wdmaster
-
Posts
23 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by wdmaster
-
-
18 minutes ago, wdmaster said:
Только приоритет ниже провайдера нужно оставить.
-
Сорян, хотел написать "гайдами".
-
16 hours ago, wdmaster said:
Действительно через wg трафик идёт "мимо", сторонние сервисы видят ip оператора сотовой связи, а не роутера. Куда смотреть, в какие настройки?
Этот вопрос снят, решилось гадами.
-
6 hours ago, Trumph said:
443 порту цепляется
Возможно нужно закрыть внешний доступ на https для "морды" keenetic.
-
On 11/8/2021 at 10:49 AM, Le ecureuil said:
По поводу wg - это реально непонятная история, скорее всего трафик идет "мимо".
Действительно через wg трафик идёт "мимо", сторонние сервисы видят ip оператора сотовой связи, а не роутера. Куда смотреть, в какие настройки?
-
26 minutes ago, Le ecureuil said:
Вообще такое может быть, это особенность работы IPsec. Но сильно зависит от реализации на клиенте.
Маршруты пересылки в клиенте учитываются при работе сервера IPsec?
-
Выключил NAT и повторил запросы, получил интересную ситуацию:
1)VirtualIPServer: nginx регистрирует запрос от ip сотового оператора (внешний). Такого быть же не должно!?
2)VirtualIPServerIKE2: nginx регистрирует запрос от ip от внутреннего пула. Стандартно.
-
10 hours ago, Le ecureuil said:
1 и 2 на роутере устроены внутри абсолютно одинаково, разница только в способе согласования ключей. Потому разницу в работе нужно адресовать производителям телефона, если она вас беспокоит.
По поводу wg - это реально непонятная история, скорее всего трафик идет "мимо".
Попробовал на другом телефоне, аналогичная ситуация, может разница в различной работе NAT на серверах?
-
Дано:
Имеем giga 3 (v3.7b5) + entware nginx.
На роутере настроены строго по гайдам vpn сервера:
1)VirtualIPServer
2)VirtualIPServerIKE2
3)WireGuard
Имеем телефон на Android 11 OnePlus 8pro с настроенными соответствующими VPN клиентами.
Web server (nginx) запущен и примимет запросы.
Поочередно соединяюсь каждым методом и отправлю запрос на доменное имя(example.ru), которое адрессуется на мой Nginx.
Смотрю откуда пришел запрос (remote_addr):
1)VirtualIPServer: nginx регистрирует запрос от ip сотового оператора (внешний). На настройки маршрута пересылки (в телефоне) вообще не реагирует, всегда внешний ip получаю.
2)VirtualIPServerIKE2: nginx регистрирует запрос от ip от внутреннего пула VPN IKE2 (условно 172.20.8.2).
3)WireGuard: nginx регистрирует запрос от ip сотового оператора (внешний), аналогично VirtualIPServer.
Вопрос, почему так происходит, все ли правильно работает? где можно настроить маршрут к веб серверу?
PS: после сброса настроек VirtualIPServer в профиль возвращается настройка identity-local fqdn mykeenetic.net, возможно уже не актуально?
-
On 10/5/2021 at 11:04 AM, Le ecureuil said:
Может подробнее распишете свою схему
На entware крутится nginx-extars 1.18. Когда подключаюсь в локалку по ipsec цепочка ip адресов должна быть: 12.12.12.12(внешний) --> 192.168.1.1 --> 172.20.0.1. В логах все хорошо захожу в сеть от 172.20.0.1, но nginx в переменных($remote_addr и $server_addr) получает не правильные адреса, не видит 172.20.0.1. Все конфиги nginx перерыл не получается. До обновления все было хорошо, поэтому спрашиваю, так теперь должно быть?
-
3 hours ago, Le ecureuil said:
Где лог?
Я ошибся, прошу прощения, лог пишет все хорошо. Проблема в другом при подключении IPsec Xauth PSK в локальную сеть я ожидаю с $_SERVER['SERVER_ADDR'] получить 172.20.0.1, а получаю ip полученный в сети мобильного оператора.
