локальный доступ по https

[Jon De]

Подскажите как переключить локальный доступ к веб морде роутера с http на https-only, искал в документации, но там только про удаленный доступ нашел.

Заранее спасибо.

[FLK]

11 часов назад, Jon De сказал:

Подскажите как переключить локальный доступ к веб морде роутера с http на https-only, искал в документации, но там только про удаленный доступ нашел.

Заранее спасибо.

А смысл в этом какой? Боитесь что пылесос украдет пароль от веба?))

[keenet07]

Попробуйте через домен войти. Раньше вроде было так. https://my.keenetic.net

[Jon De]

On 3/19/2025 at 9:20 AM, keenet07 said:

Попробуйте через домен войти. Раньше вроде было так. https://my.keenetic.net

нет, к сожалению так не работает.

[admin]

Фаерволом можно порт 80 закрыть.

[Jon De]

1 hour ago, admin said:

Фаерволом можно порт 80 закрыть.

а что это даст? я тогда не смогу заходить на роутер.

https://192.168.1.1 не открывается... при этом по http можно зайти.

[MDP]

80 порт это же http. 443 это https.

Заходите по доменному имени.

https://xxx.keenetic.pro

Какое у вас там доменное имя. Причём доступ работает из локальной сети, даже если запретить доступ к веб морде из наружи

У вас сертификат выдан на внешний же интерфейс.

Изменено 21 марта пользователем MDP

[Mamay]

В 18.03.2025 в 22:32, Jon De сказал:

Подскажите как переключить локальный доступ к веб морде роутера с http на https-only...

А можно пояснить зачем? Ну для понимания кейса.

[TheDmitry]

Передача паролей в открытом виде даже в локальной сети - недопустимая практика. Сейчас в локальной сети очень много "умной" техники, которая работает только с подключением к неизвестным серверам в интернете. Начиная от умных розеток, заканчивая умными пылесосами. Далее, остаётся только подождать, когда пользователь захочет включить удалённое управление - и никакая настройка HTTPS Only - не спасёт, так как реальный пароль уже получен. Так же, никто не отменял наличие вирусов на устройствах гостей, которые могут осуществить атаку сразу. А устраивать для гостей "досмотр" их техники - не очень гостеприимное мероприятие, к тому же домашний пользователь - не профессионал в данном вопросе.

То есть локальная сеть в настоящее время не может считаться гарантированно защищённой.

Поэтому настройка HTTPS для локального подключения - это НЕОБХОДИМОСТЬ!

Очень странно, что компания до сих пор этого не сделала.

 

[Denis P]

2 часа назад, TheDmitry сказал:

Очень странно, что компания до сих пор этого не сделала.

 

уже всё сделано за вас
есть целых два варианта ходить по HTTPS из локалки:

1)заходим в раздел домены и наблюдаем там служебный домен *.io - ходим по нему и спим спокойно, естественно ограничив доступ по 80 порту для локальных клиентов

2)регистрируем себе домен через keendns crazedns и см. выше^

з.ы получить сертификат на частные адреса нельзя, по этому и ходить на https://192.168.1.1 не получится. Мы ведь не хотим пользоваться самоподписными сертами, да?

Изменено 22 марта пользователем Denis P

[TheDmitry]

4 часа назад, Denis P сказал:

уже всё сделано за вас
есть целых два варианта ходить по HTTPS из локалки:

1)заходим в раздел домены и наблюдаем там служебный домен *.io - ходим по нему и спим спокойно, естественно ограничив доступ по 80 порту для локальных клиентов

2)регистрируем себе домен через keendns crazedns и см. выше^

з.ы получить сертификат на частные адреса нельзя, по этому и ходить на https://192.168.1.1 не получится. Мы ведь не хотим пользоваться самоподписными сертами, да?

к п.1 - есть проблема с несколькими устройствами keenetic, объединёнными в одну сеть через, например, WireGuard VPN. Например, у меня 4 таких устройства. И мне нужно уметь подключаться к каждому из них по HTTPS по локальной сети.

Потенциально, можно вычислить их имена, но через Web интерфейс я не нашёл как их получить. При этом контроллер имеет не локальный IP адрес. Т.е. сканом по сети его не получить. И ещё вопрос, смогу ли я попасть на контроллер с непонятным IP через туннель WireGuard.

