Werld
-
Постов
468 -
Зарегистрирован
-
Посещение
-
Победитель дней
6
Тип контента
Профили
Форумы
Галерея
Загрузки
Блоги
События
Сообщения, опубликованные Werld
-
-
45 минут назад, ctmd сказал:
Здравствуйте, в случае неоплаты провайдер ограничивает скорость до значения при котором даже зайти на роутер извне не возможно, но при этом на резервное подключение роутер не переключается в связи с тем что ping запросы проходят, посоветуйте решение пожалуйста
В KeeneticOS версии 3.9 появилось то что вам нужно:
Новый режим TLS-проверка порта TCP улучшает работу механизма Проверка доступности интернета для обеспечения защиты от сбоев доступа в Интернет. Этот режим предотвратит ложноположительные результаты, если провайдер перенаправит трафик на авторизованный портал, например, на биллинговый сервис. [NDM-2094, NWI-1109]
Используйте следующую команду CLI для установки:
-
ping-check profile {name} mode tls— включить режим TLS для профиля Ping Check{name}
Или настройте через веб-интерфейс:
-
1
-
-
В 12.11.2022 в 19:24, AlexGam сказал:
Установка опции "Эксклюзивный маршрут" не помогает.
Установка флажка "Добавлять автоматически" должна помочь
-
А ну и, кстати, Вы на обеих сторонах в разрешенных сетях оставьте только нужные подсети. Не надо на обеих сторонах указывать и 192.168.10.0/24 и 192.168.100.0/24.
У вас на стороне клиента должны быть разрешенные сети: 172.16.82.2.32, 192.168.10.0/24
На стороне сервера разрешенные сети: 172.16.82.1.32, 192.168.100.0/24
-
Security-level интерфейсов wireguard ненароком руками не меняли? Какой он сейчас на обеих сторонах?
Второй момент, смущает на вашем скрине
какая реально сеть за клиентом, точно 192.168.100.0/24? так то и 192.168.10.0/24 и 192.168.100.0/24 оба входят в 192.168.0.0/16
-
1 час назад, Zebrator сказал:
Не указывать его нельзя там.
Такой вопрос тогда - маршруты и правила задаваемые в интерфейсе маршрутизаторов в том или ином виде транслируются в правила IPTables на уровень операционки.
Задаваемый в интерфейсе маршрут попадает в таблицу маршрутизации, если уж на то пошло.
1 час назад, Zebrator сказал:Мы можем идти от того, что вообще мы хотим видеть собственно в правилах на обоих сторонах?
На стороне сервера нужен маршрут до сети за клиентом. На стороне клиента в межсетевом экране должны быть разрешены входящие на впн интерфейс.
1 час назад, Zebrator сказал:Получается, что со стороны клиента я без проблем хожу и в свою и в удаленную сеть, а со стороны сервера не могу идти в сеть клиента
Когда пакет из сети за впн-клиентом уходит в туннель, происходит подмена адреса источника. Соответственно, устройствам в сети впн-сервера не нужно знать маршрут до сети за клиентом чтобы слать ответные пакеты.
-
4 минуты назад, Zebrator сказал:
Интерфейс там выбран правильно
Интерфейс выбран не правильно. Попробуйте тогда не указывать вообще интерфейс, если прошивка на xiaomi это позволяет.
-
1
-
-
Вы полмесяца ждете ответа, но не потрудились даже подробнее описать ситуацию. Из вашего сообщения вообще не ясно при чем здесь кинетик. Какие именно устройства выступают впн сервером и впн клиентом? Трассировки до адресов которые не доступны вы не представили. Ваш скрин с маршрутом явно не из веб интерфейса кинетика. Вообще маршрут на скрине не верный, там интерфейс указан LAN, а должен быть, видимо, vpn.
-
1
-
-
1 час назад, picmail сказал:
Доступ к компонентам дествительно разрешается отдельно, но вот что-то не нашел как отдельно разрешить/запретить доступ из интернета к чему-то кроме веб конфигуратора
Доступ к вебдав:
Доступ к обратному прокси:
Вы об этом, или я не понял вопрос?
-
1
-
-
Я думаю, статью KB просто не обновили. ЕМНИП в какой-то из версий Keenetic ОС было сделано, чтобы доступы к конфигуратору, обратному прокси, вебдаву разрешался и запрещался раздельно для каждого
-
1
-
-
А вы пробовали? Возможно такое ограничениев режиме "через облако". У себя вот только что проверил, при отключении удаленки к веб-конфигуратору, доступ к вебдав сохраняется. Но у меня режим "прямой".
