По умолчанию доступ к управлению интернет-центром, к его веб-конфигуратору, из Интернета заблокирован. Это реализовано с целью безопасности интернет-центра и домашней (локальной) сети от несанкционированного доступа из внешней сети.
Доступ к веб-конфигуратору роутера из Интернета возможен как при наличии частного ("серого"), так и публичного ("белого") IP-адреса на его внешнем (WAN) интерфейсе, через который осуществляется подключение.
NOTE: Важно! Начиная с версии KeeneticOS 3.1 изменилась реализация доступа к управлению интернет-центром (к его веб-конфигуратору) из Интернета. Если у вас не выбрана настройка "Разрешить доступ из Интернета - по HTTP" в старых версиях KeeneticOS, то доступ к веб-конфигуратору после обновления на 3.1 будет ограничен. Настройка "Разрешить доступ из Интернета - по HTTP" на странице "Пользователи и доступ" имеет приоритет в настройках Межсетевого экрана в версии 3.1.
Для настройки удаленного доступа воспользуйтесь нашим сервисом доменных имен KeenDNS. Он позволит получить постоянный интернет-адрес для Keenetic. Вы сможете подключаться из Интернета ко встроенным приложениям интернет‑центра и открытым сервисам домашней сети, используя собственное постоянное доменное имя, например, myrouter01.keenetic.pro. В отличие от других подобных сервисов, KeenDNS полностью бесплатен, а еще может работать не только напрямую, но и через облако. В этом случае удаленный доступ к интерфейсу и встроенным приложениям будет работать даже при отсутствии публичного IP-адреса (например, при подключении через 3G/4G-модем).
NOTE: Важно! Цифровой сертификат и закрытый ключ HTTPS хранятся непосредственно на конечном устройстве (интернет-центре). При доступе через облачный сервер, по протоколу HTTPS, защищенный туннель строится до интернет-центра, что обеспечивает безопасность и конфиденциальность передаваемых данных через Интернет. Сеанс устанавливается с использованием сквозного шифрования (end-to-end encryption). Это означает, помимо прочего, что информация, передаваемая между интернет-центром и браузером по HTTPS, недоступна облачным серверам KeenDNS, обеспечивающим передачу данных на транспортном уровне. При облачном доступе по HTTP защищенный канал устанавливается между интернет-центром и сервером KeenDNS с использованием цифрового сертификата KeenDNS, что также гарантирует безопасность и защиту данных от перехвата.
Итак, включите сервис KeenDNS, придумайте имя для интернет-центра и зарегистрируйте его.
После регистрации доменного имени KeenDNS вы сможете обратиться по нему к веб-интерфейсу роутера из Интернета. Для этого запустите веб-браузер и в адресной строке введите имя KeenDNS (в нашем примере это myrouter01.keenetic.pro).
Таким образом, пользователь (находящийся в Интернете) сможет получить удаленный доступ к управлению интернет-центром.
Также можно воспользоваться одним из сервисов динамического DNS. Но данный вариант применим только при наличии публичного IP-адреса на внешнем (WAN) интерфейсе роутера. Дополнительную информацию вы найдете в статье "Доменное имя DDNS".
NOTE: Важно! Через службу KeenDNS в режиме "Через облако" возможен доступ только к веб-интерфейсу интернет-центра. Доступ к интерфейсу командной строки (CLI) интернет-центра по протоколу TELNET/SSH работать не будет. В режиме "Прямой доступ" можно использовать любой протокол, который не ограничен вашим провайдером, для удаленного доступа в домашнюю сеть.
TIP: Примечание: В данной статье приведен пример подключения к веб-конфигуратору, который использует стандартный (предустановленный) порт с номером 80.
При необходимости, вы можете сменить стандартный номер порта управления веб-конфигуратором на другой (81, 280, 591, 777, 5080, 8080, 8090 и 65080). Сделать это можно на странице "Пользователи и доступ" в разделе "Порты TCP для управления интернет-центром". После смены стандартного порта управление интернет-центром будет доступно уже по новому указанному номеру. Теперь в веб-браузере к адресу роутера добавляйте двоеточие и новый номер порта. Например: myrouter01.keenetic.pro:5080
Начиная с версии KeeneticOS 3.1 в настройках удаленного доступа (на странице "Пользователи и доступ") можно выбрать значение "Только HTTPS", что повышает безопасность доступа к веб-конфигуратору интернет-центра.
Комментарии
Как включить удаленный доступ к вэб-конфигуратору, понятно. А вот как его отключить, при необходимости ? Как я понимаю, это можно сделать, выключив Keenetic Cloud, но тогда перестанет работать мобильное приложение. Поясните, пожалуйста.
Александр, перейдите на страницу "Пользователи и доступ" в разделе "Удаленный доступ" отключите опцию "Разрешить доступ из Интернета по HTTP" и нажмите Сохранить.
Оставлю это здесь для тех кто не хочет оставлять вход к роутеру извне, но в то же время хочет осуществлять подключение из внутренней сети именно по HTTPS, чтобы избежать перехвата паролей.
В поддержке мне ответили что такое невозможно, но я все таки решение нашел, хоть и не без бубна.
Инструкция актуальна для версии 3.1.6.
1. Настраиваем KeenDNS всё как по инструкции выше. Это нужно нам чтобы получить сертификат.
2. Освобождаем KeenDNS.
3. Отключаем удаленный доступ (Удаленный доступ - Доступ к веб конфигуратору - нет доступа). Если вы его не отключите, доступ и адресация из вне всё равно останется по url ниже.
4. Ищем требуемый url. В cli набираем
ip http ssl acme list
видим вывод типа
certificate:
domain: blablabla1234567890blablabla.keenetic.io
should-be-renewed: no
is-expired: no
issue-time: 2019-10-09T09:31:12.000Z
expiration-time: 2020-01-06T09:31:12.000Z
нас интересует url для которого выдан сертификат, то есть в этом примере blablabla1234567890blablabla.keenetic.io. По нему и будем подключаться.
5. на машинах с которых планируем подключение вносим запись в файл hosts вида
192.168.1.1 blablabla1234567890blablabla.keenetic.io
192.168.1.1 my.keenetic.net
6. заходим с браузера по этому url, который мы добавили, или по my.keenetic.net, например -
https://my.keenetic.net
https://blablabla1234567890blablabla.keenetic.io
Готово.
Спасибо за эту информацию. Но в данной статье всё же рассматривается вариант доступа к веб-конфигуратору роутера из Интернета. Что касается безопасного доступа из локальной сети, просто обращайтесь по адресу my.keenetic.net. Начиная с версии KeeneticOS 2.15 осуществляется безусловный редирект с локального домена my.keenetic.net на домен вида *.keenetic.io по протоколу https. Это сделано для использования безопасного подключения к веб-конфигуратору интернет-центра по протоколу https. Если в настройках интернет-центра зарегистрировано имя KeenDNS (в домене *.keenetic.pro или *.keenetic.link) и для него получен SSL-сертификат, в этом случае после ввода в адресной строке браузера my.keenetic.net происходит безусловный редирект на KeenDNS-имя 3-го уровня по протоколу https. Это также сделано для безопасного подключения к веб-конфигуратору даже из локальной сети интернет-центра.
Войдите в службу, чтобы оставить комментарий.