Jump to content

Leaderboard


Popular Content

Showing content with the highest reputation since 05/25/2019 in all areas

  1. 20 points
    Внимание! В связи с тем, что версия 3.0 не была доведена до стабильного состояния в отведенные сроки, мы пропускаем официальный релиз и переходим к тестированию версии 3.1. Все исправления 3.0 перенесены в 3.1, и работа продолжается без существенных изменений в системной части. Ядро Linux остаётся на версии 4.9 LTS. Обозначение 3.1, помимо канонического формата, теперь имеет более запоминающийся заголовок вида "3.X [Alpha|Beta] Y[.Z]", которым мы и продолжим пользоваться в журнале изменений. Версия 3.1 Alpha 1.2: Wi-Fi: добавлена поддержка WPA Enterprise (по просьбе @VovanVE) в виде отдельного компонента. Настройки: interface {AccessPoint} no authentication wpa-psk interface {Bridge} wpa-eap radius server interface {Bridge} wpa-eap radius secret Добавлена поддержка DNS-over-TLS и DNS-over-HTTPS (по просьбе @IgaX) в виде отдельных компонентов. Настройки: dns-proxy tls upstream {address} [port] [sni {sni}] [spki {spki}] [on {interface}] dns-proxy https upstream {url} {json | dnsm} [spki {spki}] [on {interface}] AdguardDns: добавлена поддержка DNS-over-TLS и DNS-over-HTTPS DHCP: добавлены настройки полей bootfile (file) и next-server (siaddr) RFC 2131: ip dhcp pool {pool} bootfile ip dhcp pool {pool} next-server DHCP: реализована работа DHCP Relay на туннельных интерфейсах и PPP DHCP: реализована одновременная работа статических записей и динамических пулов в зависимости от вхождения статической записи в подсеть сегмента Добавлена команда настройки канала автообновлений: components auto-update channel {channel} ACME: удалена поддержка ACMEv1 и регистрация учетной записи на сервере ACMEv1 Torrent: добавлена возможность назначения ip policy для встроенного сервиса: torrent ip policy {policy} PPTP server: добавлена защита от перебора паролей lockout-policy DSL: исправлены спонтанные перезагрузки при подключении к оператору Opkg: добавлены модули ядра для поддержки Wireguard OpenSSL обновлен до версии 1.1.1c Web: обновлен внешний вид формы входа в систему Web: добавлены настройки NTP в Общие настройки системы Web: добавлена страница "Лицензии" controlPanel/credits Web: добавлена кнопка "Скачать в формате CSV" для Журнала переходов Wi-Fi-системы
  2. 13 points
    Версия 3.1 Alpha 2: исправлены спонтанные перезагрузки устройств на базе mt7621 добавлена команда настройки PPTP lockout-policy: vpn-server lockout-policy {threshold} [{duration} [{observation-window}]] VPN: исправлено согласование параметров pcomp/accomp strongswan обновлен до версии 5.8.0 dropbear обновлен до версии 2019.78 Web: исправлена вкладка "Другие подключения" (сообщил @AndreBA) Web: исправлено сохранение настройки "Без IP-адреса" (сообщил @AndreBA)
  3. 12 points
    Версия 2.11.D.2.0-0: ACME клиент: бекпорт из 2.15: поддержка ACMEv2, удаление поддержки ACMEv1 обновлен openssl до 1.1.1c удален компонент cloudcontrol2 как неподдерживаемый L2TP/IPsec сервер: исправлено сохранение MTU/MRU kernel 3.4: рефакторинг механизма возврата памяти из кэша
  4. 9 points
    Версия 3.00.B.1.0-0 (официальная бета): AdguardDNS: исправлена ошибка "unable to extract domain" исправлена ошибка захвата точек доступа в Wi-Fi-систему исправлен возврат с резервного подключения на основное L2TP-подключение L2TP/IPsec-сервер: поправлено сохранение настроек MTU/MRU исправлено сохранение настройки режима работы IPv6 через облако исправлена фильтрация адресов источника при работе в облачном режиме исправлено подключение к серверу PPTP/L2TP over IPSec при включенной опции ipv6cp исправлены зависания и перезагрузки, вызванные ошибкой выделения памяти компонент Keenetic Plus DSL добавлен в рекомендованный набор DSL: реализовано дополнение небольших исходящих пакетов до минимальной длины Ethernet-кадра (64 байт) Web: исправлено добавление нескольких телефонных линий Web: исправлен тест скорости в IntelliQoS DECT: добавлена поддержка IPUI трубок: Gigaset A220 Panasonic KX-TGA681 Panasonic KX-TCA115 Panasonic KX-TGA250 Panasonic KX-TPA60
  5. 8 points
