[Сервер VoIP телефонии Asterisk.]

22 часа назад, Nik60 сказал:

Здравствуйте!

Устанавливаю Asterlisk 11 оп инструкции тех. поддержки на KN-1010 ОС. 3.1.10. с ADSL модемом.

Пока не понятно, что вводить в сценарий initrc?

АТС кажется устанавливается, но не могу войти в root через ssh putty, пароли zyxel, keenetic не подходят.

Еще не понятно какой порт устанавливать для ssh. В инструкции предлагают 2222, на форуме - 222.

Чтобы не было путаницы, удалили данный пункт настройки из статьи.

По умолчанию прошивочный SSH Dropbear слушает 22 порт, а Entware OPKG слушает 222 порт.

Проверьте пароль - keenetic

[Подключение Wireguard]

В базу знаний Keenetic добавили подробные статьи по настройке Wireguard-туннеля во всех популярных операционных системах - ссылки здесь.

Плюс были обновлены .pdf файлы Command Reference Guide CLI DOC от 15.11.2019

Добавлена группа команд Wireguard:

interface wireguard listen-port
interface wireguard peer
interface wireguard private-key

Обновлен Глоссарий - добавлена информация о протоколе Wireguard
Обновлена информация о hw_nat software, hardware
Метка версии KeeneticOS 3.3, редакция 1.67

Ссылки, скачать - здесь

[Wireguard Server & Client]

Реализовано.

Вопросы по подключению, инструкции - https://forum.keenetic.net/topic/7502-подключение-wireguard/?sortby=date 

[Подключение Wireguard]

Добавил примеры настройки WG-клиента для free приложения.
 

 

[Подключение Wireguard]

@Кинетиковод готовим, но пока нет в БЗ, краткий пример пока здесь (а почему бы и нет?).

[Подключение Wireguard]

Пример настройки подключения WG-Client AndroidOS MVNO Yota > WG-Server KN-1010:

По аналогии настраиваем WG-сервер и WG-клиент: 

Настраиваем WG-клиента в VPN Client Pro (можно добавить готовый конфиг .conf):

[Interface]
PrivateKey = u8Vag8CdaM5g96DK5ZN59tu0wwo61qV10IZWuRxxxx
Address = 172.16.82.3/24
DNS = 192.168.2.1

[Peer]
PublicKey = 1YVx+x3C817V9YdhUtpUhzyDLVj5tnK2m//xxxx
AllowedIPs = 172.16.82.0/24, 192.168.2.0/24
Endpoint = 193.0.174.xxx:16631

Добавляем в настройки сервера ключ удаленного клиента:



Подключаем клиента к серверу:



Настраиваем WG-клиента в WireGuard (можно добавить готовый конфиг .conf):

Interface - настройки клиента
Peer - настройки сервера



Пингуем роутер внутри туннеля:



Проверяем доступность веб-интерфейса:



Доступ по протоколу SMB внутри туннеля на накопитель, который подключен к серверу:

[Подключение Wireguard]

@Oleg Nekrylov выше, пример настройки.

[Подключение Wireguard]

Подробные стать в базе знаний Keenetic:

Туннельный интерфейс Wireguard и пример настройки VPN соединения локальных сетей двух маршрутизаторов Keenetic

Доступ в Интернет через Wireguard-туннель

Подключение по протоколу Wireguard VPN из Android

Подключение по протоколу Wireguard VPN в iOS

Подключение по протоколу Wireguard VPN из Linux

Подключение по протоколу Wireguard VPN из Windows 10

Подключение компьютера с Windows 7 к удаленной сети Keenetic по туннелю WireGuard

Пример настройки WG-Server KN-1010 <> WG-Client KN-1010:

WG-Server:

!
interface Wireguard2
    description wg-server
    security-level public
    ip address 172.16.82.1 255.255.255.0
    ip access-group _WEBADMIN_Wireguard2 in
    ip tcp adjust-mss pmtu
    wireguard listen-port 16631
    wireguard peer gnp5gW8pBQK2rA9ah1hiib1+3Jl218ZM8dBIjxxxx= !wg-home-client
        keepalive-interval 25
        allow-ips 172.16.82.2 255.255.255.255
        allow-ips 192.168.11.0 255.255.255.0
    !
    up

где:

172.16.82.0/24 - адресация внутри туннеля, соответственно на концах туннеля будут адреса 172.168.82.1 и 172.16.82.2

ip address 172.16.82.1 255.255.255.0 - внутренний адрес туннеля сервера
wireguard listen-port 16631 - порт, который будет слушать клиент для установки соединения
wireguard peer gnp5gW8pBQK2rA9ah1hiib1+3Jl218ZM8dBIjxxxx= !wg-home-client - ключ клиента
keepalive-interval 5 - указываем интервал проверки доступности удаленной стороны

