[Debian stable на кинетике]

Как поменять IP хоста debian? Условно работает он на 192.168.1.1, поменять нужно на 192.168.2.1.

[Маршрутизация VPN соединений]

18 minutes ago, wdmaster said:

https://help.keenetic.com/hc/ru/articles/360010551419

Только приоритет ниже провайдера нужно оставить.

[Маршрутизация VPN соединений]

Сорян, хотел написать "гайдами".

https://help.keenetic.com/hc/ru/articles/360010551419

[Маршрутизация VPN соединений]

16 hours ago, wdmaster said:

Действительно через wg трафик идёт "мимо", сторонние сервисы видят ip оператора сотовой связи, а не роутера. Куда смотреть, в какие настройки?

Этот вопрос снят, решилось гадами.

[Nginx + SSL от Letsencrypt]

6 hours ago, Trumph said:

443 порту цепляется

Возможно нужно закрыть внешний доступ на https для "морды" keenetic.

[Маршрутизация VPN соединений]

On 11/8/2021 at 10:49 AM, Le ecureuil said:

По поводу wg - это реально непонятная история, скорее всего трафик идет "мимо".

Действительно через wg трафик идёт "мимо", сторонние сервисы видят ip оператора сотовой связи, а не роутера. Куда смотреть, в какие настройки?

[Маршрутизация VPN соединений]

26 minutes ago, Le ecureuil said:

Вообще такое может быть, это особенность работы IPsec. Но сильно зависит от реализации на клиенте.

Маршруты пересылки в клиенте учитываются при работе сервера IPsec?

[Маршрутизация VPN соединений]

Выключил NAT и повторил запросы, получил интересную ситуацию:

1)VirtualIPServer: nginx регистрирует запрос от ip сотового оператора (внешний). Такого быть же не должно!?

2)VirtualIPServerIKE2: nginx регистрирует запрос от ip от внутреннего пула. Стандартно.

[Маршрутизация VPN соединений]

10 hours ago, Le ecureuil said:

1 и 2 на роутере устроены внутри абсолютно одинаково, разница только в способе согласования ключей. Потому разницу в работе нужно адресовать производителям телефона, если она вас беспокоит.

По поводу wg - это реально непонятная история, скорее всего трафик идет "мимо".

Попробовал на другом телефоне, аналогичная ситуация, может разница в различной работе NAT на серверах?

[Маршрутизация VPN соединений]

Дано:

Имеем giga 3 (v3.7b5) + entware nginx.

На роутере настроены строго по гайдам vpn сервера:

1)VirtualIPServer

2)VirtualIPServerIKE2

3)WireGuard

Имеем телефон на Android 11 OnePlus 8pro с настроенными соответствующими VPN клиентами.

Web server (nginx) запущен и примимет запросы.

Поочередно соединяюсь каждым методом и отправлю запрос на доменное имя(example.ru), которое адрессуется на мой Nginx.

Смотрю откуда пришел запрос (remote_addr):

1)VirtualIPServer: nginx регистрирует запрос от ip сотового оператора (внешний). На настройки маршрута пересылки (в телефоне) вообще не реагирует, всегда внешний ip получаю.

2)VirtualIPServerIKE2: nginx регистрирует запрос от ip от внутреннего пула VPN IKE2 (условно 172.20.8.2).

3)WireGuard: nginx регистрирует запрос от ip сотового оператора (внешний), аналогично VirtualIPServer.

Вопрос, почему так происходит, все ли правильно работает? где можно настроить маршрут к веб серверу?

 

PS: после сброса настроек VirtualIPServer в профиль возвращается настройка identity-local fqdn mykeenetic.net, возможно уже не актуально?

 

[L2TP/IPsec сервер]

On 10/5/2021 at 11:04 AM, Le ecureuil said:

Может подробнее распишете свою схему

На entware крутится nginx-extars 1.18. Когда подключаюсь в локалку по ipsec цепочка ip адресов должна быть: 12.12.12.12(внешний) --> 192.168.1.1 --> 172.20.0.1. В логах все хорошо захожу в сеть от 172.20.0.1, но nginx в переменных($remote_addr и $server_addr) получает не правильные адреса, не видит 172.20.0.1. Все конфиги nginx перерыл не получается. До обновления все было хорошо, поэтому спрашиваю, так теперь должно быть?

[L2TP/IPsec сервер]

3 hours ago, Le ecureuil said:

Где лог?

Я ошибся, прошу прощения, лог пишет все хорошо. Проблема в другом при подключении IPsec Xauth PSK в локальную сеть я ожидаю с $_SERVER['SERVER_ADDR'] получить 172.20.0.1, а получаю ip полученный в сети мобильного оператора. 

IpSec::CryptoMapInfo: "VirtualIPServer": crypto map is up: remote client "admin" @ "10.108.225.67" with IP "172.20.0.1" connected.

