atam
-
Постов
27 -
Зарегистрирован
-
Посещение
Тип контента
Профили
Форумы
Галерея
Загрузки
Блоги
События
Весь контент atam
-
Спасибо!
-
UPD: Опытным путём выяснил следующее. Когда мобильные устройства подключены к главному кинетику (KN-1811), то переключение между wifi всех вышеописанных сегментов проходит успешно - IP выдаются и всё работает как ожидалось. А вот когда устройства подключены (т.е. в радиусе действия) через вояжеры (их в моём сэтапе 3 штуки), то вот тогда проблема и всплывает: к сегменту Home подключние проходит нормально, а к wifi других сегментов - как описано выше. Возмножно, косяк с настройками не-Home бриждей на вояжёрах.. но это всего лишь догадка. Был бы благодарен за любые идеи на счёт того, в чём может быть косяк и как его разрулить.
-
Здравствуйте. Столкнулся со следующей проблемой. Устройство Keenetic Ultra KN-1811+ 3 вояжёра (все устройства на версии 4.1.6) подключённых по ethernet. Кроме дефолтного сегмента сети `Home` есть ещё добавленные самостоятельно сегменты `vpn` и `iot`. Для всех этих сегментов созданы wifi точки на 2.4 и 5 GHz (`Keenetic1811`, `Keenetic1811_5G`, `vpn`, `vpn_5g`, `iot` и `vpn_5g`). Подключение устройств в wifi точки сегмента `Home` проходят без каких-либо проблем: достаточно быстро выдаётся IP и всё работает нормально. А вот с точками сегментов `vpn` и `iot` - проблема. При подключении устройство (Andorid, MacOS, iOS) долго не может получить IP и в итоге, после пары попыток, сдаётся и переключается на точку сегмента `Home`. Грешу на какие-то траблы с DHCP. Пытался включить дебаг dhcp: `ip dhcp pool _WEBADMIN_BRIDGE1 debug` где `_WEBADMIN_BRIDGE1` - имя пула сегмента `vpn`, полученное из файла диагностики. Но даже при включённом дебаге, лог остаётся пустым - т.е. как будто клиенты и не пытаются подключаться к этой точке. Дебаг режим для сегмента `Home` работал нормально - в лог попадает куча инфы при подключении клиентов.. Подскажие плз куда копать - как выяснить в чём проблема невозможности подключения в сегменты `vpn` и `iot`? P.S. Конфигурация dhcp для сегмента `vpn`:
-
Ну для отчаянных, если разрешить доступ по http (а не исключительнопо https), то тоже можно достучаться. Но врядли на практике такое кому-то может быть интересно По https не работает, как я понял, ввиду того что self-signed certificate нет возможности выдавать сейчас. Из-за этого дивайс отвечает 403 forbidden при попытках доступа по https. Т.к. это код ошибки hppt (app layer), к фаерволу (рабтатает с transport layer) это отношения не имеет. Изначально не заметил, что там не timeout а 403 и грешил на фаервол. P.S. а что факрвола в UI для IPv6 нормального нету, это жаль. С iptables пришлось копаться. Спасибо за поддержку opkg, конечно- это оч большое подспорье.. Но фаервол нормальный имхо давно просится.
-
Вот рояль в кустах-то я и проморгал Спасибо!
-
Так по IPv6 доуступ к web UI появнляется. Но в этом случае он отрыт по голому HTTP, чего категорически не хочется. К тому же эта команда как-то странно действует: в руководстве по cli ясным по белому написано: public: Access to the web interface is allowed for public, private and protected interfaces via HTTP and HTTPS. (kn-1811, стр .347) При этом, даже когда доступ по по HTTP появляется, по HTTPS всё равно достучаться не получается - 403 ошибка. А хочется ведь совсем простого: публичный доступ исключительно по HTTPS..
