Jump to content

dmitry.a

Forum Members
  • Posts

    85
  • Joined

  • Last visited

Posts posted by dmitry.a

  1. I have a couple of old devices that do not support WPA3, and they cannot connect in mixed mode WPA2/WPA3. I would like to connect them to home network but through different Wifi connection.

    Separate segment may be configured, but broadcast frames won't work between segments.

    I found that it is possible to bind any wifi access points to bridge and it works. However Web GUI does not allow me to modify Wifi settings. Is it possible to update Web GUI so that it shows all access points bound to the same network segment?

  2. Пробовал сие, но были постоянные проблемы. Тут кто во что горазд. Клиента отпинывают, а он все равно лезет в тот же диапазон. В итоге ничего не работает.

    А вообще лучше бы множество направленных антенн поставили в корпус, хоть связь была бы получше.

    • Upvote 1
  3. В 12.12.2020 в 18:13, Joe D сказал:

    Поддержу, идея интересная. Банально можно находясь в гостях или в отеле легко получить доступ к своим ресурсам, при этом вполне безопасно.  
    Некоторые участники накидали каких то страхов и штампов, в которых кажется сами до конца не разобрались. RDP как священная корова, что-то где то слышали и срочно нужно транслировать.
    Разумеется дырки везде есть но конкретно проблема RDP - неправильно настроенная терминалка, слабые пароли и дырки в протоколе. Но это вообще никакого отношения не имеет к предлагаемой фиче/

    И понятно что VPN более безопасно, но описанная тут фича мне кажется подходит для ряда сценариев и гораздо удобнее VPN. А реализовать должно быть не сложно.

    Мне кажется вполне такая неплохая киллер фича, и не зря другие вендоры догадались это использовать

    Только Вас не пустят на непонятный порт в некоторых отелях и проч. организациях. А все сервисы завязать на один порт не получится.

    А какой тайм-аут выбрать? Слишком короткий - неудобно, большой - небезопасно. Вот так в отеле вы отключитесь, а сосед подключится а того же IP адреса. Это хорошо, если сервис с шифрованием, а если нет? Так вы по открытой wifi все пароли засветите. В отелях обычно нет шифрования wifi.

    Удобства мало. А ещё IP адрес могут вам сменить, и вам снова простукивать придется.

    У меня настроен vpn, настраивается просто, работает отлично. Только кнопочку нажать, и уже в сети. Заодно можно весть трафик завернуть, чтоб не бояться открытых wifi.

  4. А вот мне неясно, чем opkg так не угодил. Если надо что-то сверху доставить, для этого как раз и есть opkg.

    Второй момент. Почему программисты не могут сделать так, что на их компьютерах все эти putty и проч. запускались бы автоматически.

    Третий момент. Домашняя сеть вовсе не является доверенной. Любое взломанные устройство будет иметь доступ на удалённую машину.

  5. 23 минуты назад, vst сказал:

    Это внутренний признак, он используется для отладки, но смысл он имеет.

    Признак global означает, что префикс маршрутизируем в глобальной сети. В частности он принадлежит интерфейсу(ISP), который имеет действующий шлюз.

    А не знаете, почему он может быть no?

    • Need more info 1
  6. Добрый день,

    подскажите, откуда берется global: no  в выводе show ipv6 prefixes:

    (config)> show ipv6 prefixes 
    
               prefix: 
                     prefix: xxxx:xxxx:xxxx:xxxx::/64
                  interface: ISP
             valid-lifetime: 6485
         preferred-lifetime: 4685
                     global: no

    Мне не очень понятно, на каком основании Keenetic считает, что префикс неглобальный. Или что это поле означает?

