Leaderboard

Версия 3.1 Beta 3 : MWS: исправлена ошибка 'system failed [0xcffd004e]' при захвате экстендеров MWS: исправлено подключение к backhaul-точке доступа в ручном режиме DECT: добавлена поддержка трубки Gigaset C530HX исправлено отображение смещения часовых поясов

Версия 3.1 Beta 2: MWS: исправлена передача настроек MAC ACL на экстендеры (сообщил @VVS) DLNA: исправлено отображение имен папок медиатеки Chilli: адаптирована работа с USB-модемами Yota

Версия 3.1 Beta 4: Wi-Fi: исправлена низкая скорость передачи TCP-трафика SMB, DLNA и других встроенных приложений по Wi-Fi 5 ГГц на Extra II, Extra (KN-1710) и Duo (KN-2110) MWS: исправлена передача настроек сегмента с включенной функцией Captive Portal на экстендеры MWS: исправлена передача Bridge5 в качестве сегмента при использовании в роли контроллера Keenetic DSL (KN-2010) или Duo (KN-2110) DDNS: исправлена обработка ошибки при назначении профиля на несуществующий интерфейс Web: исправлена работа в Safari 10

Версия 3.1 Beta 1: NAT: добавлена поддержка протоколов GRE и IPIP в правилах "ip static" MWS: исправлена передача STP между экстендерами на базе mt7610 и mt76x2

Версия 2.11.D.3.0-0: исправлены CVE-2019-11477, CVE-2019-11478 HTTP: добавлен сброс исходящих сессий при срабатывании защиты от перебора пароля (сообщил @JIABP) обновлен пакет tzdata до версии 2019b Собрано в delta/draft для KIII/KDSL/KLTE/KVOX.

Спасибо за подсветку проблемы. Сейчас этот функционал на самом деле работает, но провайдеры перехватывают нешифрованные dns и тупо их блокируют (в том числе и запросы в зону .lib). Потому нашел вам кучку opennic-серверов, которые умеют dot и doh. Добавляйте их к обычным dot/doh серверам, и все будет работать: https://servers.opennic.org/edit.php?srv=ns10.de.dns.opennic.glue https://servers.opennic.org/edit.php?srv=ns12.nh.nl.dns.opennic.glue https://servers.opennic.org/edit.php?srv=ns8.he.de.dns.opennic.glue https://servers.opennic.org/edit.php?srv=ns31.de.dns.opennic.glue Прямо сейчас не поддерживаются DoH-сервера с указанием порта в uri, но в следующих релизах это будет поправлено.

Да, ситуация воспроизвелась, но, формально говоря, это не ошибка - это следствие работы фильтра. При включенных интернет-фильтрах у нас включается блокировка транзитного DoH и DoT - чтобы никто не смог убежать наружу сквозь фильтры. При этом adguard проверяет себя через https-запрос на 443 порт на свои же домены и сервера, используемые для DNS - а мы этот транзит блокируем, потому что считаем его "попыткой пробежать мимо". Вот он и не показывает сам себя. Потому призываю всех не беспокоиться, все работает как заявлено, и даже еще жестче в плане блокировки утечек

Создайте другого (не admin) пользователя. Дайте ему права. Под созданным пользователем заходите в веб и будет всё работать. Пока только так. Будем надеяться, что исправят(если это возможно).

На мой взгляд самые доступные устройства с "неограниченной" флешкой - это DSL/DUO. Там по 128 Мбайт + проц мощнее, чем 7628. Все же устройства на 7628 - это entry-level. Да, они работают, но поскольку _большинству_ нужен только доступ в Интернет + WiFi, то именно вокруг этих параметров и крутится маркетинг. Для понимающих жизнь людей линейка выглядит так: Start (только интернет и все) -> Air/Extra/DUO (двухдиапазонник начального/среднего уровня) -> 1910/DSL/1010 (когда нужен упор не на WiFi) -> 1810.

