Jump to content

enpa

Forum Members
  • Posts

    1,605
  • Joined

  • Last visited

  • Days Won

    22

Posts posted by enpa

  1. Вариант настройки с учетом нововведения: 
     

    Версия 3.7 Beta 0.9 (пре-бета):

    • Transmission: включен веб-интерфейс на адресе 127.0.0.1:78 (по просьбе @enterfaza) [NDM-1806]

    Теперь мы не открываем доступ для торрент-клиента по порту TCP\8090, а также можно не открывать доступ по домену 3го уровня службы KeenDNS.

    Пример настройки.

    Делаем настройку домена 4го уровня для торрент-клиента:


    В CLI:

    ip http proxy torrent
    upstream http 127.0.0.1 78
    domain ndns
    security-level public
    auth
    exit
    system configuration save

    В веб-интерфейсе:

    image.png

    image.png

    После проверяем доступ по домену 4го уровня, указав данный линк, пример:

    https://torrent.name.keenetic.link/app/transmission/ 

    Пример настройки в Transmission Remote:

    RPC URL указываем app/transmission/rpc и порт 443 с указанием протокола https.

    image.png

  2. @valeramalko статью обновили, убрали упоминание указания скрипта /opt/etc/init.d/rc.unslung, по умолчанию он не указывается в поле сценарии initrc.

    Еще раз проверил установку системы с mipsel-installer.tar.gz в раздел фс EXT4 для KN-1011, без указания скрипта, все прошло корректно.

    • Thanks 1
    • Upvote 1
  3. @keenet07 установите один из фильтров - компонент, например AdguardDNS. После команда будет доступна.
     

    (config)> dns-proxy
    
                https - manage DNS over HTTPS settings
            intercept - manage DNS requests interception
              max-ttl - set maximum TTL for DNS proxy cached entries
              proceed - set DNS proxy proceed
       rebind-protect - tune DNS rebind protection
            srr-reset - set DNS proxy send-response rating reset time
                  tls - manage DNS over TLS settings


     

    • Thanks 2
  4. @Delorean почти одинаковые, но KN-3010 можно оставить для Mesh 👍

    Индекс модели - KN-1910
    Процессор - MediaTek MT7621AT (MIPS1004Kc) @ 880 MHz, 2 cores / 4 threads
    Оперативная память - Winbond W631GG6MB-12 128 Мбайт (DDR3-1600), Winbond W631GG6MB-11
    Flash-память - Macronix MX30LF1G18AC-TI 128 Мбайт (Dual Boot, SPI-NAND)
    Wi-Fi 2,4 + 5 ГГц - Да
    Класс Wi-Fi - MediaTek MT7615DN - 2x 2T2R 2.4/5GHz (400+867Mbps), AC1300
    Антенны - 4x 5dBi
    Порты - 5x GE (10/100/1000)

    Индекс модели - KN-3010
    Процессор - MediaTek MT7621DAT (MIPS1004Kc) 880 MHz, 2 cores / 4 threads
    Оперативная память - MediaTek MT7621DAT 128 Мбайт (DDR3-1200)
    Flash-память - Winbond 25Q256JVFQ 32 Мбайт (Dual Boot, SPI-NAND)
    Wi-Fi 2,4 + 5 ГГц - Да
    Класс Wi-Fi - MediaTek MT7603EN 2T2R/2.4GHz + MediaTek MT7613BEN 2T2R/5GHz (300+867Mbps), AC1200
    Антенны - 4x 5dBi
    Порты Ethernet - 5x GE (10/100/1000)

  5. Проблема связана с тем, что по умолчанию TCP\8090 transmission "светит" в интернет и из вне боты могут пытаться подобрать пароль - брутфорсить.

    После несколько попыток неудачного подбора пароля, RPC блокирует доступ в веб и пока демон не будет перезапущен, доступ не появится.

    В будущих версиях планируется исправления данной проблемы.

    На счет TCP\8090, сейчас его можно зафильтровать в межсетевом экране на интерфейсе, через который вы выходите в интернет.

    Пример:

    Добавьте запрещающее правило для TCP\8090:

    inline252051623.png

    И чтобы управлять загрузками через Transmission Remote, потребуется настроить домен 4го уровня:

    inline1712557017.png

    В настройках сервера на стороне Remote указываете:

    inline-778487465.png

    Получаете защищенный, зашифрованный доступ в RPC торрент-клиента.

    ------


    @yerebakan Add a firewall rule for TCP\8090 in CLI, example:

    access-list _WEBADMIN_ISP
    deny tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 8090
    deny description transmission
    exit
    system configuration save

     Use the setting to access in the Transmission Remote - https://help.keenetic.com/hc/tr/articles/360000563719 

    • Thanks 2
  6. @Dhampir113 нужно обновиться до стабильной 3.6.3, в данной версии была исправлена проблема авторизации \ доступа по протоколу SMB.

     

    • Thanks 1
  7. В 06.01.2021 в 22:10, Сергей Железняков сказал:

    Да, сработало. Я и не подозревал, что это поле можно не заполнять. Что-то нигде в инструкциях мне не попадалось такое решение. Спасибо.

