atam
-
Posts
24 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Everything posted by atam
-
Ну для отчаянных, если разрешить доступ по http (а не исключительнопо https), то тоже можно достучаться. Но врядли на практике такое кому-то может быть интересно По https не работает, как я понял, ввиду того что self-signed certificate нет возможности выдавать сейчас. Из-за этого дивайс отвечает 403 forbidden при попытках доступа по https. Т.к. это код ошибки hppt (app layer), к фаерволу (рабтатает с transport layer) это отношения не имеет. Изначально не заметил, что там не timeout а 403 и грешил на фаервол. P.S. а что факрвола в UI для IPv6 нормального нету, это жаль. С iptables пришлось копаться. Спасибо за поддержку opkg, конечно- это оч большое подспорье.. Но фаервол нормальный имхо давно просится.
-
Вот рояль в кустах-то я и проморгал Спасибо!
-
Так по IPv6 доуступ к web UI появнляется. Но в этом случае он отрыт по голому HTTP, чего категорически не хочется. К тому же эта команда как-то странно действует: в руководстве по cli ясным по белому написано: public: Access to the web interface is allowed for public, private and protected interfaces via HTTP and HTTPS. (kn-1811, стр .347) При этом, даже когда доступ по по HTTP появляется, по HTTPS всё равно достучаться не получается - 403 ошибка. А хочется ведь совсем простого: публичный доступ исключительно по HTTPS..
-
Здравствуйте. Когда я пытаюсь достучаться до web UI своего KN-1811 по IPv6, в браузере получаю HTTP 403 Forbidden. Первая мысль была - фаервол. Но потом одумался Фаервол бы не отвечал "в терминах HTTP" - 403, а просто бы дропнул пакеты. И увидел бы я в браузере connection timeout (т.е. ошибку транспорта, а не аппликейшен уровня, как 403). Подскажите, в чём может быть причина? P.S. Попробовать достучаться по IPv4 и посмотреть что будет не имею возможности - сижу за CGNAT. P.P.S. Хоть это и бесполезно (по описанным выше причинам), "на всякий случай" пробовал добавить в ip6table первым правилом принимать весь IPv6 трафик: ip6tables -I INPUT 1 -p tcp --dport 443 -j ACCEPT Как и положено, никакого эффекта это не дало, и на уровне http запрос всё так же реджектится.
-
Здравствуйте! Пытаюсь установить nftables: opkg install nftables. Получаю Unknown package 'nftables'. Collected errors: * opkg_install_cmd: Cannot install package nftables. Это значит, что данный пакет недоступен для данного дивайса/архтектуры в принципе, или надо где-то прописать линк к какому-нить дополнительному репозиторию, который я не прописал? Спасибо.
-
Благодарю!
-
Здравствуйте. Волею обстоятельсв отлучён от локального доступа к дивайсу (KN-1811). Дивайс за CGNAT по IPv4, по IPv6 входящие соединения, похоже, блокирует фаервол, котрый через UI не отключить и не настроить. Хочу установить opkg nftables. Все необходимые шаги по добавлению в систему opkg сделаны. Когда в Web CLI пытаюсь выполнить opkg install nftables, получаю ошибку (скрин приаттачен). Если просто выполнить opkg без аргументов, то вроде всё ок, что по идее (думаю) значит что сам пакет-менеджер доступен (см. второй скрин). Вопрос: возможно ли устанавливать пакеты через web cli в принципе и если да, то как? Спасибо.
-
Update: Накопал, что кинетик kn-1811 поддерживает opkg пакеты. В частности, netfilter. Попробую установить - ибо если всё так, как задекларировано и есть поддержка iptables, то это по сути и есть управление фаерволом IPv6 в cli (и много больше). Update 2: поставил opkg iptables, блокирующих правил не нашёл, судя по существующим chains/rules, входящие соединения по IPv6 должно приниматься.. но нет. Продолжаю копать.
-
"..Жаль.." - это не вывод, это эмоция. И речь там не об этом, а об обоснованных сомнениях, что нужная функциональность (настройки фаервола для IPv6) доступна в принципе. Кроме предоставленных скринов приложения, основанием служит полное отсутствие секции про настройки фаервола для IPv6 в руковостве по cli. Что касается других брэндов, до этого приходилось работать с asus и tp-link (линейка omada). Там фаервол для IPv6 есть в UI. А в кинетиках его, похоже, даже на уровне cli нету. Если так, то честно - затрудняюсь понять, что мешает. Там же линукс под капотом всё равно. Ну+ надо ли говорить про такие вещи как openwrt.. это для примера того, как организовать в UI нормальный фаервол.
-
Imo it's a must-have feature even for an entry-level router in 2024. I'm using KN-1811. Excellent device. Too bad it just falls flat when it comes to setting up firewall rules overall - too basic, simplistic rules, no flexibility (take for example OpenWRT's firewall). And for IPv6 specifically it simply doesn't exist at all, afaiu. Any plans to introduce it at least via cli?
