[Кривой код страны WiFi]

2 часа назад, Chervonenko_CA сказал:

Вас ис дас??

 

[Туннель поднять, но трафик не идет через него (Lite 3)]

У вас ubuntu  - это сервер за которым сеть и вы хотите эту сеть связать с сетью за keenetic, или это одиночный ПК, по сценарию roadwarrior? Если первое, то лучше использовать чистый ipsec в туннельном режиме, трафик до нужных сетей заворачивается политиками. Если у вас второй вариант и это просто одиночный пк, то наверняка же на нем есть какой-нибудь из  desktop environment'ов, в котором через network-meneger l2tp/ipsec клиент запускается в несколько кликов мышью, зачем пытаться это строить из терминала? Конкретно в вашем случае, судя по всему, строится ipsec но l2tp не поднимается, раз не появляется соответствующего интерфейса.

Если по какой-то причине нужно строить из терминала, то я бы предпочел тогда использовать VPN-сервер IPsec (Virtual IP) на кинетике. В таком случае на ubuntu не понадобится дополнительный демон для l2tp, достаточно будет одного strongswan. Можно воспользоваться примерами из официальной wiki по strongswan. Конкретно вам для варианта ipsec сервера c virtual ip и XAUTH аутентификацией подходит вот этот пример: https://www.strongswan.org/testing/testresults5dr/ikev1-stroke/xauth-id-psk-config/  Можно в нем подглядеть конфиги для клиента.

[Не совсем корректная работа команды dns-proxy intercept enable]

27 минут назад, Станислав Поветьев сказал:

Да adguard home висит на 53 стандартном порту. В этом случае в cli кинетика прописываю dns-proxy intercept enable и все запросы в локалке перехватываются и заворачиваются на AdGuardHome?

Должно быть так. Выполните на одном из домашних устройств что-нибудь вроде: nslookup ya.ru 1.1.1.1 , И посмотрите в журнале AdgHome в это время засветится ли там этот запрос. 

[Не совсем корректная работа команды dns-proxy intercept enable]

4 часа назад, Станислав Поветьев сказал:

Поясните, пожалуйста для тугих. Значит нужно поднимать ещё сервис прокси днс на opkg который будет перед adguard home?

netstat -tunlp | grep -w 53                 Команда, чтобы убедиться, что AdGuard Home слушает на этих портах. Если да, то все в порядке

[Клиент VPN PPTP --> Wireguard тоннель]

11 час назад, Froller сказал:

С галочкой заработало, но до последнего обновления 2.16.D.12.0-0. Теперь снова перестало. Подскажите, есть ли какое-то решение кроме ACL'ов в моем случае?

Увы, не подскажу, т.к. не использую 2.16. По идее все должно быть как я писал.

[Порт накрылся, или ?]

31 минуту назад, Кинетиковод сказал:

А силовой сильно влияет на сеть? Планирую дома сеть переделать и где-то 10 метров rj45 пустить вдоль силового. 10 метров вроде немного. Будут ли сбои?

Как правило, в пределах квартирных расстояний проблем не бывает никогда. А уже тем более всего 10 метров. 

[Не работает Raspberry PI 3B+]

http://192.168.0.1/controlPanel/diagnostics      

 

[3.6.6/2.4/режет скорость]

Также, рекомендую обратиться в тех.поддержку.

[3.6.6/2.4/режет скорость]

3 часа назад, enterfaza сказал:

я все еще не понимаю, где Ваши хотя бы 190-195 при 1х1/40 200, а не 120-135

Вам бы мат часть подучить о том что такое канальная скорость и насколько к ней может быть близка реальная. Почитайте хотя бы в БЗ кинетика: https://help.keenetic.com/hc/ru/articles/214471625-Реальная-скорость-соединения-используемая-в-технологии-Wi-Fi

 

3 часа назад, enterfaza сказал:

перед Вашими глазами результат одного и того же клиента, на одном и том же устройстве, на одном и том же провайдере

С разницей во сколько 3-4 года? Вы серьезно? Даже если предположить, что все wi-fi устройства у вас остались абсолютно теже, т.е. общее эфирное время не изменилось, то все равно не известно, что там изменилось в эфире за это время. Новые wifi-точки у соседей, новый девайсы у них или у вас же (микроволновки, беспроводные мыши, гарнитуры, все что угодно). 

