Доступ к раутеру по IPv6 (Web, SSH)

[atam]

Здравствуйте!

Прямого IPv4 провайдер не выдаёт, CGNAT. Есть только IPv6. Подскажите пожалуйста как сделать сделдующее для Titan/Ultra 1811:

1. Настроить прямой доступ к Web инерфесу устройства по IPv6 адресу. По дефолту, как я понимаю, IPv6 фаервол блокирует входящие соединения. Как можно его настроить?

2. Как разрешить доступ по telnet/ssh по IPv6? Ибо даже когда открываешь доступ и пробрасываешь порты явно, это, похоже не работает для IPv6.

 

Заранее спасибо.

Изменено 4 февраля, 2024 пользователем Andrey Tamelo

[Mamay]

20 часов назад, Andrey Tamelo сказал:

Заранее спасибо.

Оттого что вы будете писать в разных разделах на разных языках, тут не появится внезапно официальная техническая поддержка.

[atam]

19 minutes ago, Mamay said:

Оттого что вы будете писать в разных разделах на разных языках, тут не появится внезапно официальная техническая поддержка.

Спасибо за вежливость и конструктив.

[Mamay]

17 часов назад, Andrey Tamelo сказал:

Спасибо за вежливость и конструктив.

А где вы увидели грубость с моей стороны? Мы не в ресторане и я не официант, чтобы улыбаться вам и кланяться. Это дармовая помощь волонтёра. И где проблема с конструктивом, если я вам указал верный путь? 

[atam]

28 minutes ago, Mamay said:

А где вы увидели грубость с моей стороны? Мы не в ресторане и я не официант, чтобы улыбаться вам и кланяться. Это дармовая помощь волонтёра. И где проблема с конструктивом, если я вам указал верный путь? 

Сударь, а где вы увидели, что я писал про грубость и проблемы с конструктивом? Вы, очевидно, меня не поняли.

За дармовую помощь  - строго респект и благодарность.

Изменено 6 февраля, 2024 пользователем Andrey Tamelo

[Mamay]

40 минут назад, Andrey Tamelo сказал:

Вы, очевидно, меня не поняли.

Каюсь, прочёл между строк. Посыпаю голову пеплом. 

[Denys]

Вам прямой путь в rmm. Там же есть и управление вебинтерфейсом роутера

[slomblobov]

"ip http security-level ((public [ssl]) | private | protected)" может открывать порты 443 и 80. Одновременно и ipv4, и ipv6.

[atam]

1 hour ago, Denys said:

Вам прямой путь в rmm. Там же есть и управление вебинтерфейсом роутера

Мне это не нужно. Мой юз-кейс гораздо проще. И для него будет достаточно просто выяснить, как настроить фаервол для IPv6 чтобы разрешить входящие соединения по моему выбору.

Изменено 6 февраля, 2024 пользователем Andrey Tamelo

[atam]

44 minutes ago, vst said:

"ip http security-level ((public [ssl]) | private | protected)" может открывать порты 443 и 80. Одновременно и ipv4, и ipv6.

Благодарю! Пойду покопаю `cli manual` - интересно, можно ли выборочно настраивать открытые порты и т.п. для IPv6? Или

это тупо "Web интерфес ВКЛ/ВЫКЛ". Судя по UI, гибкость фаервола - явно слабое место кинетиков. Особенно для IPv6.

UPDATE:

Всё равно не пускает, когда из браузера по IPv6 пытаюсь законнектиться - 403 Forbidden. Похоже 

ip http security-level public ssl

не работает для IPv6.

Изменено 6 февраля, 2024 пользователем Andrey Tamelo

[atam]

17 minutes ago, Andrey Tamelo said:

UPDATE:

Всё равно не пускает, когда из браузера по IPv6 пытаюсь законнектиться - 403 Forbidden. Похоже 

ip http security-level public ssl

не работает для IPv6.

Методом перебора выяснено: `ip http security level {...}` управляет доступом только в связке с KeenDNS. Т.е. это не механизм управления фаерволом/открытияем портов (80/443) для IPv6 (как я надеялся).

[atam]

26 minutes ago, Andrey Tamelo said:

Методом перебора выяснено: `ip http security level {...}` управляет доступом только в связке с KeenDNS. Т.е. это не механизм управления фаерволом/открытияем портов (80/443) для IPv6 (как я надеялся).

Покопался в приложении. Сомнения в том, что в дивайсе есть адекватная поддержка IPv6 подтвержадются ещё и тем, что для KeenDNS отсутсвует опция `Direct Access` для IPv6 (в отличие от IPv4). Детали - в картинках. Жаль.. и это в 2024-то году)

Изменено 6 февраля, 2024 пользователем Andrey Tamelo

[KeyYerS]

1 час назад, Andrey Tamelo сказал:

Покопался в приложении

И на этом основании делаете вывод: "....Жаль.. и это в 2024-то году)..."    - есть пример реализации Вашей хочухи у других брендов?

[atam]

1 hour ago, KeyYerS said:

И на этом основании делаете вывод: "....Жаль.. и это в 2024-то году)..."    - есть пример реализации Вашей хочухи у других брендов?

"..Жаль.." - это не вывод, это эмоция.
И речь там не об этом, а об обоснованных сомнениях, что нужная функциональность (настройки фаервола для IPv6) доступна в принципе. Кроме предоставленных скринов приложения, основанием служит полное отсутствие секции про настройки фаервола для IPv6 в руковостве по cli.

Что касается других брэндов, до этого приходилось работать с asus  и tp-link (линейка omada). Там фаервол для IPv6 есть в UI. А в кинетиках его, похоже, даже на уровне cli нету. Если так, то честно - затрудняюсь понять, что мешает. Там же линукс под капотом всё равно.
Ну+ надо ли говорить про такие вещи как openwrt.. это для примера того, как организовать в UI нормальный фаервол.

Изменено 6 февраля, 2024 пользователем Andrey Tamelo

[atam]

Update: Накопал, что кинетик kn-1811 поддерживает opkg пакеты. В частности, netfilter. Попробую установить - ибо если всё так, как задекларировано и есть поддержка iptables, то это по сути и есть управление фаерволом IPv6 в cli (и много больше).

Update 2: поставил opkg iptables, блокирующих правил не нашёл, судя по существующим chains/rules, входящие соединения по IPv6 должно приниматься.. но нет. Продолжаю копать.

Изменено 9 февраля, 2024 пользователем Andrey Tamelo

[Buba]

Действительно, доступ по IPv6 к роутеру возможен только через облако. 

Судя по форуму запрос у людей появляется и я тоже присоединяюсь, пора уходить с IPv4.

[atam]

6 hours ago, Buba said:

Действительно, доступ по IPv6 к роутеру возможен только через облако

Ну для отчаянных, если разрешить доступ по http (а не исключительнопо https), то тоже можно достучаться. Но врядли на практике такое кому-то может быть интересно

По https не работает, как я понял, ввиду того что self-signed certificate нет возможности выдавать сейчас. Из-за этого дивайс отвечает 403 forbidden при попытках доступа по https. Т.к. это код ошибки hppt (app layer), к фаерволу (рабтатает с transport layer) это отношения не имеет. Изначально не заметил, что там не timeout а 403 и грешил на фаервол.

P.S. а что факрвола в UI для IPv6 нормального нету, это жаль. С iptables пришлось копаться. Спасибо за поддержку opkg, конечно- это оч большое подспорье.. Но фаервол нормальный имхо давно просится.

Изменено 14 февраля, 2024 пользователем atam