keenet07

Сейчас нет возможности. Могу сказать, что сразу при активизации фильтра AdGuard и при первом же DNS запросе из локалки открывается целая связка DNS серверов. Которые у меня даже не прописаны нигде. Источник Адрес назначения Служба :59401 145.100.185.15 UDP/53 :59401 1.1.1.1 UDP/53 :59401 8.8.8.8 UDP/53 :59401 185.49.141.37 UDP/53 :59401 176.103.130.130 UDP/53 Это похоже на то что делает bootstrap для работы DOH? И вопрос делает ли он такое обращение всегда когда активен просто на всякий случай? Без учета выбран ли какой-то реальный фильтр и без учета активирован ли DOH? Если да, тогда всё понятно. Если не должен так делать, тогда нужно исправить.

@Le ecureuil А что по моему вопросу повыше? Настройки у меня такие: available: yes port: 53 doh-supported: no doh-available: yes dot-supported: yes dot-available: yes Но вижу активность с 53.

На счёт включения и выключения с галочки согласен. А на счёт нередактируемых предустановок серверов нет.

Установлен и настроен DOT. DOH не установлен. Активировал фильтр AdGuard DNS и выбрал в нем "без фильтрации", просто чтобы завернуть все прямые обращения к DNS по 53 на DOT. В Активных соединениях в Диагностике вижу различные исходящие обращения на 53 порт. Откуда они берутся? Что это такое? Без AdGuard такого не было. Если бы у меня был установлен DOH, подумал бы на bootstrap. А так кто там ещё напрямую пролазит? Сам AdGuard тоже для чего то использует bootstrap? Зачем он ему DOH всё-равно не установлен? Как вылечить?

Точно. Скорее всего. ) Я сам только на DOT у меня этого не требуется. )

Такого быть не должно. Вероятно вы смотрите не тот интерфейс в Активных соединениях. Когда активирован DOH других запросов инициированных роутером по 53 быть не должно. Поэтому могу предположить, что это у вас либо интерфейс ПК за натом, либо мобильника которые отправляют прямые обращения на гугл DNS в открытом виде. Чтобы такого не происходило нужно установить Интернет-фильтр AdGuard и он будет заворачивать все запросы на DNS роутера.

В меню Диагностика - Активные соединения найдите ваш интерфейс выхода в интернет и там должны быть коннекты на 8.8.8.8 (или другой гугловский ip) порт 443. Никаких соединений на 53 порт.

UDP-прокси вам не подойдет? Он ретранслирует мультикаст каналы по http

Ну с чем вы спорите? Вам лично не нужна такая информация. А многим нужна. Кто-то привык жить и не замечать того что вокруг происходит. А кто-то обращает внимание на всё. То что это где-то в логе есть который хранится всего около суток вообще никого не интересует. Кто будет каждый день заглядывать в этот лог? Или какие-то syslog ставить. Я ни разу по этому логу не видел подобного события. Хотя и не факт что их не было. Что я буду делать с этой информацией? Буду видеть, что кто-то проявляет какой-то интерес к моему устройству. С каких адресов. Буду видеть, что устройство благополучно банит эти адреса и MACи и пресекает попытки. Буду видеть текущие забаненые адреса и если задано, то и время до разбана. Смогу оттуда же вручную разбанить возможно ошибочно добавленный адрес либо все сразу. Буду вовремя обо всё информирован.

Хорошо. Я понимаю, что полноценного фаервола и IDS из роутера пока скорее всего не выйдет. Отбросим это. Но вторую часть просьбы вполне можно реализовать. Не называть это громкими словами "Форпост безопасности". Выделить страничку где будут фиксироваться сообщения о попытках ввода неверного пароля в админку, к WiFi и к другим сервисам роутера. Чтоб тут же была гибкая настройка политики для этих событий. Допустим какое-то вол-во попыток за какое-то время зарегистрировать, как попытку перебора. И выбор действий. Просто уведомить, либо бан IP на выбранный срок, либо бан MAC если это исходит из WIFI или локалки. Возможность как-то просигнализировать об этом админу. Либо алерт, либо mail, мигание светодиода. Добавить сюда политику изменения паролей. Например, чтоб напоминала периодически менять установленные пароли. (опционально) Так же было бы интересно отдельно фиксировать MACи всех устройств попадающих в зону действия вайфая и так, чтоб с датой и временем. Полезно было бы. Реализовать запуск определенных сценариев, например переконфигурацию маршрутизатора по какому-либо сценарию, как только появляется определенный MAC в зоне действия сети. Тут вообще фантазия не знает границ чего можно придумать. По уже знакомым макам можно будет понимать кто к вам и когда приходил. (это вообще можно в отдельное предложение вынести)

А почему 10.1.0.2? Это же наверное адрес клиента. Вам нужно через адрес сервера пустить. Он наверное у вас 10.1.0.1? Ну вообще попробуйте оба варианта по отдельности.