[L2TP/IPsec сервер]

Начиная с 3.7 beta 3, через IPsec Xauth PSK меня в локальной сети определяет как 127.0.0.1 а не 172.20.0.1. Так должно быть?

[3.7 А15. Траблы с DNS]

8 hours ago, Le ecureuil said:

Проблему видно, и понятно как решить (особенно если вы уж полезли в скрытые галки).

Если честно, удалил DNS, потом поставил cloudflare dns фильтр, и вышел. Проблему заметил через пол дня, пропал доступ к провайдеру, начал на него грешить, хотел вызвать. Но на запасном роутере норм.подключилось и начал копать кинетик. Сам дурак, согласен.

После того как DNS вернул, все подключилось. Не могу же я помнить все свои настройки.

[3.7 А15. Траблы с DNS]

Согласен, но юзабельность должна же быть, предупреждение или защита от дурака. 

[3.7 А15. Траблы с DNS]

Были прописаны мои адреса DNS серверов во вкладке интернет-фильтры. Убрал из полностью, упало проводное подключение к провайдеру ("без доступа к интернету"). В настройках проводного подключения стояла галка "игонорировать DNS".

Мелочь, но неприятно.

[IPsec: Доступ по IPsec Xauth PSK (3.5 Alpha 3)]

On 5/27/2020 at 12:19 PM, wdmaster said:

Добрый день, у меня пару учёток для доступа, заметил такую особенность под admin подключение вообще не происходит "Сбой", хотя все разрешения даны.

 

под учетной запись без прав администратора подключается во внутреннюю сеть, но отсутствует доступ в интернет, хотя раньше выходил, было удобно.

 

 

@Le ecureuil,

По моему вопросу решение не появилось?

[IPsec: Доступ по IPsec Xauth PSK (3.5 Alpha 3)]

20 minutes ago, KorDen said:

Это не ipsec, "no ip http easy-access"

Спасибо большое, помогло.

[IPsec: Доступ по IPsec Xauth PSK (3.5 Alpha 3)]

@Le ecureuil

Ранее переназначил порт доступа к интернет-центру на 81, теперь IPsec занял 80 порт. Адрес 78.47.125.180 - это DNS-сервер IPsec.

Quote

tcp        0      0 78.47.125.180:80        0.0.0.0:*               LISTEN      658/nginx

Возможно сделать так, чтобы IPsec не занимал 80 порт?

На 80 у меня с entware мой nginx не может забиндиться.

Quote

/opt/etc/init.d # ./S80nginx start
nginx: [emerg] bind() to 0.0.0.0:80 failed (125: Address already in use)
nginx: [emerg] bind() to 0.0.0.0:80 failed (125: Address already in use)
nginx: [emerg] bind() to 0.0.0.0:80 failed (125: Address already in use)
nginx: [emerg] bind() to 0.0.0.0:80 failed (125: Address already in use)
nginx: [emerg] bind() to 0.0.0.0:80 failed (125: Address already in use)
nginx: [emerg] still could not bind()

 

[IPsec: Доступ по IPsec Xauth PSK (3.5 Alpha 3)]

Клиент Android устройство. В частности Onepus 7pro, android 10.

[IPsec: Доступ по IPsec Xauth PSK (3.5 Alpha 3)]

Добрый день, у меня пару учёток для доступа, заметил такую особенность под admin подключение вообще не происходит "Сбой", хотя все разрешения даны.

Цитата

Май 27 12:11:02

 

ipsec

11[IKE] EAP-MS-CHAPv2 verification failed, retry (1)

Май 27 12:11:04

 

ipsec

11[IKE] EAP-MS-CHAPv2 failed with error ERROR_AUTHENTICATION_FAILURE: '(null)'

Май 27 12:11:04

 

ndm

IpSec::Configurator: failed to authorize incoming request for crypto map "VirtualIPServer".

Май 27 12:11:04

 

ndm

IpSec::Configurator: (wrong XAuth login/password sent by remote peer).

Май 27 12:11:04

 

ipsec

11[IKE] XAuth authentication of 'admin' failed

Май 27 12:11:04

 

ipsec

16[IKE] destroying IKE_SA after failed XAuth authentication

 

под учетной запись без прав администратора подключается во внутреннюю сеть, но отсутствует доступ в интернет, хотя раньше выходил, было удобно.

 

Цитата

IpSec::CryptoMapInfo: "VirtualIPServer": unable to find client "*******" from "**.**.**.**".

 

[OnePlus 5 + Giga III - скорость подключения Wi-Fi]

Поддерживаю, есть такая проблема.

[Настройка подключения к IPsec Virtual IP сервер на Keenetic]

Что необходимо чтобы работал Always-on через KeenDNS?