Jump to content

Question

Posted

Можно ли как-то ограничить доступ к админке из беспроводной сети? Например:

  • запрещен
  • разрешен
  • только для зарегистрированных устройств

Перерыл всё и не нашел этой штуки. Лишняя степень безопасности, кмк, не помешает

14 answers to this question

Recommended Posts

  • 0
Posted
11 час назад, Холм сказал:

Можно ли как-то ограничить доступ к админке из беспроводной сети? Например:

  • запрещен
  • разрешен
  • только для зарегистрированных устройств

Перерыл всё и не нашел этой штуки. Лишняя степень безопасности, кмк, не помешает

Как вы различите проводную сеть и беспроводную?

Но вообще сделайте отдельный сегмент для беспроводных устройств и поставьте ему security-level protected. Кроме DHCP и DNS он никуда на роутере достучаться не сможет.

  • Upvote 1
  • 0
Posted
2 часа назад, Le ecureuil сказал:

Но вообще сделайте отдельный сегмент для беспроводных устройств и поставьте ему security-level protected. Кроме DHCP и DNS он никуда на роутере достучаться не сможет.

Из protected сегмента можно попасть в админку по адресу роутера  в private сети. К примеру у меня в гостевой сети адресация 192.168.2.0/24. Я не могу попасть в веб-интерфейс по 192.168.2.1, однако по адресу 192.168.1.1, находясь в гостевой сети, могу.

  • 0
Posted
1 час назад, werldmgn сказал:

Из protected сегмента можно попасть в админку по адресу роутера  в private сети

У вас isolate-private включен?

  • 0
Posted
1 час назад, werldmgn сказал:

Из protected сегмента можно попасть в админку по адресу роутера  в private сети. К примеру у меня в гостевой сети адресация 192.168.2.0/24. Я не могу попасть в веб-интерфейс по 192.168.2.1, однако по адресу 192.168.1.1, находясь в гостевой сети, могу.

Лучше self-test в таком случае показать, есть вероятность неправильной настройки где-то.

  • 0
Posted
51 минуту назад, KorDen сказал:

У вас isolate-private включен?

Да

45 минут назад, Le ecureuil сказал:

Лучше self-test в таком случае показать, есть вероятность неправильной настройки где-то.

Прикрепил селф-тест. насчет неправильной настройки сомневаюсь. В дефолтных правилах нетфильтра есть однозначное правило разрешающее всем доступ на порт 80 , при включенной удаленке. Ограничение происходит на самом веб-сервере по идее, и конкретно в случае доступа на 192.168.1.1 из гостевой сети его нет.

  • 0
Posted
55 минут назад, KorDen сказал:

У вас isolate-private включен?

isolate-private тут, на мой взгляд, не при чем. Действительно, если он включен, то forward между сегментами запрещен, но доступ к самому роутеру это всегда input, независимо из какого сегмента. 

  • 0
Posted
2 часа назад, werldmgn сказал:

Да

Прикрепил селф-тест. насчет неправильной настройки сомневаюсь. В дефолтных правилах нетфильтра есть однозначное правило разрешающее всем доступ на порт 80 , при включенной удаленке. Ограничение происходит на самом веб-сервере по идее, и конкретно в случае доступа на 192.168.1.1 из гостевой сети его нет.

Ну так все верно. Вы же сами открыли доступ к роутеру через Интернет, причем вообще всем подряд.
Впрочем, можно попробовать улучшить это дело. Отпишите в поддержку, чтобы не забыть.

  • 0
Posted
9 минут назад, Le ecureuil сказал:

Ну так все верно. Вы же сами открыли доступ к роутеру через Интернет, причем вообще всем подряд.

Я сейчас проверил и с выключенным удаленным доступом. И...ничего не изменилось)) Админка роутера всё также доступна из гостевой сети по адресу 192.168.1.1

12 минуты назад, Le ecureuil сказал:

Впрочем, можно попробовать улучшить это дело. Отпишите в поддержку, чтобы не забыть.

Хорошо, сделаю.