-
Здравствуйте. Когда я пытаюсь достучаться до web UI своего KN-1811 по IPv6, в браузере получаю HTTP 403 Forbidden. Первая мысль была - фаервол. Но потом одумался Фаервол бы не отвечал "в терминах HTTP" - 403, а просто бы дропнул пакеты. И увидел бы я в браузере connection timeout (т.е. ошибку транспорта, а не аппликейшен уровня, как 403). Подскажите, в чём может быть причина? P.S. Попробовать достучаться по IPv4 и посмотреть что будет не имею возможности - сижу за CGNAT. P.P.S. Хоть это и бесполезно (по описанным выше причинам), "на всякий случай" пробовал добавить в ip6table первым правилом принимать весь IPv6 трафик: ip6tables -I INPUT 1 -p tcp --dport 443 -j ACCEPT Как и положено, никакого эффекта это не дало, и на уровне http запрос всё так же реджектится.
-
Здравствуйте! Пытаюсь установить nftables: opkg install nftables. Получаю Unknown package 'nftables'. Collected errors: * opkg_install_cmd: Cannot install package nftables. Это значит, что данный пакет недоступен для данного дивайса/архтектуры в принципе, или надо где-то прописать линк к какому-нить дополнительному репозиторию, который я не прописал? Спасибо.
-
Благодарю!
-
Здравствуйте. Волею обстоятельсв отлучён от локального доступа к дивайсу (KN-1811). Дивайс за CGNAT по IPv4, по IPv6 входящие соединения, похоже, блокирует фаервол, котрый через UI не отключить и не настроить. Хочу установить opkg nftables. Все необходимые шаги по добавлению в систему opkg сделаны. Когда в Web CLI пытаюсь выполнить opkg install nftables, получаю ошибку (скрин приаттачен). Если просто выполнить opkg без аргументов, то вроде всё ок, что по идее (думаю) значит что сам пакет-менеджер доступен (см. второй скрин). Вопрос: возможно ли устанавливать пакеты через web cli в принципе и если да, то как? Спасибо.
-
Update: Накопал, что кинетик kn-1811 поддерживает opkg пакеты. В частности, netfilter. Попробую установить - ибо если всё так, как задекларировано и есть поддержка iptables, то это по сути и есть управление фаерволом IPv6 в cli (и много больше). Update 2: поставил opkg iptables, блокирующих правил не нашёл, судя по существующим chains/rules, входящие соединения по IPv6 должно приниматься.. но нет. Продолжаю копать.
-
"..Жаль.." - это не вывод, это эмоция. И речь там не об этом, а об обоснованных сомнениях, что нужная функциональность (настройки фаервола для IPv6) доступна в принципе. Кроме предоставленных скринов приложения, основанием служит полное отсутствие секции про настройки фаервола для IPv6 в руковостве по cli. Что касается других брэндов, до этого приходилось работать с asus и tp-link (линейка omada). Там фаервол для IPv6 есть в UI. А в кинетиках его, похоже, даже на уровне cli нету. Если так, то честно - затрудняюсь понять, что мешает. Там же линукс под капотом всё равно. Ну+ надо ли говорить про такие вещи как openwrt.. это для примера того, как организовать в UI нормальный фаервол.
-
Покопался в приложении. Сомнения в том, что в дивайсе есть адекватная поддержка IPv6 подтвержадются ещё и тем, что для KeenDNS отсутсвует опция `Direct Access` для IPv6 (в отличие от IPv4). Детали - в картинках. Жаль.. и это в 2024-то году)
-
Методом перебора выяснено: `ip http security level {...}` управляет доступом только в связке с KeenDNS. Т.е. это не механизм управления фаерволом/открытияем портов (80/443) для IPv6 (как я надеялся).
-
Благодарю! Пойду покопаю `cli manual` - интересно, можно ли выборочно настраивать открытые порты и т.п. для IPv6? Или это тупо "Web интерфес ВКЛ/ВЫКЛ". Судя по UI, гибкость фаервола - явно слабое место кинетиков. Особенно для IPv6. UPDATE: Всё равно не пускает, когда из браузера по IPv6 пытаюсь законнектиться - 403 Forbidden. Похоже ip http security-level public ssl не работает для IPv6.
