[Веб-морда постоянно требует пароль в Safari]

8 hours ago, Zewkin said:

Актуально для всех версий Сафари. Раз в пять секунд вываливается окно с запросом креденшалов, галка "запомнить" не помогает. 

Блокировщик рекламы типа AdBlock стоит? Если да - добавьте кинетик в исключения.

[не сработали скрипты netfilter.d]

Вставлете правила с уникальным комментарием, например -m comment --comment unic_marker

Потом в начале скрипта

/opt/sbin/iptables -L -n -t filter | grep -q "unic_marker" && exit 0

 

[L2TP/IPsec сервер]

А какой опцией передается маршрут? Надо через 249

[Все о туннелях IPIP, GRE и EoIP]

3 hours ago, Le ecureuil said:

МСЭ имеет приоритет перед tunnels input. Потому просто запретите нужные протоколы в МСЭ.

 

Да, но нет. 

МСЭ имеет приоритет перед tunnels input И перед _NDM_IPSEC_INPUT_FILTER. Если я взаимодействую с пиром "B" по GRE с ипеском, то использование МСЭ разрешит любой GRE от "B", и запретит от остальных. 

Что никак не решает задачу - разрешить GRE ТОЛЬКО от "B" и ТОЛЬКО шифрованный.

[Все о туннелях IPIP, GRE и EoIP]

А как настроить firewall что бы разрешить только шифрованный GRE ?

В цепочке _NDM_IPSEC_INPUT_FILTER мы разрешаем шифрованные GRE от наших пиров, и потом дропаем нешифрованный от них же. Разумно и логично.

А потом в _NDM_TUNNELS_INPUT разрешаем от всех остальных... Как это запретить? 

[Как настроить IPSec/GRE туннель c Linux и пробросить по туннелю порт?]

Web морда не умеет делать правильные ACL для GRE туннелей.

Только в CLI

[Как настроить IPSec/GRE туннель c Linux и пробросить по туннелю порт?]

3 hours ago, Le ecureuil said:

Кстати эти данные - это хорошие кандидаты на вывод в show interface, что же вы молчите-то?

Привык смотреть первоисточник в шелле =(

[Как настроить IPSec/GRE туннель c Linux и пробросить по туннелю порт?]

Если у вас такая схема, то вам надо обязательно:

1. Обновить кинетик до 2.10

2. Конфигурировать авто туннель на кинетикие в режиме ikev2

3. Посмотреть в /tmp/ipsec/ipsec.conf на кинетике какие он задал leftid и rightid что бы на линуксе настроить строго зеркально

4. Посмотреть в /tmp/ipsec/ipsec.conf на кинетике какие он задал ike, esp, ikelifetime, lifetime что бы на линуксе задать такие же

5. На линуксе в параметрах туннеля использовать как source локальный адрес линукса

[Как настроить IPSec/GRE туннель c Linux и пробросить по туннелю порт?]

Strongswan 5.5.3

Клиент? Тут нет понятия клиент, оба соединения равноправны.

У вас кто за NAT  - линукс или кинетик? Внешний IP статический или динамический?

[Как настроить IPSec/GRE туннель c Linux и пробросить по туннелю порт?]

Поехали.

Zyxel

 

access-list acl-tunnel-gre
    permit gre <zyxel wan ip> 255.255.255.255 <linux wan ip> 255.255.255.255
    
interface Gre0
    rename LinuxTunnel
    security-level private
    ip address 192.168.10.10 255.255.255.252
    ip dhcp client no dns-routes
    ip dhcp client no name-servers
    ip mtu 1400
    ip tcp adjust-mss pmtu
    tunnel source PPPoE0
    tunnel destination <linux wan ip>
    up
 
 ip route 192.168.0.0 255.255.0.0 LinuxTunnel
 
 crypto ike proposal ike-aes256-sha256
    encryption aes-cbc-256
    dh-group 14
    integrity sha256
!
crypto ike policy tun-ikev2-policy
    proposal ike-aes256-sha256
    lifetime 86400
    mode ikev2
    
crypto ipsec transform-set esp-aes128-sha1
    cypher esp-aes-128
    hmac esp-sha1-hmac
    dh-group 14
    lifetime 21600

crypto ipsec profile linux.tunnel.com
    dpd-interval 20
    identity-local fqdn zyxel.tunnel.com
    match-identity-remote linux.tunnel.com
    authentication-local pre-share
    authentication-remote pre-share
    mode transport
    policy tun-ikev2-policy
    
 crypto map linux-tunnel
    set-peer <linux wan ip>
    set-profile linux.tunnel.com
    set-transform esp-aes128-sha1
    match-address acl-tunnel-gre
    nail-up
    virtual-ip no enable
    enable
    
 service ipsec

 