-
Покопался в приложении. Сомнения в том, что в дивайсе есть адекватная поддержка IPv6 подтвержадются ещё и тем, что для KeenDNS отсутсвует опция `Direct Access` для IPv6 (в отличие от IPv4). Детали - в картинках. Жаль.. и это в 2024-то году)
-
Методом перебора выяснено: `ip http security level {...}` управляет доступом только в связке с KeenDNS. Т.е. это не механизм управления фаерволом/открытияем портов (80/443) для IPv6 (как я надеялся).
-
Благодарю! Пойду покопаю `cli manual` - интересно, можно ли выборочно настраивать открытые порты и т.п. для IPv6? Или это тупо "Web интерфес ВКЛ/ВЫКЛ". Судя по UI, гибкость фаервола - явно слабое место кинетиков. Особенно для IPv6. UPDATE: Всё равно не пускает, когда из браузера по IPv6 пытаюсь законнектиться - 403 Forbidden. Похоже ip http security-level public ssl не работает для IPv6.
-
Мне это не нужно. Мой юз-кейс гораздо проще. И для него будет достаточно просто выяснить, как настроить фаервол для IPv6 чтобы разрешить входящие соединения по моему выбору.
-
Сударь, а где вы увидели, что я писал про грубость и проблемы с конструктивом? Вы, очевидно, меня не поняли. За дармовую помощь - строго респект и благодарность.
-
Спасибо за вежливость и конструктив.
-
Access to router over IPv6 (Web, SSH)
atam posted a question in Community Support & Knowledge Exchange
Hi. My ISP doesn't issue public IPs (v4), CGNAT-ed only. It does, however, issue IPv6 /56 prefixes, which I use. Wondering how to achieve the following (KN-1811): 1. Set up direct access to the Web interface over IPv6. AFAUI the built-in IPv6 firewall blocks all inbound traffic (not initated by the device). How do I enable certain categories of inbound traffic? 2. Enable access over telnet/ssh using IPv6? I tried checking off the appropriate check-boxes and setting up 22/23 ports forwarding in Web UI but it doesn't seem to work for IPv6. Thanks in advance. -
Здравствуйте! Прямого IPv4 провайдер не выдаёт, CGNAT. Есть только IPv6. Подскажите пожалуйста как сделать сделдующее для Titan/Ultra 1811: 1. Настроить прямой доступ к Web инерфесу устройства по IPv6 адресу. По дефолту, как я понимаю, IPv6 фаервол блокирует входящие соединения. Как можно его настроить? 2. Как разрешить доступ по telnet/ssh по IPv6? Ибо даже когда открываешь доступ и пробрасываешь порты явно, это, похоже не работает для IPv6. Заранее спасибо.
-
Огромное пролетарское спасибо!
-
Товарищи! Интересует следующее: есть ли возможность на уровне раутера жестко прописать DNS ответ для определенных запросов? Например, указать, что для "www.disneyplus.com" должен всегда использоваться заданный IP, а не тот, что пришлет публичный DNS сервер. Спасибо P.S. подмена DNS на жестко заданные адреса необходима, чтобы иметь возможность прописать правила переадресации трафика (через routing table) к определенным сервисам (стриминг) на отдельное ВПН соединение.
-
В чем экзотика-то? Смысл в том, что не только одно конкретное "устройство", а любое устройство (в т.ч. и устройства людей, пришедших в гости), когда им нужен ВПН должны иметь возможность переключиться на ту wifi точку, где ВПН прописан, как основное соединение. Это удобно, т.к. не всем устройствам и не всегда нужен ВПН. + Не все устройства (Roku, Smart TV например) имеют встроенный vpn клиент. Отдельная точка для них - вариант. Например я хочу иметь американский фильтр на контент Netflix (а доступный контент практически у всех стриминг сервисов отличается по регионам) - переключился на wifi точку c американским vpn. Хочу европейский фильтр (например по американскому недоступен Sotuh Park) - переключился на wifi точку без впн. На мой взгляд, как раз, такое ограничение как "одно устройство == одна и та же точка доступа" выглядит неудобным.
-
Вот здесь более развернуто проблема описана и почему все не так просто
-
@r13 В точку - вы отлично поняли суть проблемы!
-
Товаращи, вимание! Задача следующая. Есть уже настроенное в раутере и работающее ВПН-соединение (клиент). Надо организовать доступ к этому соединению через отдельную точку WIFI. Т.е. так, чтобы любое устройство (зарегистрированное, не зарегистрированное), подключенное к этой точке ходило только через это ВПН-соединение. Поковырявшись какое-то время в настройках, сам я потерял веру в то, что такое возможно (по крайне мере через вэб интерсфейс). Т.к. разные соединения доступны через профили, а профиль можно повесить только либо на зарегистрированное _устройство_, либо на WiFi точку но только как "профиль для не зарегистрированных устройств". Если же устройство _зарегистрировано_, то профиль связан уже с ним напрямую, а не с WiFi точкой, к которой он подсоединен.. Дивайс: Keenetic Ultra (KeeneticOS 3.1.10) Подскажите, может я упустил что.. Спасибо. P.S. Как хак работает следующее: на нужную wifi точку вешается в "профиль для не зарегистрированный устройств" профиль, в котором прописано это впн соединение. Тогда все, устройста, которые не зарегистрированы и подключены к этой точке, будут ходить через это впн. Но мне это не подходит т.к. мне нужна регистрация устройств для навешивания на них расписания.
