[Работа с Сервер FTP. Ошибка авторизации]

50 минут назад, engelsit сказал:

Кто-то знает, так и должно работать? Или это баг? 

Ну почему никто не читает базу знаний? Читаем статью https://help.keenetic.com/hc/ru/articles/360000969039-FTP-сервер, видим выделенное жирным:
Важно! При использовании авторизации клиенту нужно настроить права доступа к папкам USB-накопителя, иначе не получится подключиться к FTP-серверу.

Кстати, в стандартный набор компонет "Контроль доступа к папкам" не входит, т.е. вы сами его доустановили а настроить не подумали. Подробнее здесь https://help.keenetic.com/hc/ru/articles/360000797340

[IPSec IKEv2 PSK как настроить?]

54 минуты назад, Sergey Zozulya сказал:

Вы так пробовали и работает? Или просто предположение? Для адреса сервера там уже есть поле.

Это предположение. У меня нет 12 андроида чтобы попробовать. Но по логике вещей это ikev2/ipsec mschapv2 на скринах должно быть как раз то что нужно, в кинетике используется сервер ikev2/ipsec с аутентификацией клиента eap-mschapv2.  

[IPSec IKEv2 PSK как настроить?]

4 часа назад, Sergey Zozulya сказал:

Например, в Android'е поле IPSec identifier обязательное

Туда Keendns доменное имя вашего роутера, на которое получен сертификат, например xxx.keenetic.pro

[IPSec IKEv2 PSK как настроить?]

10 минут назад, Sergey Zozulya сказал:

Что еще печальнее, в Android 12 только три варианта для создания нового VPN соединения:

По идее, используя вариант ikev2/ipsec mschapv2 вы должны суметь подключиться к кинетику с настроенным Vpn-сервером IKEv2 

[Проброс портов через VPN между двумя роутерами Keenetic и Mikrotik]

@Sereja Smirnoff В этой статье, на которую вы ссылаетесь просят выключить "NAT для клиентов" в настройках l2tp/ipsec сервера. Попробуйте включить эту галочку и снова проверить.

[Доступ только к определённым IP адресам]

20 часов назад, Payk1488 сказал:

Вот, допустим, я решил полностью заблокировать интернет для одного из подключений. Почему правила межсетевого экрана не работают? Или я чего-то не понимаю?

Читаем внимательно вверху вашего скрина: Чтобы добавить правило межсетевого экрана, выберите из списка интерфейс, на котором будет отслеживаться входящий трафик... Т.е. через веб-интерфейс мы создаем правила для входящего трафика для интерфейсов. Создавать правила для исходящего трафика можно через cli. Подробнее по ссылкам: Межсетевой экран  Как реализован межсетевой экран? Примеры использования правил межсетевого экрана

[Возможность выбрать "Адрес роутера на этом интерфейсе" в графе "IP-адрес назначения" в межсетевом экране.]

Для примера ситуация. Хотим ограничить удаленный доступ к веб-интерфейсу, разрешив доступ только определенным айпишникам.

Включаем удаленный доступ. Далее создаем два правила в межсетевом экране для интерфейса провайдера:

И все работает как нам хотелось бы.

Но если к роутеру подключается впн клиент по ikev2 ipsec, то на нем в таком случае не открываются никакие веб-страницы. Т.к. созданные правила межсетевого экрана на интерфейсе провайдера применяются и для входящих ipsec подключений.

Самым простым решением было бы написание более конкретного правила фаерволла, где в графе "Адрес назначения" был бы адрес роутера на интерфейсе провайдера.  Но зачастую на интерфейсе провайдера мы имеем динамический ip-адрес, а значит прописывать вручную текущий адрес на интерфейсе бесполезно, т.к. после переподключения айпишник будет уже другой. Поэтому и хотелось бы иметь возможность в графе "IP-адрес назначения" выбрать "Адрес роутера на этом интерфейсе", чтобы айпишник на интерфейсе определялся автоматически и создавалось правило в нетфильтре уже с соответствующим адресом.

По типу того, как это сделано, когда мы задаем правило вида: ip static Home ISP, а в нетфильтре при этом создается 
src: 192.168.1.0/24, dst: 0.0.0.0/0, in: "*", out: "eth3", proto: "any"; "ndmmark" match, value: 0x4/0x4, invert: 0x0; SNAT, address: x.x.x.x
Т.е. роутер сам подставляет адрес интерфейса ISP в правило нетфильтра. 

