[Проблема с подключением к wifi сети при активном роуминге для беспроводных клиентов]

2 часа назад, Leshiyart сказал:

а если только wpa2 или wpa3 поставить? смешанный режим выглядит так себе, безопасности это не добавляет а глюков вполне

wpa2 + роуминг - телефон и macbook подключается

WPA3 = телефон подключается, а macbook pro не подключается (мак видит точку и видит на ней WPA3)

WPA3 + Роуминг = телефон и macbook pro не подключается

следовательно, проблема в WPA3 + Роуминг для беспроводных клиентов либо непосредственно в самом WPA3

 

но у меня есть другие современные клиенты, которым лучше таки wpa3, чем wpa2

[Проблема с подключением к wifi сети при активном роуминге для беспроводных клиентов]

Телефон Xiaomi Mi 9T Pro он же Redmi K20 Pro он же Prime на базе Андроид 10

Mesh Wi-Fi система (Giga (KN-1010) / Giga (KN-1010) / Extra (KN-1711), на всех fw v.4.2.1)

Не может подключится к сети, если включен Роуминг для беспроводных клиентов в любом из вариантов для 802/11k: 2.4 / 5 / 2.4 & 5

Режим шифрования WPA2-PSK + WPA3-PSK

пс если "роуминг" отключен - подключение идет без всяких проблем

 

 

[Системный монитор - Параметры соединения]

Можно ли добавить в Системный монитор - Параметры соединения (для соединений по оптике) - аннотации для данных параметров, т.е. что они означают и их условные оптимальные значения

Vcc 3.394 (V)
Tx bias 23.12 (mA)
Tx power -5.98 (dBm)
Rx power -18.79 (dBm)

пс форум по поиску не находит описания этих параметров, в справке тоже не находит

[Блокирование Censys и Shodan]

Как лучше заблокировать CENSYS, так ломится и перебирает все доступные IKE ?

05[IKE] 167.94.138.50 is initiating a Main Mode IKE_SA 

 

Аналогично желательно и с Shodan

[Период синхронизации и кол-во попыток соединения с NTP серверами в WEB интерфейсе]

В 17.02.2023 в 06:35, Mamay сказал:

Скажу больше, никогда webui не догонит cli.

естественно клишнику нет никакого дела до веба

не всегда кли так необходим - это же базовые настройки времени, а не построение маршрутов

[Период синхронизации и кол-во попыток соединения с NTP серверами в WEB интерфейсе]

9 часов назад, Mamay сказал:

А смысл? Вероятность того, что часы "убегут/опоздают" на пару-тройку секунд в НЕДЕЛЮ - практически стремится к нулю, но даже если это и произойдёт, то разовый запрос к серверу NTP всё приведёт в порядок. А уж лимитирование количества попыток - вообще бессмысленная вещь. ИМХО.

раз так рассуждать, то смысл ее добавления в CLI ?! значит таки нужна была, ну ничего же переделывать не нужно для этого - просто добавить в WEB

вы наверное не уловили смысл просьбы - а именно в локальном сервере времени, для которого и необходима настраиваемая синхронизация ибо с ним будут синхронизироваться все остальные в локалке

пс больше всего это критично для видео наблюдения

 

В 15.02.2023 в 17:41, PASPARTU сказал:

В веб интерфейсе давно есть возможность добавить свои сервера.

внимательно прочитайте, о чем идет речь

[Период синхронизации и кол-во попыток соединения с NTP серверами в WEB интерфейсе]

1.

Синхронизация времени с NTP-серверами по-умолчанию выполняется раз в 7 дней (при условии постоянной, непрерывной работы интернет-центра). При необходимости можно увеличить интервал синхронизации до 28 дней.

Для изменения использовать CLI

ntp sync-period <time>
system configuration save

<time> — Время синхронизации, в минутах. Может принимать значение от 60 до 40320 минут (28 дней).

Просьба: добавить возможность изменения периода синхронизации в WEB интерфейсе, а также количество попыток синхронизаций.

 

2.

Просьба: добавить возможность синхронизации с выбранными пользователем серверами при включенной службе локального NTP сервера, а не с облачным сервером KeeneticOS.

[Кнопка для открытия Log файла в web интерфейсе в верхней части окна рядом с кнопкой/полем поиска]

49 минут назад, eralde сказал:

требование в ультимативной форме что-то переделать под ваши личные желания -- не лучший способ начать диалог.

где-то это вы нотки ультимативности увидели?! даже без какое-либо намека на это написано

и что плохого в доступе к логу одним кликом? домохозяйка поломать его не сможет же... по памяти по-моему использовалось модальное окно для этого (четно говоря не помню точно)

[Кнопка для открытия Log файла в web интерфейсе в верхней части окна рядом с кнопкой/полем поиска]

Может @Padavan сможет пролить свет: почему так и не хотят улучшать web интерфейс...

