Werld
-
Posts
436 -
Joined
-
Last visited
-
Days Won
6
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by Werld
-
-
У вас ubuntu - это сервер за которым сеть и вы хотите эту сеть связать с сетью за keenetic, или это одиночный ПК, по сценарию roadwarrior? Если первое, то лучше использовать чистый ipsec в туннельном режиме, трафик до нужных сетей заворачивается политиками. Если у вас второй вариант и это просто одиночный пк, то наверняка же на нем есть какой-нибудь из desktop environment'ов, в котором через network-meneger l2tp/ipsec клиент запускается в несколько кликов мышью, зачем пытаться это строить из терминала? Конкретно в вашем случае, судя по всему, строится ipsec но l2tp не поднимается, раз не появляется соответствующего интерфейса.
Если по какой-то причине нужно строить из терминала, то я бы предпочел тогда использовать VPN-сервер IPsec (Virtual IP) на кинетике. В таком случае на ubuntu не понадобится дополнительный демон для l2tp, достаточно будет одного strongswan. Можно воспользоваться примерами из официальной wiki по strongswan. Конкретно вам для варианта ipsec сервера c virtual ip и XAUTH аутентификацией подходит вот этот пример: https://www.strongswan.org/testing/testresults5dr/ikev1-stroke/xauth-id-psk-config/ Можно в нем подглядеть конфиги для клиента.
- 1
-
27 минут назад, Станислав Поветьев сказал:
Да adguard home висит на 53 стандартном порту. В этом случае в cli кинетика прописываю dns-proxy intercept enable и все запросы в локалке перехватываются и заворачиваются на AdGuardHome?
Должно быть так. Выполните на одном из домашних устройств что-нибудь вроде: nslookup ya.ru 1.1.1.1 , И посмотрите в журнале AdgHome в это время засветится ли там этот запрос.
-
4 часа назад, Станислав Поветьев сказал:
Поясните, пожалуйста для тугих. Значит нужно поднимать ещё сервис прокси днс на opkg который будет перед adguard home?
netstat -tunlp | grep -w 53 Команда, чтобы убедиться, что AdGuard Home слушает на этих портах. Если да, то все в порядке
-
11 час назад, Froller сказал:
С галочкой заработало, но до последнего обновления 2.16.D.12.0-0. Теперь снова перестало. Подскажите, есть ли какое-то решение кроме ACL'ов в моем случае?
Увы, не подскажу, т.к. не использую 2.16. По идее все должно быть как я писал.
-
31 минуту назад, Кинетиковод сказал:
А силовой сильно влияет на сеть? Планирую дома сеть переделать и где-то 10 метров rj45 пустить вдоль силового. 10 метров вроде немного. Будут ли сбои?
Как правило, в пределах квартирных расстояний проблем не бывает никогда. А уже тем более всего 10 метров.
- 1
-
-
Также, рекомендую обратиться в тех.поддержку.
-
3 часа назад, enterfaza сказал:
я все еще не понимаю, где Ваши хотя бы 190-195 при 1х1/40 200, а не 120-135
Вам бы мат часть подучить о том что такое канальная скорость и насколько к ней может быть близка реальная. Почитайте хотя бы в БЗ кинетика: https://help.keenetic.com/hc/ru/articles/214471625-Реальная-скорость-соединения-используемая-в-технологии-Wi-Fi
3 часа назад, enterfaza сказал:перед Вашими глазами результат одного и того же клиента, на одном и том же устройстве, на одном и том же провайдере
С разницей во сколько 3-4 года? Вы серьезно? Даже если предположить, что все wi-fi устройства у вас остались абсолютно теже, т.е. общее эфирное время не изменилось, то все равно не известно, что там изменилось в эфире за это время. Новые wifi-точки у соседей, новый девайсы у них или у вас же (микроволновки, беспроводные мыши, гарнитуры, все что угодно).
