slydiman

Развязка... В настройках OpenVPN сервера на Кинетике прописываем topology p2p и на всякий случай mode p2p В UI роутера Tandem для OpenVPN есть компрессия LZ4 - не работает (в логах ничего внятного), поэтому оставить LZ0 на обоих концах. В advanced добавить redirect-gateway def1 bypass-dhcp И наконец включить маскарадинг для интерфейса ovpn (зона vpn) в настройках файрвола и перезагрузить интерфейс. PS: Всё что я услышал от техподдержки micro-drive.ru - это что WireGuard планируется. Надеюсь эта информация будет кому-то полезной. На всякий случай это всё про то как с российского роутера Tandem установленного в машине получить доступ к домашнему роутеру Кинетик и через него в интернет.

Рано обрадовался. Всё было отлажено на ноуте с модемом и в процессе затесался параметр topology subnet Но когда я добрался до гаража и роутера Tandem, оказалось что в нем OpenVPN 2.5 и topology subnet там в принципе не работает. Local и remote IP задаются через UI В итоге на Кинетике так и не удалось настроить NAT для OpenVPN TUN без topology subnet.

После обращения в поддержку Кинетика, их ответ (верните как в статье и сделайте дамп трафика) навёл меня на мысль прописать ip nat 10.1.0.0 255.255.255.252 и всё заработало! Так что стоит исправить статью! Кстати, OpenVPN клиенты не видны в списке клиентов на Кинетике, как сказано в статье. Возможно, если бы OpenVPN сервер был сконфигурирован на пул адресов (для нескольких клиентов), то совет ip nat OpenVPN0 сработал бы.

Увы, но нет. Замена ip nat 10.1.0.2 255.255.255.255 на ip nat OpenVPN0 не изменила ничего. Таблица роутинга не изменилась. Поведение тоже. Скачал конфиг Кинетика перепроверить: access-list _WEBADMIN_GigabitEthernet1 permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 1194 permit description OpenVPN-srv-car auto-delete ! interface OpenVPN0 description OpenVPN-srv-car role misc security-level private ip dhcp client dns-routes ip access-group _WEBADMIN_OpenVPN0 in ip tcp adjust-mss pmtu ip name-servers openvpn accept-routes openvpn connect up ! ip nat OpenVPN0 Для проверки взял ноут, поднял на нём OpenVPN клиент 2.6.х, в конфиге прописал redirect-gateway def1, подключился из внешки к OpenVPN Кинетика, на клиенте вижу точно такую же таблицу роутинга, к сети Кинетика доступ есть, а интернета нет. То есть проблема на стороне Кинетика. Обновил Кинетик до v4.3.6 - ничего не изменилось. Если в логах чего и не хватает, то не знаю чего. Всё что там есть вопросов не вызывает. Куда копать? PS: На этом же Кинетике поднят ещё WireGuard и клиенты WireGuard без проблем ходят в интернет через Кинетик.

Сервер OpenVPN на Кинетике v4.3.5 настроен согласно https://help.keenetic.com/hc/ru/articles/360000880359-Клиент-и-сервер-OpenVPN Клиент OpenVPN (v2.4.0) на роутере Tandem 4GX-6 https://www.micro-drive.ru/products/tandem-4gx-6-3g/4g-router-lte-cat.6/ Там основная настройка OpenVPN через UI, но можно прописывать параметры в advanced. OpenVPN TUN (L3) точка-точка, соединение есть, устройства из сети Кинетика видят устройства за Tandem 4GX, аналогично устройства за Tandem 4GX видят сеть за Кинетиком. Не получается направить весь трафик от Tandem 4GX в тоннель. На Кинетике в таблице маршрутизации есть строка 10.1.0.2/32 gateway 10.1.0.1 interface OpenVPN-srv-my Если на клиенте (Tandem 4GX) в настройках OpenVPN прописать route 0.0.0.0 0.0.0.0 то вообще всё перестаёт работать. Если на клиенте (Tandem 4GX) в настройках OpenVPN прописать redirect-gateway def1 bypass-dhcp то на клиенте появляются 3 маршрута - 0.0.0.0/1 и 128.0.0.0/1 gateway 10.1.0.1 metric 0 interface ovpn и маршрут до сервера через интерфейс модема. Доступ к сети Кинетика всё ещё есть, но доступ в интернет отрубается. Команда на Кинетике ip nat 10.1.0.2 255.255.255.255 выполнена и это не помогает. В статье выше есть такое Профиль/политика по умолчанию, то есть доступ в интернет должен быть. Но вот в списке устройств на Кинетике клиентов OpenVPN не видно. no isolate-private прописано. Где чего не хватает?

Я правильно понимаю что при удалённом компоненте Cloud services agent (и соответственно неработающем KeenDNS) поднять OpenConnect server на роутере не получится из-за невозможности подсунуть свой сертификат? То есть ровно такая же проблема как тут?

Так и сделал, хотел написать, а тут уже такой же ответ.

Это никак не поможет. Статья, на которую я дал ссылку в первом посте, не просто так появилась.

