Leaderboard

Внимание! В связи с тем, что версия 3.0 не была доведена до стабильного состояния в отведенные сроки, мы пропускаем официальный релиз и переходим к тестированию версии 3.1. Все исправления 3.0 перенесены в 3.1, и работа продолжается без существенных изменений в системной части. Ядро Linux остаётся на версии 4.9 LTS. Обозначение 3.1, помимо канонического формата, теперь имеет более запоминающийся заголовок вида "3.X [Alpha|Beta] Y[.Z]", которым мы и продолжим пользоваться в журнале изменений. Версия 3.1 Alpha 1.2: Wi-Fi: добавлена поддержка WPA Enterprise (по просьбе @VovanVE) в виде отдельного компонента. Настройки: interface {AccessPoint} no authentication wpa-psk interface {Bridge} wpa-eap radius server interface {Bridge} wpa-eap radius secret Добавлена поддержка DNS-over-TLS и DNS-over-HTTPS (по просьбе @IgaX) в виде отдельных компонентов. Настройки: dns-proxy tls upstream {address} [port] [sni {sni}] [spki {spki}] [on {interface}] dns-proxy https upstream {url} {json | dnsm} [spki {spki}] [on {interface}] AdguardDns: добавлена поддержка DNS-over-TLS и DNS-over-HTTPS DHCP: добавлены настройки полей bootfile (file) и next-server (siaddr) RFC 2131: ip dhcp pool {pool} bootfile ip dhcp pool {pool} next-server DHCP: реализована работа DHCP Relay на туннельных интерфейсах и PPP DHCP: реализована одновременная работа статических записей и динамических пулов в зависимости от вхождения статической записи в подсеть сегмента Добавлена команда настройки канала автообновлений: components auto-update channel {channel} ACME: удалена поддержка ACMEv1 и регистрация учетной записи на сервере ACMEv1 Torrent: добавлена возможность назначения ip policy для встроенного сервиса: torrent ip policy {policy} PPTP server: добавлена защита от перебора паролей lockout-policy DSL: исправлены спонтанные перезагрузки при подключении к оператору Opkg: добавлены модули ядра для поддержки Wireguard OpenSSL обновлен до версии 1.1.1c Web: обновлен внешний вид формы входа в систему Web: добавлены настройки NTP в Общие настройки системы Web: добавлена страница "Лицензии" controlPanel/credits Web: добавлена кнопка "Скачать в формате CSV" для Журнала переходов Wi-Fi-системы

Версия 3.1 Alpha 2: исправлены спонтанные перезагрузки устройств на базе mt7621 добавлена команда настройки PPTP lockout-policy: vpn-server lockout-policy {threshold} [{duration} [{observation-window}]] VPN: исправлено согласование параметров pcomp/accomp strongswan обновлен до версии 5.8.0 dropbear обновлен до версии 2019.78 Web: исправлена вкладка "Другие подключения" (сообщил @AndreBA) Web: исправлено сохранение настройки "Без IP-адреса" (сообщил @AndreBA)

Версия 2.11.D.2.0-0: ACME клиент: бекпорт из 2.15: поддержка ACMEv2, удаление поддержки ACMEv1 обновлен openssl до 1.1.1c удален компонент cloudcontrol2 как неподдерживаемый L2TP/IPsec сервер: исправлено сохранение MTU/MRU kernel 3.4: рефакторинг механизма возврата памяти из кэша

Версия 3.00.B.1.0-0 (официальная бета): AdguardDNS: исправлена ошибка "unable to extract domain" исправлена ошибка захвата точек доступа в Wi-Fi-систему исправлен возврат с резервного подключения на основное L2TP-подключение L2TP/IPsec-сервер: поправлено сохранение настроек MTU/MRU исправлено сохранение настройки режима работы IPv6 через облако исправлена фильтрация адресов источника при работе в облачном режиме исправлено подключение к серверу PPTP/L2TP over IPSec при включенной опции ipv6cp исправлены зависания и перезагрузки, вызванные ошибкой выделения памяти компонент Keenetic Plus DSL добавлен в рекомендованный набор DSL: реализовано дополнение небольших исходящих пакетов до минимальной длины Ethernet-кадра (64 байт) Web: исправлено добавление нескольких телефонных линий Web: исправлен тест скорости в IntelliQoS DECT: добавлена поддержка IPUI трубок: Gigaset A220 Panasonic KX-TGA681 Panasonic KX-TCA115 Panasonic KX-TGA250 Panasonic KX-TPA60

