[Настройка DoT/DoH]

@Le ecureuil А что по моему вопросу повыше? 

Настройки у меня такие:

available: yes
            port: 53
    doh-supported: no
    doh-available: yes
    dot-supported: yes
    dot-available: yes 

Но вижу активность с 53.

[Настройка DoT/DoH]

5 минут назад, Classic сказал:

Есть возможность реализовать в web интерфейсе такую фичу для DoH, DoT?

На счёт включения и выключения с галочки согласен. А на счёт нередактируемых предустановок серверов нет.

[Меню Интернет-фильтр, постоянное предупреждение при выходе]

Перешёл на 3.3 beta 1. Там подобной проблемы нет.

[Настройка DoT/DoH]

Установлен и настроен DOT.

DOH не установлен.

Активировал фильтр AdGuard DNS и выбрал в нем "без фильтрации", просто чтобы завернуть все прямые обращения к DNS по 53 на DOT.

В Активных соединениях в Диагностике вижу различные исходящие обращения на 53 порт. Откуда они берутся? Что это такое? Без AdGuard такого не было.

Если бы у меня был установлен DOH, подумал бы на bootstrap. А так кто там ещё напрямую пролазит? Сам AdGuard тоже для чего то использует bootstrap? Зачем он ему DOH всё-равно не установлен? Как вылечить?

[Настройка DoT/DoH]

2 минуты назад, r13 сказал:

Там bootstrap идет через plain dns гугла что бы сам doh сервер отрезолвить в ip.

Точно. Скорее всего. ) Я сам только на DOT у меня этого не требуется. )

[Настройка DoT/DoH]

Такого быть не должно. Вероятно вы смотрите не тот интерфейс в Активных соединениях. Когда активирован DOH других запросов инициированных роутером по 53 быть не должно. Поэтому могу предположить, что это у вас либо интерфейс ПК за натом, либо мобильника которые отправляют прямые обращения на гугл DNS в открытом виде. Чтобы такого не происходило нужно установить Интернет-фильтр AdGuard и он будет заворачивать все запросы на DNS роутера.

[Настройка DoT/DoH]

В меню Диагностика - Активные соединения найдите ваш интерфейс выхода в интернет и там должны быть коннекты на 8.8.8.8 (или другой гугловский ip) порт 443. Никаких соединений на 53 порт.

[Подключение Wireguard]

Да вы товарищи зажрались. Человек набросал вам инструкцию которую многие так просили, а вы ещё копаетесь. Конфиг для клиента там есть. Используйте эту информацию в любом своем клиенте. Что было у человека под рукой, то и показал.

Официальный мануал наверное не ранее stable версии прошивки выйдет.

[Помогите поднять VPN по новой сверхбыстрой технологии WireGuard]

3 часа назад, Roman Balaev сказал:

там скорости уже не те. ясно понятно а я то думал мультикаст там ходить должен(

UDP-прокси вам не подойдет? Он ретранслирует мультикаст каналы по http

[Создать новый раздел Отчеты безопасности в web-интерфейсе.]

1 час назад, Александр Рыжов сказал:

Всё это реализовано без дополнительной веб-странички и отлично работает. И в логе посмотреть можно и подкрутить при желании.

Повторюсь, что вы будете делать с собранной информацией? Как вы отреагируете на десять попыток подбора пароля из Эфиопии? Просто интересны дальнейшие действия.

Ну с чем вы спорите?

Вам лично не нужна такая информация. А многим нужна. Кто-то привык жить и не замечать того что вокруг происходит. А кто-то обращает внимание на всё.

То что это где-то в логе есть который хранится всего около суток вообще никого не интересует. Кто будет каждый день заглядывать в этот лог? Или какие-то syslog ставить. Я ни разу по этому логу не видел подобного события. Хотя и не факт что их не было.

Что я буду делать с этой информацией? Буду видеть, что кто-то проявляет какой-то интерес к моему устройству. С каких адресов. Буду видеть, что устройство благополучно банит эти адреса и MACи и пресекает попытки. Буду видеть текущие забаненые адреса и если задано, то и время до разбана. Смогу оттуда же вручную разбанить возможно ошибочно добавленный адрес либо все сразу. Буду вовремя обо всё информирован.

[Создать новый раздел Отчеты безопасности в web-интерфейсе.]

2 часа назад, Александр Рыжов сказал:

Влезу в старый топик.

Нет, это НЕ будет форпостом безопасности, это будет просто красивая страница отчётности с некоторой информацией, с которой в большинстве случаев непонятно как распоряжаться. К примеру, как вы будете себя вести узнав о нескольких сегодняшних атаках на SSH из Китая?

В роутере нет полноценных универсальных средств фиксирования вторжения (IDS), есть защита двух-трёх сервисов от перебора паролей. Можете оценить ресурсоёмкость и быстродействие IDS, установив из пакетов suricata, считающуюся легковесной.

В роутере нет по умолчанию нет никакого файервола (дажe SPI) при обращении из домашнего сегмента, в котором «светятся», напомню, большинство сервисов, лакомых для атак, как-то SAMBA, DLNA, UPNP, FTP, lrp/p9100nd и прочая и прочая.

 

А в итоге будет так: пользователи действительно будут считать эту страницу форпостом, сильно обижаясь в случаях, когда она не сработала в соответствии с ожиданиями.

IMHO, лучше тратить ресурсы на повышение безопасности отдельных сервисов, чем вешать иконку на торпедо.