Ждите, исправление уже в тестировании

Добрый день! Разработчики внедрили в KeeneticOS резолверы DoT/DoH, за что им огромное спасибо. И мне хочется ими пользоваться, но так же мне хочется иметь возможность разрешать на стандартные (не TLD) домены, типа *.lib Разрешать такие домены умеют DNS серверы проекта OpenNIC Теперь суть запроса: хочется по умолчанию использовать интернет-фильтр AdGuard DNS через DoT(DoH) и дополнительно иметь возможность разрешать домен *.lib с помощью любого из серверов проекта OpenNIC Ранее я делал это вот такой настройкой в WebUI Но теперь это не работает. Просьба реализовать данный функционал. Спасибо!

Теперь видим ошибку. Спасибо, взяли в работу.

Пример оптимальной настройки, с учетом использования DoT \ DoH серверов таких компаний, как Adguard, Google, Cloudflare, Quad9 + с форматами DNS JSON & DNSM. Настройка в Command Line Interface, CLI: dns-proxy tls upstream 8.8.8.8 853 sni dns.google.com tls upstream 8.8.4.4 853 sni dns.google.com tls upstream 1.1.1.1 853 sni cloudflare-dns.com tls upstream 1.0.0.1 853 sni cloudflare-dns.com tls upstream 176.103.130.130 853 sni dns.adguard.com tls upstream 176.103.130.131 853 sni dns.adguard.com tls upstream 9.9.9.9 853 sni dns.quad9.net https upstream https://cloudflare-dns.com/dns-query json https upstream https://dns.google/dns-query dnsm system configuration save show dns-proxy # ndnproxy statistics file Total incoming requests: 133 Proxy requests sent: 134 Cache hits ratio: 0.113 (15) Memory usage: 31.29K DNS Servers Ip Port R.Sent A.Rcvd NX.Rcvd Med.Resp Avg.Resp Rank 127.0.0.1 40500 2 0 2 22ms 21ms 1 127.0.0.1 40501 2 0 2 36ms 36ms 1 127.0.0.1 40502 2 0 0 0ms 0ms 4 127.0.0.1 40503 2 0 0 0ms 0ms 2 127.0.0.1 40504 2 0 0 0ms 0ms 1 127.0.0.1 40505 2 0 0 0ms 0ms 4 127.0.0.1 40506 2 0 0 0ms 0ms 1 127.0.0.1 40508 3 1 2 350ms 310ms 3 127.0.0.1 40509 117 115 2 21ms 21ms 10 Настройка в WebUI: Среднее время отклика med. avg. response time конечно скачет, может достигать выше 1000 ms, но в целом отклик хороший, практически у всех адресов. Также написана статья в базе знаний по настройке, с описанием и примерами - Протоколы DNS over TLS и DNS over HTTPS для шифрования DNS-запросов, которая дополняется информацией. Проверка работоспособности шифрования: https://www.cloudflare.com/ssl/encrypted-sni/ https://1.1.1.1/help https://adguard.com/ru/test.html

Шифрование работает в keenetic на одинаковой скорости при любых алгоритмах, ставьте aes256-sha1-modp2048 и будет все ок.

Вариант для клиентского конфига: /opt/etc/wireguard/wg0.conf [Interface] PrivateKey = {BlaBlaBla} ListenPort = 51820 [Peer] PublicKey = {BlaBlaBla} AllowedIPs = 0.0.0.0/0 Endpoint = {ServerIP:Port} PersistentKeepalive = 120 /opt/etc/wireguard/wg-up #!/bin/sh insmod /lib/modules/4.9-ndm-2/wireguard.ko 2>/dev/null ip link del dev wg0 2>/dev/null ip link add dev wg0 type wireguard wg setconf wg0 /opt/etc/wireguard/wg0.conf ip address add dev wg0 {IntefaceIP/Mask} ip link set up dev wg0 ifconfig wg0 mtu 1420 ifconfig wg0 txqueuelen 1000 iptables -A FORWARD -o wg0 -j ACCEPT iptables -A OUTPUT -o wg0 -j ACCEPT iptables -t nat -I POSTROUTING -o wg0 -j MASQUERADE /opt/etc/wireguard/wg-down #!/bin/sh ip link del dev wg0 2>/dev/null /opt/etc/init.d/S01wireguard #!/bin/sh PATH=/opt/sbin:/opt/bin:/opt/usr/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/u case $1 in start) logger "Starting WireGuard service." /opt/etc/wireguard/wg-up ;; stop) /opt/etc/wireguard/wg-down ;; restart) logger "Restarting WireGuard service." /opt/etc/wireguard/wg-down sleep 2 /opt/etc/wireguard/wg-up ;; *) echo "Usage: $0 {start|stop|restart}" ;; esac В первых двух скриптах подставить свои ключи и IP адреса Далее настроить маршрутизацию по вкусу и настроить хуки netfilter для восстановления правил на кинетике

