

Но вот не совсем понимаю как его linux-ове решение:

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 10.0.0.100:80
iptables -t nat -A POSTROUTING -p tcp -d 10.0.0.100 --dport 80 -j SNAT --to-source 10.0.0.1

Реализовать в веб морде. Причём как я понял реализовывается оно на стороне сервера, в данном случае на стороне локального кинетика.

Share this post


Link to post
Share on other sites
  • 0

Не понимаю. Вот через PPTP доступен cli на Omni. Всё прекрасно работает. Как только, эксперимента ради, добавляю на нём NAT с перенаправлением на http-сервер, стоящий за Omni - 0 реакции. Зато Nmap выдает что Port filtered. При этом в Firewall всё открыто, и на устройстве с http-сервером ограничений тоже нет. Мистика какая-то...

Share this post


Link to post
Share on other sites
  • 0
6 минут назад, Кинетиковод сказал:

Ещё есть IPseс и L2TP, там проблем с безопасностью нет. Сервер L2TP пока работает в тестовом режиме на прошивке 2.11. 

По IPsec настраивать так https://help.keenetic.net/hc/ru/articles/214471405-Организация-туннеля-IPSec-VPN-между-двумя-интернет-центрами-Keenetic-Ultra-II-и-Giga-III

Спасибо большое за ответ!

А на 2.09 компонент IPSec VPN это клиент?

Для Omni на сколько я понимаю IPSec нет вообще. L2TP - хороший вариант!

Но думаю по соединению все равно проблема останется. Хочется добить уже PPTP и если всё ок, тогда двигаться дальше.

Share this post


Link to post
Share on other sites
  • 0
2 минуты назад, Кинетиковод сказал:

Есть. Ещё раз внимательно осмотрите вебморду Омни. Насколько я помню на 2.09 IPsec уже был. Если не было, то на на 2.10 точно есть. Может у вас этот компонент просто не установлен?

Дело в том, что сколько я не пробую ставить туда 2.08 или 2.09, при переходе в вкладки где есть поля ввода (например, там где модули), интерфейс начинает обновляться 2 раза в секунду, что делает его неюзабельным. Может там нужно полный резет сделать, но так как я сейчас удаленно работаю, этого сделать не могу.

4 минуты назад, Кинетиковод сказал:

По пробросу порта не скажу, т.к. такой конфиг как у вас я не делал, а вот от дырявого PPTP лучше отказаться сразу, у меня его уже пытались ломать. Не тратьте время на решето, переходите сразу к безопасным вариантам.

Да я понимаю, и обязательно от него откажусь, но проблема то останется, скорее всего. У меня на одном конце Ultra II с белым IP, на другом Omni с серным. Omni коннектится к Ultra II - и всё ок. Но так как в обоих сетях одинаковые внутренние диапазоны IP, и так как неделю ещё на удаленном объекте не будут, то чтобы была связь выкручиваюсь созданием прямых машрутов с Omni в локальную сеть Ultra II через PPTP (Omni'вский VPNшный IP), т.е. так: 10.0.1.40 (адрес компа за Ultra с которого обращаюсь в сеть Omni) идёт через 172.16.1.2 (т.е. PPTP IP Omni). При таком раскладе по 172.16.1.2 морда Omni прекрасно открывается, и взаимные пинги идут. Но вот дальше с добавлением правила nat на Omni интерфейс PPTP0 перенаправлять порт (скажем 8080) на локальный (для Omni) 10.0.1.2 - коннекта не происходит. Думал дело firewall'ах - открыл всё и везде на время теста - ничего. По Wireshark пакеты уходят в ретрансмиссию. Такое впечатление что проблема на стороне Ultra II, но на нём то тоже firewall открыт. Так что не понятно.

Буду ждать той недели так как ещё одну бессонную ночь на этот тратить не могу. Попробую потом поменять локалку Omni на 10.0.2.0, как в руководстве написано, и соответственно сделать маршруты от сети 10.0.1.0 до 10.0.2.0 и обратно. Хотя в моём представлении должно было работать и так.

19 минут назад, Кинетиковод сказал:

Если захотите использовать L2TP, то на "белый" Кинетик ставьте 2.11 Есть ли клиент L2TP/IPsec на 2.10 я не знаю, на 2.11 точно есть. Возможно и на Омни придётся залить 2.11.

2.11 нет для Omni: http://files.keenopt.ru/experimental/Keenetic_Omni/2017-07-25/

Share this post


Link to post
Share on other sites
  • 0
4 минуты назад, Кинетиковод сказал:

Это глюк браузера. На Хроме такое было. Зайдите с Мозиллы или почистите кэш браузера. 

 

Вам сюда 

 

Спасибо, добрый человек, что просветили! :14_relaxed:

Пойду ставить...

