r13

я про внутренний лан адрес

@vitalik6243 у вас клиентские внутренние ip одинаковые что ли? поробуйте их поменять.

Предназначение для драйверов принтеров, таже в нем удобно хранить сертификаты от openvpn

да

Для этого делаете бекап существующих прошивки/конфига.

По умолчанию закрыто для входящих пакетов снаружи, для соединений пораждаемых изнутри локальной сети вашим торрентом ограничений нет.

2й сценарий рабочий. Открываете доступ галкой, включаете sstp, закрываете доступ галкой, и открываете 443 в firewall. sstp работает

Да какая-то взаимосвязь у opkg c ipsec имеется... Dec 18 21:23:41 192.168.255.1 ndm: Core::Authenticator: user "gigatest1" tagged with "opt". Dec 18 21:23:41 192.168.255.1 ndm: Opkg::Manager: unmount existing /opt disk: 97153723-0d90-42a0-be49-e037b40360af. Dec 18 21:23:42 192.168.255.1 ndm: Opkg::Manager: /opt/etc/init.d/rc.unslung: Saving ipset. Dec 18 21:23:43 192.168.255.1 ndm: IpSec::Manager: create IPsec reconfiguration transaction... Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "VPNL2TPServer". Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "IPIP2". Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "IPIP4". Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "IPIP6". Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "IPIP7". Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "IPIP8". Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "IPIP9". Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: IPsec reconfiguration transaction was created. У кого-нибудь еще такое проявляется, или локальная проблема?

Да, я указал что для такого сценария нужна 2.15, выйдет наверное через пару месяцев, сейчас пока в драфте. 2й сценарий проверю на досуге.

Начиная с 2.15 можно смело закрывать, для обновления сертификата 80 порт более не требуется. ЗЫ а на текущих прошивках можно открыть 443 через firewall а не галкой, тогда 80 будет закрыт, но это не помешает обновлению сертификатов.

Да без проблем, просто паровозом лишитесь расширений netfilter opkg и все, если это не смущает, то просто удалить компонент ipv6.

@MuKu @ndm @Le ecureuil В документации как-то криво описан пункт "ipv6 static", полная калька с проброса портов v4, даже с упоминанием ната, хотя по факту это не так, и является открытием портов в firewall. Может исправим?

ndnproxy это вроде dns proxy nlldo/nlda - какой-то из них отключается через lldp disable на интерфейсах radvd/dhcp6s - вычищать ipv6 subnet в конфигурации. dhcp6c - no ipv6 address auto на интерфейсах а также prefix и dns по аналогии Короче, читать в доке все про v6 и выключать.

@keenet07 надо запрещающее правило на интерфейсе провайдера в другую сторону создавать, но это через cli делается. Почитайте статью в базе знаний.

C 2.13 можно указать mac

типа того.

К вашему кинетику, с учетом настроек на странице кинднс. Там определяется есть ли доступ снаружи, а также напрямую или через облако (для тех кто сидит за серыми адресами)

чтобы по https работать с мордой и браузеры не ругались на самоподписанный сертификат нужно у каждого кинетика уникальный домен с индивидуальным сертификатом, эту проблему решили таким способом.

в кинетиках идет редирект с общего my.keenetic.net на io домен уникальный для каждого кинетика(на который получается сертификат для работы по https). на кинелике есть loopback интерфейс с тем же ip что и в Германии, так что трейс из-за кинетика уходить не должен.

Он не только в Германии, но и в каждом кинетике

Естественно можно зайти с другой стороны, и разрешить заливать в кинетик свои сертификаты. так задача естественно упрощается. я безусловно «за» такой вариант, но пока нам подобное не разрешали.

Обязательна поддержка канетиком? Кинетик не может передать в entware требуемую txt запись а уже пользователь реализует ее актуализацию в днс службе обслуживающей домен?

даже дднс некоторые такое позволяют, в частности dynv6.com

Да, для прохождения dns-01 нужно же выставить определенную txt на днс записи домена.

Ну да, ядро 3.15+ Гыгы