Werld
Forum Members-
Posts
436 -
Joined
-
Last visited
-
Days Won
6
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Everything posted by Werld
-
-
У кинетика реализован SNTP сервер. SNTP основан на NTPv3. Как видно из ваших же скриншотов в захваченных пакетах, то при успешных синхронизациях используется ntp version 3, а при неудачных ntp version 1. Винда умеет в sntp, но при использовании консольной утилиты w32tm, видимо, всегда используется ntp version 1. А если добавить сервер, как ниписал выше @PASPARTU, то винда будет успешно синхронизировать время, видимо перебирая версии ntp.
-
https://help.keenetic.com/hc/ru/articles/360001740099-Как-заблокировать-доступ-к-определенному-сайту- Способ 4 в статье.
-
Это не странная схема, а установленная разработчиками логика работы. Для впн-клиентов форвард разрешен только в интерфейсы с признаком ip global (галочка "Использовать для выхода в интернет"), иначе форвард запрещен. Если по какой-то причине не хотите ставить эту галочку, создавайте вручную правила разрешающие нужный вам форвард (делается через cli), примеры как раз в теме по ссылке.
-
Пару лет назад уже создавал тему в развитии. Предлагаю всем заинтересованным голосовать.
-
Да, можно. Такая схема называется Router-on-a-Stick. Отдельной статьи в базе знаний, расписывающей настройки именно такой схемы, нет, но есть статья, из которой вы сможете почерпнуть примеры настройки vlan на кинетике. Ну а остальное - дело техники. Кроме того, можно обратиться в техподдержку. Думаю, они смогут вам помочь с настройкой.
-
KN-1410 отключить SNAT для маршрутов в локальную сеть
Werld replied to elfinith's question in Обмен опытом
Это, насколько я понимаю, nat loopback (hairpin nat). Есть ли возможность его отключать лучше спросить у техподдержки. Но даже если окажется, что такая возможность есть, нужно понимать зачем нужен nat loopback и к чему приведет его отключение. -
KN-1410 отключить SNAT для маршрутов в локальную сеть
Werld replied to elfinith's question in Обмен опытом
В cli кинетика выполнить: no ip nat Home - отключает snat для всех пакетов из сети Home. ip static Home ISP - включаем snat для пакетов из сети Home, уходящих в интерфейс ISP. Если соединение с провайдером организвано по протоколу pppoe, то еще понадобится правило ip static Home PPPoE0. Подробнее по всем командам в cli-manual. -
Такое правило нужно было бы добавлять на in для интерфейса впн-клиента. Но, к сожалению, применять правила для интерфейсов впн-клиентов в текущей реализации keenetic os невозможно. Поэтому ограничить доступ именно к ресурсам самого роутера, для впн клиента средствами межсетевого экрана нельзя. Используйте отдельную учетку для впн-клиентов и не сообщайте им учетки для доступа к к шарам роутера и другим сервисам.
-
Будет ли работать Wi-Fi Mesh, если DHCP-сервер не в меше
Werld replied to a 2's question in Обмен опытом
https://help.keenetic.com/hc/ru/articles/360014436120-Возможно-ли-использовать-контроллер-Wi-Fi-системы-в-режиме-обычной-точки-доступа- -
Маршрутизация между L2TP/IPSEC и Wireguard
Werld replied to mburyakov's topic in Обсуждение IPsec, OpenVPN и других туннелей
В кинетикОС у интерфейсов есть такая характеристика как security-level. Если у интерфейса security-level private, то на него разрешены входящие. Если seciruty-level public, то входящие запрещены. Из интерфейса с security-level private разрешен форвард в интерфейс с security-level public. Из public в private - нет. Между интерфейсами c security-level private форвард, по-умолчанию, тоже запрещен. От впн-клиентов l2tp, sstp и pptp серверов разрешен форвард в интерфейс, указанный в настройках в пункте "Доступ к сети", а также к любым интерфейсам с security-level public и признаком ip global (это галочка в настройках интерфейса "Использовать для выхода в интернет"). У любого создаваемого интерфейса по умолчанию seciruty-levle public. Так и у созданного вами wireguard интерфейса, если вы сами не меняли руками. Если у такого public wireguard интерфейса выставить в настройках галочку "Использовать для выхода в интернет" (признак ip global), то создавать разрешающие правила черел cli бы не пришлось. Подробнее можно почитать в базе знаний: https://help.keenetic.com/hc/ru/articles/360001434079 -
Маршрутизация между L2TP/IPSEC и Wireguard
