Jon De Posted March 18, 2025 Posted March 18, 2025 Подскажите как переключить локальный доступ к веб морде роутера с http на https-only, искал в документации, но там только про удаленный доступ нашел. Заранее спасибо. 1 Quote
0 FLK Posted March 19, 2025 Posted March 19, 2025 11 часов назад, Jon De сказал: Подскажите как переключить локальный доступ к веб морде роутера с http на https-only, искал в документации, но там только про удаленный доступ нашел. Заранее спасибо. А смысл в этом какой? Боитесь что пылесос украдет пароль от веба?)) 1 Quote
0 keenet07 Posted March 19, 2025 Posted March 19, 2025 Попробуйте через домен войти. Раньше вроде было так. https://my.keenetic.net Quote
0 Jon De Posted March 20, 2025 Author Posted March 20, 2025 On 3/19/2025 at 9:20 AM, keenet07 said: Попробуйте через домен войти. Раньше вроде было так. https://my.keenetic.net нет, к сожалению так не работает. Quote
0 Jon De Posted March 21, 2025 Author Posted March 21, 2025 1 hour ago, admin said: Фаерволом можно порт 80 закрыть. а что это даст? я тогда не смогу заходить на роутер. https://192.168.1.1 не открывается... при этом по http можно зайти. Quote
0 MDP Posted March 21, 2025 Posted March 21, 2025 (edited) 80 порт это же http. 443 это https. Заходите по доменному имени. https://xxx.keenetic.pro Какое у вас там доменное имя. Причём доступ работает из локальной сети, даже если запретить доступ к веб морде из наружи У вас сертификат выдан на внешний же интерфейс. Edited March 21, 2025 by MDP Quote
0 Mamay Posted March 21, 2025 Posted March 21, 2025 В 18.03.2025 в 22:32, Jon De сказал: Подскажите как переключить локальный доступ к веб морде роутера с http на https-only... А можно пояснить зачем? Ну для понимания кейса. 1 Quote
0 TheDmitry Posted March 22, 2025 Posted March 22, 2025 Передача паролей в открытом виде даже в локальной сети - недопустимая практика. Сейчас в локальной сети очень много "умной" техники, которая работает только с подключением к неизвестным серверам в интернете. Начиная от умных розеток, заканчивая умными пылесосами. Далее, остаётся только подождать, когда пользователь захочет включить удалённое управление - и никакая настройка HTTPS Only - не спасёт, так как реальный пароль уже получен. Так же, никто не отменял наличие вирусов на устройствах гостей, которые могут осуществить атаку сразу. А устраивать для гостей "досмотр" их техники - не очень гостеприимное мероприятие, к тому же домашний пользователь - не профессионал в данном вопросе. То есть локальная сеть в настоящее время не может считаться гарантированно защищённой. Поэтому настройка HTTPS для локального подключения - это НЕОБХОДИМОСТЬ! Очень странно, что компания до сих пор этого не сделала. 2 Quote
0 Denis P Posted March 22, 2025 Posted March 22, 2025 (edited) 2 часа назад, TheDmitry сказал: Очень странно, что компания до сих пор этого не сделала. уже всё сделано за вас есть целых два варианта ходить по HTTPS из локалки: 1)заходим в раздел домены и наблюдаем там служебный домен *.io - ходим по нему и спим спокойно, естественно ограничив доступ по 80 порту для локальных клиентов 2)регистрируем себе домен через keendns crazedns и см. выше^ з.ы получить сертификат на частные адреса нельзя, по этому и ходить на https://192.168.1.1 не получится. Мы ведь не хотим пользоваться самоподписными сертами, да? Edited March 22, 2025 by Denis P Quote
0 TheDmitry Posted March 22, 2025 Posted March 22, 2025 4 часа назад, Denis P сказал: уже всё сделано за вас есть целых два варианта ходить по HTTPS из локалки: 1)заходим в раздел домены и наблюдаем там служебный домен *.io - ходим по нему и спим спокойно, естественно ограничив доступ по 80 порту для локальных клиентов 2)регистрируем себе домен через keendns crazedns и см. выше^ з.ы получить сертификат на частные адреса нельзя, по этому и ходить на https://192.168.1.1 не получится. Мы ведь не хотим пользоваться самоподписными сертами, да? к п.1 - есть проблема с несколькими устройствами keenetic, объединёнными в одну сеть через, например, WireGuard VPN. Например, у меня 4 таких устройства. И мне нужно уметь подключаться к каждому из них по HTTPS по локальной сети. Потенциально, можно вычислить их имена, но через Web интерфейс я не нашёл как их получить. При этом контроллер имеет не локальный IP адрес. Т.е. сканом по сети его не получить. И ещё вопрос, смогу ли я попасть на контроллер с непонятным IP через туннель WireGuard. Всё это "костыли" - и для обычного пользователя - нереализуемо. А должно быть "из коробки"! Мы же не хотим получить армию ботов из роутеров keenetic? PS. Сертификат можно выпустить на dns имя, что и делает keenetic. Quote
