Jump to content
  • 1

Админка и WiFi


Холм
 Share

Question

Можно ли как-то ограничить доступ к админке из беспроводной сети? Например:

  • запрещен
  • разрешен
  • только для зарегистрированных устройств

Перерыл всё и не нашел этой штуки. Лишняя степень безопасности, кмк, не помешает

Link to comment
Share on other sites

14 answers to this question

Recommended Posts

  • 0
11 час назад, Холм сказал:

Можно ли как-то ограничить доступ к админке из беспроводной сети? Например:

  • запрещен
  • разрешен
  • только для зарегистрированных устройств

Перерыл всё и не нашел этой штуки. Лишняя степень безопасности, кмк, не помешает

Как вы различите проводную сеть и беспроводную?

Но вообще сделайте отдельный сегмент для беспроводных устройств и поставьте ему security-level protected. Кроме DHCP и DNS он никуда на роутере достучаться не сможет.

  • Upvote 1
Link to comment
Share on other sites

  • 0
2 часа назад, Le ecureuil сказал:

Но вообще сделайте отдельный сегмент для беспроводных устройств и поставьте ему security-level protected. Кроме DHCP и DNS он никуда на роутере достучаться не сможет.

Из protected сегмента можно попасть в админку по адресу роутера  в private сети. К примеру у меня в гостевой сети адресация 192.168.2.0/24. Я не могу попасть в веб-интерфейс по 192.168.2.1, однако по адресу 192.168.1.1, находясь в гостевой сети, могу.

Link to comment
Share on other sites

  • 0
1 час назад, werldmgn сказал:

Из protected сегмента можно попасть в админку по адресу роутера  в private сети

У вас isolate-private включен?

Link to comment
Share on other sites

  • 0
1 час назад, werldmgn сказал:

Из protected сегмента можно попасть в админку по адресу роутера  в private сети. К примеру у меня в гостевой сети адресация 192.168.2.0/24. Я не могу попасть в веб-интерфейс по 192.168.2.1, однако по адресу 192.168.1.1, находясь в гостевой сети, могу.

Лучше self-test в таком случае показать, есть вероятность неправильной настройки где-то.

Link to comment
Share on other sites

  • 0
51 минуту назад, KorDen сказал:

У вас isolate-private включен?

Да

45 минут назад, Le ecureuil сказал:

Лучше self-test в таком случае показать, есть вероятность неправильной настройки где-то.

Прикрепил селф-тест. насчет неправильной настройки сомневаюсь. В дефолтных правилах нетфильтра есть однозначное правило разрешающее всем доступ на порт 80 , при включенной удаленке. Ограничение происходит на самом веб-сервере по идее, и конкретно в случае доступа на 192.168.1.1 из гостевой сети его нет.

Link to comment
Share on other sites

  • 0
55 минут назад, KorDen сказал:

У вас isolate-private включен?

isolate-private тут, на мой взгляд, не при чем. Действительно, если он включен, то forward между сегментами запрещен, но доступ к самому роутеру это всегда input, независимо из какого сегмента. 

Link to comment
Share on other sites

  • 0
2 часа назад, werldmgn сказал:

Да

Прикрепил селф-тест. насчет неправильной настройки сомневаюсь. В дефолтных правилах нетфильтра есть однозначное правило разрешающее всем доступ на порт 80 , при включенной удаленке. Ограничение происходит на самом веб-сервере по идее, и конкретно в случае доступа на 192.168.1.1 из гостевой сети его нет.

Ну так все верно. Вы же сами открыли доступ к роутеру через Интернет, причем вообще всем подряд.
Впрочем, можно попробовать улучшить это дело. Отпишите в поддержку, чтобы не забыть.

Link to comment
Share on other sites

  • 0
9 минут назад, Le ecureuil сказал:

Ну так все верно. Вы же сами открыли доступ к роутеру через Интернет, причем вообще всем подряд.

Я сейчас проверил и с выключенным удаленным доступом. И...ничего не изменилось)) Админка роутера всё также доступна из гостевой сети по адресу 192.168.1.1

12 минуты назад, Le ecureuil сказал:

Впрочем, можно попробовать улучшить это дело. Отпишите в поддержку, чтобы не забыть.