Хорошо. Я понимаю, что полноценного фаервола и IDS из роутера пока скорее всего не выйдет. Отбросим это. Но вторую часть просьбы вполне можно реализовать. Не называть это громкими словами "Форпост безопасности". Выделить страничку где будут фиксироваться сообщения о попытках ввода неверного пароля в админку, к WiFi и к другим сервисам роутера.

Чтоб тут же была гибкая настройка политики для этих событий. Допустим какое-то вол-во попыток за какое-то время зарегистрировать, как попытку перебора. И выбор действий. Просто уведомить, либо бан IP на выбранный срок, либо бан MAC если это исходит из WIFI или локалки. Возможность как-то просигнализировать об этом админу. Либо алерт, либо mail, мигание светодиода.

Добавить сюда политику изменения паролей. Например, чтоб напоминала периодически менять установленные пароли. (опционально)

 

Так же было бы интересно отдельно фиксировать MACи всех устройств попадающих в зону действия вайфая и так, чтоб с датой и временем. Полезно было бы. Реализовать запуск определенных сценариев, например переконфигурацию маршрутизатора по какому-либо сценарию, как только появляется определенный MAC в зоне действия сети. Тут вообще фантазия не знает границ чего можно придумать. По уже знакомым макам можно будет понимать кто к вам и когда приходил. (это вообще можно в отдельное предложение вынести)

[Интернет через OpenVPN клиента]

5 минут назад, GanjaKyp сказал:

ip nat OpenVPN1 вроде включился, нопроверить смогу только завтра. Нужно будет на компьютере добавить маршрут route add 0.0.0.0 mask 0.0.0.0 10.1.0.2?

А почему 10.1.0.2? Это же наверное адрес клиента. Вам нужно через адрес сервера пустить. Он наверное у вас 10.1.0.1?

Ну вообще попробуйте оба варианта по отдельности.

[Интернет через OpenVPN клиента]

Так же не забудьте добавить входящие разрешающие правила в Межсетевом экране. Т.к. скорее всего входящие в сторону клиента закрыты в целях безопасности.

[Интернет через OpenVPN клиента]

Как вариант. Если вообще подключится через подсеть OpenVPN. Может быть потребуется Aliace прописывать. ))

[Интернет через OpenVPN клиента]

А что-нибудь вроде

ip nat <интерфейс OpenVPN клиента>

  не сработает для включения NAT?

[Интернет через OpenVPN клиента]

Туннель в туннеле чтоли? )

[Интернет через OpenVPN клиента]

Ну конечно инета не будет. На клиентской части же нет NAT.

[Интернет через OpenVPN клиента]

5 минут назад, GanjaKyp сказал:

Все порты для входящих соединений открыты. Закрыт только исходящий трафик

Вообще это очень странный фаервол - наоборот. Называется заходите гости дорогие. Скачивайте что хотите.

[Интернет через OpenVPN клиента]

Значит что-то где-то вы упустили в настройке. Должно работать по вашей схеме.

С OpenVPN будет сложнее. Хотите сервер на ПК поставить?

[Интернет через OpenVPN клиента]

Должен быть настроен KeenDNS на роутере и всё заработает. Там ничего сложного.

[Интернет через OpenVPN клиента]

А этот шлюз выпустит вас по произвольному адресу на https? Не включенному в черный список. Если да, то лучше дома SSTP сервер настроить он по 443 работает и не заметен никак прокси, ни как VPN.

[Помогите поднять VPN по новой сверхбыстрой технологии WireGuard]

Ну значит ждите, пока кто-нибудь здесь напишет инструкцию со скриншотами. Лично я пока себе ещё этот VPN не настраивал, потому-что он ещё допиливается.

Вот если бы вы хотя бы начали что-то делать и у вас что-то не получалось. И вы задавали бы конкретные вопросы. Тогда другое дело. А так... 

[Помогите поднять VPN по новой сверхбыстрой технологии WireGuard]

Не обижайтесь, но вот это написано на главной странице форума:

Форум Keenetic Community поддерживается разработчиками ПО интернет-центров Keenetic (KeeneticOS). Мы активно принимаем участие в беседах на форуме, потому что лично хотим сделать наши устройства лучше, исправляя проблемы и недочеты, а также добавляя новые функции.

Подразумевается, что на нашем форуме пишут люди заинтересованные и технически подкованные, способные на минимальный анализ происходящего и готовые к нестандартным способам отладки. Если вы не ощущаете в себе сил и желания разбираться в проблеме досконально, помогать это делать нам и ждать результата — пожалуйста, не тратьте здесь время. Поручите это специальным людям — официальной поддержке help.keenetic.net.

 

С теми вопросами по настройке VPN которые вы задавали вполне справляется официальная тех.поддержка. 

Но по WireGuard вам не помогут даже они. Потому-что технология для прошивки ещё только первый день как перешла из альфы в бету.

[Не работает arp proxy(SSTP)]

@r13 Может через облако по кинетднс на SSTP у вас входит? А по ddns не может. Есть ли смысл уточнять белый ли у вас IP если из инета подключаетесь?

[Помогите поднять VPN по новой сверхбыстрой технологии WireGuard]

Эта функция несколько дней как появилась в прошивке. Какая инструкция? Всё что есть это то что в этой и в смежной ветке по теме. 

И если у человека с l2tp/ipsec какие-то непонятки были, то сюда лезть, до появления полной инструкции наверное точно не стоит.