[Доступ к VPN клиентам из любого VLAN сегмента]

Спасибо за ответы! Правы оба, взял последнюю часть отсюда https://help.keenetic.com/hc/ru/articles/360005236300-Сегменты-сети добавил везде в фильтрацию IP, после пошел и перепроверил еще раз сети на удаленных клиентах, которые за SSTP кинетика, там тоже был косяк с маршрутизацией из за нескольких сетевых адаптеров, прописал статику на клиентах в сети WG, VLAN сегментов 100 и 160 + добавил сети которые за WG кинетика. В итоге трафик начал ходить из VLAN сегментов и c клиентов WG к клиентам за SSTP кинетика, но обратно из SSTP в вышестоящие подсети не ходит 😃 Но мне это и не надо, пофиг 😃 добился чего хотел 😃 Спасибо всем участникам! 😃

[Доступ к VPN клиентам из любого VLAN сегмента]

20 минут назад, Станислав Поветьев сказал:

Я могу ошибаться, но вроде no isolate private

Полагаю проблема в security-level private на интерфейсах, надо менять на security-level public. Спасибо за наводку, попробую на выходных.

[Доступ к VPN клиентам из любого VLAN сегмента]

Кинетик уже знает про свои сегменты, зачем маршруты? Все крутиться на одной железке, проблема явно в межсетевом экране, но я не понимаю что именно ковырять.

Плюс внутри сети есть pFsense, на нем тоже есть WG сервер, вот если стучаться с клиентов которые за WG pFsense сервером на клиенты которые сидят за L2TP или SSTP сервером, то проблем нету, трафик ходит как надо. Проблемы и не понятные ограничения внутри самого кинетика между Влан сигментами.

[Доступ к VPN клиентам из любого VLAN сегмента]

Добрый день! В наличии KN-2710 с прошивкой 3.8.3, поднято три VLANа(1,100, 160), настроен wireguard сервер, запущен SSTP, L2TP сервер, к ним подключены клиенты.

 

Вопрос - почему у клиентов из VLANов(100,160) отличного от 1, который по умолчанию, не доступны клиенты которые подключены к SSTP серверу. Тоже самое происходит и с клиентами которые за wireguard. Все они не имеют доступ к клиентам, которые подключены к SSTP серверу. Пробовал прописать правила фильтрации для всех сегментов, это не помогает. Как дать доступ из VLAN 100, 160 сегментов (192.168.100.0/24, 192.168.160.0/24) в сеть SSTP сервера?

 

 Как разрешить доступ к клиентам которые за SSTP или L2TP сервером кинетика из любого VLAN сегмента этого же кинетика?

[Миграция с KN-1010 на KN-2710]

Добрый день! В наличии kn-1010, хочу перейти на kn-2710. Вопрос - если просто выгрузить рабочий конфиг с 1010 и загрузить его на 2710 ,то настройки старые подхватиться? Проблем не будет?

[EIP93: aead decryption failed: auth tag invalid]

Проблема не исчезла, все еще куча ошибок при передаче данных внутри канала на обоих устройствах. 

[EIP93: aead decryption failed: auth tag invalid]

При любой нагрузке на L2TP начинается спам:

[EIP93: aead decryption failed: auth tag invalid]

6 minutes ago, Илья Картавенко said:

У меня и на более ранних прошивках подобные сообщения появлялись, что это значит не знаю.  Без L2TP.

Насколько я понял - ошибка связанна с аппаратным ускорением шифрования.

[EIP93: aead decryption failed: auth tag invalid]

6 minutes ago, Le ecureuil said:

А вы с какой версии обновлялись и на какую? Это сообщение еще в 3.3 появилось.

Обновился с 3.5.6. До 3.6.3 этой ошибки не наблюдал, либо она в глаза не бросалась.

[EIP93: aead decryption failed: auth tag invalid]

Добрый день, в наличии: KN-1010, KN-1810, на обоих версия прошивки 3.6.3. На обоих поднят L2TP сервер, устройства расположены у разных провайдеров. После последнего обновления в журналах начала спамится ошибка : 

EIP93: aead decryption failed: auth tag invalid
Апр 15 23:30:19 kernel
Core::Syslog: last message repeated 1453 times.

Стоит переживать?

Quote

 

 

 

[Маршрутизация узла в домашнем L2TP]

Добрый день! В наличие три устройства: KN-1010(192.168.1.1/24 c поднятым L2TP сервером 192.168.5.80/24) ,KN-1910 (192.168.10.10/24. Является клиентом L2TP, привязан статичный адрес 192.168.5.2) ,KN-1010 (192.168.4.1/24. Является клиентом L2TP, привязан статичный адрес 192.168.5.7)  Трафик между подсетями гуляет свободно, маршруты прописаны.

Настройки сервера и маршрутизации в сети 192.168.1.1:

Spoiler

Настройки маршрутизации в сети 192.168.10.10:

Spoiler

Настройки маршрутизации в сети 192.168.4.1:

Spoiler

Суть вопроса - хочу маршрутизировать несколько узлов из списка заблокированных РКНом в подсеть 192.168.4.1 из подсети 192.168.10.10, для примера взят 81.17.30.51. Если выполнить трассировку до узла 81.17.30.51, то можно увидеть следующее:

Spoiler

 Что я делаю не так, что надо исправить?

[Не работает зона обратного просмотра]

Не могу отредактировать сообщение, поэтому дополю тут.  Прикрепил пример трассировки ресурсов в основной и смежных подсетях.  При этом если в DHCP  прописать выдачу ресурсам локального днс сервера - то все работает. Получается надо использовать комбинацию DHCP и настройки фильтрации при включённом фильтре?

[Не работает зона обратного просмотра]

Добрый день! При включении фильтрации Skydns на любом из АРМов - перестает работать зона обратного просмотра.

Мои исключения фильтрации на данный момент -

ip name-server 192.168.1.70 dom.ru
ip name-server 1.1.1.1 "" on ISP
ip name-server 8.8.8.8 "" on ISP
ip name-server 192.168.1.70 "" on ISP

Просьба подсказать, как это можно исправить.

[Отключение IPv6 для локальных адресов]

Добрый день! В наличии ultra  c прошивкой 2.16.D.3.0-4, при пинге или трассировке вижу адреса IPv6 вместо старых v4, можно ли как то изменить со стороны маршрутизатора выдачу айпишников на IPv4?