-
Posts
632 -
Joined
-
Last visited
-
Days Won
1
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by Keenetic
-
-
7 минут назад, r13 сказал:
@ydzhus может вам просто ssl на веб сервере выключить, раз вы им пользоваться не собираетесь
Что это даст?
-
24 минуты назад, Le ecureuil сказал:
Еще раз - какая точная версия прошивки, на которой проверялось? В 2.12 защита от брутфорса в новом Web была добавлена только на прошлой неделе. В 2.11 ее нет.
2.12.A.4.0-4\2.11 финал, в 2.12.A.4.0-5 работает бан.
Но это не меняет суть созданной темы, к Web должен быть закрыт если другое не разрешено фаерволом.
Иначе получаем танцы с бубном для того что бы использовать SSTP:
1. Подключится к тунелю IPSec (Android)
2. Зайти на Web роутера
3. Активировать доступ по HTTP + SSTP
4. Подключится к SSTP через Windows (наконец-то)
По итогу работы, продолжаем дальше.
5. Зайти на Web роутера
6. Дактивировать доступ по HTTP
Если Вам нужно несколько раз подключится к SSTP через Windows - тренеруйте пальцы и запасайтесь временем.
Так как, что бы закрыть web доступ нужно всегда выключать\выключать HTTP вручную в роутере, что влияет на работу SSTP
Вопрос, собственно простой, ЗАЧЕМ такие танцы с бубном?
Сделайте как во всем нормальном мире.
- 1
-
3 минуты назад, Le ecureuil сказал:
А теперь подробнее - версия прошивки? С какого интерфейса заходите? Каковы его настройки?
2.11\2.12, разницы нет
Старый или новый, разницы нет.
KeenDNS прямой или облачный доступ, разницы нет
В фаерволе правил нет.
Идеально закрыть доступ к веб интерфейсу при активации http\s
Все должно работать согласно правил фаервола
-
53 минуты назад, Le ecureuil сказал:
Какие этому свидетельства?
См. ниже.
9 попыток с ошибкой пароля, 10 вошел без проблем.
Потом 23 ошибки введения пароля, на 24 вошел без проблем.
Скрытый текстКак итог, шапка темы актуальная.
Что бы не делать танцы с бубнами по 10 действий при каждом открытии доступа по SSTP
- 1
-
В 28.02.2018 в 11:38, r13 сказал:
брутфорсить не даст брутфорс детектор, можете его покрутить.
не работает брутфорс детектор в прямом доступе через KeenDNS
**.keenetic.link
- 1
-
4 часа назад, Le ecureuil сказал:
В старом Web тоже воспроизводится?
да
-
При активации VPN IKE v1\2 сам тунель не работает + нельзя подключится к другим туннелям (IPSec (virtual ip) и L2TP/IPsec )
Даже после удаления VPN IKE v1\2, приходится переактивировать IPSec (virtual ip) и L2TP/IPsec так как они не работают.
После удаления VPN IKE v1\2, при соединении IPSec (virtual ip) и L2TP/IPsec в логи лезет следующее:
Скрытый текст- 1
-
Бывает и такое
-
Уже поднимался вопрос, решения нет.
-
1 час назад, r13 сказал:
В 2.12.A.4.0-5 добавилось.
Спасибо
-
51 минуту назад, PoliceMan сказал:
Kiborg_Man, да, вручную закрыл. В настройках отключить не могу, т.к. тогда sstp не работает. Было бы не плохо, если в настройках теперь появилось отдельно http и https. С другой стороны http тупо редиректит на https если переходить по имени, но если идти по IP, то не редиректит.
+1
- 1
-
Подтверждаю.
В 2.10, 2.11 есть такой баг.
В 2.12 вылезло в ином виде, см.ниже + self test
-
Подтверждаю.
Поймать сложно, как итог предоставить self-test нельзя
Но при нагрузке или подключению других устройств есть такая проблема, у меня активно возникает при DLNA подключении
-
14 часа назад, Le ecureuil сказал:
Вообще, если вы помните, раздел с идеями и голосовалками не здесь.
Здесь только проблемы и баги.
Я описал текущую логику работы, чтобы всем было понятно - где баг, а где фича.
Дальше по вашему усмотрению.
Лично я, считаю это багом в сравнении с другими производителями.
Представьте что у Вас в сети много устройств с разными политиками.
Управлять такой кухней будет сложно, искать какие сервисы тянут за собой открытие портов и доп. сервисов, ... так можно и недосмотреть подвох, где один сервис автоматом отрывает другой. Должно быть четко и все действия регламентироваться сугубо фаерволом, решил админ открыть, тогда работает. Других вариантов не должно быть.
По поводу Вашего комментария: "зайти открыть сервис, потом зайти закрыть" - не вариант.
