sbat
-
Posts
11 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by sbat
-
-
Подскажите, пожалуйста, можно ли с удаленного Windows-клиента при подключении к VPN-серверу на Keenetic получить доступ к mDNS/Bonjour в "домашней сети" Keenetic?
Как я понимаю, задача сводится к одному из вариантов:
* Передавать multicast трафик через VPN
* Как-то ретранслировать/проксировать mDNS запросы, видимо на обоих сторонах
Сходу гуглится только вариант OpenVPN-клиент на Windows и OpenVPN-сервер на Keenetic в режиме TAP. Но может быть есть какие-то более легковесные варианты?
-
22 hours ago, Kravenrus said:
Но как же радовал тот зеленый значок и адрес *.keenetic.pro
А какой у вас, если не секрет, идеальный сценарий, если значок https "жалко"? Ваш сервис должен быть доступен по https вместо вебморды?
-
> Не могу настроить правила файрволла для разрешения трафика из WAN в Lan
Подскажите, а в актуальных версиях прошивки этого вообще нет? Или, может быть, это доступно из CLI в каком-то виде?
-
1 minute ago, keenet07 said:
Так это смотря что и где блокировать. Можно заблокировать только внутренние запросы или ответы админки. Нужно только выявить правильный интерфейс, адрес и порт.
У меня была такая мысль, но я не смог выявить правильный интерфейс, адрес и порт.
1) Нельзя заблокировать SSL из внешней сети, иначе заблокируется все.
2) Нужно как-то заблокировать взаимодействие https reverse proxy (nginx?) и веб-интерфейс админки, но я а) не уверен, что это вообще реализовано как сетевое взаимодействие б) управляется межсетевым экраном.
Если у кого-то есть мысли, как можно сформулировать такое правило, буду рад!
-
На всякий случай добавлю, что и обычный "проброс портов" тоже возможен https://help.keenetic.com/hc/ru/articles/360000360760 (как я понимаю, именно так "виртуальные серверы" tp link работают?).
Хотя механизм через приложения и более удобный/мощный. У меня приложения без проблем заработали именно для вашего сценария (веб сервер на отдельном порту на компьютере для разработки).
-
После обсуждения в комментариях к соответствующей статье, стало понятно, что вторая часть моего запроса не поддерживается в 3.1.10.
Если дается доступ к приложению локальной сети по адресу https://xxx.yyy.keenetic.link из интернета средствами на закладке "Доменной имя", то автоматически будет в обязательном порядке доступ к конфигуратору из интернета по адресу https://yyy.keenetic.link.
Мне кажется, что связывать эти две фичи - не очень хороший подход с точки зрения безопасности. Чем меньше наружу "торчит" ненужных интерфейсов, тем спокойнее. Поэтому создал тему для голосования. Хорошо бы хотя бы из CLI иметь возможность отдельно управлять этими возможностями.
Если кто-то еще заинтересован в такой возможности, буду благодарен за голоса!
-
Keenetic имеет встроенный удобный обратный прокси HTTPS, с помощью которого можно дать доступ к ресурсам локальной сети (NAS, видеокамера, собственный веб-сервер для разработки). Это очень удобно! Особенно учитывая, что Keenetic берет на себя все заботы с Let's Encrypt сертификатами.
Однако, как стало понятно из дискуссии в комментариях к соответствующей статье, для этого обязательно необходимо разрешить и удаленный доступ к веб-конфигуратору: https://help.keenetic.com/hc/ru/articles/360000563719?utm_source=webhelp&utm_campaign=3.01.C.10.0-0&utm_medium=ui_notes&utm_content=controlpanel/remoteaccess
Предлагаю дать возможность разрешать доступ к внутренним ресурсам сети по адресам типа https://xxx.yyy.keenetic.link/ без обязательного разрешения удаленного доступа к веб-конфигуратору по адресу https://xxx.keenetic.link/. Аналогичная возможность уже есть для внутренних сервисов Keenetic (Transmission).
Все-таки чем меньше интерфейсов доступно из публичного интернета, тем выше безопасность. Наверное, было бы достаточно, если бы такая тонкая настройка была доступна только CLI.
- 4
-
23 minutes ago, Denis Puzankov said:
в cli роутера:
ip host {имя keendns} {внутренний адрес роутера}
Спасибо! Для случая "Keen DNS --> Разрешить доступ из Интернета: нет" это отлично работает. Это уже очень хорошо.
В идеале хотелось бы еще разобраться со случаем "Keen DNS --> Разрешить доступ из Интернета: да", работают веб-приложения, но для пущей безопасности нельзя зайти на веб интерфейс роутера.
-
22 minutes ago, Kiborg_Man said:
Нет, так быть не должно. Выясняйте почему ошибка.
Спасибо! Кажется, ситуация выглядит так:
- Если включить галочку "Разрешить доступ из Интернета" в настройках Keen DNS, то автоматически включается "Доступ к конфигуратору: HTTPS".
- Если сделать "Доступ к конфигуратору: нет доступа", то снимается галочка "Разрешить доступ из Интернета" в настройках Keen DNS.
Настроить https proxy (?) так, чтобы он давал доступ из интернета ко всем приложениям типа Transmission, но не давал доступ к веб-интерфейсу я пока не смог. Возможно, нужно явно прописать правило в firewall.
Версия ОС: 3.1.10
6 minutes ago, MDP said:а на кой он нужен https в локалке... есть угроза подмены веб-морды))))?
Давайте считать, что я пока просто не наигрался в новую игрушку. Конечно, это не жизненно необходимое требование.
-
Добрый день!
Я бы хотел в локальной сети получать доступ к веб-интерфейсу Keenetic по HTTPS.
При этом:
- Я бы хотел, чтобы веб-интерфейс был доступен только из локальной сети, и не был бы доступен из интернета.
- Работали бы остальные веб-приложения.
У меня настроен домен Keen DNS.
Сейчас в "Удаленный доступ" выбрано "Нет доступа". При попытке зайти на my.keenetic.net получаю 403 Forbidden, что, наверное, ожидаемо. По 192.168.1.1 все нормально работает (без https).
Заранее спасибо!
mDNS/Bonjour при подключении удаленного Windows-клиента к VPN-серверу на Keenetic
in Обсуждение IPsec, OpenVPN и других туннелей
Posted
Любые варианты подходят, на самом деле. L2TP/IPsec - идеально. Если возможно подключиться штатными средствами windows на стороне клиента, то вообще идеально, но и установка стороннего клиента тоже не проблема.
Цель: изредка играть в старые LAN игры, которые ищут "пиров" по mDNS.