Share this post


Link to post
Share on other sites
  • 0
1 минуту назад, AndreBA сказал:

Я бы на вашем месте, все таки сперва установил от сюда: http://files.keenopt.ru/experimental/Keenetic_Omni/2017-07-25/ (2.10)

Потом, через веб обновился до 2.11( с нужными компонентами).

 

Чем это поможет?

Засада... обновился до 2.11. Чистка кэша помогла - спасибо @Кинетиковод ещё раз! А вот IPSec ставить не хочешь - место мало. Видимо без флешки никак. (либо чего-то удалить?)

Вижу там есть клиент OpenVPN. Не знаю правда есть ли сервак под Ultra II на новых прошивках и насколько он стабилен, но в принципе, OpenVPN должно помочь....

Share this post


Link to post
Share on other sites
  • 0
1 минуту назад, sousstudio сказал:

Чем это поможет?

Конечно дело хозяйское как ставить и что. Но установили бы сразу те компоненты какие надо вам.

Share this post


Link to post
Share on other sites
  • 0
10 минут назад, sousstudio сказал:

А вот IPSec ставить не хочешь - место мало. Видимо без флешки никак. (либо чего-то удалить?)

Удалить лишнее, IPSec влезет. У меня же влез.

 

12 минуты назад, sousstudio сказал:

Вижу там есть клиент OpenVPN. Не знаю правда есть ли сервак под Ultra II на новых прошивках и насколько он стабилен, но в принципе, OpenVPN должно помочь....

Сервака пока вроде нет. А так если с бубном, то есть. 

 

Share this post


Link to post
Share on other sites
  • 0
13 минуты назад, Кинетиковод сказал:

Удалить лишнее, IPSec влезет. У меня же влез.

 

Сервака пока вроде нет. А так если с бубном, то есть. 

 

Всё получилось! Ну почти все. DES+MD5 конечно не катит, бум переходить на AES (хотя вообще мне кажется компромиссом был бы Blowfish - быстрый, в меру безопасный и малозатратный, но это - детали).

Теперь глупый вопрос - вот есть классное IPSec соединение. Заработало как выставил удаленную сетку в 10.0.2.0. Но загвоздка в том, что требуемый HTTP сервак на удаленной сетки требует статику (в нём тупо прописано 10.0.1.2). Можно ли его как-то обмануть и перенаправить в 10.0.2.0? Или только выставив на нём DHCP или поменяв статику (нужно быть там).

Share this post


Link to post
Share on other sites
  • 0

@Кинетиковод Что-то у меня пошла сплошная загрузка ЦП на Omni. Он наверное слабоват для IPSec? Или может я намудрил с шифрованием, выставив AES-128/SHA1/DH2-5? Попробовал на 3DES/SHA1/DH2 - опять тоже самое.

Кстати, в нём аппаратное шифрование есть? И если да, но нужно ли его активировать как тут:

?

Share this post


Link to post
Share on other sites
  • 0
3 минуты назад, sousstudio сказал:

@Кинетиковод Что-то у меня пошла сплошная загрузка ЦП на Omni. Он наверное слабоват для IPSec? Или может я намудрил с шифрованием, выставив AES-128/SHA1/DH2-5? Попробовал на 3DES/SHA1/DH2 - опять тоже самое.

Кстати, в нём аппаратное шифрование есть? 

А вы чего хотели от Омни? Загрузка должна быть только при загрузке канала IPSec, если вы о ней, то это нормально. На Омни в районе 10 мегабит получите, радуйтесь и этому. У Ультры 2 аппаратный ускоритель IPSec на последних прошивках включен по умолчанию и выдаёт сотни мегабит. Для Омни IPSec как булыжник на шее, аппаратного ускорителя в нём нет. Хотите 15 мегабит, переходите на L2TP. Хотите сотню? Меняйте роутер!

Share this post


Link to post
Share on other sites
  • 0
2 минуты назад, r13 сказал:

Да, для ipsec он не самый лучший выбор, нет аппаратного ускорителя, даже старт2 на MT7628 будет быстрее работать.

Спасибо! Видим придётся на PPTP вернутся пока не поменяю Omni.

1 минуту назад, Кинетиковод сказал:

А вы чего хотели от Омни? Загрузка должна быть только при загрузке канала IPSec, если вы о ней, то это нормально. На Омни в районе 10 мегабит получите, радуйтесь и этому. У Ультры 2 аппаратный ускоритель IPSec на последних прошивках включен по умолчанию и выдаёт сотни мегабит. Для Омни IPSec как булыжник на шее, аппаратного ускорителя в нём нет. Хотите 15 мегабит, переходите на L2TP. Хотите сотню? Меняйте роутер!

На самом деле 10 мегабит мне бы вполне хватило в данном случае, если бы не 2 НО: 1) отваливается IPSec переодически, и 2) виснет морда. Видимо даже на DES-MD5-DH1 будет также...

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...