[KeenDNS определает IP неправильно]

Простите, но многие говорят полную глупость.

Во-первых, отличие белого от серого адресов я и так знаю, не стоит тыкать статейками и выставлять меня дураком.

Во-вторых, вы совершенно не знаете ситуации. Мой текущий провайдер самый лучший в районе по цене/качеству, и менять я его не собираюсь (хотя, видимо, местные знатоки хотят мне выделить пару тысяч рубликов каждый месяц на другого провайдера). А еще нет гарантий, что у другого провайдера не будет NAT'а.

В-третьих, людям дешевле вернут роутер и купить другой, написав отрицательный отзыв, чем менять провайдера и переплачивать ежемесячно. Еще раз повторю, что смена провайдера гораздо дороже смены роутера.

В-четвертых, фактически услуга выделенного адреса означает, что доступ из Интернета будет по этому адресу, но не подразумевает, что оконечному оборудованию выдадут белый IP. И поскольку все работает, кроме KeenDNS, то и нет оснований полагать, что провайдер как-то нарушает Закон. Зато есть основания полагать, что KeenDNS работает неправильно, и я нахожу это багом, а не улучшением.

В-пятых, Тут писали, что пользователи слезно просили добавть прямой доступ с серым адресом. Вот, уважаемые знатоки, объясните мне, почему разработчики идут на поводу и добавляют хотелку, но не исправляют очевидный баг? Чем я хуже?

В-шестых, это не фича, а самый настоящий баг. При имеющимся прямом доступе KeenDNS не работает. А что если у меня роутер находится за другим роутером? Тоже предложите пробрасывать белый адрес с первого роутера на второй?

[webdav]

7 часов назад, keenet07 сказал:

А может он про ограничение памяти не более чем половина ОЗУ при записи файлов спросил.

Мне вот интересно, почему на других протоколах с этим вроде как проблем нет. В чем тут разность подхода?

 

Я думаю, что в будущих моделях надо предусмотреть слот для вставки ddr4 памяти, чтоб сразу вставил гигабайт так 8 - и хватило на все.

[webdav]

Хотел узнать, почему люди хотят использовать webdav на роутере. Может, и я начну пользоваться. Может, я что-то упускаю в этой жизни... Вообще роутер - довольно слабенькое устройство, потому меня и интересует, почему для хранения данных не использовать отдельный сервер/nas с поддержкой кучи протоколов.

[KeenDNS определает IP неправильно]

1 час назад, vk11 сказал:

Еще раз - 10.* - это НЕ НОРМАЛЬНЫЙ белый адрес. Это СЕРЫЙ адрес. Купите уже наконец НОРМАЛЬНЫЙ БЕЛЫЙ. Если где-то как-то работают некоторые костыли, то они не отменяют RFC 1918.

Еще раз повторяю, адрес куплен, все работает напрямую (openvpn, wireguard, etc), текущий  NO-IP определяет адрес правильно и прописывает, что надо, но он условно бесплатный. А вот KeenDNS не уметь это при явном указании "Прямой доступ". Хватит мне рассказывать про серые адреса. Если у вас белый на роутере - это еще не значит, что у всех так. И я полагаю, что люди из NO-IP про это прекрасно знают, что схемы подключения пользователей к Интернету есть разные и ситуации разные. Или вы лично хотите мне организовать доступ в Интернет и выдать белый адрес?

Может оказаться так, что keendns не будет нормально работать за пределами РФ, т.к. там вполне может окзатаься статический NAT у многих провайдеров. А это проблема выхода на международный рынок.

[KeenDNS определает IP неправильно]

47 минут назад, MDP сказал:

 ТС может говорит, что у провайдера настроен SNAT?...static Nat???

Ну типа белый адрес жестко привязан в маршрутизаторе провайдера с его серым адресом?

