Werld
-
Posts
436 -
Joined
-
Last visited
-
Days Won
6
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by Werld
-
-
Обратиться к провайдеру с просьбой перевести терминал rt-gm3 в режим бриджа.
-
Подробнее и конкретнее опишите ситуацию. Не очень понятно, кто и куда подключается и к каким локальным ресурсам нет доступа. Скорее всего все решается настройками
-
https://help.keenetic.com/hc/ru/articles/360005236300-Сегменты-сети В конце статьи вы найдете как разрешить доступ между сегментами.
-
1
-
-
11 час назад, Ranger сказал:
Апну вопрос. Тоже интересно как это сделать.
-
В настройках l2tp/ipsec сервера поставить галочку "nat для клиентов". В настройках wireguard клиента поставить галочку "Использовать для выхода в Интернет". После выставления этой галочки, убедиться на странице "Приоритеты подключений", что wireguard соединение ниже приоритетом чем основное соедиенение с провайдером. После проведенных манипуляций все должно заработать. Для l2tp/ipsec сервера рекомендую использовать диапазон не из пула домашней сети.
-
1
-
-
В 15.09.2020 в 14:36, The_Immortal сказал:
Благодарю!
Однако в итоге не взлетело... Надо как-то у клиента вырубать 3des...
А если посмотреть в сторону команды interface ipsec encryption-level (см. в cli manual). Там есть разные предустановленные "уровни шифрования". Думаю, стоит попробовать что-то типа interface l2tp0 ipsec encryption-level strong В наборе "strong" только AES128 и AES256, 3DES отключен. Не уверен на 100%, что эти уровни применяются к созданным через веб l2tp/ipsec интерфейсам, но попробовать определенно стоит.
-
1
-
-
3 часа назад, PavelZ сказал:
Понимаю, что моя сеть неправильная и надо бы дальний Keenetic переключить на режим "Точка доступа" и проблема будет решена, но вопрос - как из сети 192.168.10.0 попасть в сеть 192.168.11.0. Конкретно сеть прячет WAN порт Keenetic'a 192.168.11.197. Вопрос - как правильно пробросить маршрут ко всей сети от 192.168.10.0 к 192.168.11.0 чтобы был полный доступ ко всем сетевым ресурсам? Что нужно в настройках обоих роутерах или в одном из прописать?
На первом роутере (за которым сеть 192.168.10.0/24) необходимо добавит маршрут вида:
На дальнем роутере (за которым сеть 192.168.11.0/24) необходимо добавить правило в межсетевой экран для Wan интерфейса:
-
@r3L4x Подумайте об одной простой вещи. Вот для вас обсуждаемое поведение не очевидно, вы использовали одновременно интернет-фильтр и для этого же пк софт, который выполняет те же функции, что и фильтр и даже больше. Однако вы сходили в поддержку и к тем и к другим, выяснили, как это все работает и почему такое происходит. Вам не приятно, что пришлось ходить, ок. Вот только ваш случай можно сказать редкий. А все те сотни и тысячи пользователей, которые включают интернет-фильтр, например, для блокировки взрослого контента на устройствах детей, также будут считать совершенно не очевидным и не правильным, что обойти фильтр так же легко как прописать другие днс-серверы в пк. И требовали бы, чтобы поведение было именно таким какое есть сейчас.
Это плохой тон, знаете ли, изменять сообщение, которое было процитировано и на которое было отвечено, таким образом, что ответ становится не в тему. Больше не вижу смысла с вами спорить.
-
1
-
1
-
-
6 минут назад, r3L4x сказал:
@werldmgn тут сказано только, что не будет работать проверка, это понятно. А где сказано, что не будет работать функция Антифишинга в AdGuard for Windows, которая включена по умолчанию там?
Вы серьезно? В документации пишется факт, а какие следствия из этого факта следуют мы уже определяем сами. Когда у интернет провайдера написано, что при неоплате интернет будет заблокирован, вы пишете им претензию, что они не уточнили, что блокировка интернета приведет к его неработоспособности даже для функции Антифишинга в AdGurard?
-
1 минуту назад, r3L4x сказал:
Домашние пользователи должны это заранее знать? Или каждый раз будут долбить поддержку?
1 минуту назад, r3L4x сказал:В хелпе сказано, что включение фильтра AdGuard DNS - чуть ли не самый простой способ работать через DoT / DoH. Т.к. ничего не нужно прописывать, включил фильтр и всё. Вот я включил у себя фильтр и у меня сразу возникла проблема с AdGuard for Windows.