Хорошо, сделаю.

Кстати насчет техподдержки. У меня уже около месяца идет общение с техподдержкой по поводу самопроизвольного отзыва сертификата на имя Keendns с роутера. Можно вас попросить обратить внимание на эту проблему. Мне даже собирали кастомную прошивку, с расширенной отладочной информацией по этому вопросу, но ответ пока не найден. Приложенный мной здесь выше селф-тест содержит эту проблему. 

Jul  6 19:36:56 ndm: Acme::Client: start ndns automatic revocation of certificate for domain "xxx.keenetic.pro"

Link to comment
Share on other sites

  • 0
12 hours ago, Le ecureuil said:

Как вы различите проводную сеть и беспроводную?

Вы это серьёзно?

12 hours ago, Le ecureuil said:

сделайте отдельный сегмент для беспроводных устройств и поставьте ему security-level protected

Ну да, сделать отдельный сегмент, настроить security-level — это несомненно проще, нежели выбрать одну из опций доступа к админке.

Как такое растолковать в двух словах по телефону человеку, который понятия не имеет про сегменты, маршрутизацию и т.д.?

 

Quote

Кроме DHCP и DNS он никуда на роутере достучаться не сможет

DLNA, SMB и т.д. в пролёте?

Edited by Холм
Link to comment
Share on other sites

  • 0

@Холм

Во вкладке Домашняя сеть Межсетевого экрана создайте несколько правил.

Нужно сначала создать разрешающее правило к 80 порту на адрес 192.168.1.1 для IP адресов с которых вы хотите заходить в админку.  А потом там же создать запрещающее правило для всей подсети 192.168.1.x

Запрещающее правило активируйте в последний момент, чтоб случайно не заблокировать себе доступ с клиента. В списке оно должно быть ниже разрешающих.

Перед всеми манипуляциями сохраните конфиг, чтоб если что можно было восстановиться. 

  • Upvote 1
Link to comment
Share on other sites

  • 0
21 час назад, werldmgn сказал:

Кстати насчет техподдержки. У меня уже около месяца идет общение с техподдержкой по поводу самопроизвольного отзыва сертификата на имя Keendns с роутера. Можно вас попросить обратить внимание на эту проблему. Мне даже собирали кастомную прошивку, с расширенной отладочной информацией по этому вопросу, но ответ пока не найден. Приложенный мной здесь выше селф-тест содержит эту проблему. 

Jul  6 19:36:56 ndm: Acme::Client: start ndns automatic revocation of certificate for domain "xxx.keenetic.pro"

О, так это вы.

Да, мы работаем. Сперва custom сделал вам, теперь по материалам с него чиним. Вчера внесены исправления, но так как у вас какой-то уникальный (и единичный) случай, то мы не уверены, что поможет. Попробуйте начиная с сегодня последить произойдет ли еще самоотзыв или нет. На custom можно больше не сидеть, можно перейти на другую версию.

Link to comment
Share on other sites

  • 0
47 минут назад, Le ecureuil сказал:

О, так это вы.

Да, мы работаем. Сперва custom сделал вам, теперь по материалам с него чиним. Вчера внесены исправления, но так как у вас какой-то уникальный (и единичный) случай, то мы не уверены, что поможет. Попробуйте начиная с сегодня последить произойдет ли еще самоотзыв или нет. На custom можно больше не сидеть, можно перейти на другую версию.

Хорошо, спасибо.

22 часа назад, Le ecureuil сказал:

Впрочем, можно попробовать улучшить это дело. Отпишите в поддержку, чтобы не забыть

Отписал запрос в поддержку. Выяснил, что достаточно открыть удаленный доступ к веб, либо включить public доступ к http proxy, т.е. любое действие чтобы появилось правило в нетфильтре, разрешающее всем доступ на tcp/80. И тогда из protected сегмента можно попасть в админку по адресу роутера  в home сети. По идее, нужно в самом веб-сервере ограничения вводить, которые уже есть для случая доступа из гостевой по адресу роутера в гостевой же сети. В этом случае, как и положено, идет отлуп по 403 Forbidden.

  • Upvote 1
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...