Не могу сказать, как это точно называется, но так и есть. Адрес жестко привязан ко мне. Все, у кого не статический адрес, скорее всего делят внешние адреса провайдеора между собой, но за отдельную услугу можно у провайдера получить фиксированный адрес в личное пользование. Я уже это повторял несколько раз. Более того, я полагаю, что такая практика вполне распространена в мире, и именно поэтому NO-IP работает, как надо, но NO-IP не является полноценно бесплатным, в отличие от KeenDNS.

[webdav]

А можно объяснить, почему такая потребность?

[KeenDNS определает IP неправильно]

В 13.02.2020 в 08:42, vk11 сказал:

10.* - это НЕ белый адрес, как бы он не был "организован" провайдером. Выше разработчики уже объяснили почему при серых адресах, они все-таки не заблокировали "пупочку"  "Прямой доступ".

Так мне как раз и нужен прямой доступ, только адрес нормальный, чтоб из Интернета все работало.

[KeenDNS определает IP неправильно]

В 13.02.2020 в 00:04, Oleg Nekrylov сказал:

Вы не понимаете о чем говорите - то что вы бегаете изнутри (из локальной сети провайдера) наружу (в интернет) - это вовсе не означает, что вы сможете пойти в обратном направлении.

Не думайте, что вы один такой исключительный, что имеется у провайдера: прилетел пакет снаружи (мы не рассматриваем conntrack, пакет реально снаружи), дальше что с ним делать, кому посылать? Васе-1, Васе-2 Васе-3...?

Вы поставили "Прямой доступ" находясь за NAT, что вы еще хотите? Что поставили, то и получили - адрес WAN-порта роутера. Вам надо ставить "Через облако".

Не знаю как работает KeenDNS (не разбирался, не было необходимости - у меня белые IP, а серый IP и так работает без проблем), но предполагаю 2 варианта:

1) Обратный туннель L2 (собственно я о нем намекал в предыдущем посте), но это чревато большим оверхедом. 

2) Обратный туннель L3

Я прекрасно понимаю, о чем я говорю. То, что я бегаю изнутри из сети провайдера наружу в Интернет через NAT вовсе не доказывеет, что обратный путь закрыт. Давайте поставим точку надо этим всем - я такой исключительный и у меня есть доступ из Интернета. Васей тут нет, белый адрес дан лично мне и никому другому.

Я поставил "Прямой доступ" потому, что я знаю, что он есть. Мне надо, чтобы KeenDNS прописал в DNS белый адрес, т.е. точно так же, как это умеет делать NO-IP. Как они это делают - точно не знаю, но думаю, что они имеют больше опыта в этом направлении.

 

[Вопросы по интеграции OpenVPN в NDMS]

Вот у меня сейчас планшет через Wireguard upload 104 Mb/s, download 78 Mb/s. Wireguard показывает, что перекачено больше 100 Мб.

Если я отключаю wireguard, то уже 200-250.

Включаю openVPN и уже 15-17. Разница уж сильно большая.

 

 

[Подключение Wireguard]

Тоже недавно настроил параллельно с OpenVPN. Могут ли разработчики проверить скорость в лабе, как это сделали с OpenVPN. У меня OpenVPN максимально разгонялся до 23 Mb/s, а вот Wireguard выжимает больше.

А вообще keepalive с роутера нет смысла делать, т.к. адрес прямой. Разработчики пишут, что keepalive нужен в частности для работы через NAT/Firewall, чтобы разрешались входящие udp пакеты. Так что у меня настройка keepalive только на клиентах. И я не очень понял, зачем делать security-level private, если и без него все роутится через роутер.

 

[Вопросы по интеграции OpenVPN в NDMS]

В 17.12.2019 в 18:38, Le ecureuil сказал:

Небольшие новости.

