track2
-
Posts
20 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by track2
-
-
На файрволле кинетиков запрещающим правилом. Я правда не совсем понял на счёт L2, не строил такие туннели, возможно там какие то особенности..
-
А если просто запретить в туннеле UDP 67/68?
-
Пингую с роутера сервер - на интерфейсе tun0 вижу запросы, ответы не отправляются. При пинге с сервера роутера ситуация обратная. В одну сторону пакеты ходят, в обратную нет.
tcpdump -v -i tun0 tcpdump: listening on tun0, link-type RAW (Raw IP), snapshot length 262144 bytes 18:56:00.146753 IP (tos 0x0, ttl 64, id 36300, offset 0, flags [DF], proto ICMP (1), length 84) 10.0.1.6 > 10.0.1.1: ICMP echo request, id 38219, seq 256, length 64 18:56:01.147167 IP (tos 0x0, ttl 64, id 36444, offset 0, flags [DF], proto ICMP (1), length 84) 10.0.1.6 > 10.0.1.1: ICMP echo request, id 38219, seq 512, length 64 18:56:02.147890 IP (tos 0x0, ttl 64, id 36583, offset 0, flags [DF], proto ICMP (1), length 84) 10.0.1.6 > 10.0.1.1: ICMP echo request, id 38219, seq 768, length 64 18:56:03.148795 IP (tos 0x0, ttl 64, id 36716, offset 0, flags [DF], proto ICMP (1), length 84) 10.0.1.6 > 10.0.1.1: ICMP echo request, id 38219, seq 1024, length 64 18:56:04.149808 IP (tos 0x0, ttl 64, id 36886, offset 0, flags [DF], proto ICMP (1), length 84) 10.0.1.6 > 10.0.1.1: ICMP echo request, id 38219, seq 1280, length 64
UPD: с пингом разобался! перестарался с "режимом тишины" - запретил по всем интерфейсам ходить ICMP на iptables)) сейчас удалил это правило - проще будет выявить проблему! -
Попробовал AES-128-CBC (именно так было раньше) - не помогло.
Все таки подозреваю маршрут от роутера к VPS
Вечером посмотрю что там по трафику слышно на tun0 -
17 minutes ago, loginella said:
Скажите, такое шифрование и ранее на Кинетике у Вас было указано и работало?
Нет, было как раз CBC до этого. Это сейчас решил поменять на GCM.
Сейчас попробую, но вообще смотрю в 2.4 есть поддержка AES-256-GCM. -
Добрый день.
Примерно год назад настроил OpenVPN подключение до своего VPS, куда на роутере завернул весь свой интернет трафик. Настроилось всё за пару часов, не доставило каких-либо проблем. Все это благополучно работало, пока в выходные не понадобилось переустановить ОС на сервере (Debian 11). Быстро поднял OpenVPN, выпустил сертификаты, на "локальных" клиентах все тут же запустилось, а вот на роутере (Keenetic Extra) никак не получается. Судя по всему имею проблему с маршрутизацией (хотя в конфигах сервера какие только push route не пробовал!).
Сеть tun0 на сервере 10.0.1.0/24, локальная сеть за кинетиком 192.168.1.0/24Ниже конфиги:
server.conf:
(c route и push route пробовал всякие варианты, это один из. Логи перенаправил в /dev/null не сразу, там полезной инфрмации для диагностики нет, будто бы "всё хорошо, соединение установлено, шифрование такое то")Spoilerlocal <eth0 ip>
port 443
proto udp
dev tun
daemon
mode server
tls-server
ca srv/ca.crt
cert srv/server.crt
key srv/server.key
dh srv/dh.pem
tls-auth srv/ta.key 0
cipher AES-256-GCM
server 10.0.1.0 255.255.255.0
;ifconfig-pool-persist ipp.txt
client-config-dir client
keepalive 10 120
persist-key
persist-tun
;tun-mtu 1500
;mssfix 1400
sndbuf 524288
rcvbuf 524288
;client-to-client
route-gateway 10.0.1.1
route 192.168.1.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "route 10.0.1.0 255.255.255.0"
push "dhcp-option DNS 10.0.1.1"
;push "block-outside-dns"
push "sndbuf 524288"
push "rcvbuf 524288"
status /dev/null
log /dev/null
log-append /dev/null
verb 0
mute 20./client/router:
ifconfig-push 10.0.1.6 255.255.255.0 iroute 10.0.1.0 255.255.255.0
Конфигурация клиента (роутер):
Spoilerremote IP 443
client
dev tun
proto udp
nobind
cipher AES-256-GCM
auth-nocache
verb 6<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
</key><tls-auth>
-----BEGIN OpenVPN Static key V1-----
-----END OpenVPN Static key V1-----
</tls-auth>key-direction 1
Устанавливаю соединение, подключение переходит в состояние Ready и всё (насколько помню до этого когда все успешно работало, в скобках указывался назначенный приватный адрес, в моем случае 10.0.1.6, он реально назначен, но сейчас этого нет).