Поймите, wifi - это конкурентная полудуплексная среда, в эфире изменения происходят постоянно. От вас же никакой технической информации. Вы просто сделали несколько замеров с разницей в года и заявляете, не основываясь, уж извините, ни на чем, что "3.6.6. режет скорость на 2.4". Давайте я как-нибудь ночью, когда эфир посвободнее, наделаю скринов, будет скоростью чуть больше чем у меня обычно, а рядом приложу скрины с 3.5.6. снятые часиков в 8-9 вечера и сделаю заявление: 3.6.6 увеличивает скорость на 2.4. Сможете опровергнуть?

[L2TP/IPsec сервер]

10 часов назад, Joe D сказал:

Работал работал, перестал работать IPsec между двумя кинетиками 

Судя по логам, proposals от сервера не устраивают клиента. Сервер предлагает des и md5, клиент хочет aes и sha

[L2TP/IPsec сервер]

27 минут назад, stefbarinov сказал:

Клиент пишет «remote host is behind NAT». Адрес на сервере точно белый?

Кинетик по умолчанию всегда форсирует udp инкапсуляцию, не зависимо от наличия nat. Так что эта запись не означает что на сервере серый адрес.

[Пропал доступ к интерфейсу]

2 минуты назад, Dev сказал:

только с локалки

Подключиться телнетом и посмотреть лог. Можно также в приложении лог посмотреть. Возможно это известная проблема. Если лог забит записями
 ndm: Http::Nginx: there are errors in config, reconfigure.
ndm: Http::Manager: unable to update configuration, retry.

То обновить прошивку через телнет же или приложение.

[Помогите с пробросом tcp порта.]

1 минуту назад, henry.pootel сказал:

Заработало!!!!

Я пробовал ip nat BELKA - так не работало и я бросил...

Вау! Спасибо огромное за конструктивную помощь!!!!!! Не придется ехать.

Ну вы понаблюдайте, чтоб не выплыли неизвестные побочные эффекты). Этой командой вы включили для пакетов из этой сети при переходе их в ЛЮБОЙ другой интерфейс маскарад на адрес этого интерфейса.

[Помогите с пробросом tcp порта.]

Попробовать ip nat 172.30.30.0 255.255.255.224  - включить глобальный нат для всех пакетов от указаной сети, идущих через маршрутизатор

[Помогите с пробросом tcp порта.]

2 минуты назад, henry.pootel сказал:

Дык поставил. Попробовал все варианты security-level
Все равно на PRi идет запрос от PC в чистом виде, а не от кинетика.

Но! Я не перегружал кинетик. Может быть надо? (Делать save и перегружать)

Не, перезагружать не обязательно, применяется все так. Значит этого не достаточно, надо дальше думать. 

[Помогите с пробросом tcp порта.]

1 минуту назад, henry.pootel сказал:

wan - содержит 888
порт 4 - в access vlan222

interface GigabitEthernet0/Vlan888
   rename BELKA
   description Belka_VID888
   role inet
   mac address factory wan
   security-level public
   ip address 172.30.30.30 255.255.255.224
   ip dhcp client dns-routes
   ip dhcp client name-servers
   ip access-group _WEBADMIN_BELKA in
   ip global 49149
   igmp upstream
   up
!
interface GigabitEthernet0/Vlan222
   security-level private
   ip address 172.16.17.1 255.255.255.0
   ip dhcp client dns-routes
   ip dhcp client name-servers
   up
!
ip static tcp 172.30.30.0 255.255.255.224 2222 172.16.17.16 22

#####################
в vlan222 идут запросы на 22 порт, но прям от PC (172.30.30.1)

Ну так если Vlan222 не сомтрит никуда еще кроме малины, ну поставьте вы на нем смело security-level private. И тогда проброс будет работать и автоматом все трансляции выполнятся.

[Помогите с пробросом tcp порта.]

на Wan порту trunk с vlan222 и vlan888? Есть ли возможность сделать на интерфейс GigabitEthernet0/Vlan222 security-level private? Сдается мне, что после этого проброс заработает корректно.

