Jump to content

Werld

Forum Members
 View Profile  See their activity

  • Posts

    436

  • Joined

  • Last visited

  • Days Won

    6

 Content Type 

Posts posted by Werld

    SSPT Server - Client. Не пингуется с сервера - клиент

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    7 часов назад, Piples сказал:

    В межсетевом экране есть правило: разрешить весь входящий трафик

    На ваших скринах разрешающие правила для интерфейса "Белтелеком", т.е. видимо, для интерфейса провайдера, а не для интерфеса sstp-клиента. Убедитесь, что прописали правила на интерфейс SSTP на клиенте.

    Giga SMB Network Share

    in Обмен опытом

    Posted

    7 часов назад, TanerJames сказал:

    What is the problem?

    You are trying to connect from WAN, from Giga's point of view. By default firewall prevents connections from public networks (WAN).  You can switch router to the Access Point mode, or  you can create permissive rules in the firewall.

    https://help.keenetic.com/hc/en-us/articles/360000578240-Firewall     https://help.keenetic.com/hc/en-us/articles/360000571060-Access-Point-Extender-Mode

    Как ограничить доступ к админке роутера только по кабелю (и запретить по Wi-Fi)

    in Обмен опытом

    Posted

    23 часа назад, user324532345 сказал:

    Подскажите, как ограничить доступ к админке роутера так, чтобы зайти в веб-конфигуратор и получить какой-либо доступ к настройкам роутера можно было только по кабелю, подключенному непосредственно в сам роутер. Так, чтобы таким образом получить какой-либо доступ к роутеру по Wi-Fi стало невозможно

    Гостевая сеть же. https://help.keenetic.com/hc/ru/articles/360000490820-Гостевая-сеть-Wi-Fi По умолчанию проводные интерфейсы не входят в гостевой сегмент, а это то, что вам и надо.

    1. Отключить Wifi в Домашнем сегменте. 2. Включить wifi в гостевом сегменте, задать SSID И пароль, 3. Убедится в отсутствии галочки "Доступ к приложениям домашней сети", 4... 5.PROFIT

    Вопрос по поводу оптимального интервала обновления ключей Wifi (rekey-interval)

    in Обмен опытом

    Posted

    7 часов назад, otets-grigoriy сказал:

    P.S. настройки Wifi таковы: отключено WPS, включен скрытый SSID, используется 63-символьный ключ, состоящий из прописных букв, строчных букв, цифр, символов. При создании был использован генератор, то есть никакого отношения к социальной инжинерии пароль не имеет от слова совсем, ибо представляет из себя "3644\fEQhx@O;1S49nFws&~Re,el(IFcfD#:#A^o?'9oi|x\H4#tGK%vP&UD|DO" (это не текущий пароль, это пример работы генератора).

    Любопытно посмотреть как вы такой пароль будете вводить с телефона. Вся эта паранойя от незнания. Если у вас домашний роутер, то даже wpa2-psk с включенным pmf, как написали выше,  будет достаточен при использовании не словарного ключа уже от 12+ символов. Если же у вас корпоративное применение, то нужно использовать wpa2-enterprise с RADIUS-сервером.

    Клиент VPN PPTP --> Wireguard тоннель

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    1 час назад, dignus сказал:

    crypto map VPNL2TPServer l2tp-server dhcp route 192.168.10.0/24

    С l2tp/ipsec, в отличие от чистого ipsec, у вас есть интерфейс, через который вы можете прописывать маршруты, то есть вы можете использовать классическую маршрутизацию. В этом и преимущество l2tp/ipsec не нужно городить policy based routing. 

    Transmission Limit Settings Issue

    in Тестирование Dev-сборок

    Posted

    12 минуты назад, yerebakan сказал:

    it can also be changed and set to this value in the 3.7.x software.

    Those values allways unlocked in draft versions of OS.

    15 минут назад, yerebakan сказал:

    I know that. but this is not related to this numerical value. According to this number and limit value, I should have a line like 15 mbit. According to the article, there is a write speed limit of 15-20 mb per second.

    There is some misinformation in EN version of that article. It should state values in MB/s (megabyte per second). 

    Transmission Limit Settings Issue

    in Тестирование Dev-сборок

    Posted · Edited by werldmgn

    https://help.keenetic.com/hc/en-us/articles/360000839200-Transmission-BitTorrent-client-interface "Important! The built-in Transmission torrent client has maximum download and upload speed limits, depending on the model of the Keenetic: 

    KN-2610: 20 Mbps
    KN-2310: 15 Mbps
    KN-1810: 15 Mbps
    KN-1910: 15 Mbps
    KN-1010: 15 Mbps
    KN-2111: 5 Mbps
    KN-2011: 5 Mbps
    KN-1710: 3 Mbps
    KN-1410: 3 Mbps"

    Runner. Внутренний 4G модем. Использование SMS во встраиваемых системах. Пожелания.

    in Развитие

    Posted

    9 минут назад, Alexey K сказал:

    Присмотрелись к rci, штука интересная, продвинутая, но формализованной информации только по ней мало.

