slydiman

Видимо не совсем верный раздел выбрал для исходного поста. Просто обратите на это внимание

Обновил контроллер до 5.0.4 - ничего не изменилось.

Одно дело когда нет связи или данные теряются. Другое дело когда последнему в списке Mesh экстендеру приписывается что якобы все через него работают. Очевидно есть какой-то баг при определении через какой экстендер что работает для страницы Client Lists. И из-за этого бага когда что-то не сошлось, крайний экстендер оказывается "крайним". Причем у этого кода поиска экстендера более высокий приоритет. И когда у экстендера отсутствует информация о клиенте, в списке для данного девайса всё равно отображается этот экстендер, Wi-Fi 5 и скорость "прочерк". Я не знаю какая там эвристика при определении экстендера, особенно для ethernet подключений, но как минимум если экстендер сказал "это не моё" - логично не показывать для данного девайса заведомо ложную инфу.

Странные комментарии. Для ясности - у меня всё работает, всё как ожидается. Все роутеры работают на v5.0.3 уже довольно давно и проблем замечено не было. Проблема только в том что на странице Client Lists неправильно отображается через какой экстендер подключено устройство, Wi-Fi/Wired и скорость. Если не лазить в Client Lists, то и проблемы как бы нет. Если открыть настройки конкретного экстендера, то в его списке Wi-Fi клиентов всё отображается правильно. Все Mesh экстендеры подключены по ethernet 1gbit, Backhaul Connection выключен. В Client Lists правильно отображаются только те устройства что подключены по Wi-Fi к контроллеру. Ethernet устройства и Wi-Fi клиенты Mesh экстендеров в Client Lists показываются неправильно. Проблема появилась после манипуляций с VLAN и экстендером, который НЕ добавлен в Mesh (его нет в списке Wi-Fi System), этот экстендер виден в общем списке устройств. До этого этот экстендер был клиентом только сегмента CCTV VLAN253 (порт был access). Но потом я добавил тэгирование VLAN1. Может быть важно что этот экстендер NetCraze NC-1112 (Start), может там какие-то особенности в отличие от Keenetic. Я не уверен что это триггернуло, может просто совпадение. Но потом даже выключив этот экстендер, перезагрузив все роутеры и очистив MAC адреса в управляемых POE свичах, мне не удалось устранить проблему. Client Lists с тех пор показывает бред. Проблема устраняется только если удалить все Mesh экстендеры. Я пробовал убирать все Mesh экстендеры и добавлять их снова - бесполезно. Достаточно добавить один Mesh экстендер и куча устройств отображается якобы подключена через него, включая ethernet устройства, которые якобы подключены по Wi-Fi 5. Выше на скриншоте 2 камеры разных брэндов, обе подключены по ethernet. CAM03 передаёт поток на видеорегистратор по UDP, 1 порт, не спамит и в Client Lists отображается как Wired (правильно). CAM04 спамит по UDP на кучу портов на тот же видеорегистратор (на станице Диагностика видно кучу активных меняющихся соединений). Может там какой-нибудь multicast путается в управляемых POE свичах, летает между VLAN и в итоге это как-то влияет на отображение Client Lists. Я не знаю. CAM04 подключен по Ethernet, сегмент Home, вообще не имеет никакого отношения к экстендерам! И при этом Client Lists показывает что это устройство подключено через экстендер №3 якобы по Wi-Fi 5. Если открыть настройки экстендера №3 - то там видно правильных клиентов и среди них разумеется нет CAM04. В управляемых POE свичах включен Loop detect и изоляция клиентов (маршруты только между uplink и downlink портами). В любом случае сеть работает стабильно. Вообще всё работает, если не смотреть в Client Lists.

Спустя сутки у контроллера в списке клиентов полная каша. Устройство подключено через mesh экстендер №1, показывает что якобы через mesh экстендер №3, при этом показывает скорость Wi-Fi подключения. Другое устройство подключено через mesh экстендер №1, показывает что да, через экстендер №1, но якобы Wi-Fi 5 вместо 2.4 и скорость - прочерк. Робот пылесос подключен разумеется по Wi-Fi 2.4 через mesh экстендер №1, показывает wired 2500мбит. Правильно отображаются только те клиенты, которые подключены по Wi-Fi к самому контроллеру. Большинство устройств подключенных по ethernet (сегмент Home) и по Wi-Fi к Mesh экстендерам показываются неправильно.

