TheDmitry

Инструкция такая. 1. Если вы в локальной сети, подключаетесь к роутеру по http://my.keenetic.net. Вас перенаправят на https://*.keenetic.io/ 2. Запоминаете ссылку https://*.keenetic.io/ - делаете закладку в браузере. И ходите по ней на Web консоль. И только после этого, меняете пароль admin`а. Так вы его не скомпрометируете. 3. Опционально. Можете зайти по ssh на роутер и дать команду. Это необходимо, если у вас несколько роутеров, соединёнными туннелями - т.е. общая сеть. ip host *.keenetic.io <локальный ip роутера> 4. Закрываете 80 порт в правилах Firewall. Зайти по ссылке http://my.keenetic.net уже не получиться. Только по сохранённой ссылке в п.2 Примечание. Поставить компоненту ssh server - крайне полезно. Если с web что-то пойдёт не так, можно будет поправить. Главное не предоставлять удалённый доступ - лучше вообще никакой.

Ну не очень, прописал не только контроллеры из другой сети, но и ретрансляторы. И все ссылки работают. Понятно, что my.keenetic.net - только на "ближайший" keenetic перебрасывает. Нужно все ссылки в браузере запомнить в закладки, и затем закрыть 80 порт. static_a = my.keenetic.net 78.47.125.180 static_a = ****************.keenetic.io 192.168.X.H1 <- контроллер в сети X static_aaaa = *****************.keenetic.io :: static_a = ****************.keenetic.io 192.168.Z.H1 <- контроллер в сети Z static_a = ****************.keenetic.io 192.168.W.H1 <- контроллер в сети W static_a = ****************.keenetic.io 192.168.W.H2 <- ретранслятор1 в сети W static_a = ****************.keenetic.io 192.168.W.H3 <- ретранслятор2 в сети W

Дети - точно не приедут. Ну не огород же им копать.

Спасибо! Помогло, похоже keenetic не жёстко маппит *.io на 78.47.125.180, можно переопределить. Итого, нужно собрать все имена *.io устройств, объединённых в WireGuard VPN и прописать на каждом весь комплект с маппингом на локальные IP адреса устройств.

А если это дача, с плохим 4G (без усиления) и гостей под 30 человек, из них более 10 дети со смартфонами? Стоит промышленный модем и узконаправленная антенна для получения нормального канала в интернет. Звонки по сотовой не всегда проходят, а вот телеграмм - работает. Видимо, без гостевой сети - не обойтись. К тому же ещё и отдельной - для умных устройств. Но насколько это усложняет администрирование!

Ссылка по *.io идёт на один и тот же IP 78.47.125.180 (этот IP-адрес работает только внутри роутера и запросы не выходят наружу), который перехватывается ТЕКУЩИМ устройством. Всегда, исходя из статьи. Допустим, у меня есть второе устройство keenetic, подключённое к моей сети по WireGuard VPN. На Web интерфейс второго устройства я могу попасть ТОЛЬКО по IP, так как обращение по my.keenetic.net перебросит на первое, поскольку перебрасывает на *.io, а ссылка всегда показывает на на один и тот же IP 78.47.125.180. Таким образом, добраться по HTTPS на второе устройство не получиться.

к п.1 - есть проблема с несколькими устройствами keenetic, объединёнными в одну сеть через, например, WireGuard VPN. Например, у меня 4 таких устройства. И мне нужно уметь подключаться к каждому из них по HTTPS по локальной сети. Потенциально, можно вычислить их имена, но через Web интерфейс я не нашёл как их получить. При этом контроллер имеет не локальный IP адрес. Т.е. сканом по сети его не получить. И ещё вопрос, смогу ли я попасть на контроллер с непонятным IP через туннель WireGuard. Всё это "костыли" - и для обычного пользователя - нереализуемо. А должно быть "из коробки"! Мы же не хотим получить армию ботов из роутеров keenetic? PS. Сертификат можно выпустить на dns имя, что и делает keenetic.

Передача паролей в открытом виде даже в локальной сети - недопустимая практика. Сейчас в локальной сети очень много "умной" техники, которая работает только с подключением к неизвестным серверам в интернете. Начиная от умных розеток, заканчивая умными пылесосами. Далее, остаётся только подождать, когда пользователь захочет включить удалённое управление - и никакая настройка HTTPS Only - не спасёт, так как реальный пароль уже получен. Так же, никто не отменял наличие вирусов на устройствах гостей, которые могут осуществить атаку сразу. А устраивать для гостей "досмотр" их техники - не очень гостеприимное мероприятие, к тому же домашний пользователь - не профессионал в данном вопросе. То есть локальная сеть в настоящее время не может считаться гарантированно защищённой. Поэтому настройка HTTPS для локального подключения - это НЕОБХОДИМОСТЬ! Очень странно, что компания до сих пор этого не сделала.