    Версия 3.1 Alpha 4: добавлен протокол ICMP в сетевые фильтры и правила NAT Web: реализован выбор канала автообновлений: Official (Recommended) — официальный релиз, stable Preview — предварительная версия, beta Dev — тестовая сборка, draft Web: исправлено удаление 3G/4G-модемов (сообщил @r13) Web: исправлена работа drag'n'drop в Safari Linux kernel: исправлены CVE-2019-11477, CVE-2019-11478: https://www.opennet.ru/opennews/art.shtml?num=50889 DNS-over-TLS: исправлена 100% загрузка CPU DNS-over-TLS / DNS-over-HTTPS: добавлена совместная работа Интернет-фильтров с зашифрованным системным DNS (сообщил @KorDen)
  6. 8 points
    Версия 2.15.C.5.0-0 (официальный релиз): исправлена фильтрация адресов источника при работе в облачном режиме исправлено сохранение настройки режима работы IPv6 через облако компонент Keenetic Plus DSL добавлен в рекомендованный набор Wi-Fi: исправлена работа Band Steering при переходе клиента с диапазона 2,4 на 5 ГГц Wi-Fi: исправлена работа IGMP-снупинга SSDP/mDNS/CoAP/LLMNR на KN-1010, KN-1810 и KN-1910 DHCP: реализована работа DHCP Relay на туннельных интерфейсах и PPP DHCP: реализована одновременная работа статических записей и динамических пулов в зависимости от вхождения статической записи в подсеть сегмента ACME: удалена поддержка ACMEv1 и регистрация учетной записи на сервере ACMEv1 L2TP/IPsec-сервер: поправлено сохранение настроек MTU/MRU DSL: реализовано дополнение небольших исходящих пакетов до минимальной длины Ethernet-кадра (64 байт) DECT: добавлена поддержка IPUI трубок: Gigaset A220 Panasonic KX-TCA115 OpenSSL обновлен до версии 1.1.1c Web: исправлены счетчики в мониторе трафика Web: исправлено добавление нескольких телефонных линий
  7. 7 points
    Версия 3.1 Alpha 3: Wi-Fi: исправлена работа Band Steering при переходе клиента с диапазона 2,4 на 5 ГГц Wi-Fi: исправлена работа IGMP-снупинга SSDP/mDNS/CoAP/LLMNR на KN-1010, KN-1810 и KN-1910 Web: исправлен внешний вид формы входа в систему при автозаполнении полей (сообщил @KorDen)
  8. 7 points
    Версия 2.11.D.2.0-1: L2TP/IPsec клиент: исправлена ошибка "no proposal chosen" при подключении
  9. 6 points
    Почти. Если поле SPKI пустое, то используется верификация сертификата сервера через встроенные корневые сертификаты в прошивке. Но может быть такой сценарий, что прошивка устарела или сертификат еще не добавлен, или самоподписанный сертификат на сервере. Тогда можно указать SPKI, и сервер будет валидироваться на основе этого значения - оно перекрывает корневые сертификаты. Для DOT SPKI и валидация по корневым сертификатам работают только если указать SNI. application/dns-message - это единственный формат DOH, стандартизованный в RFC 8484. Однако, Google не реализует dns-message, а вместо этого использует свой проприетарный формат application/dns-json. Потому правильный ответ таков: указывать надо то, что поддерживает сервер. В случае c Google это только JSON. Но некоторые серверы, в частности CloudFlare, поддерживают оба формата. В этом случае команда и URL выглядят так: > dns-proxy https upstream https://cloudflare-dns.com/dns-query dnsm > dns-proxy https upstream https://cloudflare-dns.com/dns-query?ct=application/dns-json& json
  10. 5 points
    Вы не представляете как накипело у меня 😅 Мне лично хочется исправить ошибку, а не разгадывать ребус, чтобы ее воспроизвести. Многие сообщения приходится несколько раз стирать и переписывать заново, в более корректной форме. Напомню еще раз, что присутствие разработчиков на этом форуме -- дело добровольное. "Подразумевается, что на нашем форуме пишут люди заинтересованные <...> Если вы не ощущаете в себе сил и желания разбираться в проблеме досконально, помогать это делать нам и ждать результата — пожалуйста, не тратьте здесь время. Поручите это специальным людям — официальной поддержке help.keenetic.net."
  11. 5 points
    Здесь все просто же. Либо вы принимаете EULA и уже договариваетесь со своими принципами, не дергая Keenetic как вендора (поймите уже, что Keenetic это не только разработчики, и далеко не только и не столько они принимают подобные решения). Либо не принимаете EULA и выбираете продукцию любого другого производителя, устраивающую вас отсутствием "слежки".
