Werld
Forum Members-
Posts
436 -
Joined
-
Last visited
-
Days Won
6
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Everything posted by Werld
-
Межсетевой экран и VPN
Werld replied to totoshka's topic in Обсуждение IPsec, OpenVPN и других туннелей
Извините, а что вас смущает, работает же? Сделано верно. Более того, имхо в рамках возможностей прошивки, такой способ единственный в данной ситуации. -
Клиент VPN PPTP --> Wireguard тоннель
Werld replied to Froller's topic in Обсуждение IPsec, OpenVPN и других туннелей
Security-level какой у впн интерфейса на роутере впн-клиенте? Если public, то нужно разрешающее правило в межсетевом экране. По идее ip global никак не влияет на security-level, хотя возможно его установка выставила интерфейсу уровень public. -
Поддержка IPsec и crypto engine hardware
Werld replied to KorDen's topic in Обсуждение IPsec, OpenVPN и других туннелей
На Старте стоит МТ7628 там аппаратно ускоряется не полностью весь ipsec, а только шифрование AES. -
Клиент VPN PPTP --> Wireguard тоннель
Werld replied to Froller's topic in Обсуждение IPsec, OpenVPN и других туннелей
Не совсем понял, нет доступа из сети сервера в сеть клиента? И что значит "в таком случае"? Без признака ip global доступ из второй сети есть? -
Клиент VPN PPTP --> Wireguard тоннель
Werld replied to Froller's topic in Обсуждение IPsec, OpenVPN и других туннелей
Чтобы клиентов впн-сервера кинетика пускало по маршруту в исходящее с этого роутера впн-соединение, нужно чтобы на этом исходящем впн-интерфейсе был признак ip global (в веб-интерфейсе галочка "Использовать для выхода в интернет") Только убедитесь, что приоритет ip global на этом интерфейсе ниже основного соединения к провайдеру, чтобы через впн не шел весь трафик. У вас аналогично, убедитесь в наличие признака ip global на wg интерфейсе. Есть альтернативный способ, не требующий ip global, т.е. не требующий выставления галочки "Использовать для выхода в интернет". Этот способ заключается в навешивании ACL с разрешающими правилами на исходящий впн-интерфейс на out. Но делается это через cli, поэтому вам проще поставить одну галочку и все. -
-
Я веду к тому, что видимо недостаточно только того, что вы разрешили, хотя на первый взгляд и не могу сказать чего не хватает. Вообще смысла в ваших правилах нет. Безопасности они не прибавили от слова совсем. В межсетевом экране по умолчанию созданы нужные разрешения для работы нужных впн-серверов, а в конце стоит дроп всего, что не разрешено. Своими правилами Вы по сути пытаетесь дублировать этот функционал.
-
Не знаю. Никаким особым левелом не обладаю, однако имея ноль знаний о wireguard, прочитал и теперь использую без вопросов. И в кинетике и на vps'ке на линухе. Я не говорю, что там нужно понять всю внутреннюю кухню устройства протокола, но базовые принципы, endpoint'ы, allowed ip и т.д. там расписаны очень хорошо, вопросов не возникло.
-
https://help.keenetic.com/hc/ru/articles/115003690689-Какой-интервал-используется-для-обновления-ключей-rekey-interval-между-клиентом-и-точкой-доступа-Wi-Fi-
-
Каждый сегмент - это отдельный бридж, то есть l2 связность, то есть "широковещательный домен". Это не прихоть разработчиков, что dhcp (по сути броадкаст) работает только в пределах широковещательного домена. Это концептуально так, это основа сетевых взаимодействий. Так что тут не в переделывании логики дело. Как я вам выше показал, вы можете разбить подсети и привязать их на разные бриджы, но это не имеет смысла, т.к. l2 связности между бриджами это все равно не даст, да и не может дать. А l3 связность можно получить и без извращений с разбиением 24ой сетки на подсети для сегментов.
-
Если грамотно разбить на подсети 24-ую сеть, то возможно привязать на разные сегменты. Например: Домашняя сеть: И в тоже время гостевая сеть: Так можно сделать уже сейчас, можете проверить. Зачем так делать, это другой вопрос. Смысла, конечно, мало. Да и ТС спрашивает не об этом. Он просит один сквозной dhcp с одним пулом на два бриджа. А это принципиально невозможно.
-
В начале вы упоминаете vps'ку c ikev2/ipsec сервером, при этом кто к ней подключен и какое она вообще имеет отношение, никакой информации. intel nuc с win 10 - дома или на работе? Что значит "wi-fi - интернет. ethernet - провод от keenetic" по wifi интернет не от кинетика, а от куда? Рисуйте схему, потому что вообще ничего не понятно.
- 1 reply
-
- 1
-
В cli с помощью команды show netfilter можно посмотреть все текущие правила. В filter->INPUT есть правило вида -A INPUT -m conntrack --ctstate DNAT -j ACCEPT . Правила межсетевого экрана созданные через веб-морду располагаются выше приведенного правила. Соответственно, вам нужно в межсетевом экране создать два правила. В первом нужно разрешить доступ к пробрасываемому порту для нужных IP. Во втором запретить доступ к этому порту всем. Разумеется, порт надо указывать тот, который уже после DNAT преобразования. Поднобнее об устройстве МСЭ в keenetic здесь, здесь и здесь.
-
ip static tcp ISP 443 185.0.0.1 443 - работает. Если посмотреть show netfilter, можно увидеть, что правило создается: src: 0.0.0.0/0, dst: х.х.х.х/32, in: "*", out: "*", proto: "TCP"; "tcp" match, mask: , cmp: , dport: 443; DNAT, address: 185.0.0.1, port: 443 Это правило аналог того, что приведено на вашем скрине с микротика. Так что копайте дальше, что вообще должно происходить по вашему? Может у вас микротик еще и snat выполнял, чтобы ответные пакеты от 185.0.0.1 шли к нему? Иначе ответные пакеты от 185.0.0.1 пойдут в соответствии с его таблицей маршрутизации во внешний интернет. Что вообще вы пытаетесь получить таким перенаправлением?
-
https://forum.keenetic.net/announcement/5-где-взять-тестовые-прошивки/
-
Согласен. Особенно учитывая, что под капотом то по сути нетфильтр, где все это элементарно выполняется. Ну, допустим, есть проблема с интерпретацией команды ip static, слишком она сложная и универсальная, ну так сделали бы две отдельные ip snat и ip dnat.
-
Ничего себе какие дела. Очень плохо, что такие замечания к работе не записаны в cli manual'e. Полагаю, в данном конкретном случае, должна сработать как нужно только ip static Wireguard0 PPPoE0
-
Тут пришло в голову. Раз у вас интерфейс wireguard, так сделайте ip static Wireguard0 PPPoE0