указываем разрешенные адреса, подсети, с которых будет допущен трафик, в моем примере:

allow-ips 172.16.82.2 255.255.255.255 - удаленный адрес клиента 
allow-ips 192.168.11.0 255.255.255.0 - удаленная сеть клиента



WG-Client:

!
interface Wireguard2
    description wg-home-client
    security-level public
    ip address 172.16.82.2 255.255.255.0
    ip access-group _WEBADMIN_Wireguard2 in
    ip tcp adjust-mss pmtu
    wireguard peer 1YVx+x3C817V9YdhUtpUhzyDLVj5tnK2m//xxxxx= !wg-server
        endpoint 193.0.174.xxx:16631
        keepalive-interval 3
        allow-ips 172.16.82.1 255.255.255.255
        allow-ips 192.168.2.0 255.255.255.0
    !
    up

где:

172.16.82.0/24 - адресация внутри туннеля, соответственно на концах туннеля будут адреса 172.168.82.1 и 172.16.82.2

ip address 172.16.82.2 255.255.255.0 - внутренний адрес туннеля клиента
wireguard peer 1YVx+x3C817V9YdhUtpUhzyDLVj5tnK2m//xxxxx= !wg-server - ключ сервера
endpoint 193.0.174.xxx:16631 - публичный адрес сервера
keepalive-interval 3 -  указываем интервал проверки доступности сервера

указываем разрешенные адреса, подсети, с которых будет допущен трафик, в моем примере:

allow-ips 172.16.82.1 255.255.255.255 - удаленный адрес сервера
allow-ips 192.168.11.0 255.255.255.0 - удаленная сеть сервера



Настройка нетфильтра на стороне сервера для входящих соединений:

! 
access-list _WEBADMIN_Wireguard2
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0

Аналогичную настройку делаете и на клиенте.

Настройка маршрутизации на сервере до сети клиента:
 

ip route 192.168.11.0 255.255.255.0 Wireguard2 auto

Настройка маршрутизации на клиенте до сети сервера:
 

ip route 192.168.2.0 255.255.255.0 Wireguard2 auto

Важно! После настройки не забываем заново поднять туннели.

Проверяем:

Сервер:



Клиент:



Пингуем клиента со стороны сервера 192.168.2.1:

enpa@enpa:~$ ping 192.168.11.1 -c 10 -s 100
PING 192.168.11.1 (192.168.11.1) 100(128) bytes of data.
108 bytes from 192.168.11.1: icmp_seq=1 ttl=63 time=6.49 ms
108 bytes from 192.168.11.1: icmp_seq=2 ttl=63 time=7.31 ms
108 bytes from 192.168.11.1: icmp_seq=3 ttl=63 time=9.13 ms
108 bytes from 192.168.11.1: icmp_seq=4 ttl=63 time=6.51 ms
108 bytes from 192.168.11.1: icmp_seq=5 ttl=63 time=7.71 ms
108 bytes from 192.168.11.1: icmp_seq=6 ttl=63 time=6.76 ms
108 bytes from 192.168.11.1: icmp_seq=7 ttl=63 time=7.33 ms
108 bytes from 192.168.11.1: icmp_seq=8 ttl=63 time=6.24 ms
108 bytes from 192.168.11.1: icmp_seq=9 ttl=63 time=6.67 ms
108 bytes from 192.168.11.1: icmp_seq=10 ttl=63 time=6.02 ms

--- 192.168.11.1 ping statistics ---
10 packets transmitted, 10 received, 0% packet loss, time 9015ms
rtt min/avg/max/mdev = 6.021/7.016/9.132/0.862 ms

Внутри туннеля, со стороны сервера 192.168.2.1, проверяем доступ по протоколу SMB на накопитель, который подключен к клиенту:



 

 

 

[Подключение Wireguard]

@Andrey Che случаем в конфиге не указано доменном имя пира? Например провайдер Azirevpn в своих конфигах использует доменное имя образца - no1.wg.azirevpn.net с указанием порта пира.

Такой конфиг корректно не добавляется в webui и поле пира заполняется "ручками", но это надо будет обсудить с @eralde

p.s.: обсудили с @eralde, будет исправление в новой версии драфта.

[TSMB: Сетевое окружение]

@r777ay в статье базы знаний мы описали причины, по которым может не работать обнаружение по доменному имени хоста - https://help.keenetic.com/hc/ru/articles/360009253579

Если же все соответствует описанному, все варианты опробовали, то потребуется снимать дамп трафика. Да и на каком билде возникают проблемы? Я проверяю на Win10 1903 Pro, со всеми установленными обновлениями и исправлениями для системы:

[Документация по командной строке]

@Spectre какие конкретно линки не работают? 

[Документация по командной строке]

В 22.10.2019 в 13:23, rustrict сказал:

@enpa, в справочнике сейчас (1.66) не хватает значений у аргумента engine в п. 3.105 ppe: помимо software, ещё hardware и hardware-ipv6.