Так же не забудьте добавить входящие разрешающие правила в Межсетевом экране. Т.к. скорее всего входящие в сторону клиента закрыты в целях безопасности.

Как вариант. Если вообще подключится через подсеть OpenVPN. Может быть потребуется Aliace прописывать. ))

А что-нибудь вроде ip nat <интерфейс OpenVPN клиента> не сработает для включения NAT?

Туннель в туннеле чтоли? )

Ну конечно инета не будет. На клиентской части же нет NAT.

Вообще это очень странный фаервол - наоборот. Называется заходите гости дорогие. Скачивайте что хотите.

Значит что-то где-то вы упустили в настройке. Должно работать по вашей схеме. С OpenVPN будет сложнее. Хотите сервер на ПК поставить?

Должен быть настроен KeenDNS на роутере и всё заработает. Там ничего сложного.

А этот шлюз выпустит вас по произвольному адресу на https? Не включенному в черный список. Если да, то лучше дома SSTP сервер настроить он по 443 работает и не заметен никак прокси, ни как VPN.

Ну значит ждите, пока кто-нибудь здесь напишет инструкцию со скриншотами. Лично я пока себе ещё этот VPN не настраивал, потому-что он ещё допиливается. Вот если бы вы хотя бы начали что-то делать и у вас что-то не получалось. И вы задавали бы конкретные вопросы. Тогда другое дело. А так...

Не обижайтесь, но вот это написано на главной странице форума: Форум Keenetic Community поддерживается разработчиками ПО интернет-центров Keenetic (KeeneticOS). Мы активно принимаем участие в беседах на форуме, потому что лично хотим сделать наши устройства лучше, исправляя проблемы и недочеты, а также добавляя новые функции. Подразумевается, что на нашем форуме пишут люди заинтересованные и технически подкованные, способные на минимальный анализ происходящего и готовые к нестандартным способам отладки. Если вы не ощущаете в себе сил и желания разбираться в проблеме досконально, помогать это делать нам и ждать результата — пожалуйста, не тратьте здесь время. Поручите это специальным людям — официальной поддержке help.keenetic.net. С теми вопросами по настройке VPN которые вы задавали вполне справляется официальная тех.поддержка. Но по WireGuard вам не помогут даже они. Потому-что технология для прошивки ещё только первый день как перешла из альфы в бету.

Эта функция несколько дней как появилась в прошивке. Какая инструкция? Всё что есть это то что в этой и в смежной ветке по теме. И если у человека с l2tp/ipsec какие-то непонятки были, то сюда лезть, до появления полной инструкции наверное точно не стоит.

Почитайте вот в этой теме последние несколько сообщений, как раз по вашему вопросу. В качестве резюме: наличие возможности использования готового конфига (файлы .ovpn) для настройки VPN сервера и клиента сильно унифицируют и упрощают перенос настроек практически между любыми серверами и клиентами настроенными по стандартам OpenVPN. В остальном, в текущей реализации присутствует полный функционал OpenVPN.

@ndm А можно всё-таки спросить, что именно отключает эта команда? Сбор телеметрии или диагностики если угодно задача довольно не тривиальная. И механизмы для этого могут находиться глубоко в коде каждого рабочего модуля. Которые в свою очередь пишут какие-то действия или состояния в определенные логи. Сам скрипт/программа Диагностического модуля в какой-то момент собирает эти данные, возможно упаковывает и только потом отправляет на сервера. Это моё представление сего процесса. Либо работа диагностического модуля может быть ограничена только лишь отработкой определенного сценария типа, проверки текущего состояния, сбора некоторых логов, записи дампов, упаковки и отправки. Расскажите пожалуйста, что именно делает команда system dump-report disable? Выпилить код из модулей она точно не может. Вырубает подпрограмму Диагностического модуля или просто останавливает отправку данных на сервер? Просто интересно. )