Joe
-
Posts
127 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by Joe
-
-
2 часа назад, Le ecureuil сказал:
А ничего, что это тема про L2TP/IPsec сервер?
Не хотел нарушать правила, и плодить темы тоже не хотел.
L2TP/IPsec прочитал как - L2TP или IPsec. У меня сервер - IPsec, так что вроде подходит? -
Работал работал, перестал работать IPsec между двумя кинетиками
В логе на сервере
Июн 8 21:38:38ndmIpSec::Configurator: remote peer rejects to authenticate our crypto map "bighome-kvartira".Июн 8 21:38:38 ndm IpSec::Configurator: crypto map "bighome-kvartira" is up. Июн 8 21:38:38 ndm IpSec::CryptoMapInfo: "bighome-kvartira": crypto map active IKE SA: 1, active CHILD SA: 1. Июн 8 21:38:38 ipsec 13[IKE] received DELETE for IKE_SA bighome-kvartira[28] Июн 8 21:38:38 ipsec 13[IKE] deleting IKE_SA bighome-kvartira[28] between 9.14.168.245[server-kvartira]...37.10.7.151[client-bighome] Июн 8 21:38:38 ndm IpSec::Configurator: remote peer rejects to authenticate our crypto map "bighome-kvartira". Июн 8 21:38:38 ndm IpSec::Configurator: (possibly because of wrong local/remote ID). Июн 8 21:38:38 ndm IpSec::CryptoMapInfo: "bighome-kvartira": crypto map active IKE SA: 0, active CHILD SA: 0. Июн 8 21:38:38 ipsec 13[IKE] IKE_SA deleted
Логи на клиенте
Июн 8 21:46:30 ipsec 07[IKE] 37.190.37.151 is initiating an IKE_SA Июн 8 21:46:30 ipsec 07[CFG] received proposals: IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768 Июн 8 21:46:30 ipsec 07[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256 Июн 8 21:46:30 ipsec 07[IKE] remote host is behind NAT Июн 8 21:46:30 ipsec 07[IKE] received proposals unacceptable
-
В 14.01.2021 в 04:40, dmitry.a сказал:
Только Вас не пустят на непонятный порт в некоторых отелях и проч. организациях. А все сервисы завязать на один порт не получится.
Ерунда - практически ни разу не сталкивался с таким находясь в разных сетях, гостях, кафе и прочем.
ЦитатаА какой тайм-аут выбрать? Слишком короткий - неудобно, большой - небезопасно
Не можете выбрать - не настраивайте себе. Я не вижу с этим проблем.
ЦитатаВот так в отеле вы отключитесь, а сосед подключится а того же IP адреса.
Могу вам дать адресь RDP или FTP сервера где порт прямо сейчас открыт, за сколько минут подключитесь? Представляете - даже с вашего IP доступ разрешен. Настоящая дыра - скачаете мне оттуда все файлы?
ЦитатаУ меня настроен vpn, настраивается просто,
Да конечно, просто. Дам вам сейчас рандомный пк под windows\mac\linux, что там у вас PPPTP? OpenVPN? За сколько настроите? А если прав админа нет? А сертификат свой и профиль VPN готовы на другой комп скопировать?
Давайте посчитаем, сколько времени зайдет у вас настроить VPN а потом зайти по нему на личный FTP и посчитаем сколько в предложеной автором схеме - тупо авторизоваться в браузере а потом постучаться на указанный адрес через какой нибудь эксплорер, ввести свою учетку. Сложно? И даже плевать что FTP в открытую пароли передает, даже если его украдут - подключиться не смогут.
-
Поддержу, идея интересная. Банально можно находясь в гостях или в отеле легко получить доступ к своим ресурсам, при этом вполне безопасно.
Некоторые участники накидали каких то страхов и штампов, в которых кажется сами до конца не разобрались. RDP как священная корова, что-то где то слышали и срочно нужно транслировать.