[Помогите с пробросом tcp порта.]

ip static - Создать правило трансляции локальных IP-адресов в глобальные или наоборот. Если interface или network соответствует интерфейсу c уровнем безопасности public, то будет выполняться трансляция адреса назначения (DNAT). Если to-address соответствует интерфейсу c уровнем безопасности public, то будет выполняться трансляция адреса источника (SNAT).  У вас оба интерфейса public, как я уже написал. Какие в таком случае создаются правила при ip static не понятно. Скорее всего оба и dnat и snat. Я предлагаю не мутить тут проброс, а настроить МСЭ для доступа из одного интерфейса в другой, и обращаться по оригинальному адресу малины.

[Помогите с пробросом tcp порта.]

1 час назад, henry.pootel сказал:

Здравствуйте. Имеем keenetic, к нему подключен raspberry_pi к 4 порту. До кинетика могу добраться только по ssh. Нужно пробросить

любой порт (например 2222) на 22 порт raspberry. IP кинетика - 172.30.30.30/24 IP raspberry - 172.16.17.16/24

Имеем:

release: 2.16.D.11.0-1
hw_version: 15560000-A
hw_id: ku_ra
device: Keenetic Ultra

 

interface GigabitEthernet0/4
    rename 4
    switchport mode access
    switchport access vlan 222
    up

interface GigabitEthernet0/Vlan222
    role inet for BELKA
    security-level public
    ip address 172.16.17.1 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up

interface GigabitEthernet0/Vlan888
    rename BELKA
    description Belka_VID888
    role inet
    mac address factory wan
    security-level public
    ip address 172.30.30.30 255.255.255.224
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip global 49149
    igmp upstream
    up

ip static tcp BELKA 2222 dc:a6:32:ac:16:b0 22 !LB

dc:a6:32:ac:16:b0 -- MAC raspberry

 

НЕ РАБОТАЕТ.

ssh -p 2222 root@172.30.30.30                                           
ssh: connect to host 172.30.30.30 port 2222: Connection refused

На raspberry firewall нет, с кинетика пинг идет.

P.S. Раньше, до инцидента, raspberry получал IP по dhcp (172.16.16.16/24 - кинетика адрес и пулл) из кинетика и все работало. Но добрый человек прописал на raspberry статический адрес 172.16.17.16/24 и теперь как-то надо попасть на raspberry по ssh.

 

 

 

 

 

У вас и PC и RPi находятся, судя по конфигу, за public интерфейсами. Между public интерфейсами связь закрыта. Вам нужно в МСЭ для начала разрешать доступы нужные

[Массовая проблема с роутерами Keenetic]

19 минут назад, AndyK сказал:

Рекомендуем абонентам роутеры Keenetic (Start/Lite/City и т.п.)

В последние дни столкнулись с массовым обращением абонентов с проблемами - не работает интернет (без доступа к сети), не зайти на веб управление даже после перезагрузки устройства.

Можно зайти только локально по telnet

В логе всё забито сообщениями

I [Jun 14 10:13:25] ndm: Http::Nginx: loaded SSL certificate for
                    "8e4d0036d5e6648fc616a3dd.keenetic.io".
E [Jun 14 10:13:25] ndm: Http::Nginx: there are errors in config, reconfigure.
E [Jun 14 10:13:25] ndm: Http::Manager: unable to update configuration, retry.
I [Jun 14 10:13:26] ndm: Http::Nginx: loaded SSL certificate for
                    "8e4d0036d5e6648fc616a3dd.keenetic.io".
E [Jun 14 10:13:26] ndm: Http::Nginx: there are errors in config, reconfigure.
E [Jun 14 10:13:26] ndm: Http::Manager: unable to update configuration, retry.
I [Jun 14 10:13:27] ndm: Http::Nginx: loaded SSL certificate for
                    "8e4d0036d5e6648fc616a3dd.keenetic.io".
E [Jun 14 10:13:27] ndm: Http::Nginx: there are errors in config, reconfigure.
E [Jun 14 10:13:27] ndm: Http::Manager: unable to update configuration, retry.
I [Jun 14 10:13:28] ndm: Http::Nginx: loaded SSL certificate for
                    "8e4d0036d5e6648fc616a3dd.keenetic.io".
 

На некоторых моделях даже не может отобразить конфиг

config)> show running-config
error: could not open
 

Помогает сброс в заводские (что как бы не очень радует)

(config)> show version

          release: 3.05.C.6.0-0
          sandbox: stable
            title: 3.5.6
             arch: mips
 

В общем недовольны мы роутерами Keenetic. Если такое будет повторятся, то ни покупать, ни советовать больше не будем их

Проблема известная. Достаточно обновить прошивку, сбрасывать не обязательно.