upd: обновлён до 20190702, вырезан за ненадобностью метапакет `wireguard` DSL (KN-2010), DUO (KN-2110): wireguard-tools_0.0.20190702-1_mips-3.4.ipk остальные: wireguard-tools_0.0.20190702-1_mipsel-3.4.ipk

Приоритет будет у того, кто быстрее отвечает. Обычный DNS использоваться не будет.

@eralde @Alexander Podyakov В версии 3.1 Beta 4 починили. В веб интерфейсе чек-бокс на "Использовать IPv6" отрабатывает. Все работает. Спасибо!

@Alex Sh. @AlexSP Beta 1(9) Не корректно отображаются шрифты при их увеличении и маштабировании экрана в Samsung Galaxy S7 Edge.

Нужно в принципе когда пользуешься OpenVPN. Когда работе мешают провайдерские DNS, приходится их отключать. Пока и через CLI не проблематично отключить, но через Web меньше тело движений.

Обновитесь на актуальную прошивку. У меня раньше тоже DLNA чудил. Сейчас на 3.1 DLNA даже папку с 1000 аудиофайлами отображает, правда с видео не проверял. Для вашего агрегата 3.1 нет, но есть 2.15. Возможно на 2.15 проблема исчезнет. Также после сканирования DLNA довольно долго формирует плейлист. Нужно дождаться завершения этого процесса.

@valeramalko, @Alpat74 Спасибо! Будем пытаться воспроизвести, обложим логами это место. @PASPARTU Оно еще и затирает старое правило в конфиге, похоже. Anyway, создал, исправим. @curious Воспроизводится у меня на одном роутере. Будем разбираться.

На бете 3 глюк на месте.

Иногда бывает ситуация когда у провайдера падает аплинк и нет инета, но остальные локальные его сервисы работают. Но по понятным причинам все эти DOT/DOH сервера становятся не доступными и местные адреса серверов не резолвятся. Например не зайти в ЛК. Так вот в этом случае приходится временно прописывать DNS провайдера. Но когда у тебя забито куча полей в настройках DOT/DOH удалять всё, пусть даже временно не хочется, а только так можно вернуться к работе стандартного DNS. Вот были бы отдельные выключатели полностью для сервисов DOT/DOH без удаления записей. Нажал, поработал. Вернулся интернет, переключил обратно. Особенно актуально когда наступает новый месяц, а интернет ещё не проплачен и соответственно он блокируется, включая DNS сервисы. И в личный кабинет провайдера, чтобы пополнить счёт просто так уже не попасть без смены DNS.

Да, спасибо. Мы сделаем, чтобы лишние адреса не рассылались на экстендеры.

Да, теперь понятно: 50:ff:20:.....:b4 — MAC-адрес кинетика City с адресом 192.168.1.34 MAC-адрес добавлен в список "known host", который рассылается на все экстендеры, в том числе и на City При рассылке из списка удаляются MAC-адреса экстендеров При добавлении MAC-адреса в access-list он должен быть среди зарегистрированных, но его там нет Вывод — нужно удалять экстендеров из "interface mac access-list" при рассылке, спасибо Держать их там нет смысла, раз теперь они висят на backhaul-ТД

IPoE. Косяк коннкретный - смысл галки полностью инвертирован. Сегодня после эксеримента с ДНС провайдера еле вернул интернет в строй. Требуется починка.

SNI это же не вещь в себе, а часть tls обмена, как оно может быть на роутере?

Можно и то, и другое одновременно включить, а роутер сам выберет самое быстрое/доступное и будет работать через него.

Да, там несколько соединений + http2 multiplexing.