    Документация по REST api (rci) есть в en версиях CLI-мануалов устройств. Я не знаю в достаточном ли она там объеме, но вот http://docs.help.keenetic.com/cli/3.1/en/cli_manual_kn-2210.pdf

    image.png.747cc14c59d9c060df43921ecc5522f3.png

     

    • Thanks 1

    Сертификат СА для openwrt роутера, подключенного sstp-клиентом к Keenetic

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    50 минут назад, 1qqq сказал:

    дело в том, что в роутере предлагается вставить сертификат CA ввиде файла. Для опенвпн сертификаты создаются на серверной части и для сервера и для клиента. Как мне создать сертификат для клиента сстп и подружит его с кинднс 

    А если переключатель "certificate files from device" на on?

    Админка и WiFi

    in Развитие

    Posted

    47 минут назад, Le ecureuil сказал:

    О, так это вы.

    Да, мы работаем. Сперва custom сделал вам, теперь по материалам с него чиним. Вчера внесены исправления, но так как у вас какой-то уникальный (и единичный) случай, то мы не уверены, что поможет. Попробуйте начиная с сегодня последить произойдет ли еще самоотзыв или нет. На custom можно больше не сидеть, можно перейти на другую версию.

    Хорошо, спасибо.

    22 часа назад, Le ecureuil сказал:

    Впрочем, можно попробовать улучшить это дело. Отпишите в поддержку, чтобы не забыть

    Отписал запрос в поддержку. Выяснил, что достаточно открыть удаленный доступ к веб, либо включить public доступ к http proxy, т.е. любое действие чтобы появилось правило в нетфильтре, разрешающее всем доступ на tcp/80. И тогда из protected сегмента можно попасть в админку по адресу роутера  в home сети. По идее, нужно в самом веб-сервере ограничения вводить, которые уже есть для случая доступа из гостевой по адресу роутера в гостевой же сети. В этом случае, как и положено, идет отлуп по 403 Forbidden.

    • Upvote 1

    How to set up "No access to USB storage for unregistered devices"?

    in Обмен опытом

    Posted

    19 минут назад, Dmitry Andrievsky сказал:

    Thanks, guest network is great solution for, well, guests, but sometimes (at least once for me in one month) there are guys who bruteforce wifi key. 

    While I received the notification for that one and banned the guy from the internet, it would be beneficial if I was sure that the guy would not use LAN resources (even if used internet), so I am a bit more relaxed about such bruteforce guys.

    You can use Wireless Access Lists. By creating a whitelist of your devices, you block access for all clients that are not in the list.

    Админка и WiFi

    in Развитие

    Posted

    9 минут назад, Le ecureuil сказал:

    Ну так все верно. Вы же сами открыли доступ к роутеру через Интернет, причем вообще всем подряд.

    Я сейчас проверил и с выключенным удаленным доступом. И...ничего не изменилось)) Админка роутера всё также доступна из гостевой сети по адресу 192.168.1.1

    12 минуты назад, Le ecureuil сказал:

    Впрочем, можно попробовать улучшить это дело. Отпишите в поддержку, чтобы не забыть.

    Хорошо, сделаю.

    Кстати насчет техподдержки. У меня уже около месяца идет общение с техподдержкой по поводу самопроизвольного отзыва сертификата на имя Keendns с роутера. Можно вас попросить обратить внимание на эту проблему. Мне даже собирали кастомную прошивку, с расширенной отладочной информацией по этому вопросу, но ответ пока не найден. Приложенный мной здесь выше селф-тест содержит эту проблему. 

    Jul  6 19:36:56 ndm: Acme::Client: start ndns automatic revocation of certificate for domain "xxx.keenetic.pro"

    How to set up "No access to USB storage for unregistered devices"?

    in Обмен опытом

    Posted

    14 минуты назад, Dmitry Andrievsky сказал:

    I wanted to allow usage of local network and USB drives in particular only to devices I know, to registered ones.

    So that guests can go to the internet through my WiFi, but not to USB drives.

    Could you please advise how and what should I configure? 

     

    https://help.keenetic.com/hc/en-us/articles/360000490820-Guest-network-

    Админка и WiFi

    in Развитие

    Posted

    55 минут назад, KorDen сказал:

    У вас isolate-private включен?

    isolate-private тут, на мой взгляд, не при чем. Действительно, если он включен, то forward между сегментами запрещен, но доступ к самому роутеру это всегда input, независимо из какого сегмента. 

