Le ecureuil

Явно обещать ничего не могу, но постараюсь.

Я что-то никак не пойму, о чем вы говорите имея в виду "NAT на входе". Вот правила в таблице NAT на устройстве с IPoE. Покажите, какие именно вас смущают? ~ # iptables-save # Generated by iptables-save v1.4.21 on Tue Sep 4 21:23:51 2018 *nat :PREROUTING ACCEPT [5339:545959] :INPUT ACCEPT [264:43210] :OUTPUT ACCEPT [5058:274139] :POSTROUTING ACCEPT [5058:274139] :_NDM_DNAT - [0:0] :_NDM_DNS_REDIRECT - [0:0] :_NDM_EZ_DNAT - [0:0] :_NDM_HOTSPOT_DNSREDIR - [0:0] :_NDM_IPSEC_POSTROUTING_NAT - [0:0] :_NDM_NAT_UDP - [0:0] :_NDM_SL_PRIVATE - [0:0] :_NDM_SNAT - [0:0] :_NDM_STATIC_DNAT - [0:0] :_NDM_STATIC_LOOP - [0:0] :_NDM_STATIC_SNAT - [0:0] -A PREROUTING -j _NDM_DNAT -A PREROUTING -j _NDM_DNS_REDIRECT -A OUTPUT -j _NDM_DNAT -A POSTROUTING -j _NDM_IPSEC_POSTROUTING_NAT -A POSTROUTING -j _NDM_SNAT -A POSTROUTING -i br0 -p udp -m udp -j _NDM_NAT_UDP -A POSTROUTING -i br0 -j MASQUERADE -A POSTROUTING -i br1 -p udp -m udp -j _NDM_NAT_UDP -A POSTROUTING -i br1 -j MASQUERADE -A _NDM_DNAT -j _NDM_STATIC_DNAT -A _NDM_DNS_REDIRECT -j _NDM_HOTSPOT_DNSREDIR -A _NDM_NAT_UDP -p udp -m udp --sport 35000:65535 -j MASQUERADE --to-ports 1024-34999 -A _NDM_NAT_UDP -p udp -m udp --sport 1024:34999 -j MASQUERADE --to-ports 35000-65535 -A _NDM_NAT_UDP -p udp -m udp --sport 0:411 -j MASQUERADE --to-ports 412-1023 -A _NDM_NAT_UDP -p udp -m udp --sport 412:1023 -j MASQUERADE --to-ports 0-411 -A _NDM_SL_PRIVATE -i ra2 -j _NDM_EZ_DNAT -A _NDM_SL_PRIVATE -i ra3 -j _NDM_EZ_DNAT -A _NDM_SL_PRIVATE -i br0 -j _NDM_EZ_DNAT -A _NDM_SNAT -j _NDM_STATIC_LOOP -A _NDM_SNAT -o apcli0 -j _NDM_STATIC_SNAT -A _NDM_SNAT -o eth2.2 -j _NDM_STATIC_SNAT -A _NDM_STATIC_LOOP -i ra2 -o ra2 -j MASQUERADE -A _NDM_STATIC_LOOP -i ra3 -o ra3 -j MASQUERADE -A _NDM_STATIC_LOOP -i br0 -o br0 -j MASQUERADE -A _NDM_STATIC_LOOP -i br1 -o br1 -j MASQUERADE COMMIT

Это lockout-policy. Оно уже настроено нормально, можно не трогать.

А не напомните, что уж там за хук?

Собственно, в Keenetic все готово. Уже интегрирован ACMEv2. Ждем теперь поддержки от облака dns-01.

Этот файл трогать не надо. На самом деле были небольшие расхождения по коду разных линеек драйверов, это поправлено.

Поставить пароль понадежнее, знаков в 15+. Если и его подберут с включенным BFD (правда это займет вечность), тогда уже ничего не спасет. Потому что точно такой же перебор можно и на VPN устроить.

SSTP-клиент есть во всех виндах, начиная с Vista SP2. Настройте на кинетике доступ по SSTP до локалки через облако и гоняйте спокойно RDP.

Так, я правильно понял, что в режиме N-only все равно светятся рейты от B и G?

Пока вы не указали версию прошивки, кроме NTFS посоветовать нечего.

По идее все должно быть гладко. Лучше показать self-test и вообще описать, что именно происходит при попытке доступа.

Изменений по облачным сервисам не было относительно 2.11.C. Потому если там было нормально, а тут стало плохо - возможно проблема не в Keenetic, и нужно смотреть куда-то в стороны...

И зачем открывать тему, если не собираетесь в ней конструктивно работать? Отнимаете мое время зря?

Раз пошла такая пьянка, то говорю для всех - трогать Web-интерфейс в 2.11 никто больше не будет вообще, потому что ни у кого нет на это времени и сил. Максимум - исправления в системе, обновления внешних компонентов, затыкание дыр. Если не устраивает - ну мы вас на этот огонек и не звали.

Старый Web не менялся с марта 2018, конечно там ничего этого нет. Если нужно - ставьте через CLI.

Пока не в работе.

Для link-local всегда нужно указывать интерфейс (и в винде, и на keenetic).

Заходить снаружи по https://qnp.xxx.keenetic.link/

Используется сторонний NTFS-драйвер от Tuxera, который полностью одобрен Microsoft. Мы конечно можем им написать, что дескать, через пару лет возможно вы разламываете MFT, но вероятность фикса тут почти нулевая.

На сие есть множество исторических причин. Пока менять всю логику ради работы openvpn-сервера у нескольких пользователей никто не спешит.

Со временем наверное появится.

У меня какой-то 720p SVEN висит на улице 24/7 с лета 2016, работает без вопросов. Так что "полосение" - это какие-то аппаратные глюки китайских матриц.

А я первые полгода разработки, пока не было никакого Web постоянно все это вручную вбивал!

Александр выше в треде показывал пример с dig.

Общение с upstream нужно оставить по http. Https пока не работает. А вот средствами keenetic это все можно завернуть в SSL.