keenet07

@Николай30Я об этом написал. Таймер действительно может быть не только для гостевой, куда входить можно будет, как с паролем, так и без, не принципиально. Но и для основной. Создание расписания не всегда быстро и удобно. Иногда проще было бы поставить таймер, например на использование ТВ-приставки.Или ограничения пользования интернетом детьми. Расписание не покрывает все сценарии включения и выключения доступа.

Нужно какое-то решение которое бы позволило давать человеку (устройству по MAC) доступ в интернет на определенное время задаваемое таймером. Например включил доступ для друга на 1 час. Или до конца дня. И не паришься с тем чтобы создавать какое-то одноразовое расписание, а потом отключать его вручную. Чтоб работало по принципу "дал и забыл". Так же можно сделать таймер отключения гостевой сети. Это, если требуется дать доступ неопределенному кругу лиц на время и не забыть отключить. Это мне даже чаще требуется.

Очень не хватает истории последних MAC-адресов подключающихся к устройству. Но не разбросанной по логу. А компактно в одном месте. Если с датой и временем то вообще супер.

Ну что? Всё ещё думаете? Вот в довесок, было бы интересно отдельно фиксировать MACи всех устройств попадающих в зону действия вайфая и так, чтоб с датой и временем. Полезно было бы. Так же можно реализовать запуск определенных сценариев, например переконфигурацию маршрутизатора по какому-либо сценарию, как только появляется определенный MAC в зоне действия сети. Тут вообще фантазия не знает границ чего можно придумать.

Это как? Сидишь в админке и у тебя всплывающее сообщение. Клиент такой-то подключился на таком-то интерфейсе? И другие полезные события? И чтоб можно было выбирать о каких событиях уведомлять, а о каких нет?

А адреса устройств разведены? По умолчанию оба устройства должны занимать адрес 192.168.1.1 Вы на кинетик на какой адрес коннектитесь? По вай-фай это работает потому-что там другая подсеть и она через свой шлюз всё прогоняет. Что если сделать кинетику домашнюю сеть в другом диапазоне. например 10. и коннектиться уже на 192.168.10.1

А кинетик подключен через wan или через lan интерфейс? Если через wan, то ничего удивительного. Локалка gpon роутера является внешней сетью для кинетика, соответственно на кинетике нужно разрешить поключения на него извне. Содайте в кинетике правило переадресации с Провайдер (WAN) на 192.168.1.1 (шлюз локалки роутера) с 80 на 80 порт. Или активируйте Облачная служба Keenetic Cloud. А есть, оказывается, проще способ. в Пункте меню Пользователи и доступ, поставите галочку на Разрешить доступ из Интернета по HTTP

Ну а пока нашел компромиссный вариант. Добавляем маршрут. И активируем или дезактивируем его путем смены интерфейса. Т.е. выбираем интерфейс Провайдера, для работы в обычном режиме. Или выбираем интерфейс VPN для работы через него. Осталось только поле Описание добавить.

Честно говоря, замучился на время добавлять, а потом удалять некоторые правила(маршруты) в Маршрутизации. А необходимость такая есть. И каждый раз выяснять IP для сайта или вспоминать маску или нужный тоннель. Было бы удобно один раз написать маршрут, добавить к нему описание для чего он нужен, и по необходимости просто включать или выключать его, как это реализовано для правил в Переадресации.

Пробовали перезагрузить Кинетик после отключения UPNP на камере? Иногда старые автоматически созданные правила переадресации могут остаться активными. Их вы и видите в нижнем списке. Ну и разрешите вход на Кинетик извне.

А как вы смотрите на то, чтобы сделать в web-интерфейсе роутера дополнительный подраздел, что-то вроде "Отчеты безопасности" где собирать и выводить какую-то статистику например по произведенным на роутер сетевым атакам со стороны WAN, выводить отчеты по попыткам сканирования какого-либо перечня опасных портов? А также выводить там все попытки перебора пароля в админку и к другим службам роутера. Попытки перебора паролей Wi-Fi. Ну и конечно же сделать удобный способ бана этих адресов, как в автоматическом, там и в ручном режиме. Этакий форпост безопасности будет. Думаю железо это не нагрузит. А фишка у роутера офигенная будет. Сразу его на голову выше аналогов поднимет. Я понимаю, что какие-то из этих функций уже частично реализованы в том или ином виде. Но пора уже собрать всё это в одном месте. По моему в наше время штука достаточно актуальная. А в перспективе развития различных ботнетов просто необходимая. Так же на любую активность из предложенного списка можно сделать сигнализацию на выбранный светодиод на корпусе роутера. Чтоб вовремя заметить. Или почтовые алерты замутить. Можно так же добавить сюда политику изменения паролей. Например, чтоб напоминала периодически менять установленные пароли.

