[KeenDNS+SSTP (HTTP) закрыть доступ к Web]

23 минуты назад, r13 сказал:

На 443 порту будет только sstp

Тогда для включения ssl будут опять танцы с бубном, тем более что большая половина не знает что такое CLI

Зачем усложнять.

Все должно работать строго правил доступа

[KeenDNS+SSTP (HTTP) закрыть доступ к Web]

7 минут назад, r13 сказал:

@ydzhus может вам просто ssl на веб сервере выключить, раз вы им пользоваться не собираетесь

Что это даст?

[KeenDNS+SSTP (HTTP) закрыть доступ к Web]

24 минуты назад, Le ecureuil сказал:

Еще раз - какая точная версия прошивки, на которой проверялось? В 2.12 защита от брутфорса в новом Web была добавлена только на прошлой неделе. В 2.11 ее нет.

2.12.A.4.0-4\2.11 финал, в 2.12.A.4.0-5 работает бан.

Но это не меняет суть созданной темы, к Web должен быть закрыт если другое не разрешено фаерволом.

Иначе получаем танцы с бубном для того что бы использовать SSTP:

1. Подключится к тунелю IPSec (Android)

2. Зайти на Web роутера

3. Активировать доступ по HTTP + SSTP

4. Подключится к SSTP через Windows (наконец-то)

По итогу работы, продолжаем дальше.

5. Зайти на Web роутера

6. Дактивировать доступ по HTTP

 

Если Вам нужно несколько раз подключится к SSTP через Windows - тренеруйте пальцы и запасайтесь временем.

Так как, что бы закрыть web доступ нужно всегда выключать\выключать HTTP вручную в роутере, что влияет на работу SSTP

Вопрос, собственно простой, ЗАЧЕМ такие танцы с бубном?

 

Сделайте как во всем нормальном мире.

[KeenDNS+SSTP (HTTP) закрыть доступ к Web]

3 минуты назад, Le ecureuil сказал:

А теперь подробнее - версия прошивки? С какого интерфейса заходите? Каковы его настройки?

2.11\2.12, разницы нет

Старый или новый, разницы нет.

KeenDNS прямой или облачный доступ, разницы нет

В фаерволе правил нет.

 

Идеально закрыть доступ к веб интерфейсу при активации http\s

Все должно работать согласно правил фаервола

[KeenDNS+SSTP (HTTP) закрыть доступ к Web]

53 минуты назад, Le ecureuil сказал:

Какие этому свидетельства?

 

См. ниже.

9 попыток с ошибкой пароля, 10 вошел без проблем.

Потом 23 ошибки введения пароля, на 24 вошел без проблем.

Скрытый текст

 

Как итог, шапка темы актуальная.

Что бы не делать танцы с бубнами по 10 действий при каждом открытии доступа по SSTP

[KeenDNS+SSTP (HTTP) закрыть доступ к Web]

В 28.02.2018 в 11:38, r13 сказал:

брутфорсить не даст брутфорс детектор, можете его покрутить.

не работает брутфорс детектор в прямом доступе через KeenDNS

**.keenetic.link

[Проблема с IPSec (virtual ip) и L2TP/IPsec при активации VPN IKE v1\2]

4 часа назад, Le ecureuil сказал:

В старом Web тоже воспроизводится?

да

[Проблема с IPSec (virtual ip) и L2TP/IPsec при активации VPN IKE v1\2]

При активации VPN IKE v1\2 сам тунель не работает + нельзя подключится к другим туннелям (IPSec (virtual ip) и L2TP/IPsec )

Даже после удаления VPN IKE v1\2, приходится переактивировать IPSec (virtual ip) и L2TP/IPsec так как они не работают.

Скрытый текст

После удаления VPN IKE v1\2, при соединении IPSec (virtual ip) и L2TP/IPsec в логи лезет следующее:

Скрытый текст

 

[Зависает видео]

Бывает и такое

[Зависает видео]

Уже поднимался вопрос, решения нет.

 

 

[Не работает прямой "бан" IP по FTP]

1 час назад, r13 сказал:

В 2.12.A.4.0-5 добавилось.

Спасибо

[KeenDNS+SSTP (HTTP) закрыть доступ к Web]

51 минуту назад, PoliceMan сказал:

Kiborg_Man, да, вручную закрыл. В настройках отключить не могу, т.к. тогда sstp не работает. Было бы не плохо, если в настройках теперь появилось отдельно http и https. С другой стороны http тупо редиректит на https если переходить по имени, но если идти по IP, то не редиректит.

+1

 

[Проблемы с доступом к HDD]

Подтверждаю.

В 2.10, 2.11 есть такой баг.

В 2.12 вылезло в ином виде, см.ниже + self test

 

[Отключается интернет при ошибке второго подключения]

Подтверждаю.

Поймать сложно, как итог предоставить self-test нельзя

Но при нагрузке или подключению других устройств есть такая проблема, у меня активно возникает при DLNA подключении

 

 

[KeenDNS+SSTP (HTTP) закрыть доступ к Web]

14 часа назад, Le ecureuil сказал:

Вообще, если вы помните, раздел с идеями и голосовалками не здесь.

Здесь только проблемы и баги.

Я описал текущую логику работы, чтобы всем было понятно - где баг, а где фича.

Дальше по вашему усмотрению.

Лично я, считаю это багом в сравнении с другими производителями.

 

Представьте что у Вас в сети много устройств с разными политиками.

