Админка и WiFi

[Холм]

Можно ли как-то ограничить доступ к админке из беспроводной сети? Например:

• запрещен
• разрешен
• только для зарегистрированных устройств

Перерыл всё и не нашел этой штуки. Лишняя степень безопасности, кмк, не помешает

[Le ecureuil]

11 час назад, Холм сказал:

Можно ли как-то ограничить доступ к админке из беспроводной сети? Например:

• запрещен
• разрешен
• только для зарегистрированных устройств

Перерыл всё и не нашел этой штуки. Лишняя степень безопасности, кмк, не помешает

Как вы различите проводную сеть и беспроводную?

Но вообще сделайте отдельный сегмент для беспроводных устройств и поставьте ему security-level protected. Кроме DHCP и DNS он никуда на роутере достучаться не сможет.

[Werld]

2 часа назад, Le ecureuil сказал:

Но вообще сделайте отдельный сегмент для беспроводных устройств и поставьте ему security-level protected. Кроме DHCP и DNS он никуда на роутере достучаться не сможет.

Из protected сегмента можно попасть в админку по адресу роутера  в private сети. К примеру у меня в гостевой сети адресация 192.168.2.0/24. Я не могу попасть в веб-интерфейс по 192.168.2.1, однако по адресу 192.168.1.1, находясь в гостевой сети, могу.

[KorDen]

1 час назад, werldmgn сказал:

Из protected сегмента можно попасть в админку по адресу роутера  в private сети

У вас isolate-private включен?

[Le ecureuil]

1 час назад, werldmgn сказал:

Из protected сегмента можно попасть в админку по адресу роутера  в private сети. К примеру у меня в гостевой сети адресация 192.168.2.0/24. Я не могу попасть в веб-интерфейс по 192.168.2.1, однако по адресу 192.168.1.1, находясь в гостевой сети, могу.

Лучше self-test в таком случае показать, есть вероятность неправильной настройки где-то.

[Werld]

51 минуту назад, KorDen сказал:

У вас isolate-private включен?

Да

45 минут назад, Le ecureuil сказал:

Лучше self-test в таком случае показать, есть вероятность неправильной настройки где-то.

Прикрепил селф-тест. насчет неправильной настройки сомневаюсь. В дефолтных правилах нетфильтра есть однозначное правило разрешающее всем доступ на порт 80 , при включенной удаленке. Ограничение происходит на самом веб-сервере по идее, и конкретно в случае доступа на 192.168.1.1 из гостевой сети его нет.

[Werld]

55 минут назад, KorDen сказал:

У вас isolate-private включен?

isolate-private тут, на мой взгляд, не при чем. Действительно, если он включен, то forward между сегментами запрещен, но доступ к самому роутеру это всегда input, независимо из какого сегмента. 

[Le ecureuil]

2 часа назад, werldmgn сказал:

Да

Прикрепил селф-тест. насчет неправильной настройки сомневаюсь. В дефолтных правилах нетфильтра есть однозначное правило разрешающее всем доступ на порт 80 , при включенной удаленке. Ограничение происходит на самом веб-сервере по идее, и конкретно в случае доступа на 192.168.1.1 из гостевой сети его нет.

Ну так все верно. Вы же сами открыли доступ к роутеру через Интернет, причем вообще всем подряд.
Впрочем, можно попробовать улучшить это дело. Отпишите в поддержку, чтобы не забыть.

[Werld]

9 минут назад, Le ecureuil сказал:

Ну так все верно. Вы же сами открыли доступ к роутеру через Интернет, причем вообще всем подряд.

Я сейчас проверил и с выключенным удаленным доступом. И...ничего не изменилось)) Админка роутера всё также доступна из гостевой сети по адресу 192.168.1.1

12 минуты назад, Le ecureuil сказал:

Впрочем, можно попробовать улучшить это дело. Отпишите в поддержку, чтобы не забыть.

Хорошо, сделаю.