Linux - /etc/network/interfaces

auto gre2
iface gre2 inet static
        address 192.168.10.9
        netmask 255.255.255.255
        up ip link set gre2 mtu 1400
        pre-up iptunnel add gre2 mode gre remote <zyxel wan ip> local <linux wan ip> dev eth1 ttl 64
        pointopoint 192.168.10.10
        post-down iptunnel del gre2

 

Linux - /etc/ipsec.conf

conn %default
    right=%any
    compress=no
    dpddelay=20s
    dpdtimeout=60s
    installpolicy=yes
    fragmentation=yes
    keyexchange=ikev2
    ike=aes256-aes128-sha256-modp2048,aes256gcm16-aes128gcm16-prfsha256-modp2048!
    mobike=no
 
conn tmpl-static-tun-transport
    dpdaction=clear
    ike=aes256-sha256-modp2048,aes256gcm16-prfsha256-modp2048!
    esp=aes128-sha1-modp2048,aes128gcm16-modp2048!
    ikelifetime=24h
    keyexchange=ikev2
    keyingtries=1
    lifetime=6h
    inactivity=10m
    type=transport
    
conn zyxel-tun
    also=tmpl-static-tun-transport
    left=<linux-wan-ip>
    leftauth=psk
    leftid="linux.tunnel.com"
    leftsubnet=%dynamic[gre]
    right=<zyxel-wan-ip>
    rightauth=psk
    rightid="zyxel.tunnel.com"
    rightsubnet=%dynamic[gre]
    auto=route

 

[Как настроить IPSec/GRE туннель c Linux и пробросить по туннелю порт?]

Отлично работают GRE IPsec туннели с Debian. Стабильно

 

Вы в ACL должны указывать концы туннеля, а не трафик внутри туннеля.

 

А трафик внутрь заворачивайте маршрутизацией.

 

[Перестал работать скрипт в etc/ndm/wan.d]

Да собственно оно мне и не больно надо. Опечатки были в исходном скрипте который правился.

[Перестал работать скрипт в etc/ndm/wan.d]

15 minutes ago, Perevozchic said:

Ну для меня именно поломали. Очень жаль, остаётся только откат на 2.08...

Ну зачем? Напишите свой скрипт который пускается при старте системы и делает в бесконечном цикле sleep на минуту. И ловит сигнал HUP, при старте wan ему дают сигнал и он включает счетчик. После того как счетчик будет 10 - сбрасываем его и смотрим адрес на WAN. Если все плохо - рестартуем сессию.

Или при старте WAN пишите файл флаг в tmp, и чекайте его по крону. Вариантов масса.

[Файл любого draft 2.10 на ресурсе files.keenopt.ru]

Бред какой

[Глюки последней версии 2.09.C.0.0-1]

Да не надо ломать легаси. Оставить его поведением по умолчанию. Дать немного больше "ручек" в CLI для страждущих.

[Глюки последней версии 2.09.C.0.0-1]

5 minutes ago, KorDen said:

Тут желание общее - прибить легаси ip static с его причудами и неочевидными вариантами работы, о которых уже говорилось, и сделать управление NAT интуитивнее и функциональнее.

Это да. Но это не относится к NAT Loopback, imho.

[NAT на выходном интерфейсе]

По завету Le ecureuil буду активнее в соотвесвующей теме. Даешь нормальный NAT на выход!

 

 

[Глюки последней версии 2.09.C.0.0-1]

Я не желающий. Я понимающий как оно работает на уровне иптаблес и поясняющий остальным. =)

[Глюки последней версии 2.09.C.0.0-1]

Ну поймите. Рутер рассчитан на домашнего пользователя. Где производитель подстелил соломки где только можно. Что бы все работало и обращений в поддержку было минимальное количество.