Есть 3 интернет провайдера и 3 роутера Keenetic. Роутеры имеют IP 192.168.1.1, 192.168.8.1, 192.168.9.1 Каждый роутер подключен к своему провайдеру, за каждым роутером свои сервера. На первом роутере который 192.168.1.1 помимо основного WAN1 настроены WAN2 и WAN3 и подключены к двум другим роутерам. На первом роутере этим WAN портам соответствуют IP 192.168.8.100 и 192.168.9.100 Это позволяет клиентам первого роутера настроить через какого провайдера (или нескольких с балансировкой) ходить в интернет. Также из сети 192.168.1.х можно спокойно попасть в админку 2-го и 3-го роутера просто открыв в браузере 192.168.8.1 или 192.168.9.1 Проблема возникла когда на первом роутере настроился WireGuard сервер, пусть будет подсеть 172.16.82.х Так вот задача VPN клиенту попасть в админку 2-го и 3-го роутера. Ситуация в точности как описано тут https://help.keenetic.com/hc/ru/articles/4403101043218-Доступ-в-веб-интерфейс-USB-модема-за-VPN-клиентом-Wireguard-туннеля Только там вместо 2-го роутера 4G модем, но суть та же. Всё решается добавлением очень странной переадресации ВСЕГО, где вход - это целая подсеть 172.16.82.х (которая VPN). Тут слушается целая подсеть и если указать конкретный хост вместо подсети, то это не работает. И собственно сама проблема - подсеть VPN можно перенаправить только на ОДИН адрес, то есть например на 2-й роутер. Тогда VPN клиент имеет доступ на 192.168.8.1, но не имеет доступа к 192.168.9.1 Как сделать чтобы VPN клиент имел доступ к обоим роутерам 192.168.8.1 и 192.168.9.1 одновременно?

Не понимаю что значит может использовать только сертификаты от LE. Не важно как получен сертификат. Он где-то хранится. Что мешает туда же записать его просто из веба? Ладно, всё понятно. Спасибо что на сегодня хотя бы ещё можно удалить компонент Cloud services agent. Эх, шикарный был облачный сервис. В новом облаке обнаружил подписку на уведомления в телеграм - просто супер, знаешь когда кто домой пришёл, телевизор включил. Но времена нынче такие, что приходится выбирать и чем-то жертвовать.

Чтобы без реверс прокси на третьих девайсах я поднимаю (слово из 3х букв которое нельзя называть) до роутера и захожу по HTTP на внутренний IP роутера. Но хотелось бы без костылей. Все остальные девайсы сети зависят от роутера. Делать саму админку роутера зависимой ещё от каких-то девайсов - так себе решение.

Он у меня просто есть со всеми ключами, причем wildcard, ибо за этим роутером куча сайтов и сервисов с этим сертификатом.

Я удалил не KeenDNS, а Cloud services agent, потому что он делал лишнего даже при выключенной галочке Keenetic Cloud access. Отдельно компонент KeenDNS поставить не возможно. Я не очень понимаю что за acme компонент и зачем ему KeenDNS. Есть обращение к WEB UI снаружи по HTTPS. WEB сервер должен использовать какой-то сертификат для TLS/SSL хэндшейка. Нужно как-то дать ему этот сертификат и всё. Ни KeenDNS, ни acme, ни Let's encrypt в этом никак не должны участвовать.

Я правильно понимаю что указать свой домен (и сертификат) для доступа к роутеру снаружи нельзя? Только *.keenetic.pro или .link через KeenDNS и всеми облачными тараканами? Возможно ли добавление такой опции в будущем?

Когда облако всё видит даже при выключенной галочке Keenetic Cloud access - это напрягает. В связи с непонятками вокруг переезда на netcraze снёс нафиг Cloud services agent, ибо непонятно кому он ещё стучит и о чём. При удалении Cloud services agent пропал и KeenDNS. В Remote Web interface connections стоит HTTPS only. У меня белый статический IP и свой домен. Я не использую никаких DynDNS и пр. Как указать роутеру свой домен чтобы при обращении снаружи не получать ERR_SSL_UNRECOGNIZED_NAME_ALERT? Заранее спасибо

При включении комуфляжа в адрес добавляется ?secret_word Секретное слово разумеется ваше, прописанное на сервере. То есть если на клиенте адрес был https://my_server/, то становится https://my_server/?secret_word В данном примере подразумевается порт 443 стандартный для https.

Тоже было 10..18 мбит. Заменил роутер на Hopper SE (KN-3812) - стало лучше, почти 100 мбит. Другие утверждали что и 150 тянет. Кстати, что за провайдер, где VPS, если не секрет?