Описанный пример не единственный, когда было бы полезно иметь возможность создавать более конкретные правила в фаерволле, выбирая "Адрес роутера на этом интерфейсе" в графе "IP-адрес назначения". Поэтому прошу разработчиков рассмотреть возможность реализации такого функционала. Спасибо.

 

[Веб-сервер в локальной сети за Keenetic'ом]

8 часов назад, Никита Валентинович Корняков сказал:

Обратный прокси? Была такая мысль. Надо попробовать

Вы уже используете обратный прокси на роутере. "На роутере назначен доступ из Интернет к веб-приложениям домашней сети site1.dom.keenetic.link и site2.dom.keenetic.link" - это оно и есть. Вам лишь нужно прописать вышеприведённые команды в cli роутера, чтобы заголовок "host" не перезаписывался.

[Wireguard и IP roaming - не работает на стороне сервера]

5 часов назад, Дмитрий Лебедев сказал:

If the server itself changes its own endpoint, and sends data to the clients, the clients will discover the new server endpoint

Так может проблема в том, что сервер не шлёт никакие данные после перехода, а ждёт их от клиента, который не знает нового ендпоинта? Попробуйте включить keepalive на стороне сервера для пира клиента. Тогда сервер будет периодически слать пакеты клиенту, и при смене ip это позволит клиенту увидеть новый адрес.

[Веб-сервер в локальной сети за Keenetic'ом]

12 часа назад, Никита Валентинович Корняков сказал:

Проблема: веб сервер не различает обращения, приходящие из Интернета на site1.dom.keenetic.link и site2.dom.keenetic.link и всегда направляет их на первый зарегистрированный виртуальный хост.

(config)> ip http proxy site1 preserve-host
(config)> ip http proxy site2 preserve-host
(config)> system configuration save

 

[Wireguard сервер, работает только последний добавленный клиент]

9 часов назад, dippnsk сказал:

Куда копать?

Allowed ip у пиров не пересекаются?

[Проблема с настройкой гостевой зоны в MESH-системе без провайдера]

Ознакомиться с этим https://help.keenetic.com/hc/ru/articles/360014436120 и с этим https://help.keenetic.com/hc/ru/articles/360000581749

[Помогите с ACL]

29 минут назад, dexter сказал:

Нат не отключал, т.к. он не должен натить Home на IPIP. Home он натит на ISP/

Home он натит во все интерфейсы, в ipip в том числе. Можете убедиться изучив вывод show netfilter

29 минут назад, dexter сказал:

А если туннельному интерфейсу оставить security level private?

То понадобится правило, разрешающее forward между home и ipip, т.к. оба будут private. Т.е. кардинально ничего не измениться, просто придется больше правил вешать.

 

29 минут назад, dexter сказал:

От разработчиков может кто комментарий оставит или от пользователей.

Я поднимал ipip/ipsec и между кинетиками и между кинетиком и микротиком и вполне успешно. Но, конечно, можете подождать других пользователей и разработчиков.))

[Помогите с ACL]

Вы nat отключали? По умолчанию он же натит. А вы правила пишете для сетей за натом. Кроме того, даже если нат отключить, правила, по моему, вы не правильно пишете. На первом устройстве, к примеру, вы вешаете на интерфейс Home на out правило permit ip 192.168.2.0/24 192.168.3.0/24. Трафик с source ip из сети 192.168.2.0/24 для интерфейса Home - это in.

Я бы на вашем месте оставил на интерфейсе ipip на обоих роутерах security-level public, и вешал правила на интерфейс ipip на in, так будет легче для понимания, ведь из private в public все разрешено.

На устройстве с сетью 192.168.2.0/24, на интерфейс ipip с security-level public на in вешаем правила permit ip 192.168.3.0/24 192.168.2.0/24 и permit ip 192.168.254.252/30 192.168.2.0/24 (Второе правило если включен nat). 

На устройстве с сетью 192.168.3.0/24, на интерфейс ipip с security-level public на in вешаем правила permit ip 192.168.2.0/24 192.168.3.0/24 и permit ip 192.168.254.252/30 192.168.3.0/24 (Второе правило если включен nat)

И все, этого должно быть достаточно для случая, когда на ipip стоит уровень public.