Кстати насчет техподдержки. У меня уже около месяца идет общение с техподдержкой по поводу самопроизвольного отзыва сертификата на имя Keendns с роутера. Можно вас попросить обратить внимание на эту проблему. Мне даже собирали кастомную прошивку, с расширенной отладочной информацией по этому вопросу, но ответ пока не найден. Приложенный мной здесь выше селф-тест содержит эту проблему. 

Jul  6 19:36:56 ndm: Acme::Client: start ndns automatic revocation of certificate for domain "xxx.keenetic.pro"

  • 0
Posted (edited)
12 hours ago, Le ecureuil said:

Как вы различите проводную сеть и беспроводную?

Вы это серьёзно?

12 hours ago, Le ecureuil said:

сделайте отдельный сегмент для беспроводных устройств и поставьте ему security-level protected

Ну да, сделать отдельный сегмент, настроить security-level — это несомненно проще, нежели выбрать одну из опций доступа к админке.

Как такое растолковать в двух словах по телефону человеку, который понятия не имеет про сегменты, маршрутизацию и т.д.?

 

Quote

Кроме DHCP и DNS он никуда на роутере достучаться не сможет

DLNA, SMB и т.д. в пролёте?

Edited by Холм
  • 0
Posted
48 минут назад, keenet07 сказал:

Но в списке оно должно быть выше разрешающих.

Наоборот 

  • 0
Posted

@Холм

Во вкладке Домашняя сеть Межсетевого экрана создайте несколько правил.

Нужно сначала создать разрешающее правило к 80 порту на адрес 192.168.1.1 для IP адресов с которых вы хотите заходить в админку.  А потом там же создать запрещающее правило для всей подсети 192.168.1.x

Запрещающее правило активируйте в последний момент, чтоб случайно не заблокировать себе доступ с клиента. В списке оно должно быть ниже разрешающих.

Перед всеми манипуляциями сохраните конфиг, чтоб если что можно было восстановиться. 

  • Upvote 1
  • 0
Posted
21 час назад, werldmgn сказал:

Кстати насчет техподдержки. У меня уже около месяца идет общение с техподдержкой по поводу самопроизвольного отзыва сертификата на имя Keendns с роутера. Можно вас попросить обратить внимание на эту проблему. Мне даже собирали кастомную прошивку, с расширенной отладочной информацией по этому вопросу, но ответ пока не найден. Приложенный мной здесь выше селф-тест содержит эту проблему. 

Jul  6 19:36:56 ndm: Acme::Client: start ndns automatic revocation of certificate for domain "xxx.keenetic.pro"

О, так это вы.

Да, мы работаем. Сперва custom сделал вам, теперь по материалам с него чиним. Вчера внесены исправления, но так как у вас какой-то уникальный (и единичный) случай, то мы не уверены, что поможет. Попробуйте начиная с сегодня последить произойдет ли еще самоотзыв или нет. На custom можно больше не сидеть, можно перейти на другую версию.

  • 0
Posted
47 минут назад, Le ecureuil сказал:

О, так это вы.

Да, мы работаем. Сперва custom сделал вам, теперь по материалам с него чиним. Вчера внесены исправления, но так как у вас какой-то уникальный (и единичный) случай, то мы не уверены, что поможет. Попробуйте начиная с сегодня последить произойдет ли еще самоотзыв или нет. На custom можно больше не сидеть, можно перейти на другую версию.

Хорошо, спасибо.

22 часа назад, Le ecureuil сказал:

Впрочем, можно попробовать улучшить это дело. Отпишите в поддержку, чтобы не забыть

Отписал запрос в поддержку. Выяснил, что достаточно открыть удаленный доступ к веб, либо включить public доступ к http proxy, т.е. любое действие чтобы появилось правило в нетфильтре, разрешающее всем доступ на tcp/80. И тогда из protected сегмента можно попасть в админку по адресу роутера  в home сети. По идее, нужно в самом веб-сервере ограничения вводить, которые уже есть для случая доступа из гостевой по адресу роутера в гостевой же сети. В этом случае, как и положено, идет отлуп по 403 Forbidden.

  • Upvote 1

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.