Werld
-
Posts
436 -
Joined
-
Last visited
-
Days Won
6
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by Werld
-
-
54 минуты назад, Sergey Zozulya сказал:
Вы так пробовали и работает? Или просто предположение? Для адреса сервера там уже есть поле.
Это предположение. У меня нет 12 андроида чтобы попробовать. Но по логике вещей это ikev2/ipsec mschapv2 на скринах должно быть как раз то что нужно, в кинетике используется сервер ikev2/ipsec с аутентификацией клиента eap-mschapv2.
-
4 часа назад, Sergey Zozulya сказал:
Например, в Android'е поле IPSec identifier обязательное
Туда Keendns доменное имя вашего роутера, на которое получен сертификат, например xxx.keenetic.pro
-
10 минут назад, Sergey Zozulya сказал:
По идее, используя вариант ikev2/ipsec mschapv2 вы должны суметь подключиться к кинетику с настроенным Vpn-сервером IKEv2
-
@Sereja Smirnoff В этой статье, на которую вы ссылаетесь просят выключить "NAT для клиентов" в настройках l2tp/ipsec сервера. Попробуйте включить эту галочку и снова проверить.
-
20 часов назад, Payk1488 сказал:
Читаем внимательно вверху вашего скрина: Чтобы добавить правило межсетевого экрана, выберите из списка интерфейс, на котором будет отслеживаться входящий трафик... Т.е. через веб-интерфейс мы создаем правила для входящего трафика для интерфейсов. Создавать правила для исходящего трафика можно через cli. Подробнее по ссылкам: Межсетевой экран Как реализован межсетевой экран? Примеры использования правил межсетевого экрана
-
Для примера ситуация. Хотим ограничить удаленный доступ к веб-интерфейсу, разрешив доступ только определенным айпишникам.
Включаем удаленный доступ. Далее создаем два правила в межсетевом экране для интерфейса провайдера:
И все работает как нам хотелось бы.
Но если к роутеру подключается впн клиент по ikev2 ipsec, то на нем в таком случае не открываются никакие веб-страницы. Т.к. созданные правила межсетевого экрана на интерфейсе провайдера применяются и для входящих ipsec подключений.
Самым простым решением было бы написание более конкретного правила фаерволла, где в графе "Адрес назначения" был бы адрес роутера на интерфейсе провайдера. Но зачастую на интерфейсе провайдера мы имеем динамический ip-адрес, а значит прописывать вручную текущий адрес на интерфейсе бесполезно, т.к. после переподключения айпишник будет уже другой. Поэтому и хотелось бы иметь возможность в графе "IP-адрес назначения" выбрать "Адрес роутера на этом интерфейсе", чтобы айпишник на интерфейсе определялся автоматически и создавалось правило в нетфильтре уже с соответствующим адресом.
По типу того, как это сделано, когда мы задаем правило вида: ip static Home ISP, а в нетфильтре при этом создается
src: 192.168.1.0/24, dst: 0.0.0.0/0, in: "*", out: "eth3", proto: "any"; "ndmmark" match, value: 0x4/0x4, invert: 0x0; SNAT, address: x.x.x.x
Т.е. роутер сам подставляет адрес интерфейса ISP в правило нетфильтра.Описанный пример не единственный, когда было бы полезно иметь возможность создавать более конкретные правила в фаерволле, выбирая "Адрес роутера на этом интерфейсе" в графе "IP-адрес назначения". Поэтому прошу разработчиков рассмотреть возможность реализации такого функционала. Спасибо.
-
8 часов назад, Никита Валентинович Корняков сказал:
Обратный прокси? Была такая мысль. Надо попробовать
Вы уже используете обратный прокси на роутере. "На роутере назначен доступ из Интернет к веб-приложениям домашней сети site1.dom.keenetic.link и site2.dom.keenetic.link" - это оно и есть. Вам лишь нужно прописать вышеприведённые команды в cli роутера, чтобы заголовок "host" не перезаписывался.
-
5 часов назад, Дмитрий Лебедев сказал:
If the server itself changes its own endpoint, and sends data to the clients, the clients will discover the new server endpoint
Так может проблема в том, что сервер не шлёт никакие данные после перехода, а ждёт их от клиента, который не знает нового ендпоинта? Попробуйте включить keepalive на стороне сервера для пира клиента. Тогда сервер будет периодически слать пакеты клиенту, и при смене ip это позволит клиенту увидеть новый адрес.
-
12 часа назад, Никита Валентинович Корняков сказал:
Проблема: веб сервер не различает обращения, приходящие из Интернета на site1.dom.keenetic.link и site2.dom.keenetic.link и всегда направляет их на первый зарегистрированный виртуальный хост.
(config)> ip http proxy site1 preserve-host (config)> ip http proxy site2 preserve-host (config)> system configuration save
-
9 часов назад, dippnsk сказал:
Куда копать?
Allowed ip у пиров не пересекаются?
- 1
-
-
29 минут назад, dexter сказал:
Нат не отключал, т.к. он не должен натить Home на IPIP. Home он натит на ISP/
Home он натит во все интерфейсы, в ipip в том числе. Можете убедиться изучив вывод show netfilter
29 минут назад, dexter сказал:А если туннельному интерфейсу оставить security level private?
То понадобится правило, разрешающее forward между home и ipip, т.к. оба будут private. Т.е. кардинально ничего не измениться, просто придется больше правил вешать.
29 минут назад, dexter сказал:От разработчиков может кто комментарий оставит или от пользователей.