-
Мне это не нужно. Мой юз-кейс гораздо проще. И для него будет достаточно просто выяснить, как настроить фаервол для IPv6 чтобы разрешить входящие соединения по моему выбору.
-
Сударь, а где вы увидели, что я писал про грубость и проблемы с конструктивом? Вы, очевидно, меня не поняли. За дармовую помощь - строго респект и благодарность.
-
Спасибо за вежливость и конструктив.
-
Здравствуйте! Прямого IPv4 провайдер не выдаёт, CGNAT. Есть только IPv6. Подскажите пожалуйста как сделать сделдующее для Titan/Ultra 1811: 1. Настроить прямой доступ к Web инерфесу устройства по IPv6 адресу. По дефолту, как я понимаю, IPv6 фаервол блокирует входящие соединения. Как можно его настроить? 2. Как разрешить доступ по telnet/ssh по IPv6? Ибо даже когда открываешь доступ и пробрасываешь порты явно, это, похоже не работает для IPv6. Заранее спасибо.
-
Огромное пролетарское спасибо!
-
Товарищи! Интересует следующее: есть ли возможность на уровне раутера жестко прописать DNS ответ для определенных запросов? Например, указать, что для "www.disneyplus.com" должен всегда использоваться заданный IP, а не тот, что пришлет публичный DNS сервер. Спасибо P.S. подмена DNS на жестко заданные адреса необходима, чтобы иметь возможность прописать правила переадресации трафика (через routing table) к определенным сервисам (стриминг) на отдельное ВПН соединение.
-
В чем экзотика-то? Смысл в том, что не только одно конкретное "устройство", а любое устройство (в т.ч. и устройства людей, пришедших в гости), когда им нужен ВПН должны иметь возможность переключиться на ту wifi точку, где ВПН прописан, как основное соединение. Это удобно, т.к. не всем устройствам и не всегда нужен ВПН. + Не все устройства (Roku, Smart TV например) имеют встроенный vpn клиент. Отдельная точка для них - вариант. Например я хочу иметь американский фильтр на контент Netflix (а доступный контент практически у всех стриминг сервисов отличается по регионам) - переключился на wifi точку c американским vpn. Хочу европейский фильтр (например по американскому недоступен Sotuh Park) - переключился на wifi точку без впн. На мой взгляд, как раз, такое ограничение как "одно устройство == одна и та же точка доступа" выглядит неудобным.
-
Вот здесь более развернуто проблема описана и почему все не так просто
-
@r13 В точку - вы отлично поняли суть проблемы!
-
Товаращи, вимание! Задача следующая. Есть уже настроенное в раутере и работающее ВПН-соединение (клиент). Надо организовать доступ к этому соединению через отдельную точку WIFI. Т.е. так, чтобы любое устройство (зарегистрированное, не зарегистрированное), подключенное к этой точке ходило только через это ВПН-соединение. Поковырявшись какое-то время в настройках, сам я потерял веру в то, что такое возможно (по крайне мере через вэб интерсфейс). Т.к. разные соединения доступны через профили, а профиль можно повесить только либо на зарегистрированное _устройство_, либо на WiFi точку но только как "профиль для не зарегистрированных устройств". Если же устройство _зарегистрировано_, то профиль связан уже с ним напрямую, а не с WiFi точкой, к которой он подсоединен.. Дивайс: Keenetic Ultra (KeeneticOS 3.1.10) Подскажите, может я упустил что.. Спасибо. P.S. Как хак работает следующее: на нужную wifi точку вешается в "профиль для не зарегистрированный устройств" профиль, в котором прописано это впн соединение. Тогда все, устройста, которые не зарегистрированы и подключены к этой точке, будут ходить через это впн. Но мне это не подходит т.к. мне нужна регистрация устройств для навешивания на них расписания.