0 Denis P Posted March 22, 2025 Posted March 22, 2025 (edited) 3 часа назад, TheDmitry сказал: PS. Сертификат можно выпустить на dns имя, что и делает keenetic. Так и пользуйтесь, в чем проблема? Через wg тоже можно ходить на веб по https до пиров 3 часа назад, TheDmitry сказал: Потенциально, можно вычислить их имена, но через Web интерфейс я не нашёл как их получить. Домены *.io отображаются в явном виде прямым текстом, если не получен собственный домен. Выглядит это всё, пока что, как надуманные проблемы в вакууме. Edited March 22, 2025 by Denis P Quote
0 vasek00 Posted March 23, 2025 Posted March 23, 2025 12 часов назад, TheDmitry сказал: к п.1 - есть проблема с несколькими устройствами keenetic, объединёнными в одну сеть через, например, WireGuard VPN. Например, у меня 4 таких устройства. И мне нужно уметь подключаться к каждому из них по HTTPS по локальной сети. Потенциально, можно вычислить их имена, но через Web интерфейс я не нашёл как их получить. При этом контроллер имеет не локальный IP адрес. Т.е. сканом по сети его не получить. И ещё вопрос, смогу ли я попасть на контроллер с непонятным IP через туннель WireGuard. Как и написано выше, можно по .io (достаточно посмотреть в selftest файл роутера), если смотреть не хочется то https://rmm.netcraze.ru/sites регистрация устройств (хоть в mesh хоть не в mesh, хоть ТД) - выбор устройства и в правом углу надпись "Веб интерфейс" если навести мышку то в левом низу будет видна ссылка, если на жать то попадаете на нужный/выбранный роутер - где в браузере будет так же ссылка ( https://7........6.keenetic.io ) Спойлер Quote
0 vasek00 Posted March 23, 2025 Posted March 23, 2025 19 часов назад, TheDmitry сказал: Так же, никто не отменял наличие вирусов на устройствах гостей, которые могут осуществить атаку сразу. А устраивать для гостей "досмотр" их техники - не очень гостеприимное мероприятие, к тому же домашний пользователь - не профессионал в данном вопросе. А не проще гостей не пускать в сеть. Есть же у них свой 4G/5G или я неверное не догоняю сегодня эта фишка такая "приходят гости и с 4G/5G обязательно должны переключится на гостевой Wifi" они же в гости пришли, а не в интернете тусоваться. Quote
0 MDP Posted March 23, 2025 Posted March 23, 2025 ... да и есть гостевая сеть, у которой доступ к web морде закрыт. Всякие неблагонадёжные устройства можно вообще в отдельный vlan и тоже доступ к морде закрыть. Для гостей в коридоре я распечатал qr с гостевой сетью... пусть пользуются 🤣... но желающих нет особо Quote
0 TheDmitry Posted March 23, 2025 Posted March 23, 2025 1 час назад, vasek00 сказал: Как и написано выше, можно по .io (достаточно посмотреть в selftest файл роутера), если смотреть не хочется то https://rmm.netcraze.ru/sites регистрация устройств (хоть в mesh хоть не в mesh, хоть ТД) - выбор устройства и в правом углу надпись "Веб интерфейс" если навести мышку то в левом низу будет видна ссылка, если на жать то попадаете на нужный/выбранный роутер - где в браузере будет так же ссылка ( https://7........6.keenetic.io ) Показать контент Ссылка по *.io идёт на один и тот же IP 78.47.125.180 (этот IP-адрес работает только внутри роутера и запросы не выходят наружу), который перехватывается ТЕКУЩИМ устройством. Всегда, исходя из статьи. Допустим, у меня есть второе устройство keenetic, подключённое к моей сети по WireGuard VPN. На Web интерфейс второго устройства я могу попасть ТОЛЬКО по IP, так как обращение по my.keenetic.net перебросит на первое, поскольку перебрасывает на *.io, а ссылка всегда показывает на на один и тот же IP 78.47.125.180. Таким образом, добраться по HTTPS на второе устройство не получиться. Quote