  7. Заметил вот такое в логах:

    Апр 22 19:07:21
    ndm
    Core::Watchdog: Component lister holds NDSS (87) lock 61 seconds acquired Apr 22 19:06:20.
    Апр 22 19:07:21
    ndm
    Main: "Component lister": backtrace:
    Апр 22 19:07:21
    ndm
    Main: <unknown>+0x0
    Апр 22 19:07:21
    ndm
    Main: poll()+0xa8
    Апр 22 19:07:22
    ndm
    Main: Io::SocketBase::DoSslRetry_(CString const&, unsigned long&, int, int)()+0x240
    Апр 22 19:07:22
    ndm
    Main: Io::SocketBase::SysRead(void*, unsigned long, unsigned long&)()+0xf0
    Апр 22 19:07:22
    ndm
    Main: Io::PollableBase::SysRead(void*, unsigned long, unsigned long&)()+0x124
    Апр 22 19:07:22
    ndm
    Main: Io::Buffer::Read(void*, unsigned long, unsigned long&)()+0xb8
    Апр 22 19:07:22
    ndm
    Main: Io::Http::Base::SysRead(void*, unsigned long, unsigned long&)()+0x58
    Апр 22 19:07:22
    ndm
    Main: Io::Buffer::Read(void*, unsigned long, unsigned long&)()+0xb8
    Апр 22 19:07:22
    ndm
    Main: Io::IStreamBuffer::ReadAll(void*, unsigned long)()+0x48
    Апр 22 19:07:22
    ndm
    Main: Core::Ndss::RunRequest_(CString const&, CString const&, CString const&, StringMap const&, Io::Http::Method const&, CBuffer const&, Time::Span const&, Core::Ndss::RedirectT, Buffer&, unsigned long&, Io::Http::Response::StatusCodeT*) const()+0x5b8
    Апр 22 19:07:22
    ndm
    Main: Core::Ndss::Call(CString const&, StringMap const&, Io::Http::Method const&, CBuffer const&, Buffer*, Log::VerboseT, Core::Ndss::RedirectT, Io::Http::Response::StatusCodeT*, int) const()+0x14c
    Апр 22 19:07:22
    ndm
    Main: Components::Lister::Run()()+0xf8
    Апр 22 19:07:22
    ndm
    Main: Thread::StartRoutine_(void*)()+0x158
    Апр 22 19:07:22
    ndm
    Main: start_thread()+0x118
    Апр 22 19:08:03
    ndm

     

    Цитата
    Цитата

     

     

     

     

  8. Простите, но многие говорят полную глупость.

    Во-первых, отличие белого от серого адресов я и так знаю, не стоит тыкать статейками и выставлять меня дураком.

    Во-вторых, вы совершенно не знаете ситуации. Мой текущий провайдер самый лучший в районе по цене/качеству, и менять я его не собираюсь (хотя, видимо, местные знатоки хотят мне выделить пару тысяч рубликов каждый месяц на другого провайдера). А еще нет гарантий, что у другого провайдера не будет NAT'а.

    В-третьих, людям дешевле вернут роутер и купить другой, написав отрицательный отзыв, чем менять провайдера и переплачивать ежемесячно. Еще раз повторю, что смена провайдера гораздо дороже смены роутера.

    В-четвертых, фактически услуга выделенного адреса означает, что доступ из Интернета будет по этому адресу, но не подразумевает, что оконечному оборудованию выдадут белый IP. И поскольку все работает, кроме KeenDNS, то и нет оснований полагать, что провайдер как-то нарушает Закон. Зато есть основания полагать, что KeenDNS работает неправильно, и я нахожу это багом, а не улучшением.

    В-пятых, Тут писали, что пользователи слезно просили добавть прямой доступ с серым адресом. Вот, уважаемые знатоки, объясните мне, почему разработчики идут на поводу и добавляют хотелку, но не исправляют очевидный баг? Чем я хуже?

    В-шестых, это не фича, а самый настоящий баг. При имеющимся прямом доступе KeenDNS не работает. А что если у меня роутер находится за другим роутером? Тоже предложите пробрасывать белый адрес с первого роутера на второй?

    • Upvote 1
    • Y'r wrong 1
  9. 7 часов назад, keenet07 сказал:

    А может он про ограничение памяти не более чем половина ОЗУ при записи файлов спросил.