По результатам моих тестов выяснилась такая картина :

	7621	7513	7628
NONE	68	40	23
BF-CBC	23.3	16.4	10.7
AES-128-CBC	25	18.2	10.6
AES-GCM-128	23.8	17.9	10
AES-128-OFB	28.2	21.2	11.3
AES-128-CFB	30.5	19.8	11.3
CHACHA20-POLY1305	38.3	26.5	14.4

 

Краткие выводы (цифры сами говорят за себя, но все же):

 - NONE - это теоретически максимальная скорость OpenVPN на данном ЦПУ без шифрования и аутентификации трафика вообще. Быстрее точно не будет.

 - BF-CBC - старый кал, он не оправдывает надежд как "быстрейший шифр".

- если вам прямо сейчас нужен быстрейший шифр, то на обеих сторонах туннеля выберите "cipher AES-128-CFB / auth SHA1" и можете получить прирост до 8 Мбит нахаляву.
- прямо сейчас везде добавлен шифр CHACHA20-POLY1305, который кладет всех на лопатки (пользователи Wireguard уже это увидели). Он появится в следующих выпусках 3.4, 3.3 beta 7, 2.16 и 2.11. Настроить его просто: "cipher CHACHA20-POLY1305 / auth none" (на обоих сторонах канала!). Из сервисов VPN его уже поддерживает как минимум AirVPN (тема с рекомендациями по настройке, рабочий конфиг в конце).

А можно сравнить с Wireguard? Интересна разница.

[KeenDNS определает IP неправильно]

В 06.02.2020 в 13:20, Oleg Nekrylov сказал:

Приватные сети ("серые"):

10.0.0.0 – 10.255.255.255
172.16.0.0 – 172.31.255.255
192.168.0.0 – 192.168.255.255

Если ваш адрес находится в этих диапазонах, то ни о каком "белом" адресе речи быть не может, вы выходите в интернет через NAT провайдера, так что KeenDNS тут абсолютно прав, вам стоит обратиться к вашему провайдеру и получить "белый" IP.

Но можно изловчиться (если у вас есть пул свободных адресов, например принадлежащий вашей компании и доступ к шлюзу) и кинуть внутрь туннель, и из свободных адресов организовать себе "домашний" сегмент  - когда нельзя, но очень хочется 😁

От того, что у провайдера NAT, ничего не меняется. Если есть доступ через белый IP, то нужно использовать именно его.

[KeenDNS определает IP неправильно]

14 часа назад, sergeyk сказал:

Попробуйте для начала без имени на этот адрес зайти из интернета.

Из интернета по IP все работает и доступно.

[KeenDNS определает IP неправильно]

4 часа назад, sergeyk сказал:

А вы туда какой адрес прописывать хотите?

Тот адрес, с которого будет приходить любой пакет, отправленный с роутера на сервер keendns (при условии, что я уверен, что прямой доступ все-таки есть).

[KeenDNS определает IP неправильно]

1 час назад, keenet07 сказал:

А вы не пробовали вместо автоматического серого прописать вручную адрес, маску, шлюз внешнего. Уточните у техподдержки провайдера будет ли так работать. Если вы платите за белый IP. Если нет, то этот внешний в любой момент могут поменять на другой.

За адрес я плачу отдельно. Он привязан ко мне, и никто другой через него не ходит в интернет. Сейчас я использую no-ip, хотел попробовать keendns для dns, но не работает, к сожалению.

[KeenDNS определает IP неправильно]

51 минуту назад, Mikesk сказал:

Статический - это не обязательно белый, а динамический - не обязательно серый. 10.2.Х.Х - это серый IP, т.е. выше роутера у вас стоит еще как минимум один маршрутизатор с NAT от провайдера, который транслирует ваш серый во внешний белый IP. 

Прямой доступ будет работать, если этот самый NAT у провайдера - 1:1, т.е. кроме вас за внешним (белым) IP у провайдера никого одновременно нет. Так, например, работают модемы Yota с услугой публичного IP.

Веб-интерфейс же предупреждает для наиболее частого "общего случая", т.к. такой тип nat встречается не часто, а остальным действительно доступ будет невозможен.