[Кнопка для открытия Log файла в web интерфейсе в верхней части окна рядом с кнопкой/полем поиска]

4 минуты назад, keenet07 сказал:

Можно и не ждать, а просто закладку в браузере сделать на http://192.168.1.1/controlPanel/diagnostics/Общая/log

вы же сами понимаете, что это через одно место

[Кнопка для открытия Log файла в web интерфейсе в верхней части окна рядом с кнопкой/полем поиска]

Кнопка / Link для открытия Log файла в web интерфейсе в верхней части окна рядом с кнопкой/полем поиска, в общем в этой синий полосе

У Padavan всегда можно было вывести в web одним кликом лог работы на любом этапе настройки устройства, здесь же надо извращаться через меню.

сейчас... не поднимается vpn или необходимо сразу отследить примененные настройки - сделай 10 кликов и уточни результат...

пс и не надо мне здесь про cli рассказывать ... речь сугубо о web

[16 политик доступа]

поддерживаю, памяти хватает, проца тоже...

[fw3.9.2 Трафик незарегистрированных устройств при их отсутствии]

В мониторе трафик роутера присутствует трафик незарегистрированных устройств, хотя незарегистрированных нет на роутере.

Создан WireGuard туннель. Возможно это учет этого трафика?

Можно ли сделать  в будущих релизах, чтобы он маркировался иным способом?

 

пс с противоположной стороны туннеля - этот трафик никак не отображается, возможно из-за того, что используется одним из хостов

[KN-2710 Два провайдера + проброс портов без дублирования правил для каждого провайдера]

Все будет переделано на WireGuard site-to-site между офисами, когда будет заменено оборудование, а пока так, поэтому необходимо корректно настроить проброс.

Еще немного осложняется тем, что сотрудники хотят работать удаленно из дома, но скорее всего либо запретим, либо сделаем VPN

[KN-2710 Два провайдера + проброс портов без дублирования правил для каждого провайдера]

Подключение к обоим провайдерам по белым IP адресам соответственно в WAN0 и WAN1.

Клиенты RDP тоже сидят за белыми адресами.

Варианты работы двух WAN:

• Основной и резервный канал
• Подключение к первому и второму провайдеру с балансировкой нагрузки (т.е. одновременно работают два WAN)

Задача пробросить переназначенные RDP порты, для доступа извне конкретных ip адресов (любые другие запретить) на локальный сервер, чтобы они (RDP порты) работали с обоими провайдерами, то есть НЕ ДЕЛАТЬ две настройки для каждого. Если это не возможно для fw 3.9.2 - придется дублировать правила проброса портов.

В Переадресация портов - предлагается выбрать только "один из интерфейсов" в поле Вход

 

Сделан проброс портов для одного провайдера и добавлены правила в сетевой экран для работы только с конкретных IP адресов - все работает, единственное не понятно в сетевом экране: Порт источника и Адрес назначения (сейчас для них установлено Любой).

Порт источника - это порт на WAN интерфейсе роутера, с которого будет перенаправлен на порт локального сервера?

Адрес назначения - это внутренний адрес локального сервера или внешний адрес одного из WAN интерфейсов? Плохо, что нет ремарок к этим параметрам. Порт назначения указывается - 3389 (иначе работать не будет), а не порт, с которого идет перенаправление.

 

 

[Добавление на главный экран / дополнения для Wi-Fi Система]

Приветствую

Хотелось бы видеть на главном экране:

- версию прошивки устройств

- ОДНУ кнопку Обновить FW, вызывающее новое окно с чекбоксом устройств, тобишь обновление всех подключенных устройств одной кнопкой

 

Отдельно для для Wi-Fi Системы:

- сделать возможность обновлять все устройства последовательно (контроллер естественно последним)

[Тонель между Keenetic и TP-Link AX10 - OpenVPN]

клиент Keenetec KN-2710

сервер TP-Link AX10

client
dev tun
proto udp
float
nobind
cipher AES-128-CBC
comp-lzo adaptive
resolv-retry infinite
remote-cert-tls server
persist-key
persist-tun
remote XXX.XXX.XXX.XXX 1194

 