Версия 2.11.D.2.0-1: L2TP/IPsec клиент: исправлена ошибка "no proposal chosen" при подключении

Почти. Если поле SPKI пустое, то используется верификация сертификата сервера через встроенные корневые сертификаты в прошивке. Но может быть такой сценарий, что прошивка устарела или сертификат еще не добавлен, или самоподписанный сертификат на сервере. Тогда можно указать SPKI, и сервер будет валидироваться на основе этого значения - оно перекрывает корневые сертификаты. Для DOT SPKI и валидация по корневым сертификатам работают только если указать SNI. application/dns-message - это единственный формат DOH, стандартизованный в RFC 8484. Однако, Google не реализует dns-message, а вместо этого использует свой проприетарный формат application/dns-json. Потому правильный ответ таков: указывать надо то, что поддерживает сервер. В случае c Google это только JSON. Но некоторые серверы, в частности CloudFlare, поддерживают оба формата. В этом случае команда и URL выглядят так: > dns-proxy https upstream https://cloudflare-dns.com/dns-query dnsm > dns-proxy https upstream https://cloudflare-dns.com/dns-query?ct=application/dns-json& json

Версия 2.15.C.4.0-1 (официальный релиз): улучшен алгоритм выделения памяти в программном ускорителе (сообщил @valeramalko) исправлен подсчет трафика по хостам при наличии ТВ-порта для Giga III, Ultra II исправлен подсчет трафика по хостам в режиме VDSL для DSL и Duo Wi-Fi: исправлена работа повторной ассоциации после FT-перехода (сообщил @pigovina) Wi-Fi: оптимизирован алгоритм хранения ключей PMK-R0 Wi-Fi: исправлены ошибки распространения ключей PMK-R1 в мобильном домене Wi-Fi: исправлено падение скорости до OFDM 6 Мбит/с и CCK 1 Мбит/с при переключении таблицы rate_ctl на mt7628 и mt7592 Wi-Fi: восстановлена работа PPPoE- и IPv6-passthrough для беспроводных клиентов при включенном аппаратном ускорителе mt7621 TSMB: исправлено повреждение файлов при записи (сообщил @KorDen) TNTFS: исправлено отображение значков в именах файлов (сообщил @GrST) DHCP: добавлена возможность задавать любой IP-интерфейс в качестве WAN DECT: добавлена поддержка трубки Panasonic KX-TGA250

Кто хотел бы видеть ночную тему нового интерфейса в прошивке не стесняемся и голосуем. Есть вариант,что она появится.

А как вы смотрите на то, чтобы сделать в web-интерфейсе роутера дополнительный подраздел, что-то вроде "Отчеты безопасности" где собирать и выводить какую-то статистику например по произведенным на роутер сетевым атакам со стороны WAN, выводить отчеты по попыткам сканирования какого-либо перечня опасных портов? А также выводить там все попытки перебора пароля в админку и к другим службам роутера. Попытки перебора паролей Wi-Fi. Ну и конечно же сделать удобный способ бана этих адресов, как в автоматическом, там и в ручном режиме. Этакий форпост безопасности будет. Думаю железо это не нагрузит. А фишка у роутера офигенная будет. Сразу его на голову выше аналогов поднимет. Я понимаю, что какие-то из этих функций уже частично реализованы в том или ином виде. Но пора уже собрать всё это в одном месте. По моему в наше время штука достаточно актуальная. А в перспективе развития различных ботнетов просто необходимая. Так же на любую активность из предложенного списка можно сделать сигнализацию на выбранный светодиод на корпусе роутера. Чтоб вовремя заметить. Или почтовые алерты замутить. Можно так же добавить сюда политику изменения паролей. Например, чтоб напоминала периодически менять установленные пароли.

