Werld

А если переключатель "certificate files from device" на on?

Хорошо, спасибо. Отписал запрос в поддержку. Выяснил, что достаточно открыть удаленный доступ к веб, либо включить public доступ к http proxy, т.е. любое действие чтобы появилось правило в нетфильтре, разрешающее всем доступ на tcp/80. И тогда из protected сегмента можно попасть в админку по адресу роутера в home сети. По идее, нужно в самом веб-сервере ограничения вводить, которые уже есть для случая доступа из гостевой по адресу роутера в гостевой же сети. В этом случае, как и положено, идет отлуп по 403 Forbidden.

Наоборот

You can use Wireless Access Lists. By creating a whitelist of your devices, you block access for all clients that are not in the list.

Я сейчас проверил и с выключенным удаленным доступом. И...ничего не изменилось)) Админка роутера всё также доступна из гостевой сети по адресу 192.168.1.1 Хорошо, сделаю. Кстати насчет техподдержки. У меня уже около месяца идет общение с техподдержкой по поводу самопроизвольного отзыва сертификата на имя Keendns с роутера. Можно вас попросить обратить внимание на эту проблему. Мне даже собирали кастомную прошивку, с расширенной отладочной информацией по этому вопросу, но ответ пока не найден. Приложенный мной здесь выше селф-тест содержит эту проблему. Jul 6 19:36:56 ndm: Acme::Client: start ndns automatic revocation of certificate for domain "xxx.keenetic.pro"

https://help.keenetic.com/hc/en-us/articles/360000490820-Guest-network-

isolate-private тут, на мой взгляд, не при чем. Действительно, если он включен, то forward между сегментами запрещен, но доступ к самому роутеру это всегда input, независимо из какого сегмента.

Да Прикрепил селф-тест. насчет неправильной настройки сомневаюсь. В дефолтных правилах нетфильтра есть однозначное правило разрешающее всем доступ на порт 80 , при включенной удаленке. Ограничение происходит на самом веб-сервере по идее, и конкретно в случае доступа на 192.168.1.1 из гостевой сети его нет.

Из protected сегмента можно попасть в админку по адресу роутера в private сети. К примеру у меня в гостевой сети адресация 192.168.2.0/24. Я не могу попасть в веб-интерфейс по 192.168.2.1, однако по адресу 192.168.1.1, находясь в гостевой сети, могу.

Какая версия прошивки? Если старше 3.6.х, то скорее всего проблема в этом: https://help.keenetic.com/hc/ru/articles/360022259839-Перестал-работать-доступ-к-веб-интерфейсу-роутера-Как-восстановить-доступ-

У asus, как и у многих, многих других функциональность прошивки зависит от модели

Почему просто не создать временную учетку с нужными правами доступа и не предоставить ее сотруднику тех поддержки?

Наверное чтобы не тратить ресурсы роутера на хранение, отрисовку и прочее? В линейке есть модели с процессором начального уровня и небольшим количеством ОЗУ, при этом компания позиционирует keenetic os как универсальную по функциям и возможностям, независимо от модели. Если принципиально смотреть с десктопа, можно смотреть непосредственно в облаке https://keenetic.cloud https://help.keenetic.com/hc/ru/articles/360008818279-Веб-портал-Keenetic-Cloud

Если на wireguard стоит security-level public, как по умолчанию при создании и вы через них выходите в некие сети, то для доступа vpn-клиентов роутера в эти сети нужно сделать следующее. К примеру есть у вас pptp сервер, впн-клиенты получают адреса скажем 172.16.1.33-172.16.1.43. Создаем access list, добавляем в него правило разрешающее для адресов пула впн-клиентов доступ в нужную сеть (которая за интерфейсом wireguard) или в любую сеть (0.0.0.0/0). Привязываем на направление out к интерфейсу через который нужно пустить трафик (напр Wireguard0) созданный acl. И пробуем, все должно работать. access-list listname permit ip 172.16.1.32/27 0.0.0.0/0 exit interface Wireguard0 ip access-group listname out system configuration save

os 3.6.3 Браузер opera 77.0.4054.172 os 3.7.13 браузер тот же

У вас ubuntu - это сервер за которым сеть и вы хотите эту сеть связать с сетью за keenetic, или это одиночный ПК, по сценарию roadwarrior? Если первое, то лучше использовать чистый ipsec в туннельном режиме, трафик до нужных сетей заворачивается политиками. Если у вас второй вариант и это просто одиночный пк, то наверняка же на нем есть какой-нибудь из desktop environment'ов, в котором через network-meneger l2tp/ipsec клиент запускается в несколько кликов мышью, зачем пытаться это строить из терминала? Конкретно в вашем случае, судя по всему, строится ipsec но l2tp не поднимается, раз не появляется соответствующего интерфейса. Если по какой-то причине нужно строить из терминала, то я бы предпочел тогда использовать VPN-сервер IPsec (Virtual IP) на кинетике. В таком случае на ubuntu не понадобится дополнительный демон для l2tp, достаточно будет одного strongswan. Можно воспользоваться примерами из официальной wiki по strongswan. Конкретно вам для варианта ipsec сервера c virtual ip и XAUTH аутентификацией подходит вот этот пример: https://www.strongswan.org/testing/testresults5dr/ikev1-stroke/xauth-id-psk-config/ Можно в нем подглядеть конфиги для клиента.

Должно быть так. Выполните на одном из домашних устройств что-нибудь вроде: nslookup ya.ru 1.1.1.1 , И посмотрите в журнале AdgHome в это время засветится ли там этот запрос.

netstat -tunlp | grep -w 53 Команда, чтобы убедиться, что AdGuard Home слушает на этих портах. Если да, то все в порядке

Увы, не подскажу, т.к. не использую 2.16. По идее все должно быть как я писал.

Как правило, в пределах квартирных расстояний проблем не бывает никогда. А уже тем более всего 10 метров.

http://192.168.0.1/controlPanel/diagnostics

Судя по логам, proposals от сервера не устраивают клиента. Сервер предлагает des и md5, клиент хочет aes и sha

Кинетик по умолчанию всегда форсирует udp инкапсуляцию, не зависимо от наличия nat. Так что эта запись не означает что на сервере серый адрес.

Подключиться телнетом и посмотреть лог. Можно также в приложении лог посмотреть. Возможно это известная проблема. Если лог забит записями ndm: Http::Nginx: there are errors in config, reconfigure.ndm: Http::Manager: unable to update configuration, retry. То обновить прошивку через телнет же или приложение.