Как я мог знать заранее это всё?
Вы же сами процитировали из хелпа кинетика информацию "Это связано с тем, что при включенных интернет-фильтрах по умолчанию включается блокировка транзитного DoT/DoH, чтобы избежать утечки DNS-запросов." Именно из хелпа это и узнается "домашними пользователями", для них его и пишут.
-
Только что, r3L4x сказал:
@werldmgn в поддержке ответили, что обсудят с разработчиками решение проблемы. Один из вариантов уже был предложен.
Лично меня это устроило бы, т.к. не будет долгого кружения колёсика на вкладках.
Имхо это какие-то полумеры. Либо оставлять как есть, т.к. это ожидаемое поведеие. Либо вообще дать возможность настраивать перехватывать или нет транзитный днс траффик определенных устройств, в виде опции хотя бы в cli.
-
2 минуты назад, r3L4x сказал:
@werldmgn это уже мне решать, как и что использовать. В данном случае баг очевиден.
Не очевиден. Перехват транзитного днс-трафика при включенном фильтре - документированное и ожидаемое поведение. Если на каком-то клиенте нужен транзитный днс траффик, то этому устройству концептуально нельзя ставить фильтр
-
Только что, Michel сказал:
Да, сейчас Adjustment of TCP MSS = ON. выключить?
Выключать не надо.
-
2 часа назад, Michel сказал:
Картина:
1) в деревне работа идёт через старый Zyxel Keenetic Omni II, ОС версия2.16.D.3.0-5
2) Omni II через PPTP VPN подключен к расположенному в городе Extra (KN-1710). OC версия3.3.16, сам канал - USB модем Huawei 3372, TELE2, 4G
3) Extra в городе подключен к исправному провайдеру по Ethernet
Т.е. "деревенский" трафик идет не прямо через 4G, а через PPTP в/из города, а 4G канал - в данном случае только транспорт.
При этом наблюдается выборочный доступ к сайтам, например -
яндекс доступен, http://japan-sumo.ru/ отваливается в браузере too long to respond.
mail.ru , e.mail.ru почта доступна, а новости news.mail.ru too long to respond.
При непосредственном подключении в городе этих проблем нет.
Сам канал Tele2 если работать прямо - глючный, на нём картина похожая, но часто обратная (нет mail.ru, нет yandex'a, но есть гугл и http://japan-sumo.ru/ ), единственное здравое объяснение (но фиг знает, так ли это) - злые козни оператора из-за фиксированной TTL=64 на модеме Huawei 3372 и/или перешитого "смартфонного" IMSI.
Пытался разобраться - картина не складывается.
Варианты которые приходят в голову -
(1) какая-то кривизна PPTP в принципе
(2) что-то не так наконфигурено на PPTP на стороне сервера и/или клиента
(3) пакостит оператор, портит трафик
Есть идеи? Кто может помочь?
Смотреть в сторону mtu. Автоподстройка tcp mss на pptp интерфесе включена?
-
Я так понимаю в настройках vpn сервера на GigaIII для впн-клиентов доступ к сети указан как раз Home? Я подобную задачу решал следующим образом: создаем правила в фаерволле разрешающие впн-клиентам доступ в подсеть 192.168.2.0/24 и навешиваем эти правила на сегмент LAN2 на out. Т.к. правила надо вешать на out, то делать это можно только через сli. Команды следующие:
Создаем ACL
access-list myacl
Далее команды добавляют в созданный акл нужные правила, т.к. впн-клиенты получают у вас 172.16.2.х, а в вашем новом сегменте адресация 192.168.2.0 /24 :
permit ip 172.16.2.0/24 192.168.2.0/24
Далее команда exit - это мы выходим из подгруппы комманд access-list в основной конфиг. Теперь нам осталось привязать созданный ACL к нужному бриджу. Основной Home сегмент - это Bridge0, гостевой - Bridge1, допустим ваш сегмент LAN2 - это Bridge2.
interface bridge2 ip access-group myacl out
И сохраняем изменения: system configuration save
-
1
-
-
А не блокирует ли случаем провайдер вам 80 порт, борясь тем самым с любителями держать web-серверы дома? Поставьте обратно свой предыдущий роутер, чтобы это проверить, возможно, блокировка началась не давно.