лог

Network::Interface::Base: "OpenVPN7": interface is up.
Фев 13 20:39:13
ndm
Core::System::Configuration: saving (http/rci).
Фев 13 20:39:16
OpenVPN7
OpenVPN 2.4.6 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
Фев 13 20:39:16
OpenVPN7
library versions: OpenSSL 1.1.1l 24 Aug 2021, LZO 2.10
Фев 13 20:39:16
OpenVPN7
UDP link local: (not bound)
Фев 13 20:39:16
OpenVPN7
UDP link remote: [AF_INET]XXX.XXX.XXX.XXX:1194
Фев 13 20:39:16
OpenVPN7
NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Фев 13 20:39:16
OpenVPN7
WARNING: 'dev-type' is used inconsistently, local='dev-type tap', remote='dev-type tun'
Фев 13 20:39:16
OpenVPN7
WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1590', remote='link-mtu 1558'
Фев 13 20:39:16
OpenVPN7
WARNING: 'tun-mtu' is used inconsistently, local='tun-mtu 1532', remote='tun-mtu 1500'
Фев 13 20:39:16
OpenVPN7
[server] Peer Connection Initiated with [AF_INET]XXX.XXX.XXX.XXX:1194
Фев 13 20:39:16
ndm
Network::Interface::OpenVpn: "OpenVPN7": connecting via ISP (GigabitEthernet1).
Фев 13 20:39:16
ndm
Network::Interface::OpenVpn: "OpenVPN7": added host route to remote endpoint XXX.XXX.XXX.XXX via YYY.YYY.YYY.YYY.
Фев 13 20:39:16
ndm
Core::System::Configuration: configuration saved.
Фев 13 20:39:17
OpenVPN7
WARNING: Since you are using --dev tap, the second argument to --ifconfig must be a netmask, for example something like 255.255.255.0. (silence this warning with --ifconfig-nowarn)
Фев 13 20:39:17
OpenVPN7
WARNING: --remote address [ZZZ.ZZZ.ZZZ.ZZZ] conflicts with --ifconfig subnet [10.8.0.10, 10.8.0.9] -- local and remote addresses cannot be inside of the --ifconfig subnet. (silence this warning with --ifconfig-nowarn)
Фев 13 20:39:17
OpenVPN7
OpenVPN ROUTE: OpenVPN needs a gateway parameter for a --route option and no default was specified by either --route-gateway or --ifconfig options
Фев 13 20:39:17
OpenVPN7
OpenVPN ROUTE: failed to parse/resolve route for host/network: 10.8.0.0
Фев 13 20:39:17
OpenVPN7
OpenVPN ROUTE: OpenVPN needs a gateway parameter for a --route option and no default was specified by either --route-gateway or --ifconfig options
Фев 13 20:39:17
OpenVPN7
OpenVPN ROUTE: failed to parse/resolve route for host/network: 10.8.0.0
Фев 13 20:39:17
OpenVPN7
OpenVPN ROUTE: OpenVPN needs a gateway parameter for a --route option and no default was specified by either --route-gateway or --ifconfig options
Фев 13 20:39:17
OpenVPN7
OpenVPN ROUTE: failed to parse/resolve route for host/network: 192.168.0.0
Фев 13 20:39:17
OpenVPN7
TUN/TAP device tap0 opened
Фев 13 20:39:17
OpenVPN7
do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Фев 13 20:39:17
ndm
Network::Interface::Ip: "OpenVPN7": IP address is 10.8.0.10/32.
Фев 13 20:39:17
OpenVPN7
GID set to nobody
Фев 13 20:39:17
OpenVPN7
UID set to nobody
Фев 13 20:39:17
OpenVPN7
Initialization Sequence Completed
Фев 13 20:39:18
ndm
Http::Nginx: loaded SSL certificate for "XXX.keenetic.io".
Фев 13 20:39:18
ndm
Core::Server: started Session /var/run/ndm.core.socket.
Фев 13 20:39:18
ndm
Core::Session: client disconnected.
Фев 13 20:39:18
ndm
Http::Manager: updated configuration.
Фев 13 20:39:18
ndm
Core::Server: started Session /var/run/ndm.core.socket.
Фев 13 20:39:18
ndm
Core::Session: client disconnected. 

 

Соединение поднимается, но связи хостами нет, нет пинга.

Это кривой VPN сервер на TP-LINK ?

 

[Добавление устройств в приложение по QR коду]

Приветствую.

Не знаю по какой причине, но до сих пор не реализовано в приложении добавление устройства по QR коду, т.к. ручной ввод конечно хорошо, но анахронизм.

Понятно, что сам QR код нужно добавить на страничке в устройстве рядом с CID...

[Экспорт и Импорт VPN и IPSec подключений для переноса между Кинетиками]

Хотелось бы видеть данный функционал: Экспорт и Импорт VPN и IPSec подключений для переноса между Кинетиками

[Иконки для устройств]

Хотелось бы, чтобы добавили иконки для домофонии, охранной сигнализации, Wi-Fi точек доступа, маршрутизавторов, NVR, IP станций

[VPN]

Подскажите когда на андроиде появится то?

[ndm Io::PollableDgram: unable to get an available data size: no buffer space available.]

проблема именно в OpenVPN

Io::PollableDgram: unable to get an available data size: no buffer space available. 

появляется когда открыто много маршрутов больше 100

можно ли это как-то пофиксить или только прописывать в конфиг "max-routes 999", хотя и это врядли поможет ?

 

а какая версия клиента OpenVPN для f/w 3.6.10 ?

"в старых версиях OpenVPN-клиента (версии <2.4.2) есть ограничение на количество маршрутов, которые он может принять и переварить"

[служебный размер раздела памяти для VPN = 24 кБайт]

нет, планирую в проект

[служебный размер раздела памяти для VPN = 24 кБайт]

4 часа назад, Mamay сказал:

Ответ подразумевает, что все последующие модели подпадают под новое условие. Ведь иначе это регресс...

вот поэтому нужен ответ от саппорта, а гадать можно сколько угодно.

[служебный размер раздела памяти для VPN = 24 кБайт]

20 часов назад, Dale сказал:

 

Был уже раньше такой вопрос, в этой теме https://forum.keenetic.net/topic/9108-35-количество-соединений-vpn/ и был такой ответ:

вы видите там модели KN-2610 (Giant), KN-2710 (Peak) ?!