В логах кинетика пишут, что шлюз недоступен:
Со стороны сервера если пингую назначенный адрес 10.0.1.6 пакеты прилетают, о чем свидетельствует счетчик. Но похоже ответы не уходят. Не может он в ту сеть такое ощущение!
При соединении создается маршрут:
но всё мимо.
На сервере в iptables прописаны разрешающие правила, чтобы пакеты ходили туда-назад между lan <-> tun0.
По ощущениям проблема именно в маршрутизации/NAT, но не могу разобраться, прошу помощи! Опытным путём за вчерашний день всё что мог уже перепробовал, нужно конкретное понимание проблемы))
-
Добрый день.
Есть проблемный роутер, не так давно на нем бился с сетевым окружением - https://forum.keenetic.net/topic/6187-%D0%BF%D1%80%D0%BE%D0%B1%D0%BB%D0%B5%D0%BC%D0%B0-%D1%81-%D0%BE%D1%82%D0%BE%D0%B1%D1%80%D0%B0%D0%B6%D0%B5%D0%BD%D0%B8%D0%B5%D0%BC-%D0%BA%D0%BE%D0%BC%D0%BF%D0%BE%D0%B2-%D0%B2-%D1%81%D0%B5%D1%82%D0%B8-%D1%81%D0%B5%D1%82%D0%B5%D0%B2%D0%BE%D0%B5-%D0%BE%D0%BA%D1%80%D1%83%D0%B6%D0%B5%D0%BD%D0%B8%D0%B5/ (к слову, победить не удалось, перевел большую часть на проводное подключение - с ним вроде сетевое окружение не глючит).
Сейчас снова проблема - роутер отдает один из постоянных IP адресов другим юзерам! Прилагаю скрин с настройками (адрес 192.168.0.165).
Как человек придет чуть позже - его адрес занимает то один, то другой комп. Других DHCP серверов в сети нет!.. Что за бред то опять с железкой этой?((
Версия ОС 3.1.10. Судя по тому, что проблема стала проявляться относительно недавно, допускаю, что глюк появился вместе с обновлением ОС.
-
Нда, внутрь пользователя зайти не догадался... :))))
Спасибо!!!
-
1 hour ago, Kiborg_Man said:
На странице Список устройств.
Интуитивно тоже так подумал! Зарегистрировал два адреса, но IP адрес меняется все равно...
В списке зарегистрированных устройств при этом вижу соответствие имени и MAC адреса (IP не указан).
-
Так, время аренды вижу, а зарезервировать адрес, чтобы о нем был в курсе dhcp как можно?
-
2 hours ago, Илья Картавенко said:
Если к роутеру ни чего не подключено - флешки жесткие диски к которым нужен общий доступ, то лучше выключить, он на роутере только для этого, ну и принтеров
Флешек нет, принтер тоже не подключен... сейчас отключу, завтра проверим результат
UPD: спрошу здесь, чтобы не плодить лишние сущности! Куда в данном роутере спрятали настройки DHCP? Ни резервирования IP, ни времени аренды не нашел... Неужели даже такие тривиальные вещи теперь через командную строку настраиваются?
-
17 minutes ago, Илья Картавенко said:
smb/cifs на роутере включен?
был выключен, в понедельник включил - без разницы
-
Более того, сторонний сканер nbtscanner (Nirsoft) без проблем всю сеть рисует и пишет кто в ней мастер обозреватель!
К сожалению, плохо знаю протокол SMB, чтобы делать какие то выводы
-
6 minutes ago, Илья Картавенко said:
А кроме этой, наблюдаются другие проблемы с сетью после замены роутера?
Нет, все работает, интернет без нареканий... Стабильно, не лагает, пинг до роутера хороший.
Странная проблема, почему и обратился за помощью!)