Здесь все просто же. Либо вы принимаете EULA и уже договариваетесь со своими принципами, не дергая Keenetic как вендора (поймите уже, что Keenetic это не только разработчики, и далеко не только и не столько они принимают подобные решения). Либо не принимаете EULA и выбираете продукцию любого другого производителя, устраивающую вас отсутствием "слежки".

https://forum.keenetic.net/topic/6417-журнал-изменений-300-и-31/?do=findComment&comment=78233 DSL (KN-2010), DUO (KN-2110): wireguard_0.0.20190601-1_mips-3.4.ipk wireguard-tools_0.0.20190601-1_mips-3.4.ipk остальные: wireguard_0.0.20190601-1_mipsel-3.4.ipk wireguard-tools_0.0.20190601-1_mipsel-3.4.ipk собрано из того, что есть ))) BusyBox v1.30.1 () built-in shell (ash) ~ # ifconfig wg0 wg0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:192.168.1.1 P-t-P:192.168.1.1 Mask:255.255.255.0 POINTOPOINT NOARP MTU:1420 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) ~ # wg interface: wg0 public key: 1234567890ABCDEF private key: (hidden) listening port: 12345 peer: FEDCBA0987654321 endpoint: 1.2.3.4:1234 allowed ips: 192.168.1.0/24 ~ #

В связи с реализацией DoT и DoH dnscrypt уходит на свалку истории.

Зачем нам свистки! Сразу сделаем устройство со встроенным модемом, с блекджеком и СМСками.

Сейчас нужно изолировать одни проблемы от других. В частности, OOM на торрентах это одно, а утечки ТС — что-то другое . 3-я версия пока не тянет на стабильную, поэтому произойдет переход 3.0 на 3.1 в бете без выхода официального релиза (stable).

Версия 2.15.C.5.0-0 (официальный релиз): исправлена фильтрация адресов источника при работе в облачном режиме исправлено сохранение настройки режима работы IPv6 через облако компонент Keenetic Plus DSL добавлен в рекомендованный набор Wi-Fi: исправлена работа Band Steering при переходе клиента с диапазона 2,4 на 5 ГГц Wi-Fi: исправлена работа IGMP-снупинга SSDP/mDNS/CoAP/LLMNR на KN-1010, KN-1810 и KN-1910 DHCP: реализована работа DHCP Relay на туннельных интерфейсах и PPP DHCP: реализована одновременная работа статических записей и динамических пулов в зависимости от вхождения статической записи в подсеть сегмента ACME: удалена поддержка ACMEv1 и регистрация учетной записи на сервере ACMEv1 L2TP/IPsec-сервер: поправлено сохранение настроек MTU/MRU DSL: реализовано дополнение небольших исходящих пакетов до минимальной длины Ethernet-кадра (64 байт) DECT: добавлена поддержка IPUI трубок: Gigaset A220 Panasonic KX-TCA115 OpenSSL обновлен до версии 1.1.1c Web: исправлены счетчики в мониторе трафика Web: исправлено добавление нескольких телефонных линий

Firefox 67.0.2 x64 @ Win 7, 3.01.A.2.0-0 В хромоподобном Vivaldi нормально перепрыгивает вверх

Из того, что видел от разработчиков (из канала Telegram). Фильтр AdGuardDNS уже работает через DoT/DoH. SkyDNS пока не поддерживает DoT/DoH, но скоро должны. YandexDNS не поддерживает работу через DoT/DoH. Если используется хоть один интернет-фильтр, настроенные DoT/DoH вообще не используются. Таким образом для клиентов, у которых не используется фильтрация, DoT/DoH, соответственно, тоже не работает. Хотелось бы, чтобы для таких клиентов применялись добавленные вручную DoT/DoH. Вроде обещали над этим подумать. @Le ecureuil реально доработать?

Исправлено в версии 3.1 Alpha 2.