Bootstrap выполняется через следующие адреса: 8.8.8.8, 1.1.1.1, 8.8.4.4, 1.0.0.1, 145.100.185.15, 145.100.185.16, 185.49.141.37

Ура, воспроизвелось на бете...

Ужо. Не обижайтесь за отфутболивание - ТП сэкономит в первую очередь ваше и мое время, собрав данные, проверив совсем простые сценарии и все равно в итоге придет ко мне. Это куда эффективнее, чем если мы здесь будем копать несколько недель. Если баг виден сразу - сразу исправлем. Если нужно подсобрать данные и проанализировать - лучше через ТП, если устройство еще поддерживается.

Пока мне не надоест или не возникнут непреодолимые проблемы с поддержкой. LTS для неофициально поддерживаемых устройств (2.11 и 2.15) поддерживаю я.

Версия 3.1 Alpha 5: MWS: реализованы беспроводные каналы связи между экстендерами Wi-Fi-системы (подробнее) TSMB: исправлено отображение списка файлов (сообщил @Кинетиковод) Opkg: добавлена поддержка Cypress M8 для ИБП Powercom (по просьбе @Namenloss)

Оно есть еще со времен 2.06. Но работает только для Интернет-фильтров. К счастью, adguard полностью поддерживает doh/dot. Потому - ставите doh/dot компоненты - ставите adguard - включаете его - profit! Все само работает по dot/doh без настроек, с заворотом всех DNS-запросов принудительно на роутер.

Голосование создано по мотивам инструкции Подключение веб камеры в Entware (ZyXEL Keenetic II), и дискуссии в теме. Голосуем за то, нужна ли поддержка подключения веб камер в прошивке, с управлением настройками как это сейчас происходит с трансмиссией или dlna/ftp серверами при подключении внешнего винчестера. Спасибо.

Moarinfo. Решил забить на тяжелую артиллерию и заюзать банальный iperf3. Сервер (3.3) снаружи (на ISP), на роутере (2.3) клиент Итог навскидку: дохнет TCP при передаче большого объема (десятки-сотни мегабайт) с роутера в сторону ISP, на проходящий через NAT трафик не влияет

Да, кажись починили.

Мы сталкивались только с ситуациями, когда эта настройка нужна для IPoE-подключения (провайдер выдает кривые DNS). Там (в блоке под настройкой MAC-адреса) эту настройку и оставили.

Попробовал еще раз - приклеить TD на базе ExtraII к KN1010 на релизах 3.1B3. KN10 со своими настройками, к нему по LAN ExtraII (за ранее сброшен по RESET+изменение режима работы в ТД в "Точка доступа/Экстендер") Ошибка при подключении и захвата нет - "Io::Http::Client: [20674] unable to receive headers: operation timeout" По захвату на KN10 получается И как итог

на IOS 12.4 глюка загрузки бесконечной не наблюдаю

@MDP сервер или приложение зачем-то пытается выполнить команду known host, что на экстендере Wi-Fi-сети делать не разрешается. Я отправил кому следует, спасибо )

Исправлено 3.1 Beta 2

у меня такой же глюк, только android 6 и 7

У меня приложение ругается на пароль (ранее введенный в обычном веб-интерфейсе) при попытке, например, выключить ТД. Спецсимволов нет. Только буквы латинского алфавита и пробелы. Длина - 25 символов.

Хм, видимо, не успели поправить до сборки. В следующей бете или уже в релизе обязяательно будет.

Версия 3.1 Alpha 4.1: Cloud: исправлены ошибки в реализации протокола v2 DHCP: добавлена поддержка имён хостов со спецсимволами \r\n DSL: исправлена работа шейпера на DSL-подключении HTTP: добавлен сброс исходящих сессий при срабатывании защиты от перебора пароля (сообщил @JIABP)

Малое поправление. Раз в 30 секунд трекается "живой" клиент. На флуд это не похоже, просто обычный опрос типа "ты еще жив"? Если после 30 секунд он не ответил, то его еще 4 раза спрашивают с интервалом в 1 секунду, и после этого выкидывают прочь из "живых". После этого до следующего реконнекта на него запросов уходить не будет. Так что максимум может быть 5 запросов за 5 секунд и "досвидония".