Werld
Forum Members-
Posts
436 -
Joined
-
Last visited
-
Days Won
6
Werld last won the day on October 6 2022
Werld had the most liked content!
Equipment
-
Keenetic
Viva KN-1910, Lite KN-1311
Recent Profile Visitors
2,561 profile views
Werld's Achievements
Honored Flooder (5/5)
170
Reputation
-
-
У кинетика реализован SNTP сервер. SNTP основан на NTPv3. Как видно из ваших же скриншотов в захваченных пакетах, то при успешных синхронизациях используется ntp version 3, а при неудачных ntp version 1. Винда умеет в sntp, но при использовании консольной утилиты w32tm, видимо, всегда используется ntp version 1. А если добавить сервер, как ниписал выше @PASPARTU, то винда будет успешно синхронизировать время, видимо перебирая версии ntp.
-
https://help.keenetic.com/hc/ru/articles/360001740099-Как-заблокировать-доступ-к-определенному-сайту- Способ 4 в статье.
-
Это не странная схема, а установленная разработчиками логика работы. Для впн-клиентов форвард разрешен только в интерфейсы с признаком ip global (галочка "Использовать для выхода в интернет"), иначе форвард запрещен. Если по какой-то причине не хотите ставить эту галочку, создавайте вручную правила разрешающие нужный вам форвард (делается через cli), примеры как раз в теме по ссылке.
-
Пару лет назад уже создавал тему в развитии. Предлагаю всем заинтересованным голосовать.
-
Да, можно. Такая схема называется Router-on-a-Stick. Отдельной статьи в базе знаний, расписывающей настройки именно такой схемы, нет, но есть статья, из которой вы сможете почерпнуть примеры настройки vlan на кинетике. Ну а остальное - дело техники. Кроме того, можно обратиться в техподдержку. Думаю, они смогут вам помочь с настройкой.
-
KN-1410 отключить SNAT для маршрутов в локальную сеть
Werld replied to elfinith's question in Обмен опытом
Это, насколько я понимаю, nat loopback (hairpin nat). Есть ли возможность его отключать лучше спросить у техподдержки. Но даже если окажется, что такая возможность есть, нужно понимать зачем нужен nat loopback и к чему приведет его отключение. -
KN-1410 отключить SNAT для маршрутов в локальную сеть
Werld replied to elfinith's question in Обмен опытом
В cli кинетика выполнить: no ip nat Home - отключает snat для всех пакетов из сети Home. ip static Home ISP - включаем snat для пакетов из сети Home, уходящих в интерфейс ISP. Если соединение с провайдером организвано по протоколу pppoe, то еще понадобится правило ip static Home PPPoE0. Подробнее по всем командам в cli-manual. -
Такое правило нужно было бы добавлять на in для интерфейса впн-клиента. Но, к сожалению, применять правила для интерфейсов впн-клиентов в текущей реализации keenetic os невозможно. Поэтому ограничить доступ именно к ресурсам самого роутера, для впн клиента средствами межсетевого экрана нельзя. Используйте отдельную учетку для впн-клиентов и не сообщайте им учетки для доступа к к шарам роутера и другим сервисам.
-
Будет ли работать Wi-Fi Mesh, если DHCP-сервер не в меше
Werld replied to a 2's question in Обмен опытом
https://help.keenetic.com/hc/ru/articles/360014436120-Возможно-ли-использовать-контроллер-Wi-Fi-системы-в-режиме-обычной-точки-доступа- -
Маршрутизация между L2TP/IPSEC и Wireguard
Werld replied to mburyakov's topic in Обсуждение IPsec, OpenVPN и других туннелей
В кинетикОС у интерфейсов есть такая характеристика как security-level. Если у интерфейса security-level private, то на него разрешены входящие. Если seciruty-level public, то входящие запрещены. Из интерфейса с security-level private разрешен форвард в интерфейс с security-level public. Из public в private - нет. Между интерфейсами c security-level private форвард, по-умолчанию, тоже запрещен. От впн-клиентов l2tp, sstp и pptp серверов разрешен форвард в интерфейс, указанный в настройках в пункте "Доступ к сети", а также к любым интерфейсам с security-level public и признаком ip global (это галочка в настройках интерфейса "Использовать для выхода в интернет"). У любого создаваемого интерфейса по умолчанию seciruty-levle public. Так и у созданного вами wireguard интерфейса, если вы сами не меняли руками. Если у такого public wireguard интерфейса выставить в настройках галочку "Использовать для выхода в интернет" (признак ip global), то создавать разрешающие правила черел cli бы не пришлось. Подробнее можно почитать в базе знаний: https://help.keenetic.com/hc/ru/articles/360001434079 -
Маршрутизация между L2TP/IPSEC и Wireguard
Werld replied to mburyakov's topic in Обсуждение IPsec, OpenVPN и других туннелей
Обратите внимание на это сообщение. Только вам нужно будет привязывать acl к интерфейсу Wireguard, а не Bridge, но точно так же на OUT. Ну и сами правила в acl'e у вас должны быть разрешающие. Например permit ip 192.168.1.32/27 0.0.0.0/0 -
Использование ethernet портов в режиме повторителя
Werld replied to artitrue's question in Обмен опытом
Можно -
L2TP/IPsec сервер
Werld replied to Le ecureuil's topic in Обсуждение IPsec, OpenVPN и других туннелей
Потому что вы создаете правило для пакетов, у которых входящий интерфейс Bridge. У пакетов от vpn-клиентов входящий интерфейс ppp, а Bridge - исходящий. Через веб вам такое правило не создать, только в cli. Создаете acl и привязываете его к нужному bridge на out. Команды средующие: access-list vpn - создаем acl с именем "vpn" deny tcp 192.168.1.64/27 192.168.1.1/32 port range 80 443 - например, создаем правило запрещающее tcp с адресов 192.168.1.64/27 на адрес 192.168.1.1 на порты в диапазоне 80-443. Вам нужно правило для адресов, l2tp клиентов, которым нужно запретить доступ, также нужно указать нужные вам протоколы и порты. Можно создать несколько правил. exit - Выходим из подгруппы команд создания acl interface Bridge0 ip access-group vpn out - Привязываем acl с именем vpn на out к интерфейсу, к которому включен доступ в настройках l2tp сервера. По умолчанию это "Домашняя сеть", то есть Bridge0. system configuration save