atam
-
Постов
27 -
Зарегистрирован
-
Посещение
Достижения atam
Пользователь (2/5)
8
Репутация
-
Спасибо!
-
UPD: Опытным путём выяснил следующее. Когда мобильные устройства подключены к главному кинетику (KN-1811), то переключение между wifi всех вышеописанных сегментов проходит успешно - IP выдаются и всё работает как ожидалось. А вот когда устройства подключены (т.е. в радиусе действия) через вояжеры (их в моём сэтапе 3 штуки), то вот тогда проблема и всплывает: к сегменту Home подключние проходит нормально, а к wifi других сегментов - как описано выше. Возмножно, косяк с настройками не-Home бриждей на вояжёрах.. но это всего лишь догадка. Был бы благодарен за любые идеи на счёт того, в чём может быть косяк и как его разрулить.
-
Здравствуйте. Столкнулся со следующей проблемой. Устройство Keenetic Ultra KN-1811+ 3 вояжёра (все устройства на версии 4.1.6) подключённых по ethernet. Кроме дефолтного сегмента сети `Home` есть ещё добавленные самостоятельно сегменты `vpn` и `iot`. Для всех этих сегментов созданы wifi точки на 2.4 и 5 GHz (`Keenetic1811`, `Keenetic1811_5G`, `vpn`, `vpn_5g`, `iot` и `vpn_5g`). Подключение устройств в wifi точки сегмента `Home` проходят без каких-либо проблем: достаточно быстро выдаётся IP и всё работает нормально. А вот с точками сегментов `vpn` и `iot` - проблема. При подключении устройство (Andorid, MacOS, iOS) долго не может получить IP и в итоге, после пары попыток, сдаётся и переключается на точку сегмента `Home`. Грешу на какие-то траблы с DHCP. Пытался включить дебаг dhcp: `ip dhcp pool _WEBADMIN_BRIDGE1 debug` где `_WEBADMIN_BRIDGE1` - имя пула сегмента `vpn`, полученное из файла диагностики. Но даже при включённом дебаге, лог остаётся пустым - т.е. как будто клиенты и не пытаются подключаться к этой точке. Дебаг режим для сегмента `Home` работал нормально - в лог попадает куча инфы при подключении клиентов.. Подскажие плз куда копать - как выяснить в чём проблема невозможности подключения в сегменты `vpn` и `iot`? P.S. Конфигурация dhcp для сегмента `vpn`:
-
Ну для отчаянных, если разрешить доступ по http (а не исключительнопо https), то тоже можно достучаться. Но врядли на практике такое кому-то может быть интересно По https не работает, как я понял, ввиду того что self-signed certificate нет возможности выдавать сейчас. Из-за этого дивайс отвечает 403 forbidden при попытках доступа по https. Т.к. это код ошибки hppt (app layer), к фаерволу (рабтатает с transport layer) это отношения не имеет. Изначально не заметил, что там не timeout а 403 и грешил на фаервол. P.S. а что факрвола в UI для IPv6 нормального нету, это жаль. С iptables пришлось копаться. Спасибо за поддержку opkg, конечно- это оч большое подспорье.. Но фаервол нормальный имхо давно просится.
-
Вот рояль в кустах-то я и проморгал Спасибо!
-
Так по IPv6 доуступ к web UI появнляется. Но в этом случае он отрыт по голому HTTP, чего категорически не хочется. К тому же эта команда как-то странно действует: в руководстве по cli ясным по белому написано: public: Access to the web interface is allowed for public, private and protected interfaces via HTTP and HTTPS. (kn-1811, стр .347) При этом, даже когда доступ по по HTTP появляется, по HTTPS всё равно достучаться не получается - 403 ошибка. А хочется ведь совсем простого: публичный доступ исключительно по HTTPS..