Если же таких 10.2.Х.Х за внешним адресом несколько, то увы - у вас статический, но серый адрес со всеми его ограничениями. Выход - смириться или купить у провайдера белый (публичный) IP.

 

Тип NAT можно уточнить у провайдера.

 

Основная проблема в том, что KeenDNS прописывет в качестве адреса 10.x.x.x, а потому даже ping example.keenetic.pro работать не будет. Я бы предложил галку или спец настройку (возможно только из cli), чтобы можно было либо задать адрес вручную, либо определять иным образом. К тому же есть как минимум еще Yota,  с кем keendns тоже работать пока что не будет. Наличие галки позволяет охватить больше пользователей keendns, без нагрузки на ваш сервер для проксирования.

[достаточно ли 2 кинетика чтобы соединить две сети?]

2 часа назад, Mikesk сказал:

это и есть "серые". Со всеми вытекающими ограничениями.

Пока единственное ограничение, которое я заметил, - это keendns и соответствующие службы, которые из-за этого не умеют подключаться напрямую.

[KeenDNS определает IP неправильно]

1 час назад, Mikesk сказал:

Если у вас no-ip работает, у вас белый динамический адрес. Вы можете включить "прямой" режим keendns. Но для точного ответа укажите первые два разряда адреса с интерфейса кинетика.

У меня статический IP, то есть он не меняется и закреплен провайдером за мной. Фактически я могу купить домен и привязать его к IP. Сейчас картинка вот такая:

И адрес роуетра на WAN интерфейсе такой 10.2.x.x.

 

[KeenDNS определает IP неправильно]

Здравствуйте!

Попробовал подключить KeenDNS ради DNS, но он определяет IP адрес неверно, а именно, берет IP адрес, выданный провайдером роутеру, вместо адреса, с которого идет любой запрос в интернет. Для примера, NO-IP определает правильно белый адрес. Стоит писать в официальную поддержку?

 

[достаточно ли 2 кинетика чтобы соединить две сети?]

В 13.01.2020 в 21:57, Кинетиковод сказал:

Стало быть ip белые. Для соединения двух сетей, тем более с помощью Лайтов лучше использовать чистый IPsec, либо Wireguard. Скорости будут значительно выше. L2TP целесообразен для трёх и более сетей. 

Провайдер присваивает белый адрес динамически, но со стороны интернета. Роутер же получает серый. У меня так, только адрес статический. Если зайти в роутер и посмотреть его адрес, то он получает от провайдера адрес вида 10.x.x.x. В то же время роутер прекрасно доступен из интернета по белому адресу.

Предыдущий провайдер выдавал роутеру белый адрес сразу, так сто его можно было узнать из админки роутера.

[Статистика впн-подключений из Системного монитора]

У меня кинетик определяет OpenVPN клинтов, как незарегистрированные устройства. Теоретически их можно зарегистрировать и получить мониторинг, как и для обычных устройств в домашней сети. Странно только, что Wireguard клиенты не появляются в списке незарегистрированных устройств.

[2FA аутентификация]

19 часов назад, Nikolay Priymak сказал:

Польза:
Многофакторная защита! и для бизнеса есть! у Вас буду самые защищенные роутеры)

Геморрой:
Добавить еще одну строчку к данным пользователя(его секретный код 2fa)
Инпут на веб морду входа
На страницу пользователи и доступ добавить пунк настройки 2fa

+ логика (а она простая как суп из топора)? 

Для нода есть готовые реализации https://www.npmjs.com/package/otplib


Надеюсь кому то это идея понравиться и Вы её реализуете. 

Сделать-то не сильно сложно, но сколько потом это все тестировать, прреносить, портировать и поддерживать в рабочем состоянии!

[не работает wpa3-psk]

Ну как бы заявлено только, что поддержка WPA3 только появилась в Android 10.