@Nik RЧем затея закончилась?

Тогда уж лучше полную кастомизацию блоков. Какой куда хочешь, туда и прикрепляешь. Потому-что одному нравится, другому нет. Одному нужно, другому не нужно. Если сделать это в виде блоков (листочков с иголочкой), типа закрепил/открепил. То в перспективе даже можно будет добавлять сюда дополнительные блоки, например со статистикой для VPN серверов или чего-либо ещё полезного. Нажал на небольшой значок настроек панелек и выбрал там, какие отображать, какие нет.

Вот тут я тоже пытался понять, как это работает.

@Александр Рыжов Поясните пожалуйста, как работает ваше решение из первого поста? Почему на локальный ПК приходят UDP пакеты на порт 5353. Почему вся переадресация не происходит внутри кинетика? При блокировке активности на порту 5353 на ПК, схема перестает работать совсем.

@Александр Рыжов А есть от этого какой-то эффект? Провайдеры не мониторят нестандартные порты известных DNS серверов? Или их не анализирует оборудование? Есть не стандартный порт для 1.1.1.1? Не могу найти.

Разобрался с обеими проблемами. Теперь правила для исходящих на интерфейсе провайдера можно добавлять также в веб-интерфейсе роутера. Добавил в Межсетевом экране web-интерфейса ещё одну вкладку, назвал "ISP out". Что для этого нужно было сделать: 1) Выгружаем текущую конфигурацию startup-config.txt и делаем его резервную копию, на случай, если вы чего-то напортачите, чтоб вернуться к исходной конфигурации. 2) В веб-интерфейсе в Других подключениях создаем любое VPN соединение. Называем его к примеру "ISP out". Остальное заполняем любыми данными и сохраняем. Отключаем его. Этим действием в startup-config.txt у нас создаются необходимы параметры. 3) И в Межсетевом экране появляется новая вкладка "ISP out". В ней в будущем и будем добавлять все правила для исходящих на ISP. Создаем в этой вкладке любое правило, главное, чтоб вы его потом смогли опознать в файле конфига. К примеру в качестве ip адреса назначения вписываем 111.111.111.111 4) Теперь выгружаем файл startup-config.txt в Общих настройках. Открываем выгруженный файл любым удобным текстовым редактором и находим блок в котором есть строчка с адресом 111.111.111.111 Выглядит это примерно вот так: ! access-list _WEBADMIN_L2TP1 deny tcp 0.0.0.0 0.0.0.0 111.111.111.111 255.255.255.255 deny disable ! Это список правил для созданного нами интерфейса VPN. Копируем отсюда только название самого листа _WEBADMIN_L2TP1. У вас может называться немного иначе. Зависит от типа созданного VPN и его порядкового номера. 5) Далее ищем в файле блок примерно следующего содержания: ! interface GigabitEthernet1 rename ISP description MyISP mac address aa:aa:aa:aa:aa:aa mac address factory wan security-level public ip address x.x.x.x x.x.x.x ip dhcp client hostname Keenetic_Giga ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1500 ip access-group _WEBADMIN_ISP in ip global 700 igmp upstream up ! Где description это название вашего провайдера в том виде как вы его прописали. По умолчанию вроде было слово Провайдер. Строчка "ip access-group _WEBADMIN_ISP in" у вас может отсутствовать, если вы не создавали ранее никаких правил для входящих Провайдера. В общем либо под ней, либо в том месте, где она расположена на моем образце добавляем сточку: ip access-group _WEBADMIN_L2TP1 out где _WEBADMIN_L2TP1 это имя листа с правилам которое мы нашли чуть ранее. Параметр out, соответственно, исходящие соединения. В общем получается, что-то вроде: ! interface GigabitEthernet1 rename ISP description MyISP mac address aa:aa:aa:aa:aa:aa mac address factory wan security-level public ip address x.x.x.x x.x.x.x ip dhcp client hostname Keenetic_Giga ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1500 ip access-group _WEBADMIN_ISP in ip access-group _WEBADMIN_L2TP1 out ip global 700 igmp upstream up ! 6) Сохраняем файл и загружаем его в роутер, как startup-config. Роутер перезагружается. И всё. теперь у вас есть рабочая новая вкладка в Межсетевом экране, где можно добавлять правила для исходящих на интерфейсе провайдера. 7) Созданное ранее правило с 111.111.111.111 можно удалить или заменить на любое своё. А вот VPN (ISP out) ни в коем случае не удаляем. Таким же образом можно добавить вкладки с правилами для исходящих для любого интерфейса. PS: Если у вас для подключения интернета используется дополнительное соединение (PPPOE или модем), то строчку "ip access-group _WEBADMIN_L2TP1 out" нужно добавлять именно в нем. PPS: Если бы программисты @Le ecureuil сделали универсальные правила с возможностью выбора входящие/исходящие, не пришлось бы так изворачиваться. А ещё пришлось создавать несколько запрещающих правил для одного узла, чтоб полностью весь трафик перекрыть. (TCP, UDP, ICMP). Вот было бы возможно в веб-нитерфейсе как-нибудь всё это невпихуемое впихнуть в одно правило.