Управлять такой кухней будет сложно, искать какие сервисы тянут за собой открытие портов и доп. сервисов, ... так можно и недосмотреть подвох, где один сервис автоматом отрывает другой. Должно быть четко и все действия регламентироваться сугубо фаерволом, решил админ открыть, тогда работает. Других вариантов не должно быть.

 

По поводу Вашего комментария: "зайти открыть сервис, потом зайти закрыть" - не вариант.

Пример:

Хочу использовать доступ по SSTP:

- мне придется подключатся через тунель;

- активировать SSTP;

- по факту окончания работы, мне опять нужно подключатся по тунелю;

- деактивировать SSTP;

- Но мало того выключить SSTP, еще нужно лазить искать выключение доступа по HTTP, так как при выключении самого сервиса SSTP - HTTP будет успешно работать.

По факту доступ к WEB есть из внешнего мира.

 

Теперь понимаете сам маразм работы с сервисами роутера и правилами открытия доп. протоколов? 

Почему в нашей жизни все через одно место, сделайте как делают все производители (все действия регламентироваться сугубо фаерволом)

Что бы не делать 100 не нужных действий, и искать какие сервисы открывают за собой другие дыры.

[KeenDNS+SSTP (HTTP) закрыть доступ к Web]

35 минут назад, Le ecureuil сказал:

Вот смотрите.

У вас стоит SSL с автополучением сертификата LE.

Вы сперва все открыли, получили, закрыли доступы и забыли об этом.

А через 60 дней роутер начнет долбить LE, LE начнет приходить снаружи на 80 порт, и... Короче на 90-й день ваш сертификат станет самоподписанной тыквой.

А эти настройки позволяют динамически менять security-level во время получения сертификата, открывать на недолго доступ снаружи и при получении снова закрывать.

Ну и плюс это удобнее - если сменили порт сервиса, то не нужно бегать по всем ACL и искать где же были правила этого сервиса. Аналогично в ситуации с несколькими WAN - доступ открывается / закрывается везде сразу.

Я полагаю что тему можно закрывать? Учитывая Вашу точку зрения.

Или собираем голоса + Вы учитываете просьбы пользователей и гибкость настроек системы?

[Интеграция FTP]

5 минут назад, Alex Sh. сказал:

Интеграция = доступ к файлам на USB по протоколу FTP из приложения?

 

Полноценная поддержка FTP.

- Включение, выключение сервиса.

- Назначение прав доступа.

- Загрузку\скачивание файлов.

...

Все бы хорошо, но когда нужно сделать манипуляции с FTP, о мобильном приложении приходится забывать и заходить на веб. интерфейс через тунель или скачивать другой софт для управления FTP

Зачем это делать? Если есть родное приложение, но вся проблема в том что он этого не может делать, как итог, приходится пользоваться сторонним софтом.

 

Если уже сделали родное приложение, то логично расширить функционал работы с роутером и сервисами.

 

Спасибо

[KeenDNS+SSTP (HTTP) закрыть доступ к Web]

10 минут назад, MDP сказал:

Я тоже за это...есть же ACL его и нужно "крутить" с предоставлением доступов к web, telnet, и т.п. ...смущают эти двойственные настройки...как например для зарегистрированных устройств (интернет разрешен/запрещен), зачем она нужна эта настройка, когда в МСЭ это всё делается.? 

Голосуйте за тему

[KeenDNS+SSTP (HTTP) закрыть доступ к Web]

На данный момент:

При использовании SSTP нужна активация соединения HTTP, что открывает доступ к веб. интерфейсу через KeenDNS.

Скрытый текст

Что хотелось бы:

Нужен доступ SSTP и KeenDNS по работе с FTP + Transmission, но без доступа к веб. интерфейсу через KeenDNS

 

Объясняю идею:

Перехожу на использование туннелей.

Вся работа переводится  WEB\FTP через IPSec (Android) + SSTP (Windows).  Но при активации SSTP автоматом открывается доступ к веб через http, как через облако так и через прямой доступ Хотелось бы закрыть все возможные "дыры" по доступу к роутеру, исключая тунели. А то, при знании имени keendns можно брать брутфорс и вперед.... с учетом того, что брутфорс детектор неработает.

 

Было бы идеально, что бы доп. доступ к web интерфейсу открывался в фаерволе, а не по факту активации SSTP

Ваши идеи по реализации?

 

[Интеграция FTP]

@Alex Sh.

 

Просьба добавить интеграцию и управление сервисом FTP, желательно в приложение Аndroid.

Есть ли такие планы? Если да, то когда можно ждать реализацию?

[Не работает редирект на новый интерфейс через KeenDNS /_]

Показывает домен и ошибку при подключении из внешнего мира:

***.keenetic.link/_

Ранее этот баг уже был описан на форуме, в 2.12 успешно исправили, в бете 2.11 остался

Прошу поправить

[Вопросы по интеграции OpenVPN в NDMS]

10 минут назад, Le ecureuil сказал:

Не пишите ерунды, сервер тоже работает, еще с 2.10. Надо только составить правильный конфиг.

Начните копать отсюда: https://help.keenetic.net/hc/ru/articles/115005822629-OpenVPN-сервер-на-Keenetic

Спасибо

[Вопросы по интеграции OpenVPN в NDMS]

3 минуты назад, r13 сказал:

Он изначально был реализован, почитайте тему.

Сейчас рнализован только клиент

[Вопросы по интеграции OpenVPN в NDMS]

OpenVPN-сервер будет реализован?

[DLNA name]

поддержу