Разумеется дырки везде есть но конкретно проблема RDP - неправильно настроенная терминалка, слабые пароли и дырки в протоколе. Но это вообще никакого отношения не имеет к предлагаемой фиче/И понятно что VPN более безопасно, но описанная тут фича мне кажется подходит для ряда сценариев и гораздо удобнее VPN. А реализовать должно быть не сложно.
Мне кажется вполне такая неплохая киллер фича, и не зря другие вендоры догадались это использовать
- 1
-
Сами девайсы b\g. У меня два стоят таких, один рядом с роутером - он постоянно в g работает. И два довольно далеко, в списке устройств они отображаются как b.
Т.е. девайсы не b-only точно -
В настройках Wifi 2.4 стоит 802.11gn https://prnt.sc/vls4uh
Но в списке устройств есть два девайса умного дома которые отображается как 802.11.b https://prnt.sc/vls5lj https://prnt.sc/vls7dv
Получается .11b всетаки можно?
KN-1010 3.5.2
-
Скорость меряете при записи по сети или локально?
-
В 27.08.2020 в 11:13, vst сказал:
@Joe D Давайте в 3.05.B.1.0-1 убедимся в том, что проблема воспроизводится.
на бетке не воспроизводится. Единственный вопрос - почему на маке шара отображается в двух вариантах - обычный и CIFS?
-
В 19.08.2020 в 19:29, vst сказал:
Было бы неплохо увидеть дампы.
У нас есть проблема с согласованием SMB диалекта c MacOS. Винда до вашего отчета не была уличена в подобном.
вот это - то о чем вы говорите?
-
18 минут назад, Andrex сказал:
Эту тему читал?
спасибо за инфу, изучил. Если возможно - мой пост можно к той теме приклеить.
В моем случае отвал стабильный 100% стоит попытаться зайти с мака как шара перестает отвечать вообще
-
На kn1010 включена шара через Сеть Windows.
Если в сетевом окружении с макбука попытается открыть CIFS ресурс на роутере, то шара не откроется, кроме этого с винды она тоже перестает открываться. Лечится только перезапуском шаринга на роутере, либо перезагрузкой роутера.
Я понимаю что есть APF но блин не должна же шара просто умирать от любой попытки подключиться?
- 1
-
1. Берем какой нибудь девайс, с включенными по умолчаниб ipv6 и ipv4, например Raspberry pi
2. Подключаем к сети, девайс получает v4 и v6 адреса.
3. Регистрируем девайс в вебморде кинетика, назначаем ему постоянный ipv4 адрес и доменное имя типа device.home, девайс доступен по имени.
4. На девайсе отрубаем ipv6.
5.Пробуем подключиться по имени - не может отрезолвить.
6. смотрим дамп - не находит ничего. В режиме отладки роутер. ничего интересного не показывает.
-
Насколько я знаю не должно быть проблем через php или js получать текущий url страницы
-
Добавьте пажааста) Вроде же не сложно? Или нет?
-
Регистрации устройства (прибиванию гвоздем IP к маку) действие требующее телодвижений. Раз уж полезли прибивать, то значит в телефоне тоже надо вырубать динамичный мак, все на совести пользователя.
А то приватность хотят все, делать усилия ради нее не готовы)
Со стороны кинетика я бы в окошко регистрации устройств или в статью на хелпе добавил бы ремарку насчет устройств с динамическим маком. Имеющие глаза - да прочитают)
-
Напишите хоть, можно ли ожидать или нет..
-
Ап! Беты, релизы так и прут. Там всего наверное 10 строчек кода добавить. Или нет?
-
На эту тему нет изменений? Все также ждем фич от Letsencrypt?
- 1
-
@des Очень круто, спасибо вам. 🤝
- 1
-
В 30.03.2020 в 22:03, des сказал:
@Joe DНас Билайн блокировал за доступ из другого региона. И надо не дамп, а словить это все под отладчиком на компьютере. Если оно отваливается раз в сутки случайным образом - тоже вариант так себе. Разве что - на выходные ставить.
В домашних условиях это можно проделать?
