[Помогите настроить port forwarding]

Чёт я не пойму. У меня сервер WG на KN-1010, к нему цепляются другие клиенты (роутеры). Связность со всеми есть через центр (топология звезда). Если я к KN-1010 подцеплюсь через впн, то у меня есть доступ до любого хоста за роутером-клиентом!

[NAT для сети через alias]

3 часа назад, inoyat сказал:

ip alias 192.168.12.254 255.255.255.0

https://help.keenetic.com/hc/ru/articles/360003766140 всё согласно инструкции?

[Добавить клиента Wireguard в список устройств]

Можно натянуть eoip поверх WG, тогда mac-адреса будут видны. Но здесь уже свои особенности работы eoip и нужно это или нет - решать Вам)

config)> interface Home
(config-if)> include EoIP0
(config-if)> exit
(config)> system configuration save

 

[Маршрутизация мимо VPN (Instagram)]

1 час назад, over сказал:

Подскажите как это сделать. У меня giga1011, ничего про DNS в ней не нашел. Нужно доустановить что-то?

Скрытый текст

 

[Маршрутизация мимо VPN (Instagram)]

В настройках dns укажите, чтобы пакеты, идущие на требуемый ресурс, шли через нужный интерфейс 

[WireGuard работает в одну сторону (не пингуется в обе)]

40 минут назад, AlexeyAnikin1976 сказал:

Всё сделал чётко по инструкции! Но!...

Скрины настроек отправил в личку

[WireGuard работает в одну сторону (не пингуется в обе)]

В МСЭ точно открыли протокол IP для всего с обоих сторон? 192.168.1.9 - это ПК?

[WireGuard работает в одну сторону (не пингуется в обе)]

10 часов назад, AlexeyAnikin1976 сказал:

Прошу помощи!

Всё по инструкции!

"" ...Настроил WireGuard меж двух Keenetic:
– Viva (192.168.1.1, 172.16.10.1)
– LTE (192.168.2.1, 172.16.10.2)
Ping между сетями не бегает За исключением NAS (192.168.1.10) – он из второй сети пингуется, но подключится к нему низя
Маршруты, разрешения – всё по инструкции (один же пинг бегает!)...""

Вроде нашёл косяк (во вложении) - не могу понять "почему?!"

Я так понимаю ,что viva - это у вас сервер WG. "Проверка активности" оставить пустым. На стороне LTE в настройках пира указываем сети 192.168.1.0/24 172.16.10.0/24, проверка активности оставляем 15 сек, добавляем маршрут в сеть 192.168.1.0/24 через WG соединение.

[Доступ к USB модему через Wireguard из удаленной сети]

13 минуты назад, Nikolay Zagorodnov сказал:

traceroute -d 192.168.50.1

Его нет смысла трассировать, раз хоп 192.168.8.1 доступен, так как он находится за 192.168.50.1

[Доступ к USB модему через Wireguard из удаленной сети]

6 минут назад, Nikolay Zagorodnov сказал:

всё, что мне нужно, работает

Вот! На этом точка.

[Доступ к USB модему через Wireguard из удаленной сети]

4 минуты назад, Nikolay Zagorodnov сказал:

После того, как я отключил NAT в тоннеле

Включите NAT и заново проверить, нужно понимать, на каком хопе всё останавливается и его смотреть

[Доступ к USB модему через Wireguard из удаленной сети]

В 21.08.2022 в 14:42, Nikolay Zagorodnov сказал:

Мне необходимо иметь доступ к нему с компьютера NAS - 192.168.1.100

c ПК 192.168.1.100 tracert -d 192.168.8.1 что покажет? Как я понял, с 1.100 до 50.1 пинг есть, а до 8.1 нет, верно?

[Доступ к USB модему через Wireguard из удаленной сети]

2 часа назад, Nikolay Zagorodnov сказал:

Как бы мне теперь еще и интернет в тоннеле получить заодно?

В МСЭ для Wireguard откройте протокол ip для всего с обоих сторон и поставьте галочку в чек-боксе «Использовать для выхода в интернет»

[Доступ к USB модему через Wireguard из удаленной сети]

13 минуты назад, Nikolay Zagorodnov сказал:

route add 192.168.50.0 mask 255.255.255.0 192.168.1.1

Не забудьте route -p, иначе после ребута ПК маршрут исчезнет))

[WireGuard работает в одну сторону (не пингуется в обе)]

12 часа назад, aarnet сказал:

как посмотреть через CLI реально разрешенные подсети для WG ?