Вроде такого

Обнаружили в некоторых документациях отсутствие кондишена 'hwnat' - будет исправлено в следующих версиях. 

[TSMB: Сетевое окружение]

@r777ay Обнаружение работает с учетом включенного WS-Discovery в WindowsOS, по умолчанию не включено в системе.

Подробно, как включить WSD протокол, и о других особенностях, можно узнать в статье - https://help.keenetic.com/hc/ru/articles/360009253579 Как будет обкатан WSD в ndm, добавим описание в статью.

Проверял работу в WindowsOS 1930, обнаружение работает:

[Настройка SkyDNS]

@tld14 выполните команды в консоли:

no skydns login
no skydns password
no skydns enable

После проверьте.

Команды можно в web cli, на конце адреса роутера вводите /a

[Не идёт обновление]

@Chervonenko_CA пропишите доп DNS-сервера:

ip name-server 8.8.8.8 ""
ip name-server 8.8.4.4 ""

Либо обновитесь путем загрузки файла - https://forum.keenetic.net/topic/2620-files-keenetic/

[Отваливается PureFTPd]

@Tomel описанная проблема воспроизводиться:

I [Oct  1 12:27:34] pure-ftpd: (?@192.168.2.50) [INFO] enpa is now logged in
W [Oct  1 12:27:56] ndm: kernel: mmap: pure-ftpd (28915): VmData 8392704 exceed data ulimit 8388608. Update limits or use boot option ignore_rlimit_data.
I [Oct  1 12:27:57] pure-ftpd: (?@192.168.2.50) [INFO] New connection from 192.168.2.50
I [Oct  1 12:27:57] ndm: Core::Server: started Session /var/run/ndm.core.socket.
I [Oct  1 12:27:57] ndm: Core::Authenticator: user "enpa" authenticated, realm "Keenetic Giga", tag "ftp".
I [Oct  1 12:27:57] ndm: Core::Session: client disconnected.
I [Oct  1 12:27:57] pure-ftpd: (?@192.168.2.50) [INFO] enpa is now logged in
E [Oct  1 12:28:01] pure-ftpd: (enpa@192.168.2.50) [ERROR] Out of memory

спасибо за информацию в поддержке, кейс создан.

[Настройка DoT/DoH]

@rustrict а есть смысл? Данное расширение TLS выглядит как "костыль", который толком нигде не применяется на постоянной основе. Поэтому мы его не описываем в статье, нужен RFC для начала, как уточнил выше @Le ecureuil

Подождем, когда его "включит" Mozilla, тогда можно будет упомянуть eSNI.

[Отключить автоматическое обновление]

6 часов назад, KorDen сказал:

Хм. http://docs.help.keenetic.com/cli/3.1/ru/cli_manual_kl_rh.pdf

"Флеш-память Winbond W25Q64FVSIG 8Mb" (знаю что чушь, а у kl_rg правильно W25Q128CSIG)

В cli manualправильно указано - Winbond W25Q128CSIG 8Mb SPI. Winbond W25Q128CSIG 16Mb SPI с учетом dual. Поэтому не "чушь", но стоит поправить.

[проблемы с cifs/smb после обновления на 3.1]

@TheShadow добавьте правило ip static, пример, для 445 порт (очень небезопасно):

ip static tcp GigabitEthernet1 445 Bridge0 !445smb

Что останавливает работать с SMB внутри туннеля, например L2TP \ IPSec? И очень странная политика фильтрации у провайдера по поводу 445, 137, 138, 139 портов.

[Удаленный доступ по VPN]

@Alexander Eerie https://help.keenetic.com/hc/ru/articles/360003145220 или в cli:
 

ip http security-level public
system configuration save

 

[и опять проблемы на 2.15 прошивке]

@r13 сейчас 

[и опять проблемы на 2.15 прошивке]

@AAA сейчас большинство кейсов решаются через официальную поддержку - это касается стабильной ветки. Форум "отвечает" за альфу \ драфт ветку.

Вот выйдет новый драфт 3.xx, вот по нему будут собирать репорты с форума.

@Kiborg_Man проблема касается SSL, а не ndns. К сожалению для ветки 2.15 фикса SSL-сервера не будет. Пока выход такой:

no ip http ssl enable
no ip http ssl redirect
system configuration save

 

[и опять проблемы на 2.15 прошивке]

@biospb рекомендуется обновить устройства с KeeneticOS LTS до стабильной 3.01, где был произведен рефакторинг кода SSL-сервера. В данной версии проблема с SSL-сервером более не наблюдается. 

[Некорректная работа IGMP в KeeneticOS 3.0]

@iggo @Exter Да, пока фиксов нет, но исправление в планах и проблема на контроле. Как появится информация, будет сообщено здесь и в Ваших тикетах.

[Выключение авторизации для устройства на домен 4 уровня KeenDNS]

@Gim12 изменить порт управления nginx с 80, например, на 777? Нужно смотреть self-test файл.