Кстати насчет техподдержки. У меня уже около месяца идет общение с техподдержкой по поводу самопроизвольного отзыва сертификата на имя Keendns с роутера. Можно вас попросить обратить внимание на эту проблему. Мне даже собирали кастомную прошивку, с расширенной отладочной информацией по этому вопросу, но ответ пока не найден. Приложенный мной здесь выше селф-тест содержит эту проблему. 

Jul  6 19:36:56 ndm: Acme::Client: start ndns automatic revocation of certificate for domain "xxx.keenetic.pro"

[Холм]

12 hours ago, Le ecureuil said:

Как вы различите проводную сеть и беспроводную?

Вы это серьёзно?

12 hours ago, Le ecureuil said:

сделайте отдельный сегмент для беспроводных устройств и поставьте ему security-level protected

Ну да, сделать отдельный сегмент, настроить security-level — это несомненно проще, нежели выбрать одну из опций доступа к админке.

Как такое растолковать в двух словах по телефону человеку, который понятия не имеет про сегменты, маршрутизацию и т.д.?

 

Quote

Кроме DHCP и DNS он никуда на роутере достучаться не сможет

DLNA, SMB и т.д. в пролёте?

Изменено 8 июля, 2021 пользователем Холм

[Werld]

48 минут назад, keenet07 сказал:

Но в списке оно должно быть выше разрешающих.

Наоборот 

[keenet07]

2 минуты назад, werldmgn сказал:

Наоборот 

Точно. Щас поправлю

[keenet07]

@Холм

Во вкладке Домашняя сеть Межсетевого экрана создайте несколько правил.

Нужно сначала создать разрешающее правило к 80 порту на адрес 192.168.1.1 для IP адресов с которых вы хотите заходить в админку.  А потом там же создать запрещающее правило для всей подсети 192.168.1.x

Запрещающее правило активируйте в последний момент, чтоб случайно не заблокировать себе доступ с клиента. В списке оно должно быть ниже разрешающих.

Перед всеми манипуляциями сохраните конфиг, чтоб если что можно было восстановиться. 

[Le ecureuil]

21 час назад, werldmgn сказал:

Кстати насчет техподдержки. У меня уже около месяца идет общение с техподдержкой по поводу самопроизвольного отзыва сертификата на имя Keendns с роутера. Можно вас попросить обратить внимание на эту проблему. Мне даже собирали кастомную прошивку, с расширенной отладочной информацией по этому вопросу, но ответ пока не найден. Приложенный мной здесь выше селф-тест содержит эту проблему. 

Jul  6 19:36:56 ndm: Acme::Client: start ndns automatic revocation of certificate for domain "xxx.keenetic.pro"

О, так это вы.

Да, мы работаем. Сперва custom сделал вам, теперь по материалам с него чиним. Вчера внесены исправления, но так как у вас какой-то уникальный (и единичный) случай, то мы не уверены, что поможет. Попробуйте начиная с сегодня последить произойдет ли еще самоотзыв или нет. На custom можно больше не сидеть, можно перейти на другую версию.

[Werld]

47 минут назад, Le ecureuil сказал:

О, так это вы.

Да, мы работаем. Сперва custom сделал вам, теперь по материалам с него чиним. Вчера внесены исправления, но так как у вас какой-то уникальный (и единичный) случай, то мы не уверены, что поможет. Попробуйте начиная с сегодня последить произойдет ли еще самоотзыв или нет. На custom можно больше не сидеть, можно перейти на другую версию.

Хорошо, спасибо.

22 часа назад, Le ecureuil сказал:

Впрочем, можно попробовать улучшить это дело. Отпишите в поддержку, чтобы не забыть

Отписал запрос в поддержку. Выяснил, что достаточно открыть удаленный доступ к веб, либо включить public доступ к http proxy, т.е. любое действие чтобы появилось правило в нетфильтре, разрешающее всем доступ на tcp/80. И тогда из protected сегмента можно попасть в админку по адресу роутера  в home сети. По идее, нужно в самом веб-сервере ограничения вводить, которые уже есть для случая доступа из гостевой по адресу роутера в гостевой же сети. В этом случае, как и положено, идет отлуп по 403 Forbidden.