Предложение реализовать DNS-over-HTTPS от Google Public DNS по образу и подобию SkyDNS и Яндекс.DNS. Плюсы: 1) Аналог DNSCrypt, но реализация на уровне прошивки; 2) Запросы к DNS Гугла идут по HTTPS, снижая эффективность сниффинга, атак MITM итд.; 3) Отсутствие подмен резолвинга со стороны в т.ч. провайдеров и соответствующих последствий; 4) Поддержка философии открытого интернета и информационной целостности. Подробности и желательные настройки (для гибкости): https://developers.google.com/speed/public-dns/docs/dns-over-https Вариант реализации архитектуры DNSSEC через Google DNS-over-HTTPS (чтобы был опорный код для скорости реализации): https://github.com/behrooza/dnsd

восстановил, теперь всё работает, всем спасибо, тема закрыта.

"… Кабы схемку аль чертеж - Мы б затеяли вертеж, Ну а так - ищи сколь хочешь, Черта лысого найдешь! …" ( "Про Федота-стрельца", Л.А. Филатов )

На kn-1010 Версия ОС3.00.B.1.0-0 тоже не показывает онлайн устройства

Также у нас есть подозрение на утечку в IPsec XFRM, из-за того что не освобождаются SPI. Вот с этим сейчас разбираемся.

Версия 3.1 Alpha 3: Wi-Fi: исправлена работа Band Steering при переходе клиента с диапазона 2,4 на 5 ГГц Wi-Fi: исправлена работа IGMP-снупинга SSDP/mDNS/CoAP/LLMNR на KN-1010, KN-1810 и KN-1910 Web: исправлен внешний вид формы входа в систему при автозаполнении полей (сообщил @KorDen)

Если вы включите Интернет-фильтр, то все запросы "мимо", включая даже dot/doh мимо - будет завернуты на роутер или дропнуты. Такая штука существует для plaintext udp/53 и tcp/53 еще с 2.06, а для dot/doh появилась в 3.0. Что еще осталось, кроме black-list? Запуск скриптов по cron считаю избыточным, потому что в системе без opkg это излишество (скрипты хранить негде), а с opkg вы так и так можете поставить cron.

Все, что шлется "мимо" роутера при включенном интерент-фильтре (любом) принудительно заворачивается на роутер.

IMHO "Проблема не в EULA, а в головах". ~(c)

Да, поддержу. С внедрением DoT/DoH частично необходимость в dnscrypt-proxy для меня отпадает в части защиты DNS запросов от перехвата. Но еще огромный пласт возможностей dnscrypt-proxy нужно как-то реализовать в прошивке. И начать можно как раз с черного списка блокируемых доменных имен. В качестве реализации можно предложить загрузку файла со черным списком через веб интерфейс. Хотя еще останется проблема устройств на Android - они продолжат посылать запросы на 8.8.8.8 мимо роутера, а эти запросы уже может кто-то перехватить\подменить. Эту проблему можно решить реализацией юзерских скриптов в прошивке (тема в развитии по этому поводу).

Ответ на конкретный вопрос - это необходимо для разработки. Как узнать, что после выпуска стабильной версии и начала массового автообновления все хорошо? В основном по репортам о "жизнеспособности", в которых не должно быть статистически значимых аномалий. Список того, что передается написан в eula, если вас не устраивает - можете приобрести любое другое устройство.

Проверить работу DOH, DOT для Cloudflare можно здесь - Privacy-First DNS Resolver

У Keenetic есть отличная техподдержка - https://help.keenetic.com/hc/ru - не стесняйтесь задавать вопросы туда, вам там обязательно помогут. Это форум пользователей - тут тоже могут помочь, но - это форум "Поиск - самая неиспользуемая часть форума © Лурк". Поиск тут в лучших традициях search.php ничего нормального типа поиска форм слов не умеет

Исправлено в версии 3.1 Alpha 2.

Реализовано в версии 3.1.