Вам нужно нестандартного? Или открывайте топики в теме про развитие или используйте другой инструмент - рутера на опенврт, с прошивкой падавана, циски и тд и тп.

 

[Глюки последней версии 2.09.C.0.0-1]

Как раз NATить все скопом - проще. Выборочный NAT усложняет логику.

[Отключение NAT Loopback]

Возможность отключения, хотя бы через CLI, NAT Loopback.

[Глюки последней версии 2.09.C.0.0-1]

2 minutes ago, Yacudzer said:

а на кой пес он мне нужен???

Что бы изнутри локалки обращаться к ресурсам внутри же этой локалки по внешнему адресу, если для этого ресурса сделан проброс портов.

Грубо говоря вы пробросили внутрь порт 80, и ваш вебсервер доступен из мира под именем my.cool.server которое резолвится во внешний IP кинетика.

Что бы изнутри ходить на http://my.cool.server даже если и внутри локалки это имя резолвится во внешний IP

[Глюки последней версии 2.09.C.0.0-1]

8 minutes ago, Yacudzer said:

Обновился до версии 2.09.C.0.0-1 и обнаружил следующие глюки: 1) при изменении пароля пользователя пропадает привязка к домашнему каталогу сервера FTP 2) после ввода no ip nat Home ip static Home ISP ip static Home L2TP0 случилось следующее: а) во вкладке NAT все пропало б) при добавлении любого правила - исчезают все статические записи, в т.ч. указанные выше, остается только одно, свежедобавленное с) траффик завернутый из Home в Home все равно натится 3) Не исправлен глюк с правами доступа к папкам: если я указываю пользователю домашний каталог для FTP, который не корень моего диска, я должен все равно открыть этому пользователю доступ ко всему диску

 

а и б как тут уже подсказали - штаное поведение, веб морда не понимает команды типа ip static Home ISP

c - не отключаемое, это NAT_LOOPBACK

[Keenetic Start II 2.09 C.0 Сбрасывает конфигурацию]

А если уже обновился но после перезагрузки не менял и не сохранял конфигурацию - слетит ли конфиг при ребуте? А то электричество может мигнуть.

[IPSEC туннель ЧЕРЕЗ keenetic]

6 minutes ago, Yacudzer said:

Умно блин... Как я сам не догадался??? А вообще для этого там предусмотрены match protocol в class-map:

class-map type inspect match-any IPSEC-class
 match protocol isakmp
 match protocol ipsec-msft

Поэтому я и написал "что бы не городить дополнительных acl"...

 

Тогда должно все работать. 

Вот пример живого конфига

class-map type inspect match-any cls-gw-ipsec
 match protocol isakmp
 match protocol ipsec-msft

policy-map type inspect pmap-wan-to-gw
 class type inspect cls-gw-ipsec
  inspect
 class class-default
  drop

zone-pair security wan-to-gw source wan destination self
 service-policy type inspect pmap-wan-to-gw

 

Включаем дебаг и смотрим

Jul 17 14:31:04.972: ISAKMP-PAK: (0):received packet from 1.1.1.1 dport 500 sport 56149 Global (N) NEW SA
Jul 17 14:31:04.972: ISAKMP: (0):Created a peer struct for 1.1.1.1, peer port 56149
Jul 17 14:31:04.972: ISAKMP: (0):New peer created peer = 0x7FB9E230D038 peer_handle = 0x80000232
Jul 17 14:31:04.972: ISAKMP: (0):Locking peer struct 0x7FB9E230D038, refcount 1 for crypto_isakmp_process_block
Jul 17 14:31:04.972: ISAKMP: (0):local port 500, remote port 56149
Jul 17 14:31:04.972: ISAKMP: (0):Find a dup sa in the avl tree during calling isadb_insert sa = 7FB9E230F300
Jul 17 14:31:04.972: ISAKMP: (0):processing SA payload. message ID = 0
Jul 17 14:31:04.972: ISAKMP: (0):processing ID payload. message ID = 0
Jul 17 14:31:04.972: ISAKMP: (0):ID payload

 

Все заработало, при том что соединение пришло НЕ с 500-го порта.