-
1
-
-
В 28.07.2020 в 15:29, Ranger сказал:
Зачем, если есть nmap? Какая разница, какой будет номер порта, если всегда сначала сканируют все порты?
Я разве написал, что это нужное действие? Я написал человеку, что озвученный им вариант работать не будет.
-
2 часа назад, MDP сказал:
Ну блокировать то на внешнем интерфейсе, а проброс то на внутренний
В данном случае не имеет значения. Пакет все равно попадет в цепочку INPUT нетфильтра. Но даже если бы пакет попадал в FORWARD, все равно бы не работало, т.к. правило назначенное для внешнего интерфейса в вебе появляется в дополнительной созданной прошивкой цепочке "_NDM_ACL_IN", а jump на нее есть как в INPUT так и в FORWARD.
-
21 час назад, MDP сказал:
Сам не пробовал, но может возможно сделать переадресацию порта например 50022 на 22 в качестве получателя указать 192.168.1.1 ? ...а в межсетевой экране внешнего интерфейса запретить доступ по 22 порту.
Нет, так работать не будет. Если заблокировать порт 22, то и пакеты после проброса 50022 -->22 будут также дропаться.
-
4 часа назад, Jensen сказал:
Вот как можно решить эту проблему:
разнести сервисы SSH cli и SFTP на разные порты, и включать внешний доступ индивидуально для каждого порта.
Как уже написано выше, порт для SSH и SFTP слушает один и тот же демон. Порт можно сменить, но сменится он для обоих протоколов сразу.
-
26 минут назад, plv сказал:
Я хотел понять, что если я буду дружить 2х диапазонный роутер с таким же то жать ли сначала один раз и потом второй или достаточно одного и все диапазоны будут так сказать ретранслироваться.
Одинарное нажатие запускает wps на точке доступа 2.4 ГГц, двойное нажатие запускает wps на точке доступа 5 ГГц. Так как двухдиапазонные модели соединяются в мэш на диапазоне 5 ГГц, то и нажимать на обоих устройствах нужно кратковременно два раза , как и сказано в мануале, что вы процитировали. После соединения устройств, можно будет на контроллере произвести захват экстендера. После захвата экстендер будет раздавать те же сети в тех же диапазонах, что и контроллер.
-
К слову, реализовать необходимый вам сценарий возможно, просто сделав статическую днс-запись на самом роутере. В cli: ip host ‹domain› ‹address› В локальной сети нужное имя будет разрешаться правильно для всех устройств, которым днс-сервером назначен роутер. И тогда не придется городить А-запись с айпишником из частного диапазона на публичных днс-серверах, и не придется отключать защиту от днс ребиндинга.
-
А если попробовать выключить защиту от DNS Rebinding ( в cli: dns-proxy no rebind-protect ) ?
-
1
-
-
11 час назад, Alex M. Jake сказал:
У провайдера есть внутренние ресурсы, которые доступны даже при неоплаченном интернете. Как это сделано, путём перехвата и подмены DNS или форвардинга внешнего ip-адреса ресурса во внутренний, я не знаю.
Скорее всего, днс-серверы провайдера доступны даже при неоплаченном интернете, и продолжают резолвить адреса внутренних ресурсов.
11 час назад, Alex M. Jake сказал:Проблема: если включён DoH/DoT, то внутренние ресурсы при неоплаченном интернете не работают.
Так как, при неоплаченном интернете, публичные днс-серверы не доступны, то они и не могут вам резолвить адреса внутренних ресурсов.
11 час назад, Alex M. Jake сказал:Решение: использовать DoH/DoT только при работающем интернете, который проверят с помощью ping check/
Если адресов внутренних ресурсов не очень много, в качестве решения, предлагаю Вам сделать необходимые записи на самом роутере, с помощью команды ip host ‹domain› ‹address›
Какой VNP выбрать за NAT?
in Обсуждение IPsec, OpenVPN и других туннелей
Posted
Да, именно так, динамический ip, который выдавался на wan интерфейс rt-gm3, будет присвоен вашему кинетику. Если этот ip адрес белый, хоть и динамический, то вы сможете использовать KeenDNS с прямым доступом, а значит любой поддерживаемый кинетиком тип vpn. Если этот ip серый, то, как вам выше подсказали, либо использовать sstp, либо приобретать у провайдера белый ip.