Все получилось. Опишу. Через web эти настройки сделать нельзя, только CLI. Допустим, провайдер дает подсеть 195.1.1.104/248, наша локальная подсеть 10.1.1.0/24. На интерфейс провайдера в кинетике прописан адрес 195.1.1.106. Хочу, чтобы https сервер 10.1.1.107 был доступен по адресу 195.1.1.107 Зайти в CLI кинетика. Сделать бэкап текущих настроек, сохранив локально файл running-config (через web) Выбрать интерфейс, на котором сидит провайдер (допустим, он называется ISP): > interface ISP Добавить ему второй IP как алиас: > ip alias 195.1.1.107 255.255.255.248 Добавить правило трансляции адреса/порта с 195.1.1.107:443 на 10.1.1.107:443 (можно сделать через web) Дополнительно можно сделать так, чтобы некоторые компы выходили в интернет с одним адресом, а остальные - с другим. Например, чтобы комп 10.1.1.37 выходил с адресом 195.1.1.107. Для этого в CLI выполнить команду: > ip static 10.1.1.37 255.255.255.255 195.1.1.107 По завершении нужно сохранить настройки во флэш, чтобы они применились после перезапуска кинетика: > copy running-config startup-config До выполнения этой команды все, что сделано в CLI, сбросится после рестарта кинетика.

Все проще, не указывайте шлюз в маршруте, только интерфейс.

Это нормально. После каждого теста скорости результат на определенное время кэшируется.

Сделайте таблицу канал/частота, исключаемых из работы роутера (ручного и автовыбора каналов), которую заполнит сам пользователь 3 столбца, 3 галки (check box) Исключаемые каналы: |----------------------------------------- |Канал 36 20 МГц 20/40 МГц| |Канал 40 20 МГц 20/40 МГц| |................................................| |Канал 165 20 МГц | ------------------------------------------ Пусть из региона, например, RU из ручного и автовыбора по умолчанию будут исключены каналы 12, 13, 132, 136, 140, 144, 165. Если у пользователя клиент поддерживает какие-то из этих каналов/частот, он скорректирует таблицу. Пользователь лучше знает возможности своего оборудования (а кто не знает тот и не полезет ничего менять) И навсегда решиться эта проблема. Что может быть проще ?? https://forum.keenetic.net/topic/6780-непонятно-с-каналами-140-144-5-ггц-80211n

Всем пострадавшим от OOM-киллера: настоятельно рекомендуем обновиться на 3.00.B.1.0-0. Туда портировали и доработали патч "page cache reclaim", который был в ядре 3.4 (в прошивках от 2.07 до 2.15). Отпишитесь о результатах.

Он и обеспечивает Это зависит от реализации вендором, он решил что автоыбор работает в диапазоне от и до, так и сделал, не устраивает, выставляйте любой фиксированный канал, вендор вам разрешает ... Покупателю никто не запрещает настраивать роутер как ему угодно в пределах заложенного функционала ...

Тогда подбирайте точку доступа с нужными Вам настройками "за свои деньги". Ну и с возможностями и прочими плюшками, как у кинетиков. Поделитесь, когда найдете. В кинетиках такой настройки "из коробки" не заявлялось, потребитель в таком случае не прав, когда требует. Еще можно в развитии тему создать, авось вас поддержат c табличкой. Здесь люди добрые, иногда фичи быстро делают. Уж снизить мощность можно известными вам методами через веб ) Но мне что-то подсказывает, что мощность вы не превысите ))) неправда ваша. В разных странах разные каналы разрешены; некоторые клиенты требуют помимо прочего родной country-code в явном виде. Тогда вы не с той стороны к проблеме подходите. Либо ваш адаптер действительно по каким-то причинам на момент продажи не поддерживал каналы 140-144 (например они не были разрешены в РФ), тогда можно поискать драйвер адаптера поновее. Либо это косяк производителя - тогда надо им писать. Либо, третий вариант - адаптер все-таки не RU, а правильный код нужно искать в настройках адаптера. В любом случае это все не имеет отношения к другому вендору, Keenetic'y, и не должно решаться с его стороны. У вас наверняка в сети полно потенциальных клиентов (соседей), и если точка будет ориентироваться на каналы, поддерживаемые ими, есть риск вместо хорошего Wi-Fi не увидеть вообще ничего ). Точка же при анонсе себя не знает, какой клиент к ней будет подключаться. И уж тем более не разбирает, какие каналы и прочие параметры кто из них поддерживает. Если у вас у соседей вдруг окажется клиент 802.11g, вы же будете сильно негодовать, если вдруг ТД решит на них ориентироваться и перестанет предлагать вам n? PS: Если у вас такой узкий список доступных каналов, поставьте статику. Зачем надеяться на автовыбор, да еще и в 5 ГГц, который априори не сильно подвержен влиянию соседних точек в силу недальнобойности?