Поймите, wifi - это конкурентная полудуплексная среда, в эфире изменения происходят постоянно. От вас же никакой технической информации. Вы просто сделали несколько замеров с разницей в года и заявляете, не основываясь, уж извините, ни на чем, что "3.6.6. режет скорость на 2.4". Давайте я как-нибудь ночью, когда эфир посвободнее, наделаю скринов, будет скоростью чуть больше чем у меня обычно, а рядом приложу скрины с 3.5.6. снятые часиков в 8-9 вечера и сделаю заявление: 3.6.6 увеличивает скорость на 2.4. Сможете опровергнуть?
- 1
-
10 часов назад, Joe D сказал:
Работал работал, перестал работать IPsec между двумя кинетиками
Судя по логам, proposals от сервера не устраивают клиента. Сервер предлагает des и md5, клиент хочет aes и sha
-
27 минут назад, stefbarinov сказал:
Клиент пишет «remote host is behind NAT». Адрес на сервере точно белый?
Кинетик по умолчанию всегда форсирует udp инкапсуляцию, не зависимо от наличия nat. Так что эта запись не означает что на сервере серый адрес.
-
2 минуты назад, Dev сказал:
только с локалки
Подключиться телнетом и посмотреть лог. Можно также в приложении лог посмотреть. Возможно это известная проблема. Если лог забит записями
ndm: Http::Nginx: there are errors in config, reconfigure.
ndm: Http::Manager: unable to update configuration, retry.То обновить прошивку через телнет же или приложение.
-
1 минуту назад, henry.pootel сказал:
Заработало!!!!
Я пробовал ip nat BELKA - так не работало и я бросил...
Вау! Спасибо огромное за конструктивную помощь!!!!!! Не придется ехать.Ну вы понаблюдайте, чтоб не выплыли неизвестные побочные эффекты). Этой командой вы включили для пакетов из этой сети при переходе их в ЛЮБОЙ другой интерфейс маскарад на адрес этого интерфейса.
-
Попробовать ip nat 172.30.30.0 255.255.255.224 - включить глобальный нат для всех пакетов от указаной сети, идущих через маршрутизатор
-
2 минуты назад, henry.pootel сказал:
Дык поставил. Попробовал все варианты security-level
Все равно на PRi идет запрос от PC в чистом виде, а не от кинетика.
Но! Я не перегружал кинетик. Может быть надо? (Делать save и перегружать)Не, перезагружать не обязательно, применяется все так. Значит этого не достаточно, надо дальше думать.
-
1 минуту назад, henry.pootel сказал:
wan - содержит 888
порт 4 - в access vlan222interface GigabitEthernet0/Vlan888
rename BELKA
description Belka_VID888
role inet
mac address factory wan
security-level public
ip address 172.30.30.30 255.255.255.224
ip dhcp client dns-routes
ip dhcp client name-servers
ip access-group _WEBADMIN_BELKA in
ip global 49149
igmp upstream
up
!
interface GigabitEthernet0/Vlan222
security-level private
ip address 172.16.17.1 255.255.255.0
ip dhcp client dns-routes
ip dhcp client name-servers
up
!
ip static tcp 172.30.30.0 255.255.255.224 2222 172.16.17.16 22
#####################
в vlan222 идут запросы на 22 порт, но прям от PC (172.30.30.1)Ну так если Vlan222 не сомтрит никуда еще кроме малины, ну поставьте вы на нем смело security-level private. И тогда проброс будет работать и автоматом все трансляции выполнятся.
-
на Wan порту trunk с vlan222 и vlan888? Есть ли возможность сделать на интерфейс GigabitEthernet0/Vlan222 security-level private? Сдается мне, что после этого проброс заработает корректно.
-
ip static - Создать правило трансляции локальных IP-адресов в глобальные или наоборот. Если interface или network соответствует интерфейсу c уровнем безопасности public, то будет выполняться трансляция адреса назначения (DNAT). Если to-address соответствует интерфейсу c уровнем безопасности public, то будет выполняться трансляция адреса источника (SNAT). У вас оба интерфейса public, как я уже написал. Какие в таком случае создаются правила при ip static не понятно. Скорее всего оба и dnat и snat. Я предлагаю не мутить тут проброс, а настроить МСЭ для доступа из одного интерфейса в другой, и обращаться по оригинальному адресу малины.