[Giga II & wireguard web]

 

4 минуты назад, polycom сказал:

В интерфейсе настройки подключения пира в WG отсутствует поле "Адрес и порт пира" (снимок прилагается). Как быть в такой ситуации, как настроить, через cli?

Endpoint на вашем скрине

 

[L2TP/IPsec сервер]

4 минуты назад, Happo сказал:

Только не до конца понятно - зачем тогда в конце мануала по CLI приведены "Уровни шифрования IPsec" от "D.1 weak" до "D.10 strong-aead-pfs", с прописанными соответствующими шаблонами (Proposal)

Для случаев, когда кинетик выступает клиентом, полагаю. Создав исходящее l2tp/ipsec подключение с кинетика, например, можно ему задать уровень шифрования   interface l2tp0 ipsec encryption-level strong

[L2TP/IPsec сервер]

4 минуты назад, Happo сказал:

Или тут смысл, что нужно войти в proposal "VPNL2TPIPsecServer"(чтобы настройка именно к L2tp vpn серверу применилась) и внутри  него поудалять: просто-напросто DES, 3DES(через crypto ike proposal) и MD5(через crypto ipsec transform-set)?

Да, вот так. Только имейте в виду, что клиент  должен поддерживать выбранные вами алгоритмы.

[Непонятные локальные IP в соединениях]

9 минут назад, Immortal сказал:

Вначале был "10.9.60.96", я блокнул через межсетевой экран. Теперь появился 10.9.200.1

Конкретно вот это - dhcp, вероятно от вашего провайдера. Возможно, в этот момент dhcp-сервер продлевает аренду ip-адреса на wan-порту роутера.

[L2TP/IPsec сервер]

20 часов назад, Happo сказал:

переживаю, как бы на этом древнем протоколе по дефолту VPN не создавался... Да и DES выглядит - ну совсем не уместным((

Смотрите в cli manual. Группа команд crypto ike proposal для настройки параметров первой фазы; группа команд crypto ipsec transform-set - для настройки фазы 2.
 

[3.5 количество соединений VPN]

21 час назад, Konstantin Grande сказал:

А в Peak тоже 24 КБ всего?😐

С чего вы взяли?

[mecool km6 не подключается к wifi]

https://help.keenetic.com/hc/ru/articles/4402854785170-Почему-не-подключается-к-сети-Wi-Fi-одно-из-устройств-домашней-сети-

[Странное поведение Viva...]

Попробуйте в cli: ip hotspot auto-scan no interface Home и  ip hotspot auto-scan no interface Guest

 

 

[Доступ к web-админке снаружи по https на нестандартный порт]

2 часа назад, booroondook сказал:

А мне-то как раз и нужно обращаться извне именно по моему доменному имени (благо есть и белый IP, и зарегистрированный домен), а не через "костыль", предоставляемый KeenDNS

Так сразу бы и писали. Я то подумал вам нужно видеть админку роутера по кинднс-имени и все.

Если вам нужно обращаться к веб-админке роутера через свое доменное имя по https, то нужно выполнить ряд условий: 1) Должна существовать днс-запись связывающая ваше доменное имя с внешним ip-адресом роутера. 2) На роутере необходимо получить сертификат на это ваше доменное имя. В CLI:

ip http ssl acme get mydomain.ru

 

[Доступ к web-админке снаружи по https на нестандартный порт]

9 часов назад, booroondook сказал:

Еще я пробовал назначить переадресацию порта 8443  на 443-й порт самого роутера. И это тоже не помогает.

Странно, вот так должно работать.

Проверил, вот с такими правилами переадреcсации все работает:

Убедитесь, что вводите https в начале, т.к. редиректа на нестандартном порту никакого нет. Т.е. нужно вводить именно https://<name>.keenetic.pro:8443

[Giga SMB Network Share]

6 часов назад, TanerJames сказал:

What firewall rule is required for SMB? 145 and 139 ?

You can just open all tcp and all udp for 192.168.5.0/24 network source.

17 часов назад, TanerJames сказал:

so, will it work if I use the LAN port instead of the WAN port?

For that to work you need to disable dhcp server on Giga and manually add 192.168.5.10 ip-address on Bridge0 interface. This will be equivalent to switching the device to the Access point mode. That's why I said that the easiest way is to switch your Giga to access point mode.

17 часов назад, TanerJames сказал:

I don't want anyone else to reach my Local network (as a guest)

This has nothing to do with switching to the access point mode.