Не вижу разницы. Переключатель экстендер лишь немного упрощает некоторые вещи и прячет ненужные менюшки. Да, можно вручную задать роутеру IP в каждом сегменте, переключить DHCP в relay. Но пока он не добавлен в Mesh, в режиме экстендера он работает ровно так же. Проблема то совсем в другом - контроллер отображает что клиенты подключены якобы через wi-fi якобы через какой-то Mesh экстендер. Я думал что возможно это как-то связано с тем что на управляемых POE свичах есть 2 trunk порта, где один VLAN1 и тэгируемый LAN253, а другой наоборот VLAN253 и тэгируемый VLAN1. Но даже когда я временно убрал второй trunk порт на управляемом свиче и перезагрузил все роутеры проблема осталась.

Кабель уходит из квартиры в подъезд и далее на чердак. Собственно экстендер #2 стоит над лифтом и нужен для камеры в лифте. На крыше также есть пара камер, которые висят на этом кабеле (там poe и неуправляемые свичи). Поэтому не теггипованный там должен быть только vlan 253. Просто раз уж я всем этим заведую, решил в лифт пробросить свой wi-fi от home (тэгированный vlan 1) и нарвался на вот такой сюрприз. И ещё - wifi для сегмента cctv нужен только в лифте только на экстендере #2. Если его добавить в Mesh, то эта wi-fi сеть будет по всей квартире на контроллере и всех экстендерах, а тут и так целый wi-fi зоопарк. Кроме лифта все камеры по Ethernet.

Прошивка везде 5.0.3 Есть основной роутер KN-1012 (Giga), там 3 сегмента - Home, Guest и CCTV (VLAN 253). Есть экстендер №1 (KN-3710), добавленный в Mesh сеть. На управляемом POE свиче Dahua один порт настроен как trunk, untagged 253, tagged 1. На другом конце кабеля роутер NC-1112 (Start) в режиме экстендера. Этот экстендер №2 не добавлен в Mesh, потому что основной роутер его не видит, если VLAN 1 tagged. На экстендере №2 добавлены такие же 3 сегмента. Все ethernet порты access VLAN 253 (сегмент CCTV), остальные сегменты tagged. На экстендере №1 несколько wi-fi клиентов, на экстендере №2 всего 1 wi-fi клиент. Проблема - контроллер в списке клиентов, клиентов подключенных по ethernet в сегменте Home (не всех, примерно половину) показывает что они якобы подключены по Wi-Fi 5ГГц через экстендере №1 (последний в списке Mesh), при этом в колонке Connection (где порт и скорость wi-fi) прочерк. Если экстендере №1 отправить в ребут, то контроллер 2 минуты будет показывать правильное подключение клиентов по ethernet и потом снова якобы Wi-Fi 5ГГц. Если в Mesh сеть добавить ещё один экстендер, то контроллер в списке клиентов будет показывать что ethernet клиенты в сегменте Home якобы подключены по Wi-Fi 5ГГц уже через этот последний Mesh экстендер. Прилагается скриншот - оба девайса подключены по ethernet в сегменте Home, но отображается что один из них якобы через Wi-Fi 5ГГц и только что добавленный экстендер №3, к которому вообще ничего не подключено.

Роутер с wireguard сервером обновил с 5.0 Beta 3 до 5.0.0 и всё снова заработало. Похоже роутинг где-то зацикливался.

Попробовал на одном из серверов в удаленной сети настроить nginx proxy для web UI модема, что-то типа server { server_name modem; listen 80; location / { proxy_pass http://192.168.8.1/; # proxy_set_header Host $http_host; # proxy_set_header X-Real-IP $remote_addr; } } не тут то было. Получил циклический редирект. Это уже тараканы модемов Huawei. Гугл пока не помог. Подобных вопросов на разных форумах много, все закончились ни чем.

Техподдержка сказала использовать KeenDNS и не парить мозг. При этом что все доменные настройки KeenDNS отсутствуют при отключенном cloud agent для них видимо было открытием. Я бы с удовольствием использовал возможности проксирования, ибо у меня белый IP и свои сертификаты, но увы всё завязано на cloud agent. Собственно почему бы не допилить прокси для вот таких случаев, когда запрос приходит внутри сети (через wireguard или другой подсети)? На вопрос как бы починить именно это в техподдержке мне ответили следующее: "В будущем изучим вопрос с работой доступа к модему". Как известно, обещанного 3 года ждут. Кстати, вы хотя бы косметику в окне Port Forwarding Rule поправьте, что указано выше.