Всё это "костыли" - и для обычного пользователя - нереализуемо. А должно быть "из коробки"! Мы же не хотим получить армию ботов из роутеров keenetic?

PS. Сертификат можно выпустить на dns имя, что и делает keenetic.

 

[Denis P]

3 часа назад, TheDmitry сказал:

PS. Сертификат можно выпустить на dns имя, что и делает keenetic.

Так и пользуйтесь, в чем проблема? 

Через wg тоже можно ходить на веб по https до пиров
 

3 часа назад, TheDmitry сказал:

Потенциально, можно вычислить их имена, но через Web интерфейс я не нашёл как их получить.

Домены *.io отображаются в явном виде прямым текстом, если не получен собственный домен.

Выглядит это всё, пока что, как надуманные проблемы в вакууме.

 

Изменено 22 марта пользователем Denis P

[vasek00]

12 часов назад, TheDmitry сказал:

к п.1 - есть проблема с несколькими устройствами keenetic, объединёнными в одну сеть через, например, WireGuard VPN. Например, у меня 4 таких устройства. И мне нужно уметь подключаться к каждому из них по HTTPS по локальной сети.

Потенциально, можно вычислить их имена, но через Web интерфейс я не нашёл как их получить. При этом контроллер имеет не локальный IP адрес. Т.е. сканом по сети его не получить. И ещё вопрос, смогу ли я попасть на контроллер с непонятным IP через туннель WireGuard.

Как и написано выше, можно по .io (достаточно посмотреть в selftest файл роутера), если смотреть не хочется то https://rmm.netcraze.ru/sites регистрация устройств (хоть в mesh хоть не в mesh, хоть ТД) - выбор устройства и в правом углу надпись "Веб интерфейс" если навести мышку то в левом низу будет видна ссылка, если на жать то попадаете на нужный/выбранный роутер - где в браузере будет так же ссылка ( https://7........6.keenetic.io )

Спойлер

 

[vasek00]

19 часов назад, TheDmitry сказал:

Так же, никто не отменял наличие вирусов на устройствах гостей, которые могут осуществить атаку сразу. А устраивать для гостей "досмотр" их техники - не очень гостеприимное мероприятие, к тому же домашний пользователь - не профессионал в данном вопросе.

А не проще гостей не пускать в сеть. Есть же у них свой 4G/5G или я неверное не догоняю сегодня эта фишка такая "приходят гости и с 4G/5G обязательно должны  переключится на гостевой Wifi" они же в гости пришли, а не в интернете тусоваться.

[MDP]

... да и есть гостевая сеть, у которой доступ к web морде закрыт. Всякие неблагонадёжные устройства можно вообще в отдельный vlan и тоже доступ к морде закрыть. Для гостей в коридоре я распечатал qr с гостевой сетью... пусть пользуются 🤣... но желающих нет особо

[TheDmitry]

1 час назад, vasek00 сказал:

Как и написано выше, можно по .io (достаточно посмотреть в selftest файл роутера), если смотреть не хочется то https://rmm.netcraze.ru/sites регистрация устройств (хоть в mesh хоть не в mesh, хоть ТД) - выбор устройства и в правом углу надпись "Веб интерфейс" если навести мышку то в левом низу будет видна ссылка, если на жать то попадаете на нужный/выбранный роутер - где в браузере будет так же ссылка ( https://7........6.keenetic.io )

  Показать контент

 

Ссылка по *.io идёт на один и тот же IP 78.47.125.180 (этот IP-адрес работает только внутри роутера и запросы не выходят наружу), который перехватывается ТЕКУЩИМ устройством. Всегда, исходя из статьи. Допустим, у меня есть второе устройство keenetic, подключённое к моей сети по WireGuard VPN. На Web интерфейс второго устройства я могу попасть ТОЛЬКО по IP, так как обращение по my.keenetic.net перебросит на первое, поскольку перебрасывает на *.io, а ссылка всегда показывает на на один и тот же IP 78.47.125.180. Таким образом, добраться по HTTPS на второе устройство не получиться.

 

[TheDmitry]

1 час назад, vasek00 сказал:

А не проще гостей не пускать в сеть. Есть же у них свой 4G/5G или я неверное не догоняю сегодня эта фишка такая "приходят гости и с 4G/5G обязательно должны  переключится на гостевой Wifi" они же в гости пришли, а не в интернете тусоваться.