Я поднимал ipip/ipsec и между кинетиками и между кинетиком и микротиком и вполне успешно. Но, конечно, можете подождать других пользователей и разработчиков.))
-
Вы nat отключали? По умолчанию он же натит. А вы правила пишете для сетей за натом. Кроме того, даже если нат отключить, правила, по моему, вы не правильно пишете. На первом устройстве, к примеру, вы вешаете на интерфейс Home на out правило permit ip 192.168.2.0/24 192.168.3.0/24. Трафик с source ip из сети 192.168.2.0/24 для интерфейса Home - это in.
Я бы на вашем месте оставил на интерфейсе ipip на обоих роутерах security-level public, и вешал правила на интерфейс ipip на in, так будет легче для понимания, ведь из private в public все разрешено.
На устройстве с сетью 192.168.2.0/24, на интерфейс ipip с security-level public на in вешаем правила permit ip 192.168.3.0/24 192.168.2.0/24 и permit ip 192.168.254.252/30 192.168.2.0/24 (Второе правило если включен nat).
На устройстве с сетью 192.168.3.0/24, на интерфейс ipip с security-level public на in вешаем правила permit ip 192.168.2.0/24 192.168.3.0/24 и permit ip 192.168.254.252/30 192.168.3.0/24 (Второе правило если включен nat)
И все, этого должно быть достаточно для случая, когда на ipip стоит уровень public.
-
4 минуты назад, polycom сказал:
В интерфейсе настройки подключения пира в WG отсутствует поле "Адрес и порт пира" (снимок прилагается). Как быть в такой ситуации, как настроить, через cli?
Endpoint на вашем скрине
- 1
-
4 минуты назад, Happo сказал:
Только не до конца понятно - зачем тогда в конце мануала по CLI приведены "Уровни шифрования IPsec" от "D.1 weak" до "D.10 strong-aead-pfs", с прописанными соответствующими шаблонами (Proposal)
Для случаев, когда кинетик выступает клиентом, полагаю. Создав исходящее l2tp/ipsec подключение с кинетика, например, можно ему задать уровень шифрования interface l2tp0 ipsec encryption-level strong
-
4 минуты назад, Happo сказал:
Или тут смысл, что нужно войти в proposal "VPNL2TPIPsecServer"(чтобы настройка именно к L2tp vpn серверу применилась) и внутри него поудалять: просто-напросто DES, 3DES(через crypto ike proposal) и MD5(через crypto ipsec transform-set)?
Да, вот так. Только имейте в виду, что клиент должен поддерживать выбранные вами алгоритмы.
-
-
20 часов назад, Happo сказал:
переживаю, как бы на этом древнем протоколе по дефолту VPN не создавался... Да и DES выглядит - ну совсем не уместным((
Смотрите в cli manual. Группа команд crypto ike proposal для настройки параметров первой фазы; группа команд crypto ipsec transform-set - для настройки фазы 2.
-
21 час назад, Konstantin Grande сказал:
А в Peak тоже 24 КБ всего?😐
С чего вы взяли?
-
-
Попробуйте в cli: ip hotspot auto-scan no interface Home и ip hotspot auto-scan no interface Guest
-
2 часа назад, booroondook сказал:
А мне-то как раз и нужно обращаться извне именно по моему доменному имени (благо есть и белый IP, и зарегистрированный домен), а не через "костыль", предоставляемый KeenDNS
Так сразу бы и писали. Я то подумал вам нужно видеть админку роутера по кинднс-имени и все.
Если вам нужно обращаться к веб-админке роутера через свое доменное имя по https, то нужно выполнить ряд условий: 1) Должна существовать днс-запись связывающая ваше доменное имя с внешним ip-адресом роутера. 2) На роутере необходимо получить сертификат на это ваше доменное имя. В CLI:
ip http ssl acme get mydomain.ru
- 1
-
9 часов назад, booroondook сказал:
Еще я пробовал назначить переадресацию порта 8443 на 443-й порт самого роутера. И это тоже не помогает.
Странно, вот так должно работать.
Проверил, вот с такими правилами переадреcсации все работает:
Убедитесь, что вводите https в начале, т.к. редиректа на нестандартном порту никакого нет. Т.е. нужно вводить именно https://<name>.keenetic.pro:8443
- 1
-
6 часов назад, TanerJames сказал:
What firewall rule is required for SMB? 145 and 139 ?
You can just open all tcp and all udp for 192.168.5.0/24 network source.
17 часов назад, TanerJames сказал:so, will it work if I use the LAN port instead of the WAN port?
For that to work you need to disable dhcp server on Giga and manually add 192.168.5.10 ip-address on Bridge0 interface. This will be equivalent to switching the device to the Access point mode. That's why I said that the easiest way is to switch your Giga to access point mode.
17 часов назад, TanerJames сказал:I don't want anyone else to reach my Local network (as a guest)
This has nothing to do with switching to the access point mode.
Работа с Сервер FTP. Ошибка авторизации
in Тестирование Dev-сборок
Posted
Ну почему никто не читает базу знаний? Читаем статью https://help.keenetic.com/hc/ru/articles/360000969039-FTP-сервер, видим выделенное жирным:
Важно! При использовании авторизации клиенту нужно настроить права доступа к папкам USB-накопителя, иначе не получится подключиться к FTP-серверу.
Кстати, в стандартный набор компонет "Контроль доступа к папкам" не входит, т.е. вы сами его доустановили а настроить не подумали. Подробнее здесь https://help.keenetic.com/hc/ru/articles/360000797340