IpSec::CryptoMapInfo: "VirtualIPServer": crypto map is up: remote client "admin" @ "10.108.225.67" with IP "172.20.0.1" connected.
-
Начиная с 3.7 beta 3, через IPsec Xauth PSK меня в локальной сети определяет как 127.0.0.1 а не 172.20.0.1. Так должно быть?
-
8 hours ago, Le ecureuil said:
Проблему видно, и понятно как решить (особенно если вы уж полезли в скрытые галки).
Если честно, удалил DNS, потом поставил cloudflare dns фильтр, и вышел. Проблему заметил через пол дня, пропал доступ к провайдеру, начал на него грешить, хотел вызвать. Но на запасном роутере норм.подключилось и начал копать кинетик. Сам дурак, согласен.
После того как DNS вернул, все подключилось. Не могу же я помнить все свои настройки.
-
Согласен, но юзабельность должна же быть, предупреждение или защита от дурака.
-
Были прописаны мои адреса DNS серверов во вкладке интернет-фильтры. Убрал из полностью, упало проводное подключение к провайдеру ("без доступа к интернету"). В настройках проводного подключения стояла галка "игонорировать DNS".
Мелочь, но неприятно.
- 2
-
On 5/27/2020 at 12:19 PM, wdmaster said:
Добрый день, у меня пару учёток для доступа, заметил такую особенность под admin подключение вообще не происходит "Сбой", хотя все разрешения даны.
под учетной запись без прав администратора подключается во внутреннюю сеть, но отсутствует доступ в интернет, хотя раньше выходил, было удобно.
@Le ecureuil,
По моему вопросу решение не появилось?
-
20 minutes ago, KorDen said:
Это не ipsec, "no ip http easy-access"
Спасибо большое, помогло.
-
Ранее переназначил порт доступа к интернет-центру на 81, теперь IPsec занял 80 порт. Адрес 78.47.125.180 - это DNS-сервер IPsec.
Quotetcp 0 0 78.47.125.180:80 0.0.0.0:* LISTEN 658/nginx
Возможно сделать так, чтобы IPsec не занимал 80 порт?
На 80 у меня с entware мой nginx не может забиндиться.
Quote/opt/etc/init.d # ./S80nginx start
nginx: [emerg] bind() to 0.0.0.0:80 failed (125: Address already in use)
nginx: [emerg] bind() to 0.0.0.0:80 failed (125: Address already in use)
nginx: [emerg] bind() to 0.0.0.0:80 failed (125: Address already in use)
nginx: [emerg] bind() to 0.0.0.0:80 failed (125: Address already in use)
nginx: [emerg] bind() to 0.0.0.0:80 failed (125: Address already in use)
nginx: [emerg] still could not bind() -
Клиент Android устройство. В частности Onepus 7pro, android 10.
- 1
-
Добрый день, у меня пару учёток для доступа, заметил такую особенность под admin подключение вообще не происходит "Сбой", хотя все разрешения даны.
ЦитатаМай 27 12:11:02ipsec11[IKE] EAP-MS-CHAPv2 verification failed, retry (1)Май 27 12:11:04ipsec11[IKE] EAP-MS-CHAPv2 failed with error ERROR_AUTHENTICATION_FAILURE: '(null)'Май 27 12:11:04ndmIpSec::Configurator: failed to authorize incoming request for crypto map "VirtualIPServer".Май 27 12:11:04ndmIpSec::Configurator: (wrong XAuth login/password sent by remote peer).Май 27 12:11:04ipsec11[IKE] XAuth authentication of 'admin' failedМай 27 12:11:04ipsec16[IKE] destroying IKE_SA after failed XAuth authenticationпод учетной запись без прав администратора подключается во внутреннюю сеть, но отсутствует доступ в интернет, хотя раньше выходил, было удобно.
ЦитатаIpSec::CryptoMapInfo: "VirtualIPServer": unable to find client "*******" from "**.**.**.**".
-
Поддерживаю, есть такая проблема.
- 1
-
Что необходимо чтобы работал Always-on через KeenDNS?
Debian stable на кинетике
in Каталог готовых решений Opkg
Posted
Как поменять IP хоста debian? Условно работает он на 192.168.1.1, поменять нужно на 192.168.2.1.