track2

Вот и я грешу на то, что в моем случае доступ возможен только по VLAN 1, использование которого в корп. сети запрещено. Сильно удивлюсь, если это так (без возможности поменять management vlan). Наверное стоит написать в саппорт для уточнения.

В доп. сегментах указывал соответствующие этим сегментам IP адреса вручную, так же ставил получать по DHCP (и он получал, я видел это в логах pfSense!), но ни зайти, ни пропинговать устройство по этим IP не удавалось (находясь в тех же самых VLAN).

Нет контроллера, есть pfSense в качестве шлюза и Orbiter в режиме Extender Вот не хотелось бы ехать перенастраивать) Неужели ничего придумать нельзя в режиме Extender`а?? Доступ к устройству получить могу, вернув порт обратно в access (ну WiFi при этом конечно же у людей отваливается). CLI ведь что угодно умеет, наверняка! ))

Дело в том, что в режиме Extender нет этой галки. Специально вчера проверял (т.к. раньше в домашнем роутере сталкивался).

Товарищи, добрый день. Точка доступа Keenetic Orbiter в режиме Extender. Появилась довольно банальная задача - организовать две WiFi сети: рабочую и гостевую (в действующей инфраструктуре предприятия, т.е. все VLANы давно созданы, коммутаторы настроены, рулятся pfSense). Саму задачу в принципе решил элементарно: создал два дополнительных сегмента (Guest, Production - т.к. изменить VLAN ID у дефолтного сегмента Home нет возможности), указал соответствующие VLAN ID в их настройках, порт на коммутаторе перевел из access в trunk и всё оно полетело и заработало прекрасно! Но при этом я потерял возможность заходить в устройство. Пробовал отключать получение IP адреса в сегменте Home, включал DHCP в сегментах Guest/Production и даже наблюдал при этом, как pfSense выдает адреса. Но зайти ни через веб, ни через cli не даёт (из тех же vlan`ов). Подозреваю, что устройство считает Management vlan == 1 (дефолт Home). Эспериментировал с ручной правкой сохраненной конфигурации и загрузкой обратно, но ничего из этого не вышло. Может есть какие-то варианты через cli? Кто сталкивался, прошу совета, куда смотреть.

Добрый день. Подскажите, существует ли какой-нибудь вариант решения моей проблемы? Дано: Keenetic (Extra), трафик с клиентов полностью уходит в Wireguard (создан отдельный профиль, в котором только одно Wireguard-соединение, этот профиль задан всем устройствам в сети как основной). Возникла необходимость пробросить порт с одного устройства в сеть через внешний IP адрес провайдера, скажите, можно ли как то придумать вариант, чтобы устройство продолжало ходить в интернет строго через WG, но при этом сделать его доступным по белому IP провайдера? Вариант сменить конкретно этому устройству профиль с WG на Ethernet (WAN) провайдера не годится! Можно ли что-то придумать?

На файрволле кинетиков запрещающим правилом. Я правда не совсем понял на счёт L2, не строил такие туннели, возможно там какие то особенности..

А если просто запретить в туннеле UDP 67/68?

Пингую с роутера сервер - на интерфейсе tun0 вижу запросы, ответы не отправляются. При пинге с сервера роутера ситуация обратная. В одну сторону пакеты ходят, в обратную нет. tcpdump -v -i tun0 tcpdump: listening on tun0, link-type RAW (Raw IP), snapshot length 262144 bytes 18:56:00.146753 IP (tos 0x0, ttl 64, id 36300, offset 0, flags [DF], proto ICMP (1), length 84) 10.0.1.6 > 10.0.1.1: ICMP echo request, id 38219, seq 256, length 64 18:56:01.147167 IP (tos 0x0, ttl 64, id 36444, offset 0, flags [DF], proto ICMP (1), length 84) 10.0.1.6 > 10.0.1.1: ICMP echo request, id 38219, seq 512, length 64 18:56:02.147890 IP (tos 0x0, ttl 64, id 36583, offset 0, flags [DF], proto ICMP (1), length 84) 10.0.1.6 > 10.0.1.1: ICMP echo request, id 38219, seq 768, length 64 18:56:03.148795 IP (tos 0x0, ttl 64, id 36716, offset 0, flags [DF], proto ICMP (1), length 84) 10.0.1.6 > 10.0.1.1: ICMP echo request, id 38219, seq 1024, length 64 18:56:04.149808 IP (tos 0x0, ttl 64, id 36886, offset 0, flags [DF], proto ICMP (1), length 84) 10.0.1.6 > 10.0.1.1: ICMP echo request, id 38219, seq 1280, length 64 UPD: с пингом разобался! перестарался с "режимом тишины" - запретил по всем интерфейсам ходить ICMP на iptables)) сейчас удалил это правило - проще будет выявить проблему!

