KirillR

Заметил, что в момент открытия роутера в приложении Netcraze в логе самого роутера появляется сообщение: [W] Sep 23 16:06:47 ndm: Json::Object: AppendMember: duplicate key: "class". [W] Sep 23 16:07:33 ndm: Core::Syslog: last message repeated 2 times. [I] Sep 23 16:08:54 ndm: Core::Scgi::Auth: opened session "CGRDPBUTOMTPISEJ" for user "admin" from "95.213.181.253". вроде бы работе это не мешает, какое-то предупреждение, но тем не менее. Роутер KN-1012, прошивка актуальная 4.3.6. Приложение Netcraze для Android, версия 64.2 (312)

Похоже да, снаружи доступны только 80 и 443. Проверил другие открытые порты на br0, например 222 (opkg ssh) и доступа снаружи нет. Однако ipv6-пинг снаружи на адрес br0 есть, хотя статического правила я не делал. Не знаю, проблема это или нет.

попробовал еще раз, и уже нет доступа... может после перезагрузки я как-то не так проверил... сейчас даже порт не отвечает из внешней сети. ---- Дополнение: оказывается весь туннель уже не работает как надо. Что-то сломалось после перезагрузки. Буду завтра еще разбираться. --- Еще дополнение: починил роутинг, был конфликт по ipv6 с wg-интерфейсом warp. И сразу проблема с http-доступом на br0 проявилась снова. так что бага подтверждается.

перезагрузил. ничего не изменилось. доступ в админку по ipv6 на br0 есть.

Действительно, отключение файрвола Windows починило пинг. Создал правило (вручную на протокол icmpv6) и теперь пинг работает. Спасибо за наводку. Странно, но внутри локальной сети пинг6 работал и без этого правила.

разумеется уже стоит private. результат выше.

Кстати о файрволле ipv6... Я похоже багу нашел, ну или дыру. Сегодня перепроверил еще раз, похоже подтверждается. Если на LAN назначить ipv6-subnet, с из префикса выданного туннельным брокером, то внутренний интерфейс роутера получает ipv6-адрес из этого диапазона. И оказывается, он никак не закрыт файрволлом! Например, я успешно подключился к нему на порт 80 к админке, залогинился. А не должен был, т.к. внешний доступ к админке был запрещен настройками! Войти в админку снаружи можно, зная нужный ip-адрес внутреннего интерфейса br0, по ссылке типа: http://[2001:470:5c33:0:3c35:c976:xxxx:xxxx] детали описывал в другой теме: Прошу разработчиков посмотреть. Роутер Giga KN-1012, прошивка актуальная 4.3.6

Ну чтож, сам себе отвечаю: Похожий вопрос оказывается уже был на форуме год назад: То есть, причина была все же в файрволле самого роутера. Итак, выполнил в CLI команды, указывая MAC-адрес моего ПК: ipv6 static tcp ISP <мой_MAC> 80 ipv6 static icmpv6 ISP <мой_MAC> Результат: доступ по TCP к порту 80 на моем ПК появился из Интернета по прямому ipv6. Однако, пинг v6 так и не заработал. В общем, почти получилось. непонятно правда что не так с ping/icmp. И нет внятной инструкции по работе с ipv6, приходится искать обрывки информации по форуму. Еще из странного: понятно почему внутренние хосты ipv6 закрыты файрволлом, но непонятно почему так же не закрыт внутренний IPv6 LAN-интерфейса самого роутера (br0). Например, по этому IPv6-адресу можно легко входить из интернета в админку роутера на порту 80, или еще какие-нибудь сервисы которые не должны торчать наружу. Выглядит как недосмотр.

Приветствую, у меня вопрос по IPV6. Дабы разобраться в теме IPV6, я настроил подключение 6in4 через брокера Hurricane (tunnelbroker.net) через свой белый IP адрес. Получилось не сразу, но вроде добился того что и с роутера и из локальной сети (Home) работает и IPV6-пинг и подключения в ресурсам внешней сети по ipv6-адресам. Однако все это работает только "в одну сторону", то есть от внутренней сети наружу. А наоборот - из внешней сети "внутрь"- не получается. То есть, при попытке попинговать по ipv6 например внeтренний адрес самого роутера (Bridge0) - пинг есть, а если в любому из ПК внутренней сети по их ipv6-адресаам - пинга нет. причем, именно по правильным "белым" адресам из выданного брокером диапазона /48. Вопрос, а вообще так должно работать? можно ли из внешней сети подключаться по ipv6 напрямую к компам из внутренней, или это как то запрещено файрволом по умолчанию? Кратко, что было сделано мной для настройки: 1) Создал учетку на tunnelbroker.net и создал тоннель. Первые грабли: префикс /48 сразу не выдается. 2) На следующий день появилась возможность запросить префикс /48. видимо, надо было сутки подождать (в руководстве этот момент никак не отмечен). 3) Создал на роутере туннель IPv6 через IPv4 как было описано в руководстве. Сделал приоритет этого подключения максимальным. В результате заработал ipv6-пинг, но только с самого роутера. 4) Вторые грабли: в роутере вроде как автоматически должна была создаться ipv6-подсеть, но она сама не создалась. полазив по форуму, нашел нужные команды (ipv6 subnet Default ...) и через CLI создал эту подсеть с префиксом 64 и номером 0. 5) Также выполнил через CLI команду "set net.ipv6.conf.all.forwarding 1" (об этом в руководстве тоже не было сказано, сделал по аналогии), сохранил конфигурацию . 6) После перезагрузки роутера и компов компы получили "правильные" ipv6 адреса из префикса и все заработало "изнутри наружу". 7) Через внешние сервисы типа "ipv6 ping test online" попытался подключаться к ipv6 адресам, но как писал выше пинг есть только на ipv6-адрес Bridge0 (LAN-интерфейса роутера), а на компы внутренней сети Home - нет. Пробовал также подключаться по tcp к разным портам, с тем же неуспехом. Пробовал настроить делегирование на subnet, то же самое. Попробовал включить ipv6 pass through - тоже неуспех. Итог - это вообще возможно или я что-то не понимаю?

Спасибо, проверил, все работает. Включите во возможности в документацию - сейчас на страничке "Описание компонента OPKG" эти хуки не описаны (sstp впрочем тоже). https://support.keenetic.ru/eaeu/giga/kn-1012/ru/42407-opkg-component-description.html И еще, каталогов в etc/ndm для этих хуков (oc_vpn_*) нет в текущей версии пакета opt-ndmsv2 который ставится установщиком opkg на флешку.

Попробовал у себя на KN-1012 openconnect-сервер. Выглядит как неплохая альтернатива SSTP. Но возник вопрос: а есть ли для этого сервера хуки в /opt/etc/ndm? вроде уже существующих sstp_vpn_up/down.d ? Хотелось бы вести отдельный лог подключений-отключений юзеров.