-
1 час назад, henry.pootel сказал:
Здравствуйте. Имеем keenetic, к нему подключен raspberry_pi к 4 порту. До кинетика могу добраться только по ssh. Нужно пробросить
любой порт (например 2222) на 22 порт raspberry. IP кинетика - 172.30.30.30/24 IP raspberry - 172.16.17.16/24
Имеем:
release: 2.16.D.11.0-1 hw_version: 15560000-A hw_id: ku_ra device: Keenetic Ultra
interface GigabitEthernet0/4 rename 4 switchport mode access switchport access vlan 222 up interface GigabitEthernet0/Vlan222 role inet for BELKA security-level public ip address 172.16.17.1 255.255.255.0 ip dhcp client dns-routes ip dhcp client name-servers up interface GigabitEthernet0/Vlan888 rename BELKA description Belka_VID888 role inet mac address factory wan security-level public ip address 172.30.30.30 255.255.255.224 ip dhcp client dns-routes ip dhcp client name-servers ip global 49149 igmp upstream up ip static tcp BELKA 2222 dc:a6:32:ac:16:b0 22 !LB
dc:a6:32:ac:16:b0 -- MAC raspberry
НЕ РАБОТАЕТ.
ssh -p 2222 root@172.30.30.30
ssh: connect to host 172.30.30.30 port 2222: Connection refused
На raspberry firewall нет, с кинетика пинг идет.P.S. Раньше, до инцидента, raspberry получал IP по dhcp (172.16.16.16/24 - кинетика адрес и пулл) из кинетика и все работало. Но добрый человек прописал на raspberry статический адрес 172.16.17.16/24 и теперь как-то надо попасть на raspberry по ssh.
У вас и PC и RPi находятся, судя по конфигу, за public интерфейсами. Между public интерфейсами связь закрыта. Вам нужно в МСЭ для начала разрешать доступы нужные
-
19 минут назад, AndyK сказал:
Рекомендуем абонентам роутеры Keenetic (Start/Lite/City и т.п.)
В последние дни столкнулись с массовым обращением абонентов с проблемами - не работает интернет (без доступа к сети), не зайти на веб управление даже после перезагрузки устройства.
Можно зайти только локально по telnet
В логе всё забито сообщениями
I [Jun 14 10:13:25] ndm: Http::Nginx: loaded SSL certificate for
"8e4d0036d5e6648fc616a3dd.keenetic.io".
E [Jun 14 10:13:25] ndm: Http::Nginx: there are errors in config, reconfigure.
E [Jun 14 10:13:25] ndm: Http::Manager: unable to update configuration, retry.
I [Jun 14 10:13:26] ndm: Http::Nginx: loaded SSL certificate for
"8e4d0036d5e6648fc616a3dd.keenetic.io".
E [Jun 14 10:13:26] ndm: Http::Nginx: there are errors in config, reconfigure.
E [Jun 14 10:13:26] ndm: Http::Manager: unable to update configuration, retry.
I [Jun 14 10:13:27] ndm: Http::Nginx: loaded SSL certificate for
"8e4d0036d5e6648fc616a3dd.keenetic.io".
E [Jun 14 10:13:27] ndm: Http::Nginx: there are errors in config, reconfigure.
E [Jun 14 10:13:27] ndm: Http::Manager: unable to update configuration, retry.
I [Jun 14 10:13:28] ndm: Http::Nginx: loaded SSL certificate for
"8e4d0036d5e6648fc616a3dd.keenetic.io".
На некоторых моделях даже не может отобразить конфиг
config)> show running-config
error: could not open
Помогает сброс в заводские (что как бы не очень радует)
(config)> show version
release: 3.05.C.6.0-0
sandbox: stable
title: 3.5.6
arch: mips
В общем недовольны мы роутерами Keenetic. Если такое будет повторятся, то ни покупать, ни советовать больше не будем их
Проблема известная. Достаточно обновить прошивку, сбрасывать не обязательно.