-
1 минуту назад, picmail сказал:
Тогда не будет доступа к файлам на USB диске через webdav, а он нужен
С чего вы взяли? Удаленный доступ к веб-конфигуратору и доступ к webdav'у это разные настройки
-
1
-
-
1 час назад, picmail сказал:
Как настроить, чтобы
пользователь из интернета мог подключаться через webdav, но не мог видеть настроек в конфигураторе, аадмин мог менять настройки только из локальной сети?Закрыть удаленный доступ к веб конфигуратору.
-
3 минуты назад, Sirtaki Grek сказал:
вот так? и по аналогии для клиента только 100? или нужно еще dns указывать ? :)
Да вот так. ДНС указывать не обязательно, если не указан он автоматически раздает себя в качестве днс-сервера
-
1
-
-
4 минуты назад, Sirtaki Grek сказал:
в инструкции об этом не было упомянуто
В инструкции приведен пример для двух роутеров с некими сетями. Предполагается, что вы адаптируете этот пример под свой случай. У вас могут быть сети не обязательно как в инструкции. Главное чтобы они были разные на роутерах и настройки все нужно делать соответственно им.
-
1
-
-
В разделе Параметры IP на сервере у вас должно быть указано 192.168.22.1/24 и dhcp сервер должен выдавать адреса из этого диапазона. На клиенте соответственно 192.168.100.1/24. Обратите внимание доступ к роутерам из их сетей тоже изменится, они будут отвеать по указанным адресам
-
1
-
-
Мои сети и wifi --> домашняя сеть. На ваших устройствах должны быть разные сети. Если вы это не меняли, то не удивительно, что ничего не работает
-
1
-
-
А сети на роутерах вы верные прописали? Покажите настройки домашних сегментов на обоих роутерах
-
Вообще никакие устройства в сети 192.168.22.0/24 не пингуются? Трассировку еще покажите.
-
1
-
-
14 часа назад, Sirtaki Grek сказал:
подскажите куда смотреть и что проверить?
Проверить корректность allowed ips на обеих сторонах и правила межсетевого экрана
-
1
-
-
20 часов назад, Евгенич сказал:
Одно только замечание - для работы данного метода все-таки необходимо включить галку на пункте "Доступ к приложениям домашней сети", при включенной изоляции клиентов. При отключении "Доступ к приложениям домашней сети" доступ к сожалению у меня отсутствовал.
Отключение галочки "Доступ к приложениям домашней сети" устанавливает security-level выбранного сегмента в protected. А, как вы уже узнали из поста о настройки AirPrint между сегментами: "Требуется 2 сегмента с security-level private так как mdns работает только с private интерфейсами"
-
1
-
-
-
В 16.09.2022 в 22:18, 4ernika сказал:
так как почти во всех роутерах можно подключить ДВА ФИЗИЧЕСКИХ КАБЕЛЯ ОТ ОДНОГО И ТОГО ЖЕ ПРОВАЙДЕРА и без проблем настроить два L2TP соединения
Пример таких роутеров в студию
-
1
-
-
-
3 часа назад, fps сказал:
Но ведь кинетик в принципе умеет его менять. Просто из документации совершенно непонятно как это настроить.
В том и дело, казалось бы там под капотом netfilter с его обширными возможностями, но keenetic os представляет нам лишь два инструмента ip nat и ip static. Ни тот ни другой нужный вам snat соорудить похоже не даст, по крайней мере, я не придумал как. Попробуйте пообщаться с техподдержкой. Если не помогут с правилом, то хотя бы занесут ваш голос в копилку недовольных текущей реализацией управления nat'ом.
Как настроить переподключение на резервный канал, если на основном провайдер ограничил скорость до 0, но пинг проходит
в Обмен опытом
Опубликовано · Изменено пользователем Werld
Вы в курсе что такое TLS и поверх какого протокола он работает?
Пинг на порт использует не icmp, соответственно провайдер не примет это за "простой ping".
Вы совершенно спокойно можете обойтись без entware. Возможно вам поможет даже уже существующий режим пинг-чека "Проверка TCP-порта". Если нет, попробуйте озвученный выше вариант с TLS, скорее всего с ним точно будет работать.