-
Здравствуйте. Когда я пытаюсь достучаться до web UI своего KN-1811 по IPv6, в браузере получаю HTTP 403 Forbidden. Первая мысль была - фаервол. Но потом одумался Фаервол бы не отвечал "в терминах HTTP" - 403, а просто бы дропнул пакеты. И увидел бы я в браузере connection timeout (т.е. ошибку транспорта, а не аппликейшен уровня, как 403). Подскажите, в чём может быть причина? P.S. Попробовать достучаться по IPv4 и посмотреть что будет не имею возможности - сижу за CGNAT. P.P.S. Хоть это и бесполезно (по описанным выше причинам), "на всякий случай" пробовал добавить в ip6table первым правилом принимать весь IPv6 трафик: ip6tables -I INPUT 1 -p tcp --dport 443 -j ACCEPT Как и положено, никакого эффекта это не дало, и на уровне http запрос всё так же реджектится.
-
Здравствуйте! Пытаюсь установить nftables: opkg install nftables. Получаю Unknown package 'nftables'. Collected errors: * opkg_install_cmd: Cannot install package nftables. Это значит, что данный пакет недоступен для данного дивайса/архтектуры в принципе, или надо где-то прописать линк к какому-нить дополнительному репозиторию, который я не прописал? Спасибо.
-
Благодарю!
-
Здравствуйте. Волею обстоятельсв отлучён от локального доступа к дивайсу (KN-1811). Дивайс за CGNAT по IPv4, по IPv6 входящие соединения, похоже, блокирует фаервол, котрый через UI не отключить и не настроить. Хочу установить opkg nftables. Все необходимые шаги по добавлению в систему opkg сделаны. Когда в Web CLI пытаюсь выполнить opkg install nftables, получаю ошибку (скрин приаттачен). Если просто выполнить opkg без аргументов, то вроде всё ок, что по идее (думаю) значит что сам пакет-менеджер доступен (см. второй скрин). Вопрос: возможно ли устанавливать пакеты через web cli в принципе и если да, то как? Спасибо.
-
Update: Накопал, что кинетик kn-1811 поддерживает opkg пакеты. В частности, netfilter. Попробую установить - ибо если всё так, как задекларировано и есть поддержка iptables, то это по сути и есть управление фаерволом IPv6 в cli (и много больше). Update 2: поставил opkg iptables, блокирующих правил не нашёл, судя по существующим chains/rules, входящие соединения по IPv6 должно приниматься.. но нет. Продолжаю копать.
-
"..Жаль.." - это не вывод, это эмоция. И речь там не об этом, а об обоснованных сомнениях, что нужная функциональность (настройки фаервола для IPv6) доступна в принципе. Кроме предоставленных скринов приложения, основанием служит полное отсутствие секции про настройки фаервола для IPv6 в руковостве по cli. Что касается других брэндов, до этого приходилось работать с asus и tp-link (линейка omada). Там фаервол для IPv6 есть в UI. А в кинетиках его, похоже, даже на уровне cli нету. Если так, то честно - затрудняюсь понять, что мешает. Там же линукс под капотом всё равно. Ну+ надо ли говорить про такие вещи как openwrt.. это для примера того, как организовать в UI нормальный фаервол.
-
Покопался в приложении. Сомнения в том, что в дивайсе есть адекватная поддержка IPv6 подтвержадются ещё и тем, что для KeenDNS отсутсвует опция `Direct Access` для IPv6 (в отличие от IPv4). Детали - в картинках. Жаль.. и это в 2024-то году)
-
Методом перебора выяснено: `ip http security level {...}` управляет доступом только в связке с KeenDNS. Т.е. это не механизм управления фаерволом/открытияем портов (80/443) для IPv6 (как я надеялся).
-
Благодарю! Пойду покопаю `cli manual` - интересно, можно ли выборочно настраивать открытые порты и т.п. для IPv6? Или это тупо "Web интерфес ВКЛ/ВЫКЛ". Судя по UI, гибкость фаервола - явно слабое место кинетиков. Особенно для IPv6. UPDATE: Всё равно не пускает, когда из браузера по IPv6 пытаюсь законнектиться - 403 Forbidden. Похоже ip http security-level public ssl не работает для IPv6.