    Админка и WiFi

    in Развитие

    Posted

    51 минуту назад, KorDen сказал:

    У вас isolate-private включен?

    Да

    45 минут назад, Le ecureuil сказал:

    Лучше self-test в таком случае показать, есть вероятность неправильной настройки где-то.

    Прикрепил селф-тест. насчет неправильной настройки сомневаюсь. В дефолтных правилах нетфильтра есть однозначное правило разрешающее всем доступ на порт 80 , при включенной удаленке. Ограничение происходит на самом веб-сервере по идее, и конкретно в случае доступа на 192.168.1.1 из гостевой сети его нет.

    Админка и WiFi

    in Развитие

    Posted

    2 часа назад, Le ecureuil сказал:

    Но вообще сделайте отдельный сегмент для беспроводных устройств и поставьте ему security-level protected. Кроме DHCP и DNS он никуда на роутере достучаться не сможет.

    Из protected сегмента можно попасть в админку по адресу роутера  в private сети. К примеру у меня в гостевой сети адресация 192.168.2.0/24. Я не могу попасть в веб-интерфейс по 192.168.2.1, однако по адресу 192.168.1.1, находясь в гостевой сети, могу.

    Сломался web-интерфейс

    in Обмен опытом

    Posted

    2 часа назад, lednaxot сказал:

     

    Есть ли еще какие-либо варианты вернуть веб-интерфейс к жизни без сброса к заводским настройкам?

    Какая версия прошивки? Если старше 3.6.х, то скорее всего проблема в этом: https://help.keenetic.com/hc/ru/articles/360022259839-Перестал-работать-доступ-к-веб-интерфейсу-роутера-Как-восстановить-доступ-

    Сделайте статистику более чем на 1 день

    in Развитие

    Posted

    56 минут назад, enterfaza сказал:

    понятно, что требуются ресурсы на это и где-то об этом уже была речь, по этой же причине и период скорости  графика на дашборде в 4 сек

    я не знаток в асусах, а там разве нет в линейке устройств с начальным уровнем процев?или там это урезается по функционалу в самой ос?

    У asus, как и у многих, многих других функциональность прошивки зависит от модели

    Доступ ваших сервисных специалистов к устройствам

    in Развитие

    Posted

    В 02.07.2021 в 15:27, Oleg Nekrylov сказал:

    Всё верно. Одно дело, когда юзер ползает по роутеру по просьбе, другое дело, когда спец подключиться и сам выяснит то, что ему надо - тем самым перестаём играть в "испорченный телефон".

    Почему просто не создать временную учетку с нужными правами доступа и не предоставить ее сотруднику тех поддержки?

    Сделайте статистику более чем на 1 день

    in Развитие

    Posted

     

    1 час назад, BDmV сказал:

    Почему-бы тогда и Вебу не брать статистику с облака или не сделать реалтайм на 12 месяцев?

    Наверное чтобы не тратить ресурсы роутера на хранение, отрисовку и прочее? В линейке есть модели с процессором начального уровня и небольшим количеством ОЗУ, при этом компания позиционирует keenetic os как универсальную по функциям и возможностям, независимо от модели. 

    Если принципиально смотреть с десктопа, можно смотреть непосредственно в облаке

     https://keenetic.cloud  https://help.keenetic.com/hc/ru/articles/360008818279-Веб-портал-Keenetic-Cloud

    Как трафик одного клиента из входящего VPN отправить в исходящий VPN?

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    В 29.04.2021 в 23:59, curious сказал:

    Задача следующая: есть кинетик Giga III, на котором поднято пару VPN соединений по Wireguard (несколько провайдеров). Возможно ли подклюбчится к этому кинетику удаленно по VPN (PPTP, L2TP/IPsec, SSTP) и потом пустить весь этот трафик через какой-либо Wireguard? Предполагаю, что нет. Обыскал все и попробовал почти все. Может чего не знаю.

    Если на wireguard стоит security-level public, как по умолчанию при создании и вы через них выходите в некие сети, то для доступа vpn-клиентов роутера в эти сети нужно сделать следующее. К примеру есть у вас pptp сервер, впн-клиенты получают адреса скажем 172.16.1.33-172.16.1.43.

    Создаем access list, добавляем в него правило разрешающее для адресов пула впн-клиентов доступ в нужную сеть (которая за интерфейсом wireguard) или в любую сеть (0.0.0.0/0). Привязываем на направление out к интерфейсу через который нужно пустить трафик (напр Wireguard0)  созданный acl. И пробуем, все должно работать. 

    access-list listname
permit ip 172.16.1.32/27 0.0.0.0/0
exit
interface Wireguard0 ip access-group listname out
system configuration save

     

×
×
  • Create New...