На KN-1212 работало, обновил с 4.3.6 до 4.3.6.3 - перестало. На KN-3810 работало, обновил с 4.3.6 до 5.0 Beta 3 - перестало. self test приложен (и скрыт) В описании релизов 4.3.6.1 - 4.3.6.3 не видно ничего касательно роутинга или политик подключения. Могу провести любые тесты, если потребуется. Не исключаю что оно было настроено, но из-за каких-то косяков работало до первой перезагрузки и проблема появилась в прошивке ещё до 4.3.6. Но частичная зачистка и повторная настройка не решает проблему. Кстати, много вопросов по окошку Port Forwarding Rule Баг: Кнопка Save появляется например если изменить галочку Enable rule или поменять Input, но появляющаяся кнопка Save не активна, её нельзя нажать. Чтобы её нажать нужно поменять например Protocol. Баг: В рамке Input есть Other destination. Почему destination? Разве это не source? Согласно статье нужно выбрать "Другой адрес" (Other destination) и указать 172.16.82.0/24. А почему нельзя просто сразу выбрать интерфейс WireGuard? В чём тайный смысл и в чём разница?

После обновления 4.3.6 на 4.3.6.3 перестал работать вот этот сценарий https://help.keenetic.com/hc/ru/articles/4403101043218-Доступ-в-веб-интерфейс-USB-модема-за-VPN-клиентом-Wireguard-туннеля Другой роутер обновил до 5.0 Beta 3 и web UI модема тоже больше не доступен через WireGuard. tracert 192.168.8.1 останавливается на wireguard IP роутера. Ради интереса при попытке через wireguard открыть http://192.168.8.100 вижу 403 Forbidden. На всякий случай (вдруг это важно) у меня модем - это резервное подключение, основное - WAN. Модем Huawei E3372. Хотелось бы найти обходное решение или починить это в ближайших версиях 5.x Вариант с KeenDNS не предлагать. KeenDNS работает в связке с cloud agent, который отключен по соображениям безопасности, которые не обсуждаются. Заранее спасибо

Развязка... В настройках OpenVPN сервера на Кинетике прописываем topology p2p и на всякий случай mode p2p В UI роутера Tandem для OpenVPN есть компрессия LZ4 - не работает (в логах ничего внятного), поэтому оставить LZ0 на обоих концах. В advanced добавить redirect-gateway def1 bypass-dhcp И наконец включить маскарадинг для интерфейса ovpn (зона vpn) в настройках файрвола и перезагрузить интерфейс. PS: Всё что я услышал от техподдержки micro-drive.ru - это что WireGuard планируется. Надеюсь эта информация будет кому-то полезной. На всякий случай это всё про то как с российского роутера Tandem установленного в машине получить доступ к домашнему роутеру Кинетик и через него в интернет.

Рано обрадовался. Всё было отлажено на ноуте с модемом и в процессе затесался параметр topology subnet Но когда я добрался до гаража и роутера Tandem, оказалось что в нем OpenVPN 2.5 и topology subnet там в принципе не работает. Local и remote IP задаются через UI В итоге на Кинетике так и не удалось настроить NAT для OpenVPN TUN без topology subnet.

После обращения в поддержку Кинетика, их ответ (верните как в статье и сделайте дамп трафика) навёл меня на мысль прописать ip nat 10.1.0.0 255.255.255.252 и всё заработало! Так что стоит исправить статью! Кстати, OpenVPN клиенты не видны в списке клиентов на Кинетике, как сказано в статье. Возможно, если бы OpenVPN сервер был сконфигурирован на пул адресов (для нескольких клиентов), то совет ip nat OpenVPN0 сработал бы.

Увы, но нет. Замена ip nat 10.1.0.2 255.255.255.255 на ip nat OpenVPN0 не изменила ничего. Таблица роутинга не изменилась. Поведение тоже. Скачал конфиг Кинетика перепроверить: access-list _WEBADMIN_GigabitEthernet1 permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 1194 permit description OpenVPN-srv-car auto-delete ! interface OpenVPN0 description OpenVPN-srv-car role misc security-level private ip dhcp client dns-routes ip access-group _WEBADMIN_OpenVPN0 in ip tcp adjust-mss pmtu ip name-servers openvpn accept-routes openvpn connect up ! ip nat OpenVPN0 Для проверки взял ноут, поднял на нём OpenVPN клиент 2.6.х, в конфиге прописал redirect-gateway def1, подключился из внешки к OpenVPN Кинетика, на клиенте вижу точно такую же таблицу роутинга, к сети Кинетика доступ есть, а интернета нет. То есть проблема на стороне Кинетика. Обновил Кинетик до v4.3.6 - ничего не изменилось. Если в логах чего и не хватает, то не знаю чего. Всё что там есть вопросов не вызывает. Куда копать? PS: На этом же Кинетике поднят ещё WireGuard и клиенты WireGuard без проблем ходят в интернет через Кинетик.

