По умолчанию доступ к управлению интернет-центром, к его веб-конфигуратору, из Интернета заблокирован. Это реализовано с целью безопасности интернет-центра и домашней (локальной) сети от несанкционированного доступа из внешней сети.
Доступ к веб-конфигуратору роутера из Интернета возможен как при наличии частного ("серого"), так и публичного ("белого") IP-адреса на его внешнем (WAN) интерфейсе, через который осуществляется подключение.
NOTE: Важно! Начиная с версии KeeneticOS 3.1 изменилась реализация доступа к управлению интернет-центром (к его веб-конфигуратору) из Интернета. Если у вас не выбрана настройка "Разрешить доступ из Интернета - по HTTP" в старых версиях KeeneticOS, то доступ к веб-конфигуратору после обновления на 3.1 будет ограничен. Настройка "Разрешить доступ из Интернета - по HTTP" на странице "Пользователи и доступ" имеет приоритет в настройках Межсетевого экрана в версии 3.1.
Для настройки удаленного доступа воспользуйтесь нашим сервисом доменных имен KeenDNS. Он позволит получить постоянный интернет-адрес для Keenetic. Вы сможете подключаться из Интернета ко встроенным приложениям интернет‑центра и открытым сервисам домашней сети, используя собственное постоянное доменное имя, например, myrouter01.keenetic.pro. В отличие от других подобных сервисов, KeenDNS полностью бесплатен, а еще может работать не только напрямую, но и через облако. В этом случае удаленный доступ к интерфейсу и встроенным приложениям будет работать даже при отсутствии публичного IP-адреса (например, при подключении через 3G/4G-модем).
NOTE: Важно! Цифровой сертификат и закрытый ключ HTTPS хранятся непосредственно на конечном устройстве (интернет-центре). При доступе через облачный сервер, по протоколу HTTPS, защищенный туннель строится до интернет-центра, что обеспечивает безопасность и конфиденциальность передаваемых данных через Интернет. Сеанс устанавливается с использованием сквозного шифрования (end-to-end encryption). Это означает, помимо прочего, что информация, передаваемая между интернет-центром и браузером по HTTPS, недоступна облачным серверам KeenDNS, обеспечивающим передачу данных на транспортном уровне. При облачном доступе по HTTP защищенный канал устанавливается между интернет-центром и сервером KeenDNS с использованием цифрового сертификата KeenDNS, что также гарантирует безопасность и защиту данных от перехвата.
Итак, включите сервис KeenDNS, придумайте имя для интернет-центра и зарегистрируйте его.
После регистрации доменного имени KeenDNS вы сможете обратиться по нему к веб-интерфейсу роутера из Интернета. Для этого запустите веб-браузер и в адресной строке введите имя KeenDNS. Например:
Или с мобильного устройства:
Таким образом, пользователь (находящийся в Интернете) сможет получить удаленный доступ к управлению интернет-центром.
Также можно воспользоваться одним из сервисов динамического DNS. Но данный вариант применим только при наличии публичного IP-адреса на внешнем (WAN) интерфейсе роутера. Дополнительную информацию вы найдете в статье "Доменное имя DDNS".
NOTE: Важно! Через службу KeenDNS в режиме "Через облако" возможен доступ только к веб-интерфейсу интернет-центра. Доступ к интерфейсу командной строки (CLI) интернет-центра по протоколу TELNET/SSH работать не будет. В режиме "Прямой доступ" можно использовать любой протокол, который не ограничен вашим провайдером, для удаленного доступа в домашнюю сеть.
TIP: Примечание: В данной статье приведен пример подключения к веб-конфигуратору, который использует стандартный (предустановленный) порт с номером 80.
При необходимости, вы можете сменить стандартный номер порта управления веб-конфигуратором на другой (81, 280, 591, 777, 5080, 8080, 8090 и 65080). Сделать это можно на странице "Пользователи и доступ" в разделе "Порты TCP для управления интернет-центром". После смены стандартного порта управление интернет-центром будет доступно уже по новому указанному номеру. Теперь в веб-браузере к адресу роутера добавляйте двоеточие и новый номер порта. Например: myrouter01.keenetic.pro:5080
Начиная с версии KeeneticOS 3.1 в настройках удаленного доступа (на странице "Пользователи и доступ") можно выбрать значение "Только HTTPS", что повышает безопасность доступа к веб-конфигуратору интернет-центра.