Было ощущение что тегирование - это тегирование, а не порча IP пакетов, приводящая к тому что 99.9% устройств перестают понимать трафик. Самый ценный ответ был: 802.1q

Воткнул в POE шлюз SSC-PS308G. Там 8 POE портов, 2 гигабитных uplink LANs и SFP. Есть 2 режима VLAN - port и tag. В режиме port, только POE портам можно выбрать VLAN group от 1 до 8. При этом 2 LAN порта никак не настраиваются. Из китайской документации: Очевидно очепятка. Всё бы хорошо, если бы можно было задействовать не только POE порты. Выбирать двум POE портам отдельную группу, в один порт втыкать камеру, а другой POE порт в роутер (в тот самый LAN4, через POE сплитер разумеется) - видимо единственное решение. В режиме tag можно POE портам прикрутить PVID от 2 до 4096. При этом двум LAN и SFP порту прикручено 1 и поменять нельзя. Из китайской документации: Видимо это всё мало полезно. Вывод - просто забыть про тегирование VLAN. Всем спасибо.

Давайте конкретику. IP камеры 192.168.4.2, ей его выдал роутер по DHCP. Далее без перезагрузок роутера или камеры я включаю VLAN ID 4 на порту, куда воткнута камера, трафик становится тегированный. Как получить доступ к камере хотя бы из домашней сети с 192.168.1.x? > Если камера не умеет тэгированный трафик, то тут только VLan на основе портов. Не умеет что конкретно? Тут и есть VLAN на основе портов. В вопросе #1 камера втыкается в порт роутера, которому прикручен VLAN ID 4. В вопросе #2 камера втыкается в порт шлюза, которому прикручен VLAN ID 4. Как получить доступ к камере из домашней сети, которая в роутере 192.168.1.x и которой не задан VLAN ID? В вопросе #2 нужно ещё как-то сегмент CAM в роутере прикрутить к VLAN ID 4, не тегируя при этом никакой физический порт роутера.

По делу пожалуйста. Я всё это и не только перечитал. И там нет ответов на мои вопросы. Разумеется. В 1 пункте написано что камера получает IP 192.168.4.2 и прекрасно выходит в интернет и к ней прописан доступ из домашней сети. Проблемы начинаются при включении VLAN ID 4 на порту, куда воткнута камера. Про шлюз разговаривать нужно после того, как на роутере к сегменту будет прикручен VLAN ID 4 без привязки к физическому порту LAN4. И это часть вопроса 2.

1. Домашняя сеть 192.168.1.1. Создал сегмент CAM с IP роутера 192.168.4.1. Этот сегмент привязан к порту LAN4 без тегирования. Подключил туда камеру, которой закреплен IP 192.168.4.2. Камера выходит в интернет (подключается к своему облачному серверу), к камере есть доступ из домашней сети (прописан маршрут). В файрвол ничего не добавлял. Теперь к порту LAN4 прикручиваю тегирование VLAN ID 4. Камера интернета больше не видит, доступа к камере из домашней сети больше нет. Вопрос - как получить доступ к камере из домашней сети и пусть камеру в интернет, когда камера тегируется VLAN ID 4? Никакие правила файрвола не помогли. 2. Есть управляемый шлюз. Один из портов на этом шлюзе будет прикручен к VLAN ID 4 и камера переедет туда. Шлюз подключается к роутеру в LAN2, который входит в домашнюю сеть. На том же шлюзе в других портах куча других устройств домашней сети. Вопрос как прикрутить камеру к сегменту? Очевидно LAN4 на роутере уже будет отвязан от сегмента CAM за ненадобностью. Как задать привязку сегмента CAM к VLAN ID 4? Будет ли через порт LAN2 приходить тегированный трафик VLAN ID 4? И как в 1 вопросе - как получить доступ к камере из домашней сети и пусть камеру в интернет, когда камера тегируется VLAN ID 4?

Физическое подключение до свича провайдера 1гбит. Провайдер соответственно тарифу ограничивает канал до 300мбит. Авторизация по MAC, MTU 1500, никаких других VPN типа L2TP и пр. OpenConnect сервер поднят на VPS с каналом 100мбит. tls-priorities как сказано выше LEGACY:+CHACHA20-POLY1305:... UDP выключен на сервере. Скорость мерялась speedtest.net до соседнего с VPS провайдера. Keenetic Hopper (KN-3810) давал 18-20мбит. Keenetic Hopper SE (KN-3812) даёт 43-49мбит (upload до 83мбит). Но если выключить OpenConnect клиент на роутере и поднять OpenConnect клиент на Windows машине через тот же роутер, то скорость всё равно выше 90мбит. То есть Hopper SE по сравнению с Hopper даёт прирост скорости в 2-3 раза. Похоже скорость могла бы быть в 4-5 раз выше, но роутер не тянет. В скорости под 120мбит через OpenConnect клиент на роутере с выключенным UDP я не верю. Хотя возможно OpenConnect клиент на Windows использует другое шифрование и оно иначе обрабатывается в черном ящике dpi у провайдеров. Тут слишком много факторов, которые могут влиять. Если сохранить настройки роутера, то у Hopper я вижу "crypto engine hardware", а у Hoper SE я вижу "crypto engine software". Это нормально/правильно?

Так не бывает. Заказал Hopper SE. Через неделю напишу как оно на самом деле в сравнении со старым Hopper при прочих равных.

Ещё бы уточнять на счёт вкл/выкл udp, ибо это даёт разницу в разы. Интересует в первую очередь без udp.