Сервер OpenVPN на Кинетике v4.3.5 настроен согласно https://help.keenetic.com/hc/ru/articles/360000880359-Клиент-и-сервер-OpenVPN Клиент OpenVPN (v2.4.0) на роутере Tandem 4GX-6 https://www.micro-drive.ru/products/tandem-4gx-6-3g/4g-router-lte-cat.6/ Там основная настройка OpenVPN через UI, но можно прописывать параметры в advanced. OpenVPN TUN (L3) точка-точка, соединение есть, устройства из сети Кинетика видят устройства за Tandem 4GX, аналогично устройства за Tandem 4GX видят сеть за Кинетиком. Не получается направить весь трафик от Tandem 4GX в тоннель. На Кинетике в таблице маршрутизации есть строка 10.1.0.2/32 gateway 10.1.0.1 interface OpenVPN-srv-my Если на клиенте (Tandem 4GX) в настройках OpenVPN прописать route 0.0.0.0 0.0.0.0 то вообще всё перестаёт работать. Если на клиенте (Tandem 4GX) в настройках OpenVPN прописать redirect-gateway def1 bypass-dhcp то на клиенте появляются 3 маршрута - 0.0.0.0/1 и 128.0.0.0/1 gateway 10.1.0.1 metric 0 interface ovpn и маршрут до сервера через интерфейс модема. Доступ к сети Кинетика всё ещё есть, но доступ в интернет отрубается. Команда на Кинетике ip nat 10.1.0.2 255.255.255.255 выполнена и это не помогает. В статье выше есть такое Профиль/политика по умолчанию, то есть доступ в интернет должен быть. Но вот в списке устройств на Кинетике клиентов OpenVPN не видно. no isolate-private прописано. Где чего не хватает?

Я правильно понимаю что при удалённом компоненте Cloud services agent (и соответственно неработающем KeenDNS) поднять OpenConnect server на роутере не получится из-за невозможности подсунуть свой сертификат? То есть ровно такая же проблема как тут?

Так и сделал, хотел написать, а тут уже такой же ответ.

Это никак не поможет. Статья, на которую я дал ссылку в первом посте, не просто так появилась.

Есть 3 интернет провайдера и 3 роутера Keenetic. Роутеры имеют IP 192.168.1.1, 192.168.8.1, 192.168.9.1 Каждый роутер подключен к своему провайдеру, за каждым роутером свои сервера. На первом роутере который 192.168.1.1 помимо основного WAN1 настроены WAN2 и WAN3 и подключены к двум другим роутерам. На первом роутере этим WAN портам соответствуют IP 192.168.8.100 и 192.168.9.100 Это позволяет клиентам первого роутера настроить через какого провайдера (или нескольких с балансировкой) ходить в интернет. Также из сети 192.168.1.х можно спокойно попасть в админку 2-го и 3-го роутера просто открыв в браузере 192.168.8.1 или 192.168.9.1 Проблема возникла когда на первом роутере настроился WireGuard сервер, пусть будет подсеть 172.16.82.х Так вот задача VPN клиенту попасть в админку 2-го и 3-го роутера. Ситуация в точности как описано тут https://help.keenetic.com/hc/ru/articles/4403101043218-Доступ-в-веб-интерфейс-USB-модема-за-VPN-клиентом-Wireguard-туннеля Только там вместо 2-го роутера 4G модем, но суть та же. Всё решается добавлением очень странной переадресации ВСЕГО, где вход - это целая подсеть 172.16.82.х (которая VPN). Тут слушается целая подсеть и если указать конкретный хост вместо подсети, то это не работает. И собственно сама проблема - подсеть VPN можно перенаправить только на ОДИН адрес, то есть например на 2-й роутер. Тогда VPN клиент имеет доступ на 192.168.8.1, но не имеет доступа к 192.168.9.1 Как сделать чтобы VPN клиент имел доступ к обоим роутерам 192.168.8.1 и 192.168.9.1 одновременно?

Не понимаю что значит может использовать только сертификаты от LE. Не важно как получен сертификат. Он где-то хранится. Что мешает туда же записать его просто из веба? Ладно, всё понятно. Спасибо что на сегодня хотя бы ещё можно удалить компонент Cloud services agent. Эх, шикарный был облачный сервис. В новом облаке обнаружил подписку на уведомления в телеграм - просто супер, знаешь когда кто домой пришёл, телевизор включил. Но времена нынче такие, что приходится выбирать и чем-то жертвовать.

Чтобы без реверс прокси на третьих девайсах я поднимаю (слово из 3х букв которое нельзя называть) до роутера и захожу по HTTP на внутренний IP роутера. Но хотелось бы без костылей. Все остальные девайсы сети зависят от роутера. Делать саму админку роутера зависимой ещё от каких-то девайсов - так себе решение.

Он у меня просто есть со всеми ключами, причем wildcard, ибо за этим роутером куча сайтов и сервисов с этим сертификатом.