Воспроизвели, починили. busybox обновляют ровно, просто нет красивого варианта для его апгрейда на кинетиках. Для того, чтобы не иметь проблем в будущем, выполните: opkg flag hold busybox В отличие от большинства других embedded систем на кинетике нет своего linux shell'а в составе прошивки, поэтому возникает эта засада. Вероятно, мы просто запретим обновлять busybox в будущем.

С точностью наоборот же?

Обязан сделать одну ремарочку, т.к. сам с пайтоном "на Вы", и слишком долго бился над установкой этого "колеса": при попытке установить его стандартной командой python3 -m pip install ./uvloop-0_12.2-cp37-cp37-mipsel-34_Ent1903.whl пип ругался подобным образом - ERROR: uvloop-0_12.2-cp37-cp37-mipsel-34_Ent1903.whl is not a supported wheel on this platform. С энного захода в гугл и по удачной ссылке в выдаче, таки выяснил что pip чувствителен к названию файла .whl, т.к. в нём содержится информация о версии пайтона и о платформе, для которой колесо собрано, и что переименование файла "для удобства хранения" чревато вот такими ошибками при попытке установки колеса. Вооружившись этим знанием (а так же способом выяснить, какие "колёса" поддерживает пайтон на роутере): переименовал файл из "uvloop-0_12.2-cp37-cp37-mipsel-34_Ent1903.whl" в "uvloop-0_12.2-cp37-cp37-linux_mips.whl". После этой манипуляции колесо успешно установилось: python3 -m pip install ./uvloop-0_12.2-cp37-cp37-linux_mips.whl Processing ./uvloop-0_12.2-cp37-cp37-linux_mips.whl Installing collected packages: uvloop Successfully installed uvloop-0.12.2 Надеюсь, этот "дебаг" поможет остальным обновиться до более актуальной версии uvloop 🙂

Здравствуйте, хочу внести предложение и прошу посетителей проголосовать. В веб-интерфейсе кинетика, в разделе обновления прошивки есть прогресс бар внизу странички. Как я понимаю, этот прогресс бар указывает на заполненность памяти. Предлагаю добавить к прогресс бару цифровое обозначение количества занятой и всего доступной памяти. На скриншоте постарался показать примерную реализацию того, что я имею ввиду.

Мне вот интересно, такие как ТС, наверняка знают еулу от майкрософт, но невзирая ни на что продолжают юзать мастдай почему???

Тут https://help.keenetic.com/hc/ru/articles/360000400919

Обновление на релизе 300B1 DNSMasq так же установлен как и DNSCrypt-proxy и оба работают при " dns-override"

С большой вероятностью многие, у кого работает, пользуются для настройки openvpn на сервере этим скриптом - https://github.com/Nyr/openvpn-install На кинетике потом конфиг возможно немного допиливается - 1-2 строки. Попробуйте.

@Alex Sh. Beta 5 (85) Samsung Galaxy S7 Edge не возможно добавить устройство в вертикальном положении телефона при увеличенных шрифтах. Кнопка "Добавить" появляется только если телефон перевернуть в горизонтальное положение. Так же в горизонтальном положении изображение роутера накладывается на его название.

@eralde 2.15.C.3.0-2 Если в режиме тд отключить wi-fi кнопкой на корпусе в dashboard на плитке Домашняя сеть это не отображается. Проверил на KN-1810 и Giga II.