-
1 час назад, Soul сказал:
Добрый день. Не могу разобраться.
Есть Keenetic Giga 2, на роутера настроены две под сети 192.168.1.1 и 192.168.2.1. Два кинетика связаны тунелем, во второй подсети находится ПК с базой.
Возможно ли настроить RDP, с компьютера одной подсети в компьютер другой? Допустим с 192.168.1.10 на 192.168.2.10Возможно. Не совсем понятно из описания при чем здесь туннель, если вы пишете "на роутере настроены две под сети 192.168.1.1 и 192.168.2.1." Для доступа между сетями на одном роутере - добавляете правила межсетевого экрана. Если все же доступ нужен через туннель из сети одного роутера в сеть другого, то еще и маршруты понадобятся.
- 1
- 1
-
3 часа назад, Vadim Makhtarov сказал:
Вопрос: это ожидаемое поведение? Если я поставил XXX.XX.XX.XX как второй IP-адрес интерфейса, разве 1-е правило не должно корректно исполняться отовсюду? Я могу, конечно, делать для каждого перенаправления два правила, но вроде бы как оба IP являются частью интерфейса, потому 1-го правила должно по логике хватать (если я, конечно, ничего не путаю).
Сейчас посмотрел с помощью show netfilter в cli. Не смотря на то что в правилах вида как ваше первое указан входной интерфейс, в реальности под капотом в iptables создается правило без указания входного интерфейса. Правило создается просто с указанием destination ip, который определяется как адрес выбранного входного интерфейса. Т.е. создавая правило вида:
ip static udp ISP 59876 192.168.1.33
В реальности создается правило вида:
-A _NDM_STATIC_DNAT -d 172.25.25.15/32 -p udp -m udp --dport 59876 -j DNAT --to-destination 192.168.1.33:59876 - 172.25.25.15 это как раз ip адрес на интерфейсе ISP у меня.
Почему правило интерпретируется и создается именно так, а не с указанием входного интерфейса типа так: -A PREROUTING -i ens3 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.55.25, это вопрос к разработчикам. Получается что при создании правила берется ip адрес указанного интерфейса, но, видимо, не берется alias.
К слову, даже если бы правило создавалось c указанием входного интерфейса, ваше первое правило все равно не работало бы для пакетов внутри сети, т.к. пакет из внутренней сети приходит на роутер не на указанный вами интерфейс FastEthernet0/Vlan2, а на интерфейс Bridg0, к примеру. Так что, конкретно в вашем случае, остается создавать два правила, видимо.
-
55 минут назад, Nick007 сказал:
Вроде все хорошо, но работает не так как предполагалось изначально.
Я думал на R1(KN-1610) будут видны ПК за R2 и им можно будет резать скорость индивидуально.
А по факту R1 режет только интерфейс 10.10.10.2 - то есть для всех.
Ну для R1 эти ПК в другой сети. Чтобы он их видел должна быть L2 связность, насколько я понимаю. Смотря что умеет R2, можно сделать из него не маршрутизатор а бридж.
-
43 минуты назад, Nick007 сказал:
Я извиняюсь а почему не ip nat?
Заглянул сейчас в cli manual, вы правы, наверное в вашей ситуации можно и ip nat использовать.
ip nat 192.168.80.0/24
По идее в таком варианте, упомянутая мной проблема вас не коснется.
-
26 минут назад, Nick007 сказал:
Я извиняюсь а почему не ip nat?
ip nat про другое. Подробнее в cli manual
27 минут назад, Nick007 сказал:Не совсем доходит, что именно будет работать не так?
Вместе с правилом snat будет создано еще и правило dnat. Будет ли оно мешать нужно проверять, я не смотрел из каких цепочек есть прыжок на созданные таким образом правила dnat. Поэтому и предлагаю вам попробовать, команду я написал, если не заработает, команду отмены я тоже написал.
Кривой код страны WiFi
in Обмен опытом
Posted