slydiman

Роутер с wireguard сервером обновил с 5.0 Beta 3 до 5.0.0 и всё снова заработало. Похоже роутинг где-то зацикливался.

Попробовал на одном из серверов в удаленной сети настроить nginx proxy для web UI модема, что-то типа server { server_name modem; listen 80; location / { proxy_pass http://192.168.8.1/; # proxy_set_header Host $http_host; # proxy_set_header X-Real-IP $remote_addr; } } не тут то было. Получил циклический редирект. Это уже тараканы модемов Huawei. Гугл пока не помог. Подобных вопросов на разных форумах много, все закончились ни чем.

Техподдержка сказала использовать KeenDNS и не парить мозг. При этом что все доменные настройки KeenDNS отсутствуют при отключенном cloud agent для них видимо было открытием. Я бы с удовольствием использовал возможности проксирования, ибо у меня белый IP и свои сертификаты, но увы всё завязано на cloud agent. Собственно почему бы не допилить прокси для вот таких случаев, когда запрос приходит внутри сети (через wireguard или другой подсети)? На вопрос как бы починить именно это в техподдержке мне ответили следующее: "В будущем изучим вопрос с работой доступа к модему". Как известно, обещанного 3 года ждут. Кстати, вы хотя бы косметику в окне Port Forwarding Rule поправьте, что указано выше.

На KN-1212 работало, обновил с 4.3.6 до 4.3.6.3 - перестало. На KN-3810 работало, обновил с 4.3.6 до 5.0 Beta 3 - перестало. self test приложен (и скрыт) В описании релизов 4.3.6.1 - 4.3.6.3 не видно ничего касательно роутинга или политик подключения. Могу провести любые тесты, если потребуется. Не исключаю что оно было настроено, но из-за каких-то косяков работало до первой перезагрузки и проблема появилась в прошивке ещё до 4.3.6. Но частичная зачистка и повторная настройка не решает проблему. Кстати, много вопросов по окошку Port Forwarding Rule Баг: Кнопка Save появляется например если изменить галочку Enable rule или поменять Input, но появляющаяся кнопка Save не активна, её нельзя нажать. Чтобы её нажать нужно поменять например Protocol. Баг: В рамке Input есть Other destination. Почему destination? Разве это не source? Согласно статье нужно выбрать "Другой адрес" (Other destination) и указать 172.16.82.0/24. А почему нельзя просто сразу выбрать интерфейс WireGuard? В чём тайный смысл и в чём разница?

После обновления 4.3.6 на 4.3.6.3 перестал работать вот этот сценарий https://help.keenetic.com/hc/ru/articles/4403101043218-Доступ-в-веб-интерфейс-USB-модема-за-VPN-клиентом-Wireguard-туннеля Другой роутер обновил до 5.0 Beta 3 и web UI модема тоже больше не доступен через WireGuard. tracert 192.168.8.1 останавливается на wireguard IP роутера. Ради интереса при попытке через wireguard открыть http://192.168.8.100 вижу 403 Forbidden. На всякий случай (вдруг это важно) у меня модем - это резервное подключение, основное - WAN. Модем Huawei E3372. Хотелось бы найти обходное решение или починить это в ближайших версиях 5.x Вариант с KeenDNS не предлагать. KeenDNS работает в связке с cloud agent, который отключен по соображениям безопасности, которые не обсуждаются. Заранее спасибо

Развязка... В настройках OpenVPN сервера на Кинетике прописываем topology p2p и на всякий случай mode p2p В UI роутера Tandem для OpenVPN есть компрессия LZ4 - не работает (в логах ничего внятного), поэтому оставить LZ0 на обоих концах. В advanced добавить redirect-gateway def1 bypass-dhcp И наконец включить маскарадинг для интерфейса ovpn (зона vpn) в настройках файрвола и перезагрузить интерфейс. PS: Всё что я услышал от техподдержки micro-drive.ru - это что WireGuard планируется. Надеюсь эта информация будет кому-то полезной. На всякий случай это всё про то как с российского роутера Tandem установленного в машине получить доступ к домашнему роутеру Кинетик и через него в интернет.

Рано обрадовался. Всё было отлажено на ноуте с модемом и в процессе затесался параметр topology subnet Но когда я добрался до гаража и роутера Tandem, оказалось что в нем OpenVPN 2.5 и topology subnet там в принципе не работает. Local и remote IP задаются через UI В итоге на Кинетике так и не удалось настроить NAT для OpenVPN TUN без topology subnet.

После обращения в поддержку Кинетика, их ответ (верните как в статье и сделайте дамп трафика) навёл меня на мысль прописать ip nat 10.1.0.0 255.255.255.252 и всё заработало! Так что стоит исправить статью! Кстати, OpenVPN клиенты не видны в списке клиентов на Кинетике, как сказано в статье. Возможно, если бы OpenVPN сервер был сконфигурирован на пул адресов (для нескольких клиентов), то совет ip nat OpenVPN0 сработал бы.