В МСЭ для Wireguard открыть протокол ip для всего с обоих сторон

[Все о туннелях IPIP, GRE и EoIP]

А вы трафик пустите ))

[Шлюз для клиента IPSec VPN (IPSec Virtual IP) на VPN IKEv2]

Покажите на схеме, что хотите сделать

[Доступ в Интернет через WireGuard-туннель]

 

Скрытый текст

В 26.05.2022 в 16:11, Wire Wire сказал:

Друзья, добрый день. Помогите, пожалуйста, разобраться почему нет интернета по мотивам этой статьи. При чем панель логина киннетика по 192.168.1.1 и жесткий диск по SMB я вижу (и это хочется сохранить), а самого интернета нет.

В разрешенный IP-адресах у меня 0.0.0.0/0, 192.168.1.0/24, 172.16.100.1/32. Прописывание в днс 8.8.8.8 или 1.1.1.1 погоды не делает.

У меня на айфоне в разрешённых 0.0.0.0/0 отсутствует, но выход в инет именно с домашнего роутера

[Туннель между giga III + kn1011]

Раз есть белый адрес, то пробуйте WireGuard либо l2tp без шифрования раз вам нужна скорость.

[Все о туннелях IPIP, GRE и EoIP]

В 20.06.2022 в 14:57, azuza сказал:

Это делал ранее

https://zte-spb-repair.ru/zte-router/zte-f680-nastroyka-mosta/

https://poweruser.guru/questions/843055/как-перевести-zte-zxhn-f660-в-мостовой-режим

[Как указать профиль доступа для клиентов VPN?]

Попробуйте оставить основной профиль пустым, а для белого и серого создать два отдельных 

[L2TP/IPsec сервер]

В 11.06.2022 в 22:17, lyoksa сказал:

вернулся на пптп (соединить 2 компа в соседних домах). скорость выше, соединение каждые несколько часов не отваливается.

ipsec оставил для мобильников

Можно было L2TP без шифрования, скорость возрастёт 

[Все о туннелях IPIP, GRE и EoIP]

В 10.06.2022 в 15:42, azuza сказал:

Доброго дня.

Предыстория избитая, как мир: объединил 2 подсети (А (KN-1711) и Б (KN-1810)) по EoIP с IPSec (IPSec сервер в подсети Б) для просмотра в подсети А DLNA, который расположен в подсети Б. Общая адресация 172.16.0.0/24. В каждой подсети свой DCHCP-сервер с непересекающимися пулами: в A 1-126, в Б 128-253. На маршрутизаторе Б установлена Entware,  фильтры ebtables дропают трафик dchcp между подсетями. На всех интерфейсах установлен mtu 1500, обычные пинги/трассы ходят. На обоих системах выполнен no isolate-private. В списках устройств обоих маршрутизаторов видны MAC и IP  устройств обоих подсетей. Все, вроде, по феньшую, но...

1. DLNA  на телике сети А не виден;
2. из сети А не возможно открыть web-морды устройств сети Б (наоборот из сети Б все работает).

Неделю убил на изучение проблемы, пересоздавал туннель, пробовал разные значения mtu, но результата нет. Предполагаю, что магия связана со значениями mtu и работой фрагментации пакетов. Замечено, что при установке mtu 1500 пинги больше size 1416 между подсетями не ходят. Внешние сайты при этом пингуются гораздо большими пакетами (>50000). При установке mtu 1416 между подсетями пинг ходит  нормально (>50000), но при этом из подсети Б некоторые внешние сайты не открываются, не идут стримы.

Прошу помощи у сообщества по правильной настройке всего этого хозяйства.

Update:

Забыл еще один, возможно, важный нюанс. В подсети А присутствует такая бяка, как двойной nat. Мой маршрутизатор приходит в маршрутизатор прова (192.168.100.0/24), который греет воздух в режиме роутер.

 

Рутер прова в режим моста и получить ip провайдера на своём роутере. 

[L2TP/IPsec сервер]

В 04.06.2022 в 19:54, lyoksa сказал:

Здравствуйте!

Подскажите, какая скорость считается нормальной для l2tp ipsec соединения. 

На hopper у меня 50 мбит.

При этом для сравнения пптп сервер на гига 2 - 100 мбит

https://help.keenetic.com/hc/ru/articles/115005342025-Типы-VPN-соединений-в-Keenetic

[Не подключаются устройства к серверу l2tp/IPsec через keenetic.]

Либо провайдерский роутер (при возможности) переводите в режим моста и ip провайдера уже будет получать ваш Keenetic giga