0 TheDmitry Posted March 23, 2025 Posted March 23, 2025 1 час назад, vasek00 сказал: А не проще гостей не пускать в сеть. Есть же у них свой 4G/5G или я неверное не догоняю сегодня эта фишка такая "приходят гости и с 4G/5G обязательно должны переключится на гостевой Wifi" они же в гости пришли, а не в интернете тусоваться. А если это дача, с плохим 4G (без усиления) и гостей под 30 человек, из них более 10 дети со смартфонами? Стоит промышленный модем и узконаправленная антенна для получения нормального канала в интернет. Звонки по сотовой не всегда проходят, а вот телеграмм - работает. Видимо, без гостевой сети - не обойтись. К тому же ещё и отдельной - для умных устройств. Но насколько это усложняет администрирование! Quote
0 Denis P Posted March 23, 2025 Posted March 23, 2025 50 минут назад, TheDmitry сказал: Ссылка по *.io идёт на один и тот же IP 78.47.125.180 (этот IP-адрес работает только внутри роутера и запросы не выходят наружу), который перехватывается ТЕКУЩИМ устройством. Всегда, исходя из статьи. Допустим, у меня есть второе устройство keenetic, подключённое к моей сети по WireGuard VPN. На Web интерфейс второго устройства я могу попасть ТОЛЬКО по IP, так как обращение по my.keenetic.net перебросит на первое, поскольку перебрасывает на *.io, а ссылка всегда показывает на на один и тот же IP 78.47.125.180. Таким образом, добраться по HTTPS на второе устройство не получиться. Откройте для себя команду ip host Quote
0 TheDmitry Posted March 23, 2025 Posted March 23, 2025 1 минуту назад, Denis P сказал: Откройте для себя команду ip host Спасибо! Помогло, похоже keenetic не жёстко маппит *.io на 78.47.125.180, можно переопределить. Итого, нужно собрать все имена *.io устройств, объединённых в WireGuard VPN и прописать на каждом весь комплект с маппингом на локальные IP адреса устройств. Quote
0 Denis P Posted March 23, 2025 Posted March 23, 2025 (edited) 36 минут назад, TheDmitry сказал: Спасибо! Помогло, похоже keenetic не жёстко маппит *.io на 78.47.125.180, можно переопределить. Итого, нужно собрать все имена *.io устройств, объединённых в WireGuard VPN и прописать на каждом весь комплект с маппингом на локальные IP адреса устройств. всё верно, но чтобы не мучаться с *.io, ту же процедуру можно проделать и с crazedns доменами и пригвоздить их к адресам интерфейсов wg удаленных устройств Edited March 23, 2025 by Denis P Quote
0 vasek00 Posted March 23, 2025 Posted March 23, 2025 1 час назад, TheDmitry сказал: Спасибо! Помогло, похоже keenetic не жёстко маппит *.io на 78.47.125.180, можно переопределить. Как раз жестко Спойлер static_a = my.keenetic.net 78.47.125.180 static_aaaa = my.keenetic.net fd78:4712:5180:feed:feee:ed78:4712:5180 static_aaaa = xxxxxxx.keenetic.pro fd78:4712:5180:feed:feee:ed78:4712:5180 static_a = xxxxxx.keenetic.pro 78.47.125.180 static_a = fxxxxxxxxxxxxxxxxxxxxxxxb.keenetic.io 78.47.125.180 static_aaaa = fxxxxxxxxxxxxxxxxxxxxxxxxxxxb.keenetic.io fd78:4712:5180:feed:feee:ed78:4712:5180 Quote
0 vasek00 Posted March 23, 2025 Posted March 23, 2025 2 часа назад, TheDmitry сказал: А если это дача, с плохим 4G (без усиления) и гостей под 30 человек, из них более 10 дети со смартфонами? Стоит промышленный модем и узконаправленная антенна для получения нормального канала в интернет. Звонки по сотовой не всегда проходят, а вот телеграмм - работает. Ну я так и подозревал. Еще вопрос, а если вообще нет интернета то гости не придут? Quote
0 TheDmitry Posted March 23, 2025 Posted March 23, 2025 57 минут назад, vasek00 сказал: Ну я так и подозревал. Еще вопрос, а если вообще нет интернета то гости не придут? Дети - точно не приедут. Ну не огород же им копать. 1 Quote
0 TheDmitry Posted March 23, 2025 Posted March 23, 2025 1 час назад, vasek00 сказал: Как раз жестко Ну не очень, прописал не только контроллеры из другой сети, но и ретрансляторы. И все ссылки работают. Понятно, что my.keenetic.net - только на "ближайший" keenetic перебрасывает. Нужно все ссылки в браузере запомнить в закладки, и затем закрыть 80 порт. static_a = my.keenetic.net 78.47.125.180 static_a = ****************.keenetic.io 192.168.X.H1 <- контроллер в сети X static_aaaa = *****************.keenetic.io :: static_a = ****************.keenetic.io 192.168.Z.H1 <- контроллер в сети Z static_a = ****************.keenetic.io 192.168.W.H1 <- контроллер в сети W static_a = ****************.keenetic.io 192.168.W.H2 <- ретранслятор1 в сети W static_a = ****************.keenetic.io 192.168.W.H3 <- ретранслятор2 в сети W Quote