Пример:
Хочу использовать доступ по SSTP:
- мне придется подключатся через тунель;
- активировать SSTP;
- по факту окончания работы, мне опять нужно подключатся по тунелю;
- деактивировать SSTP;
- Но мало того выключить SSTP, еще нужно лазить искать выключение доступа по HTTP, так как при выключении самого сервиса SSTP - HTTP будет успешно работать.
По факту доступ к WEB есть из внешнего мира.
Теперь понимаете сам маразм работы с сервисами роутера и правилами открытия доп. протоколов?
Почему в нашей жизни все через одно место, сделайте как делают все производители (все действия регламентироваться сугубо фаерволом)
Что бы не делать 100 не нужных действий, и искать какие сервисы открывают за собой другие дыры.
- 1
-
35 минут назад, Le ecureuil сказал:
Вот смотрите.
У вас стоит SSL с автополучением сертификата LE.
Вы сперва все открыли, получили, закрыли доступы и забыли об этом.
А через 60 дней роутер начнет долбить LE, LE начнет приходить снаружи на 80 порт, и... Короче на 90-й день ваш сертификат станет самоподписанной тыквой.
А эти настройки позволяют динамически менять security-level во время получения сертификата, открывать на недолго доступ снаружи и при получении снова закрывать.
Ну и плюс это удобнее - если сменили порт сервиса, то не нужно бегать по всем ACL и искать где же были правила этого сервиса. Аналогично в ситуации с несколькими WAN - доступ открывается / закрывается везде сразу.
Я полагаю что тему можно закрывать? Учитывая Вашу точку зрения.
Или собираем голоса + Вы учитываете просьбы пользователей и гибкость настроек системы?
-
5 минут назад, Alex Sh. сказал:
Интеграция = доступ к файлам на USB по протоколу FTP из приложения?
Полноценная поддержка FTP.
- Включение, выключение сервиса.
- Назначение прав доступа.
- Загрузку\скачивание файлов.
...
Все бы хорошо, но когда нужно сделать манипуляции с FTP, о мобильном приложении приходится забывать и заходить на веб. интерфейс через тунель или скачивать другой софт для управления FTP
Зачем это делать? Если есть родное приложение, но вся проблема в том что он этого не может делать, как итог, приходится пользоваться сторонним софтом.
Если уже сделали родное приложение, то логично расширить функционал работы с роутером и сервисами.
Спасибо
- 2
- 2
-
10 минут назад, MDP сказал:
Я тоже за это...есть же ACL его и нужно "крутить" с предоставлением доступов к web, telnet, и т.п. ...смущают эти двойственные настройки...как например для зарегистрированных устройств (интернет разрешен/запрещен), зачем она нужна эта настройка, когда в МСЭ это всё делается.?
Голосуйте за тему
- 1
-
На данный момент:
При использовании SSTP нужна активация соединения HTTP, что открывает доступ к веб. интерфейсу через KeenDNS.
Скрытый текстЧто хотелось бы:
Нужен доступ SSTP и KeenDNS по работе с FTP + Transmission, но без доступа к веб. интерфейсу через KeenDNS
Объясняю идею:
Перехожу на использование туннелей.
Вся работа переводится WEB\FTP через IPSec (Android) + SSTP (Windows). Но при активации SSTP автоматом открывается доступ к веб через http, как через облако так и через прямой доступ Хотелось бы закрыть все возможные "дыры" по доступу к роутеру, исключая тунели. А то, при знании имени keendns можно брать брутфорс и вперед.... с учетом того, что брутфорс детектор неработает.
Было бы идеально, что бы доп. доступ к web интерфейсу открывался в фаерволе, а не по факту активации SSTP
Ваши идеи по реализации?
- 1
-
Просьба добавить интеграцию и управление сервисом FTP, желательно в приложение Аndroid.
Есть ли такие планы? Если да, то когда можно ждать реализацию?
- 1
- 1
-
Показывает домен и ошибку при подключении из внешнего мира:
***.keenetic.link/_
Ранее этот баг уже был описан на форуме, в 2.12 успешно исправили, в бете 2.11 остался
Прошу поправить
-
10 минут назад, Le ecureuil сказал:
Не пишите ерунды, сервер тоже работает, еще с 2.10. Надо только составить правильный конфиг.
Начните копать отсюда: https://help.keenetic.net/hc/ru/articles/115005822629-OpenVPN-сервер-на-Keenetic
Спасибо
-
3 минуты назад, r13 сказал:
Он изначально был реализован, почитайте тему.
Сейчас рнализован только клиент
-
OpenVPN-сервер будет реализован?
-
поддержу
KeenDNS+SSTP (HTTP) закрыть доступ к Web
in 2.12
Posted
Тогда для включения ssl будут опять танцы с бубном, тем более что большая половина не знает что такое CLI
Зачем усложнять.
Все должно работать строго правил доступа