А если это дача, с плохим 4G (без усиления) и гостей под 30 человек, из них более 10 дети со смартфонами? Стоит промышленный модем и узконаправленная антенна для получения нормального канала в интернет. Звонки по сотовой не всегда проходят, а вот телеграмм - работает.

Видимо, без гостевой сети - не обойтись. К тому же ещё и отдельной - для умных устройств. Но насколько это усложняет администрирование!

[Denis P]

50 минут назад, TheDmitry сказал:

Ссылка по *.io идёт на один и тот же IP 78.47.125.180 (этот IP-адрес работает только внутри роутера и запросы не выходят наружу), который перехватывается ТЕКУЩИМ устройством. Всегда, исходя из статьи. Допустим, у меня есть второе устройство keenetic, подключённое к моей сети по WireGuard VPN. На Web интерфейс второго устройства я могу попасть ТОЛЬКО по IP, так как обращение по my.keenetic.net перебросит на первое, поскольку перебрасывает на *.io, а ссылка всегда показывает на на один и тот же IP 78.47.125.180. Таким образом, добраться по HTTPS на второе устройство не получиться.

 

Откройте для себя команду

ip host

[TheDmitry]

1 минуту назад, Denis P сказал:

Откройте для себя команду

ip host

Спасибо! Помогло, похоже keenetic не жёстко маппит *.io на 78.47.125.180, можно переопределить.

Итого, нужно собрать все имена *.io устройств, объединённых в WireGuard VPN и прописать на каждом весь комплект с маппингом на локальные IP адреса устройств.

[Denis P]

36 минут назад, TheDmitry сказал:

Спасибо! Помогло, похоже keenetic не жёстко маппит *.io на 78.47.125.180, можно переопределить.

Итого, нужно собрать все имена *.io устройств, объединённых в WireGuard VPN и прописать на каждом весь комплект с маппингом на локальные IP адреса устройств.

всё верно, но чтобы не мучаться с *.io, ту же процедуру можно проделать и с crazedns доменами и пригвоздить их к адресам интерфейсов wg удаленных устройств

Изменено 23 марта пользователем Denis P

[vasek00]

1 час назад, TheDmitry сказал:

Спасибо! Помогло, похоже keenetic не жёстко маппит *.io на 78.47.125.180, можно переопределить.

Как раз жестко

Спойлер

static_a = my.keenetic.net 78.47.125.180
static_aaaa = my.keenetic.net fd78:4712:5180:feed:feee:ed78:4712:5180
static_aaaa = xxxxxxx.keenetic.pro fd78:4712:5180:feed:feee:ed78:4712:5180
static_a = xxxxxx.keenetic.pro 78.47.125.180
static_a = fxxxxxxxxxxxxxxxxxxxxxxxb.keenetic.io 78.47.125.180
static_aaaa = fxxxxxxxxxxxxxxxxxxxxxxxxxxxb.keenetic.io fd78:4712:5180:feed:feee:ed78:4712:5180

 

 

[vasek00]

2 часа назад, TheDmitry сказал:

А если это дача, с плохим 4G (без усиления) и гостей под 30 человек, из них более 10 дети со смартфонами? Стоит промышленный модем и узконаправленная антенна для получения нормального канала в интернет. Звонки по сотовой не всегда проходят, а вот телеграмм - работает.

Ну я так и подозревал.

Еще вопрос, а если вообще нет интернета то гости не придут?

[TheDmitry]

57 минут назад, vasek00 сказал:

Ну я так и подозревал.

Еще вопрос, а если вообще нет интернета то гости не придут?

Дети - точно не приедут. Ну не огород же им копать.