Попробовал AES-128-CBC (именно так было раньше) - не помогло. Все таки подозреваю маршрут от роутера к VPS Вечером посмотрю что там по трафику слышно на tun0

Нет, было как раз CBC до этого. Это сейчас решил поменять на GCM. Сейчас попробую, но вообще смотрю в 2.4 есть поддержка AES-256-GCM.

Добрый день. Примерно год назад настроил OpenVPN подключение до своего VPS, куда на роутере завернул весь свой интернет трафик. Настроилось всё за пару часов, не доставило каких-либо проблем. Все это благополучно работало, пока в выходные не понадобилось переустановить ОС на сервере (Debian 11). Быстро поднял OpenVPN, выпустил сертификаты, на "локальных" клиентах все тут же запустилось, а вот на роутере (Keenetic Extra) никак не получается. Судя по всему имею проблему с маршрутизацией (хотя в конфигах сервера какие только push route не пробовал!). Сеть tun0 на сервере 10.0.1.0/24, локальная сеть за кинетиком 192.168.1.0/24 Ниже конфиги: server.conf: (c route и push route пробовал всякие варианты, это один из. Логи перенаправил в /dev/null не сразу, там полезной инфрмации для диагностики нет, будто бы "всё хорошо, соединение установлено, шифрование такое то") ./client/router: ifconfig-push 10.0.1.6 255.255.255.0 iroute 10.0.1.0 255.255.255.0 Конфигурация клиента (роутер): Устанавливаю соединение, подключение переходит в состояние Ready и всё (насколько помню до этого когда все успешно работало, в скобках указывался назначенный приватный адрес, в моем случае 10.0.1.6, он реально назначен, но сейчас этого нет). В логах кинетика пишут, что шлюз недоступен: Со стороны сервера если пингую назначенный адрес 10.0.1.6 пакеты прилетают, о чем свидетельствует счетчик. Но похоже ответы не уходят. Не может он в ту сеть такое ощущение! При соединении создается маршрут: но всё мимо. На сервере в iptables прописаны разрешающие правила, чтобы пакеты ходили туда-назад между lan <-> tun0. По ощущениям проблема именно в маршрутизации/NAT, но не могу разобраться, прошу помощи! Опытным путём за вчерашний день всё что мог уже перепробовал, нужно конкретное понимание проблемы))

Добрый день. Есть проблемный роутер, не так давно на нем бился с сетевым окружением - https://forum.keenetic.net/topic/6187-%D0%BF%D1%80%D0%BE%D0%B1%D0%BB%D0%B5%D0%BC%D0%B0-%D1%81-%D0%BE%D1%82%D0%BE%D0%B1%D1%80%D0%B0%D0%B6%D0%B5%D0%BD%D0%B8%D0%B5%D0%BC-%D0%BA%D0%BE%D0%BC%D0%BF%D0%BE%D0%B2-%D0%B2-%D1%81%D0%B5%D1%82%D0%B8-%D1%81%D0%B5%D1%82%D0%B5%D0%B2%D0%BE%D0%B5-%D0%BE%D0%BA%D1%80%D1%83%D0%B6%D0%B5%D0%BD%D0%B8%D0%B5/ (к слову, победить не удалось, перевел большую часть на проводное подключение - с ним вроде сетевое окружение не глючит). Сейчас снова проблема - роутер отдает один из постоянных IP адресов другим юзерам! Прилагаю скрин с настройками (адрес 192.168.0.165). Как человек придет чуть позже - его адрес занимает то один, то другой комп. Других DHCP серверов в сети нет!.. Что за бред то опять с железкой этой?(( Версия ОС 3.1.10. Судя по тому, что проблема стала проявляться относительно недавно, допускаю, что глюк появился вместе с обновлением ОС.

Нда, внутрь пользователя зайти не догадался... :)))) Спасибо!!!

Интуитивно тоже так подумал! Зарегистрировал два адреса, но IP адрес меняется все равно... В списке зарегистрированных устройств при этом вижу соответствие имени и MAC адреса (IP не указан).