-
@@des на самом деле это не трудно, могу создать для вас отдельную сип линию - настройте её на любом девайсе и пусть висит пока не отвалится. Вряд-ли у вас будут какие то другие дампы и логи, нежели у меня)
Я вашим советом по прибитию хоста гвоздями воспользуюсь, но чуть попозже - сейчас пишется дамп на флешку, хочу отловить момент разрыва.
Сейчас все равно никто телефонией не пользуется, поэтому можно дебажить.@KorDen Но я как понял месседж такой - sip и rfc это сложно долго и непонятно, поэтому если с костылем заработает то фиксить ничего не нужно)
-
@des есть какие нибудь новости?
-
В логах самого кинетика процес первичной авторизации отражается как
[C] Mar 27 22:25:19 nvox: 22:25:19.550 pj_getaddrinfo getaddrinfo(Viva-Solos) returned -2 (Name or service not known)
[C] Mar 27 22:25:19 nvox: 22:25:19.558 pj_getaddrinfo getaddrinfo(Viva-Solos) returned -2 (Name or service not known)
[C] Mar 27 22:25:19 nvox: 22:25:19.564 pj_getaddrinfo getaddrinfo(Viva-Solos) returned -2 (Name or service not known)и потом все работает.
хз почему три раза
-
@desспасибо что попытались. В любом случае одна голова хорошо а три лучше. По ходу разборов может что нибудь в голову придти.
Для себя я отметил следующий важный момент. Берем последний дамп и смотрим как происходит регистрация.
Кинетик направляет REGISTER sip:ip.beeline.ru
Ему приходит ответ Status: 401 Unauthorized, в заголовках которого появляетсяЦитатаWWW-Authenticate: Digest algorithm=MD5,realm="ims.mnc099.mcc250.3gppnetwork.org",nonce="407effa74be5a7df267457bae35b1e48",domain="sip:mos.epc.mnc099.mcc250.3gppnetwork.org",qop="auth",stale=FALSE\r\n
возможно это и есть та самая авторизация про которую написано в стандарте. Далее кинетик опять направляет REGISTER sip:ip.beeline.ru
В котором уже присутствует
Цитата[truncated]Authorization: Digest username="SIP01H8CU00HUP@ip.beeline.ru", realm="ims.mnc099.mcc250.3gppnetwork.org", nonce="407effa74be5a7df267457bae35b1e48", uri="sip:ip.beeline.ru", response="e275f083338cf837497667920998624f", algorith
и авторизация успешно проходит. и каждые 180 секунд успешно возобновляется с этой доп строкой.
Потом что то ломается и он не может авторизоваться, пока я руками не перезапущу телефонию, кинетик снова не постучится напрямую на ip.beeline.ru, получит 401 c заголовком WWW-Authenticate: и все начнет снова работать до след отвала.
@KorDenесли интересно - могу дамп скинуть.
Пробуем КВАС
in Каталог готовых решений Opkg
Posted · Edited by Joe
Буду благодарен за уточнения "для чайников", возможно нужны корректировки инструкции.
Устанавливал по первому посту, качал бету 15.
1. Если следовать мануалу то после opkg dns-override - system configuration save - system reboot пропадает доступ к провайдерским DNS, интернет не открывается, инструкцию прочитать невозможно)). Даже сам кинетик перестает резолвиться через http://my.keenetic.net/ и KeeDNS. Иначе скрипт просто не сможет ничего скачать в entware.
2. Не устанавливается квас потому, что нужны зависимости, и они сами они не устанавливаются.. Видимо нужно добавить в мануал
Installing kvas (1.0-beta_15) to root...
Collected errors:
* satisfy_dependencies_for: Cannot satisfy the following dependencies for kvas:
* knot-dig
* nano-full
* opkg_install_cmd: Cannot install package kvas.
3. После установки написано
Collected errors:
* pkg_run_script: package "kvas" postinst script returned status 1.
* opkg_configure: kvas.postinst returned 1.
С этим нужно что нибудь предпринимать?
4. Запустил установку повторно - на шаге Перезапуска dnsmasq - Ошибка, где посмотреть детальнее в чем ошибка? Интересно что в ходе установки интернет заработал, видимо opkg DNS заработал