1. Да. Мне это известно. Собственно пришёл сюда за готовым образцом команды. Нужно правило для исходящих на определенный узел на интерфейсе провайдера. Кому не сложно, набросайте. ) 2. И кстати, вопрос. Почему отказались или ещё не реализовали такую возможность в веб-интерфейсе?

Необходимо реализовать следующую схему. На роутере в "Другие подключения" подключен VPN. В "Маршрутизации" создан Статический маршрут для определенного IP (узел в интернете), чтоб он работал через этот VPN. Это всё работает прекрасно. Из домашней сети можно обращаться к узлу через VPN. При отключении VPN доступ к этому узлу сразу начинает проходить через WAN соединение провайдера, т.е. напрямую. Задача: запретить прямое прохождение трафика к узлу при разрыве VPN соединения. Но чтобы при активном VPN соединении этот трафик шел через него. Если создать запрещающее правило в Межсетевом экране для узла на интерфейсе Домашняя сеть. То доступ к узлу перекрывается полностью. В том числе и через VPN. Если создать то же правило на интерфейсе провайдера, оно не работает как нужно. Трафик из Домашней сети проходит напрямую к узлу. Потому-что Межсетевой экран в веб-интерфейсе может блокировать только входящие соединения. И есть приоритет NAT. Т.е. запрос к узлу спокойно проходит через NAT и выходит по каналу провайдера. Вопрос. Как запретить исходящий трафик через интерфейс провайдера к этому узлу, но при этом, чтобы он спокойно проходил через VPN когда он подключен?

Некоторые HDD и сами на уровне прошивки умеют парковать головки при бездействии. Только вот люди предпочитают такой функционал отключать. HDD проработает гораздо больше если его поминимуму отключать, чтоб не было старт-стопов и всяких парковок. И на Windows есть всякие энергосберегающие функции постоянно отключающие бездействующие HDD. Тоже лучше отключить. Во всяком случае для ПК.

Всё это конечно классно. Но долго разбираться нужно. Есть способ для ленивых. Никаких OPKG, телнетов и установки сторонних пакетов не требуется. Всё настраивается в web-интерфейсе роутера. Если у вас используется какое-нибудь PPPOE или VPN соединение для входа в инет, перенастраиваем его чтоб подключалось по IP. Провайдерские DNS везде убираем. В клиенте роутера настраиваем любой бесплатный VPN по IP адресу с шифрованием. (выбирайте стабильный, чтоб соединение не разрывалось часто). Прописываем на вкладке Интернет-Фильтр гугловские или клаудовские DNS сервера в роутере и там же выбираем "Подключение" через вашу бесплатную VPN. Тем самым заворачиваем работу DNS на этот VPN тунель. И всё. Весь DNS трафик спрятан. У данного решения есть rконечно и свои минусы. За то предельно просто.

Но т.к. я не подключал облако, мой домен запаркован на один из адресов компании, по которому также открывается основной сайт кинетик.ком Всё верно? Трассировка, кстати обрывается. Проверил из онлайн сервиса.

Круто. А куда приведёт трассировка на мой адрес в домене io за пределами самого устройства?

Да. Ошибся. Трассировка 1 хоп. А адрес пишет внешний интернетовский. Т.е. всё остается внутри устройства. Немного не понял только для чего этот хитрый адрес в домене io, если он мог бы просто внутри себя редиректить на свой локальный адрес?

Как это работает? У меня открылась https страница с кучей цифр и букв вначале и доменом .keenetic.io И в ней стандартная морда входа в кинетик с просьбой залогиниться. Трассировка уходит в германию. Как через эту штуку я попал бы в своё устройство?