Werld replied to mburyakov's topic in Обсуждение IPsec, OpenVPN и других туннелей
Обратите внимание на это сообщение. Только вам нужно будет привязывать acl к интерфейсу Wireguard, а не Bridge, но точно так же на OUT. Ну и сами правила в acl'e у вас должны быть разрешающие. Например permit ip 192.168.1.32/27 0.0.0.0/0 -
Использование ethernet портов в режиме повторителя
Werld replied to artitrue's question in Обмен опытом
Можно -
L2TP/IPsec сервер
Werld replied to Le ecureuil's topic in Обсуждение IPsec, OpenVPN и других туннелей
Потому что вы создаете правило для пакетов, у которых входящий интерфейс Bridge. У пакетов от vpn-клиентов входящий интерфейс ppp, а Bridge - исходящий. Через веб вам такое правило не создать, только в cli. Создаете acl и привязываете его к нужному bridge на out. Команды средующие: access-list vpn - создаем acl с именем "vpn" deny tcp 192.168.1.64/27 192.168.1.1/32 port range 80 443 - например, создаем правило запрещающее tcp с адресов 192.168.1.64/27 на адрес 192.168.1.1 на порты в диапазоне 80-443. Вам нужно правило для адресов, l2tp клиентов, которым нужно запретить доступ, также нужно указать нужные вам протоколы и порты. Можно создать несколько правил. exit - Выходим из подгруппы команд создания acl interface Bridge0 ip access-group vpn out - Привязываем acl с именем vpn на out к интерфейсу, к которому включен доступ в настройках l2tp сервера. По умолчанию это "Домашняя сеть", то есть Bridge0. system configuration save -
Судя по предоставленным логам, падает pppoe, в первом логе даже падение линка есть. Каким боком здесь может помочь замена днс?
-
2 кинетика по Wireguard
Werld replied to Alex_Foks's topic in Обсуждение IPsec, OpenVPN и других туннелей
Попробуйте в cli: ip nat <сеть A> , должно помочь. А вообще, лучше чтобы Wg клиент натил свою сеть А при выходе в WG-туннель. -
2 кинетика по Wireguard
Werld replied to Alex_Foks's topic in Обсуждение IPsec, OpenVPN и других туннелей
Так получается наоборот, это вы продолжаете жить 93 годом, если отрицаете изменения произошедшие с тех пор. В общем-то продолжайте оставаться при своем мнении, если вам rfc не указ. Можете и дальше удивляться, когда еще у кого-нибудь увидите такие ip-адреса, как у создателя темы. -
2 кинетика по Wireguard
Werld replied to Alex_Foks's topic in Обсуждение IPsec, OpenVPN и других туннелей
Это вопрос не ко мне а к авторам этих калькуляторов. На вашем скрине видно, что они до сих пор пишут class c, при том, что как я уже говорил, бесклассовая адресация введена в 93 году. А насчет шашечки или ехать, я привел реальный пинг до реального адреса в реальном интернете, если по вашему это не подпадает под понятие "ехать", то я даже не знаю. -
2 кинетика по Wireguard
Werld replied to Alex_Foks's topic in Обсуждение IPsec, OpenVPN и других туннелей
Спасибо за совет. Порекомендую вам того же, далеко, кстати говоря, ходить не надо. Вон у ТС на скринах таблицы маршрутизации как раз адреса с 0 на конце увидите. То, что этот адрес маршрутизируется наверное мне привиделось да? Обмен пакетами с 188.168.15.0 по с 32 байтами данных: Ответ от 188.168.15.0: число байт=32 время=18мс TTL=58 Ответ от 188.168.15.0: число байт=32 время=18мс TTL=58 Ответ от 188.168.15.0: число байт=32 время=18мс TTL=58 Ответ от 188.168.15.0: число байт=32 время=18мс TTL=58 Статистика Ping для 188.168.15.0: Пакетов: отправлено = 4, получено = 4, потеряно = 0 -
Ребята нужна помощь
Werld replied to Алексей717's topic in Обсуждение IPsec, OpenVPN и других туннелей
-
Ребята нужна помощь
Werld replied to Алексей717's topic in Обсуждение IPsec, OpenVPN и других туннелей
По поводу видео со вторым вашим вопросом, которое вы оставили в другой теме: А вы на кинетике icmp протокол в межсетевом экране на интерфейсе pppoe разрешить на вход не забыли? -
Ребята нужна помощь
Werld replied to Алексей717's topic in Обсуждение IPsec, OpenVPN и других туннелей
Ответ на вапш вопрос гуглится за секунду: https://wiki.wireshark.org/SLL#linux-cooked-mode-capture-sll -
Спасибо за уточнение, буду знать. Все-таки в изначальном вопросе ТС спрашивалось, если я правильно понял, о возможности иметь на портах ретранслятора vlan, отличный от домашней сети. Наличие на портах гостевого vlan с тэгом - это все-таки не совсем то что нужно.