Комментарии
Как включить удаленный доступ к вэб-конфигуратору, понятно. А вот как его отключить, при необходимости ? Как я понимаю, это можно сделать, выключив Keenetic Cloud, но тогда перестанет работать мобильное приложение. Поясните, пожалуйста.
Александр, перейдите на страницу "Пользователи и доступ" в разделе "Удаленный доступ" отключите опцию "Разрешить доступ из Интернета по HTTP" и нажмите Сохранить.
Оставлю это здесь для тех кто не хочет оставлять вход к роутеру извне, но в то же время хочет осуществлять подключение из внутренней сети именно по HTTPS, чтобы избежать перехвата паролей.
В поддержке мне ответили что такое невозможно, но я все таки решение нашел, хоть и не без бубна.
Инструкция актуальна для версии 3.1.6.
1. Настраиваем KeenDNS всё как по инструкции выше. Это нужно нам чтобы получить сертификат.
2. Освобождаем KeenDNS.
3. Отключаем удаленный доступ (Удаленный доступ - Доступ к веб конфигуратору - нет доступа). Если вы его не отключите, доступ и адресация из вне всё равно останется по url ниже.
4. Ищем требуемый url. В cli набираем
ip http ssl acme list
видим вывод типа
certificate:
domain: blablabla1234567890blablabla.keenetic.io
should-be-renewed: no
is-expired: no
issue-time: 2019-10-09T09:31:12.000Z
expiration-time: 2020-01-06T09:31:12.000Z
нас интересует url для которого выдан сертификат, то есть в этом примере blablabla1234567890blablabla.keenetic.io. По нему и будем подключаться.
5. на машинах с которых планируем подключение вносим запись в файл hosts вида
192.168.1.1 blablabla1234567890blablabla.keenetic.io
192.168.1.1 my.keenetic.net
6. заходим с браузера по этому url, который мы добавили, или по my.keenetic.net, например -
https://my.keenetic.net
https://blablabla1234567890blablabla.keenetic.io
Готово.
Спасибо за эту информацию. Но в данной статье всё же рассматривается вариант доступа к веб-конфигуратору роутера из Интернета. Что касается безопасного доступа из локальной сети, просто обращайтесь по адресу my.keenetic.net. Начиная с версии KeeneticOS 2.15 осуществляется безусловный редирект с локального домена my.keenetic.net на домен вида *.keenetic.io по протоколу https. Это сделано для использования безопасного подключения к веб-конфигуратору интернет-центра по протоколу https. Если в настройках интернет-центра зарегистрировано имя KeenDNS (в домене *.keenetic.pro или *.keenetic.link) и для него получен SSL-сертификат, в этом случае после ввода в адресной строке браузера my.keenetic.net происходит безусловный редирект на KeenDNS-имя 3-го уровня по протоколу https. Это также сделано для безопасного подключения к веб-конфигуратору даже из локальной сети интернет-центра.
Установил для доступа нестандартный порт. Поставил настройку "Доступ к веб-конфигуратору" в значение "Только HTTPS". Почему через доменное имя https://bla-bla-bla.keenetic.link входит без указания порта? А если указать явно порт https://bla-bla-bla.keenetic.link:XXX, то вообще не подключается. При этом у меня "белый" IP-адрес и если входить по прямому адресу, то доступа нет как с указанием порта, так и без него. Почему?
Если установить режим "HTTP и HTTPS", то заходит с "белого" адреса только по http с явным указанием порта
Oleg, это связано с тем, что в поле "Порт управления по HTTP" вы меняете номер порта для протокола HTTP (!), не для HTTPS. Номер порта для HTTPS остается всегда неизменным, он всегда 443 на роутере.
Добрый день!
Добавьте пожалуйста настройку KeenDNS в мобильное приложение.
Передадим ваше пожелание разработчикам мобильного приложения. Кстати сейчас, помимо веб-интерфейса, вы можете использовать веб-портал Keenetic Cloud для создания имени KeenDNS https://help.keenetic.com/hc/ru/articles/360008818279
Добрый день, подскажите пожалуйста есть ли в планах реализовать возможность включения 2-х факторной аутентификации ? Есть ли защита от атак путем перебора паролей ? например - блокировка учетной записи на какое то время ? Спасибо
Алексей, двухфакторную аутентификацию не планируется внедрять, что касается защиты от брутфорса, то она есть, см. инструкцию https://help.keenetic.com/hc/ru/articles/115000400185
Войдите в службу, чтобы оставить комментарий.