[TheDmitry]

1 час назад, vasek00 сказал:

Как раз жестко

Ну не очень, прописал не только контроллеры из другой сети, но и ретрансляторы. И все ссылки работают. Понятно, что my.keenetic.net - только на "ближайший" keenetic перебрасывает. Нужно все ссылки в браузере запомнить в закладки, и затем закрыть 80 порт.

static_a = my.keenetic.net 78.47.125.180
static_a = ****************.keenetic.io 192.168.X.H1 <- контроллер в сети X
static_aaaa = *****************.keenetic.io ::
static_a = ****************.keenetic.io 192.168.Z.H1 <- контроллер в сети Z
static_a = ****************.keenetic.io 192.168.W.H1 <- контроллер в сети W
static_a = ****************.keenetic.io 192.168.W.H2 <- ретранслятор1 в сети W
static_a = ****************.keenetic.io 192.168.W.H3 <- ретранслятор2 в сети W

[vasek00]

1 час назад, TheDmitry сказал:

Ну не очень, прописал не только контроллеры из другой сети, но и ретрансляторы. И все ссылки работают. Понятно, что my.keenetic.net - только на "ближайший" keenetic перебрасывает. Нужно все ссылки в браузере запомнить в закладки, и затем закрыть 80 порт.

static_a = my.keenetic.net 78.47.125.180
static_a = ****************.keenetic.io 192.168.X.H1 <- контроллер в сети X
static_aaaa = *****************.keenetic.io ::
static_a = ****************.keenetic.io 192.168.Z.H1 <- контроллер в сети Z
static_a = ****************.keenetic.io 192.168.W.H1 <- контроллер в сети W
static_a = ****************.keenetic.io 192.168.W.H2 <- ретранслятор1 в сети W
static_a = ****************.keenetic.io 192.168.W.H3 <- ретранслятор2 в сети W

На локальном ПК ( в сети так же несколько) берем готовый html (можно и в закладки)

<!DOCTYPE html>
<html>
<head><meta charset="utf-8"><title>Keenetic</title></head>
<body>
	<a href="https://ffffffffffffffffffffffb.keenetic.io/login?backUrl=%2Fdashboard" title="Переход на Giga1">Место1<br></a>
        <a href="https://dfffffffffffffffffffff9.keenetic.io/login?backUrl=%2Fdashboard" title="Переход на Giga2">Место2<br></a>
	<a href="https://7ffffffffffffffffffffff6.keenetic.io/login?backUrl=%2Fdashboard" title="Переход на Giga3">Место3<br></a>

</body>
</html>

и без разницы где он хоть локально, хоть не локально.

Изменено 23 марта пользователем vasek00

[Jon De]

On 3/19/2025 at 9:00 AM, FLK said:

А смысл в этом какой? Боитесь что пылесос украдет пароль от веба?))

https://www.securitylab.ru/news/557605.php

всем шутникам

[VVS]

39 минут назад, Jon De сказал:

https://www.securitylab.ru/news/557605.php

всем шутникам

Прискорбно, но не имеет ни малейшего отношения к заданному Вами вопросу.

[Jon De]

11 hours ago, VVS said:

Прискорбно, но не имеет ни малейшего отношения к заданному Вами вопросу.

 

11 hours ago, VVS said:

Прискорбно, но не имеет ни малейшего отношения к заданному Вами вопросу.

самое прямое, тут в качестве решения предлагают ходить по внешнему урлу. Зачем? зачем мне для доступа к локальному интерфейсу использовать внешний, не принадлежащий мне fqdn?

[MDP]

1 час назад, Jon De сказал:

 

самое прямое, тут в качестве решения предлагают ходить по внешнему урлу. Зачем? зачем мне для доступа к локальному интерфейсу использовать внешний, не принадлежащий мне fqdn?

Ну тогда ходите по внутреннему адресу...разворачивайте центр сертификации внутри и добавляйте их в доверенные издатели...

Хождение по внешнему адресу для ВНЕШНИХ клиентов закрывается в web-морде же...

 

Изменено 24 марта пользователем MDP

[Jon De]

15 minutes ago, MDP said:

Ну тогда ходите по внутреннему адресу...разворачивайте центр сертификации внутри и добавляйте их в доверенные издатели...

Хождение по внешнему адресу для ВНЕШНИХ клиентов закрывается в web-морде же...

 

так а в чем проблема то дать возможность заходить по внутреннему интурфейсу с самоподписаным сертификатом? ну ругнется браузер и что?

[Jon De]

17 minutes ago, MDP said:

Ну тогда ходите по внутреннему адресу...разворачивайте центр сертификации внутри и добавляйте их в доверенные издатели...

Хождение по внешнему адресу для ВНЕШНИХ клиентов закрывается в web-морде же...

 

а где инструкция как это сделать? вообще странно выглядит ситуация когда либо ходите через внешний fqdn либо оставайтесь без шифрования...