Увы, но нет. Замена ip nat 10.1.0.2 255.255.255.255 на ip nat OpenVPN0 не изменила ничего. Таблица роутинга не изменилась. Поведение тоже. Скачал конфиг Кинетика перепроверить: access-list _WEBADMIN_GigabitEthernet1 permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 1194 permit description OpenVPN-srv-car auto-delete ! interface OpenVPN0 description OpenVPN-srv-car role misc security-level private ip dhcp client dns-routes ip access-group _WEBADMIN_OpenVPN0 in ip tcp adjust-mss pmtu ip name-servers openvpn accept-routes openvpn connect up ! ip nat OpenVPN0 Для проверки взял ноут, поднял на нём OpenVPN клиент 2.6.х, в конфиге прописал redirect-gateway def1, подключился из внешки к OpenVPN Кинетика, на клиенте вижу точно такую же таблицу роутинга, к сети Кинетика доступ есть, а интернета нет. То есть проблема на стороне Кинетика. Обновил Кинетик до v4.3.6 - ничего не изменилось. Если в логах чего и не хватает, то не знаю чего. Всё что там есть вопросов не вызывает. Куда копать? PS: На этом же Кинетике поднят ещё WireGuard и клиенты WireGuard без проблем ходят в интернет через Кинетик.

Сервер OpenVPN на Кинетике v4.3.5 настроен согласно https://help.keenetic.com/hc/ru/articles/360000880359-Клиент-и-сервер-OpenVPN Клиент OpenVPN (v2.4.0) на роутере Tandem 4GX-6 https://www.micro-drive.ru/products/tandem-4gx-6-3g/4g-router-lte-cat.6/ Там основная настройка OpenVPN через UI, но можно прописывать параметры в advanced. OpenVPN TUN (L3) точка-точка, соединение есть, устройства из сети Кинетика видят устройства за Tandem 4GX, аналогично устройства за Tandem 4GX видят сеть за Кинетиком. Не получается направить весь трафик от Tandem 4GX в тоннель. На Кинетике в таблице маршрутизации есть строка 10.1.0.2/32 gateway 10.1.0.1 interface OpenVPN-srv-my Если на клиенте (Tandem 4GX) в настройках OpenVPN прописать route 0.0.0.0 0.0.0.0 то вообще всё перестаёт работать. Если на клиенте (Tandem 4GX) в настройках OpenVPN прописать redirect-gateway def1 bypass-dhcp то на клиенте появляются 3 маршрута - 0.0.0.0/1 и 128.0.0.0/1 gateway 10.1.0.1 metric 0 interface ovpn и маршрут до сервера через интерфейс модема. Доступ к сети Кинетика всё ещё есть, но доступ в интернет отрубается. Команда на Кинетике ip nat 10.1.0.2 255.255.255.255 выполнена и это не помогает. В статье выше есть такое Профиль/политика по умолчанию, то есть доступ в интернет должен быть. Но вот в списке устройств на Кинетике клиентов OpenVPN не видно. no isolate-private прописано. Где чего не хватает?

Я правильно понимаю что при удалённом компоненте Cloud services agent (и соответственно неработающем KeenDNS) поднять OpenConnect server на роутере не получится из-за невозможности подсунуть свой сертификат? То есть ровно такая же проблема как тут?

Так и сделал, хотел написать, а тут уже такой же ответ.

Это никак не поможет. Статья, на которую я дал ссылку в первом посте, не просто так появилась.

Есть 3 интернет провайдера и 3 роутера Keenetic. Роутеры имеют IP 192.168.1.1, 192.168.8.1, 192.168.9.1 Каждый роутер подключен к своему провайдеру, за каждым роутером свои сервера. На первом роутере который 192.168.1.1 помимо основного WAN1 настроены WAN2 и WAN3 и подключены к двум другим роутерам. На первом роутере этим WAN портам соответствуют IP 192.168.8.100 и 192.168.9.100 Это позволяет клиентам первого роутера настроить через какого провайдера (или нескольких с балансировкой) ходить в интернет. Также из сети 192.168.1.х можно спокойно попасть в админку 2-го и 3-го роутера просто открыв в браузере 192.168.8.1 или 192.168.9.1 Проблема возникла когда на первом роутере настроился WireGuard сервер, пусть будет подсеть 172.16.82.х Так вот задача VPN клиенту попасть в админку 2-го и 3-го роутера. Ситуация в точности как описано тут https://help.keenetic.com/hc/ru/articles/4403101043218-Доступ-в-веб-интерфейс-USB-модема-за-VPN-клиентом-Wireguard-туннеля Только там вместо 2-го роутера 4G модем, но суть та же. Всё решается добавлением очень странной переадресации ВСЕГО, где вход - это целая подсеть 172.16.82.х (которая VPN). Тут слушается целая подсеть и если указать конкретный хост вместо подсети, то это не работает. И собственно сама проблема - подсеть VPN можно перенаправить только на ОДИН адрес, то есть например на 2-й роутер. Тогда VPN клиент имеет доступ на 192.168.8.1, но не имеет доступа к 192.168.9.1 Как сделать чтобы VPN клиент имел доступ к обоим роутерам 192.168.8.1 и 192.168.9.1 одновременно?

Не понимаю что значит может использовать только сертификаты от LE. Не важно как получен сертификат. Он где-то хранится. Что мешает туда же записать его просто из веба? Ладно, всё понятно. Спасибо что на сегодня хотя бы ещё можно удалить компонент Cloud services agent. Эх, шикарный был облачный сервис. В новом облаке обнаружил подписку на уведомления в телеграм - просто супер, знаешь когда кто домой пришёл, телевизор включил. Но времена нынче такие, что приходится выбирать и чем-то жертвовать.