[RDP в разных под сетях.]

1 час назад, Soul сказал:

Добрый день. Не могу разобраться.

Есть Keenetic Giga 2, на роутера настроены две под сети 192.168.1.1 и 192.168.2.1. Два кинетика связаны тунелем, во второй подсети находится ПК с базой.
Возможно ли настроить RDP, с компьютера одной подсети в компьютер другой? Допустим с 192.168.1.10 на 192.168.2.10

Возможно. Не совсем понятно из описания при чем здесь туннель, если вы пишете "на роутере настроены две под сети 192.168.1.1 и 192.168.2.1."  Для доступа между сетями на одном роутере - добавляете правила межсетевого экрана. Если все же доступ нужен через туннель из сети одного роутера в сеть другого, то еще и маршруты понадобятся.

[Вопрос по работе перенаправления портов с ip alias на интерфейсе]

3 часа назад, Vadim Makhtarov сказал:

Вопрос: это ожидаемое поведение? Если я поставил XXX.XX.XX.XX как второй IP-адрес интерфейса, разве 1-е правило не должно корректно исполняться отовсюду? Я могу, конечно, делать для каждого перенаправления два правила, но вроде бы как оба IP являются частью интерфейса, потому 1-го правила должно по логике хватать (если я, конечно, ничего не путаю).

Сейчас посмотрел с помощью show netfilter в cli. Не смотря на то что в правилах вида как ваше первое указан входной интерфейс, в реальности под капотом в iptables создается правило без указания входного интерфейса. Правило создается просто с указанием destination ip, который определяется как адрес выбранного входного интерфейса. Т.е. создавая правило вида: 

ip static udp  ISP 59876 192.168.1.33   

В реальности создается правило вида:  

 -A _NDM_STATIC_DNAT -d 172.25.25.15/32 -p udp -m udp --dport 59876 -j DNAT --to-destination 192.168.1.33:59876        - 172.25.25.15 это как раз ip адрес на интерфейсе ISP у меня.

Почему правило интерпретируется и создается именно так, а не с указанием входного интерфейса типа так: -A PREROUTING -i ens3 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.55.25, это вопрос к разработчикам. Получается что при создании правила берется ip адрес указанного интерфейса, но, видимо, не берется alias.

К слову, даже если бы правило создавалось c указанием входного интерфейса, ваше первое правило все равно не работало бы для пакетов внутри сети, т.к. пакет из внутренней сети приходит на роутер не на указанный вами интерфейс FastEthernet0/Vlan2, а на интерфейс Bridg0, к примеру.  Так что, конкретно в вашем случае, остается создавать два правила, видимо.

[NAT в другую подсеть.]

55 минут назад, Nick007 сказал:

Вроде все хорошо, но работает не так как предполагалось изначально. 

Я думал на R1(KN-1610) будут видны ПК за R2 и им можно будет резать скорость индивидуально.

А по факту R1 режет только интерфейс 10.10.10.2 - то есть для всех.

Ну для R1 эти ПК в другой сети. Чтобы он их видел должна быть L2 связность, насколько я понимаю. Смотря что умеет R2, можно сделать из него не маршрутизатор а бридж.

[NAT в другую подсеть.]

43 минуты назад, Nick007 сказал:

Я извиняюсь а почему не ip nat? 

Заглянул сейчас в cli manual, вы правы, наверное в вашей ситуации можно и ip nat использовать.

ip nat 192.168.80.0/24

По идее в таком варианте, упомянутая мной проблема вас не коснется.

[NAT в другую подсеть.]

26 минут назад, Nick007 сказал:

Я извиняюсь а почему не ip nat? 

ip nat про другое. Подробнее в cli manual

 

27 минут назад, Nick007 сказал:

Не совсем доходит, что именно будет работать не так?

Вместе с правилом snat будет создано еще и правило dnat. Будет ли оно мешать нужно проверять, я не смотрел из каких цепочек есть прыжок на созданные таким образом правила dnat. Поэтому и предлагаю вам попробовать, команду я написал, если не заработает, команду отмены я тоже написал.