    данная информация указана в статье Wireguard VPN:

    Цитата

    Важно! На стороне VPN-сервера параметр keepalive рекомендуется не использовать (оставьте пустое поле), чтобы после отключения клиента Wireguard-сервер не ожидал handshake'и с удаленным пиром.

     

    • Thanks 1
    • Upvote 1
  8. Пользуйтесь аналогами, пример описан здесь - Доступ в Интернет через VPN-провайдера по протоколу WireGuard.

    NordVPN пошли по очень странному проприетарному пути, сделав закрытое приложение для туннеля с открытым исходным кодом, каламбур какой-то. 

    • Thanks 1
  9. @Аркадий на будущее, чтобы не гадать - поднимаете OPKG Entware, далее заходим в shell и вводим:

    / # netstat -tpln | grep nginx
    tcp        0      0 172.16.80.2:777        0.0.0.0:*              LISTEN      868/nginx
    tcp        0      0 172.16.82.2:777        0.0.0.0:*              LISTEN      868/nginx
    tcp        0      0 10.130.0.210:777        0.0.0.0:*              LISTEN      868/nginx
    tcp        0      0 192.168.8.100:777      0.0.0.0:*              LISTEN      868/nginx
    tcp        0      0 192.168.4.67:777        0.0.0.0:*              LISTEN      868/nginx
    tcp        0      0 192.168.233.12:777      0.0.0.0:*              LISTEN      868/nginx
    tcp        0      0 127.0.0.1:777          0.0.0.0:*              LISTEN      868/nginx
    tcp        0      0 192.168.12.1:777        0.0.0.0:*              LISTEN      868/nginx
    tcp        0      0 10.1.30.1:777          0.0.0.0:*              LISTEN      868/nginx
    tcp        0      0 78.47.125.180:777      0.0.0.0:*              LISTEN      868/nginx
    tcp        0      0 192.168.11.1:777        0.0.0.0:*              LISTEN      868/nginx
    tcp        0      0 127.0.0.1:79            0.0.0.0:*              LISTEN      868/nginx
    tcp        0      0 78.47.125.180:8081      0.0.0.0:*              LISTEN      868/nginx
    tcp        0      0 192.168.8.100:443      0.0.0.0:*              LISTEN      868/nginx
    tcp        0      0 192.168.233.12:443      0.0.0.0:*              LISTEN      868/nginx
    tcp        0      0 192.168.4.67:443        0.0.0.0:*              LISTEN      868/nginx
    tcp        0      0 172.16.80.2:443        0.0.0.0:*              LISTEN      868/nginx
    tcp        0      0 172.16.82.2:443        0.0.0.0:*              LISTEN      868/nginx
    tcp        0      0 10.130.0.210:443        0.0.0.0:*              LISTEN      868/nginx
    tcp        0      0 127.0.0.1:443          0.0.0.0:*              LISTEN      868/nginx
    tcp        0      0 192.168.12.1:443        0.0.0.0:*              LISTEN      868/nginx
    tcp        0      0 10.1.30.1:443          0.0.0.0:*              LISTEN      868/nginx
    tcp        0      0 78.47.125.180:443      0.0.0.0:*              LISTEN      868/nginx
    tcp        0      0 192.168.11.1:443        0.0.0.0:*              LISTEN      868/nginx

    В поддержке вам дали пример. Как видим никто не слушает TCP\80 порт управления NGINX.

    А с провайдером да, повезло, некоторые считают небезопасным работать с TCP\22\23\80 внутри сети, отсюда и может возникнуть вопрос по поводу дропов на TCP\80.

     

  10. @rustrict спасибо!

    ip ssh cipher - пока описан не будет, так как возможны правки в выводе команды.

    ed25519 - будет описан.

    whoami - для внутреннего использования, скрытая команда и описана не будет.


    https://github.com/Entware/Entware - линк будет обновлен.
     

    • Thanks 1
  11. Клиент великолепен, показал хорошие скорости на KN-1810 | KeeneticOS 3.4:

    2020-04-04_16:44:15.png

    CPU все в полку, использует все потоки, но при этом система живет, с учетом записи файла в раздел с EXT4 + swap до 2 Гбайт:

    2020-04-04_16:44:00.png

    Добавили статью в базу знаний по установке и настройке клиента - https://help.keenetic.com/hc/ru/articles/360013045839

    Отдельное спасибо @zyxmon@Александр Рыжов за поддержку актуальности пакета в Entware.

    • Thanks 1
  12. @alexpebody ТП как раз Вам и предложила правильный (а не чушь) вариант форвардинга TCP\445 (в рамках вашего кейса) на br0 и всячески указывала на небезопасный вариант использования подобного сетапа, делая акцент \ рекомендацию на использование VPN-туннелей.

    interface Bridge0
        rename Home
        description "Home network"
        inherit GigabitEthernet0/Vlan1
        include AccessPoint
        include AccessPoint_5G
        mac access-list type none
        security-level private
        ip address 100.0.0.1 255.255.255.0
        ip dhcp client dns-routes
        ip dhcp client name-servers
        ip access-group _WEBADMIN_Bridge0 in
        igmp downstream
        up

    @bigpu ранее мы держали статью о доступе по протоколу SMB из вне, но из-за известных всем проблем с безопасностью SMBv1 было решено убрать из доступа.

    • Thanks 1
×
×
  • Create New...