0 vasek00 Posted March 23, 2025 Posted March 23, 2025 (edited) 1 час назад, TheDmitry сказал: Ну не очень, прописал не только контроллеры из другой сети, но и ретрансляторы. И все ссылки работают. Понятно, что my.keenetic.net - только на "ближайший" keenetic перебрасывает. Нужно все ссылки в браузере запомнить в закладки, и затем закрыть 80 порт. static_a = my.keenetic.net 78.47.125.180 static_a = ****************.keenetic.io 192.168.X.H1 <- контроллер в сети X static_aaaa = *****************.keenetic.io :: static_a = ****************.keenetic.io 192.168.Z.H1 <- контроллер в сети Z static_a = ****************.keenetic.io 192.168.W.H1 <- контроллер в сети W static_a = ****************.keenetic.io 192.168.W.H2 <- ретранслятор1 в сети W static_a = ****************.keenetic.io 192.168.W.H3 <- ретранслятор2 в сети W На локальном ПК ( в сети так же несколько) берем готовый html (можно и в закладки) <!DOCTYPE html> <html> <head><meta charset="utf-8"><title>Keenetic</title></head> <body> <a href="https://ffffffffffffffffffffffb.keenetic.io/login?backUrl=%2Fdashboard" title="Переход на Giga1">Место1<br></a> <a href="https://dfffffffffffffffffffff9.keenetic.io/login?backUrl=%2Fdashboard" title="Переход на Giga2">Место2<br></a> <a href="https://7ffffffffffffffffffffff6.keenetic.io/login?backUrl=%2Fdashboard" title="Переход на Giga3">Место3<br></a> </body> </html> и без разницы где он хоть локально, хоть не локально. Edited March 23, 2025 by vasek00 Quote
0 Jon De Posted March 23, 2025 Author Posted March 23, 2025 On 3/19/2025 at 9:00 AM, FLK said: А смысл в этом какой? Боитесь что пылесос украдет пароль от веба?)) https://www.securitylab.ru/news/557605.php всем шутникам 1 1 Quote
0 VVS Posted March 23, 2025 Posted March 23, 2025 39 минут назад, Jon De сказал: https://www.securitylab.ru/news/557605.php всем шутникам Прискорбно, но не имеет ни малейшего отношения к заданному Вами вопросу. Quote
0 Jon De Posted March 24, 2025 Author Posted March 24, 2025 11 hours ago, VVS said: Прискорбно, но не имеет ни малейшего отношения к заданному Вами вопросу. 11 hours ago, VVS said: Прискорбно, но не имеет ни малейшего отношения к заданному Вами вопросу. самое прямое, тут в качестве решения предлагают ходить по внешнему урлу. Зачем? зачем мне для доступа к локальному интерфейсу использовать внешний, не принадлежащий мне fqdn? 1 Quote
0 MDP Posted March 24, 2025 Posted March 24, 2025 (edited) 1 час назад, Jon De сказал: самое прямое, тут в качестве решения предлагают ходить по внешнему урлу. Зачем? зачем мне для доступа к локальному интерфейсу использовать внешний, не принадлежащий мне fqdn? Ну тогда ходите по внутреннему адресу...разворачивайте центр сертификации внутри и добавляйте их в доверенные издатели... Хождение по внешнему адресу для ВНЕШНИХ клиентов закрывается в web-морде же... Edited March 24, 2025 by MDP Quote
0 Jon De Posted March 24, 2025 Author Posted March 24, 2025 15 minutes ago, MDP said: Ну тогда ходите по внутреннему адресу...разворачивайте центр сертификации внутри и добавляйте их в доверенные издатели... Хождение по внешнему адресу для ВНЕШНИХ клиентов закрывается в web-морде же... так а в чем проблема то дать возможность заходить по внутреннему интурфейсу с самоподписаным сертификатом? ну ругнется браузер и что? 1 Quote
0 Jon De Posted March 24, 2025 Author Posted March 24, 2025 17 minutes ago, MDP said: Ну тогда ходите по внутреннему адресу...разворачивайте центр сертификации внутри и добавляйте их в доверенные издатели... Хождение по внешнему адресу для ВНЕШНИХ клиентов закрывается в web-морде же... а где инструкция как это сделать? вообще странно выглядит ситуация когда либо ходите через внешний fqdn либо оставайтесь без шифрования... Quote
Question
Jon De
Подскажите как переключить локальный доступ к веб морде роутера с http на https-only, искал в документации, но там только про удаленный доступ нашел.
Заранее спасибо.
32 answers to this question
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.