-
35 minutes ago, Илья Картавенко said:
Попробуйте на проблемных машинах сбросить днскэш
Сбрасывал кэш NBT (nbtstat -R)
Сеть без домена, потому /flushdns не пробовал, на всякий случай попробую завтра... Но роутер больше недели стоит - все кэши переобновились уже по любому ))
11 minutes ago, KorDen said:Не брандмауэр, а "расположение" (домашняя/рабочая/общественная для w7, частный/общий для w10), оно ЕМНИП зависит от мака default gateway.
Расположение тоже поменял! он по умолчанию всех Общественными сделал... Поменял на частную (w10) и рабочую/домашнюю (7). Дополнительные параметры общего доступа перепроверил после, на всякий случай.
-
4 minutes ago, Илья Картавенко said:
А везде ли хороший сигнал от wi-fi?
Изначально роутер стоял в коридоре за бетонной стеной, сигнал был не очень. Тоже в его сторону грешил - перенес в основной кабинет, теперь у всех шкала на максимуме! )
4 minutes ago, Mikesk said:В этом может быть косвенная причина. Например, брандмауэр винды просек, что пакеты поменяли адрес назначения и запараноил. Роутер ведь тоже не умеет "то работаю, то нет" при неизменных внешних данных. Только smb и только по wifi, но не каждый раз - это какая-то шляпа. Может в сторону стабильности Wi-Fi посмотреть все-таки?
Какая на Extra прошивка сейчас и что вместо нее стояло раньше?
Я уже для теста на всех проблемных машинах отключил брэндмауэр - не помогло.
Версия ОС 2.14.C.0.0-4, стояла изначально прошивка со старым интерфейсом.
На счет смены адреса назначения думал немного в другом ключе - роутер воткнут в порт тупого свича, я просто из старого роутера переткнул кабель в новый, свич не перезагружал при этом. Но тоже вряд ли в этом причина может быть
Если завтра буду слушать трафик - на что обратить внимание?
-
2 minutes ago, Mamay said:
Ещё как вариант выяснить на десктопах включена ли поддержка smb v.1...
SMB v1 включил, это первое, что проверил ))
-
Чаще всего - да.
Пишу "чаще всего", потому что бывает вообще странный момент: шара не открывается по имени, при этом комп по имени можно пропинговать... После пинга шара снова доступна!
Бывает что ни пинг не проходит, ни по имени не открыть. Тогда отключаю/подключаю WiFi соединение и снова по имени могу попасть на общий ресурс!
Завтра планирую послушать эфир вайршарком, но знать бы что искать при таких странных глюках
Кроме роутера ничего в сети не менялось.
-
Добрый день.
Есть офис с небольшим количеством ПК в сети (около 20). После замены роутера на Keenetic Extra начались проблемы с компами, подключенными по WiFi (ноутбуки, ОС: Win7, Win10) - а именно, компы перестали видеть что-либо в сетевом окружении (организация маленькая, сеть без домена). При этом на некоторых net view выдает список ПК в сети, на некоторых совсем глухо.
Проводная сеть и WiFi в одном VLAN, изоляции нет (тогда бы компы в принципе друг друга не видели при прямом обращении, да и в интерфейсе вроде нет такого в последней прошивке).
Смотрел в сторону Master Browser сначала, запретил некоторым машинам со старыми ОС становиться мастер браузером, но не помогло. Да и не в нём, похоже, дело - кто подключен проводом видят всю сетку. Похоже на какие то проблемы хождения broadcast LAN-wLAN, раньше с подобным не сталкивался.
Подскажите, куда копать?? Может через CLI что то поднастроить можно?
Port Forwarding с интерфейса провайдера при Wireguard-соединении (реально?)
in Обсуждение IPsec, OpenVPN и других туннелей
Posted
Добрый день. Подскажите, существует ли какой-нибудь вариант решения моей проблемы?
Дано: Keenetic (Extra), трафик с клиентов полностью уходит в Wireguard (создан отдельный профиль, в котором только одно Wireguard-соединение, этот профиль задан всем устройствам в сети как основной).
Возникла необходимость пробросить порт с одного устройства в сеть через внешний IP адрес провайдера, скажите, можно ли как то придумать вариант, чтобы устройство продолжало ходить в интернет строго через WG, но при этом сделать его доступным по белому IP провайдера?
Вариант сменить конкретно этому устройству профиль с WG на Ethernet (WAN) провайдера не годится! Можно ли что-то придумать?