    Мне вот интересно, почему на других протоколах с этим вроде как проблем нет. В чем тут разность подхода?

     

    Я думаю, что в будущих моделях надо предусмотреть слот для вставки ddr4 памяти, чтоб сразу вставил гигабайт так 8 - и хватило на все.

  10. Хотел узнать, почему люди хотят использовать webdav на роутере. Может, и я начну пользоваться. Может, я что-то упускаю в этой жизни... Вообще роутер - довольно слабенькое устройство, потому меня и интересует, почему для хранения данных не использовать отдельный сервер/nas с поддержкой кучи протоколов.

  11. 1 час назад, vk11 сказал:

    Еще раз - 10.* - это НЕ НОРМАЛЬНЫЙ белый адрес. Это СЕРЫЙ адрес. Купите уже наконец НОРМАЛЬНЫЙ БЕЛЫЙ. Если где-то как-то работают некоторые костыли, то они не отменяют RFC 1918.

    Еще раз повторяю, адрес куплен, все работает напрямую (openvpn, wireguard, etc), текущий  NO-IP определяет адрес правильно и прописывает, что надо, но он условно бесплатный. А вот KeenDNS не уметь это при явном указании "Прямой доступ". Хватит мне рассказывать про серые адреса. Если у вас белый на роутере - это еще не значит, что у всех так. И я полагаю, что люди из NO-IP про это прекрасно знают, что схемы подключения пользователей к Интернету есть разные и ситуации разные. Или вы лично хотите мне организовать доступ в Интернет и выдать белый адрес?

    Может оказаться так, что keendns не будет нормально работать за пределами РФ, т.к. там вполне может окзатаься статический NAT у многих провайдеров. А это проблема выхода на международный рынок.

    • Upvote 1
  12. 47 минут назад, MDP сказал:

     ТС может говорит, что у провайдера настроен SNAT?...static Nat???

    Ну типа белый адрес жестко привязан в маршрутизаторе провайдера с его серым адресом?

    Не могу сказать, как это точно называется, но так и есть. Адрес жестко привязан ко мне. Все, у кого не статический адрес, скорее всего делят внешние адреса провайдеора между собой, но за отдельную услугу можно у провайдера получить фиксированный адрес в личное пользование. Я уже это повторял несколько раз. Более того, я полагаю, что такая практика вполне распространена в мире, и именно поэтому NO-IP работает, как надо, но NO-IP не является полноценно бесплатным, в отличие от KeenDNS.

  13. В 13.02.2020 в 08:42, vk11 сказал:

    10.* - это НЕ белый адрес, как бы он не был "организован" провайдером. Выше разработчики уже объяснили почему при серых адресах, они все-таки не заблокировали "пупочку"  "Прямой доступ".

    Так мне как раз и нужен прямой доступ, только адрес нормальный, чтоб из Интернета все работало.

  14. В 13.02.2020 в 00:04, Oleg Nekrylov сказал:

    Вы не понимаете о чем говорите - то что вы бегаете изнутри (из локальной сети провайдера) наружу (в интернет) - это вовсе не означает, что вы сможете пойти в обратном направлении.

    Не думайте, что вы один такой исключительный, что имеется у провайдера: прилетел пакет снаружи (мы не рассматриваем conntrack, пакет реально снаружи), дальше что с ним делать, кому посылать? Васе-1, Васе-2 Васе-3...?

    Вы поставили "Прямой доступ" находясь за NAT, что вы еще хотите? Что поставили, то и получили - адрес WAN-порта роутера. Вам надо ставить "Через облако".

    Не знаю как работает KeenDNS (не разбирался, не было необходимости - у меня белые IP, а серый IP и так работает без проблем), но предполагаю 2 варианта:

    1) Обратный туннель L2 (собственно я о нем намекал в предыдущем посте), но это чревато большим оверхедом. 

    2) Обратный туннель L3

    Я прекрасно понимаю, о чем я говорю. То, что я бегаю изнутри из сети провайдера наружу в Интернет через NAT вовсе не доказывеет, что обратный путь закрыт. Давайте поставим точку надо этим всем - я такой исключительный и у меня есть доступ из Интернета. Васей тут нет, белый адрес дан лично мне и никому другому.

    Я поставил "Прямой доступ" потому, что я знаю, что он есть. Мне надо, чтобы KeenDNS прописал в DNS белый адрес, т.е. точно так же, как это умеет делать NO-IP. Как они это делают - точно не знаю, но думаю, что они имеют больше опыта в этом направлении.

     

    • Upvote 1
  15. Вот у меня сейчас планшет через Wireguard upload 104 Mb/s, download 78 Mb/s. Wireguard показывает, что перекачено больше 100 Мб.

    Если я отключаю wireguard, то уже 200-250.

    Включаю openVPN и уже 15-17. Разница уж сильно большая.

     

     

  16. Тоже недавно настроил параллельно с OpenVPN. Могут ли разработчики проверить скорость в лабе, как это сделали с OpenVPN. У меня OpenVPN максимально разгонялся до 23 Mb/s, а вот Wireguard выжимает больше.


    А вообще keepalive с роутера нет смысла делать, т.к. адрес прямой. Разработчики пишут, что keepalive нужен в частности для работы через NAT/Firewall, чтобы разрешались входящие udp пакеты. Так что у меня настройка keepalive только на клиентах. И я не очень понял, зачем делать security-level private, если и без него все роутится через роутер.

     

  17. В 17.12.2019 в 18:38, Le ecureuil сказал:

    Небольшие новости.

    По результатам моих тестов выяснилась такая картина :

      7621 7513 7628
    NONE 68 40 23
    BF-CBC 23.3 16.4 10.7
    AES-128-CBC 25 18.2 10.6
    AES-GCM-128 23.8 17.9 10
    AES-128-OFB 28.2 21.2 11.3
    AES-128-CFB 30.5 19.8 11.3
    CHACHA20-POLY1305 38.3 26.5 14.4

     

    Краткие выводы (цифры сами говорят за себя, но все же):

     - NONE - это теоретически максимальная скорость OpenVPN на данном ЦПУ без шифрования и аутентификации трафика вообще. Быстрее точно не будет.

     - BF-CBC - старый кал, он не оправдывает надежд как "быстрейший шифр".

    - если вам прямо сейчас нужен быстрейший шифр, то на обеих сторонах туннеля выберите "cipher AES-128-CFB / auth SHA1" и можете получить прирост до 8 Мбит нахаляву.
    - прямо сейчас везде добавлен шифр CHACHA20-POLY1305, который кладет всех на лопатки (пользователи Wireguard уже это увидели). Он появится в следующих выпусках 3.4, 3.3 beta 7, 2.16 и 2.11. Настроить его просто: "cipher CHACHA20-POLY1305 / auth none" (на обоих сторонах канала!). Из сервисов VPN его уже поддерживает как минимум AirVPN (тема с рекомендациями по настройке, рабочий конфиг в конце).

    А можно сравнить с Wireguard? Интересна разница.

  18. В 06.02.2020 в 13:20, Oleg Nekrylov сказал:

    Приватные сети ("серые"):

    10.0.0.0 – 10.255.255.255
    172.16.0.0 – 172.31.255.255
    192.168.0.0 – 192.168.255.255

    Если ваш адрес находится в этих диапазонах, то ни о каком "белом" адресе речи быть не может, вы выходите в интернет через NAT провайдера, так что KeenDNS тут абсолютно прав, вам стоит обратиться к вашему провайдеру и получить "белый" IP.

    Но можно изловчиться (если у вас есть пул свободных адресов, например принадлежащий вашей компании и доступ к шлюзу) и кинуть внутрь туннель, и из свободных адресов организовать себе "домашний" сегмент  - когда нельзя, но очень хочется 😁

    От того, что у провайдера NAT, ничего не меняется. Если есть доступ через белый IP, то нужно использовать именно его.

    • Upvote 1
×
×
  • Create New...