  12. 5 points
    Кто хотел бы видеть ночную тему нового интерфейса в прошивке не стесняемся и голосуем. Есть вариант,что она появится.
  13. 4 points
    Версия 2.11.D.2.0-5: мелкие фиксы
  14. 4 points
    Версия 2.15.C.5.0-1*: восстановлена сборка для Keenetic Omni * собрана в draft и delta для Keenetic Omni
  15. 4 points
    Это не странно, это покажет правду. Вот возьмите свой диск внешний, даже по USB3 - это все равно максимум 50-70 iops. А теперь качайте торрент размером в десяток гигов с сотней пиров, раздающих чанки по 4 Мбайт. Внимание, вопрос! Сколько недокачанных чанков уместится в ОЗУ и как часто нужно будет их класть на диск и поднимать оттуда для дописывания и проверки хэша? Даже для топовых устройств это в районе 100 штук, а то и меньше - а значит большее число пиров абсолютно бесполезно и только ухудшит скорость. И это больше числа iops для диска, так что реально работает не больше 50 пиров. В то время как комп может спокойно кэшировать по 500+ чанков и потихоньку тянуть данные с 500+ пиров. SSD здесь за счет кратного роста в IOPS показывает это самое узкое место, снижая его влияние на порядки.
  16. 4 points
    https://forum.keenetic.net/topic/6417-журнал-изменений-300-и-31/?do=findComment&comment=78233 DSL (KN-2010), DUO (KN-2110): wireguard_0.0.20190601-1_mips-3.4.ipk wireguard-tools_0.0.20190601-1_mips-3.4.ipk остальные: wireguard_0.0.20190601-1_mipsel-3.4.ipk wireguard-tools_0.0.20190601-1_mipsel-3.4.ipk собрано из того, что есть ))) BusyBox v1.30.1 () built-in shell (ash) ~ # ifconfig wg0 wg0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:192.168.1.1 P-t-P:192.168.1.1 Mask:255.255.255.0 POINTOPOINT NOARP MTU:1420 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) ~ # wg interface: wg0 public key: 1234567890ABCDEF private key: (hidden) listening port: 12345 peer: FEDCBA0987654321 endpoint: 1.2.3.4:1234 allowed ips: 192.168.1.0/24 ~ #
  17. 4 points
    В связи с реализацией DoT и DoH dnscrypt уходит на свалку истории.
  18. 4 points
    Зачем нам свистки! Сразу сделаем устройство со встроенным модемом, с блекджеком и СМСками.
  19. 4 points
    Сейчас нужно изолировать одни проблемы от других. В частности, OOM на торрентах это одно, а утечки ТС — что-то другое . 3-я версия пока не тянет на стабильную, поэтому произойдет переход 3.0 на 3.1 в бете без выхода официального релиза (stable).
  20. 3 points
    Firefox 67.0.2 x64 @ Win 7, 3.01.A.2.0-0 В хромоподобном Vivaldi нормально перепрыгивает вверх
  21. 3 points
    Из того, что видел от разработчиков (из канала Telegram). Фильтр AdGuardDNS уже работает через DoT/DoH. SkyDNS пока не поддерживает DoT/DoH, но скоро должны. YandexDNS не поддерживает работу через DoT/DoH. Если используется хоть один интернет-фильтр, настроенные DoT/DoH вообще не используются. Таким образом для клиентов, у которых не используется фильтрация, DoT/DoH, соответственно, тоже не работает. Хотелось бы, чтобы для таких клиентов применялись добавленные вручную DoT/DoH. Вроде обещали над этим подумать. @Le ecureuil реально доработать?
  22. 3 points
  23. 3 points
    Предложение реализовать DNS-over-HTTPS от Google Public DNS по образу и подобию SkyDNS и Яндекс.DNS. Плюсы: 1) Аналог DNSCrypt, но реализация на уровне прошивки; 2) Запросы к DNS Гугла идут по HTTPS, снижая эффективность сниффинга, атак MITM итд.; 3) Отсутствие подмен резолвинга со стороны в т.ч. провайдеров и соответствующих последствий; 4) Поддержка философии открытого интернета и информационной целостности. Подробности и желательные настройки (для гибкости): https://developers.google.com/speed/public-dns/docs/dns-over-https Вариант реализации архитектуры DNSSEC через Google DNS-over-HTTPS (чтобы был опорный код для скорости реализации): https://github.com/behrooza/dnsd
  24. 3 points
    восстановил, теперь всё работает, всем спасибо, тема закрыта.
  25. 3 points
    "… Кабы схемку аль чертеж - Мы б затеяли вертеж, Ну а так - ищи сколь хочешь, Черта лысого найдешь! …" ( "Про Федота-стрельца", Л.А. Филатов )
  26. 3 points
    На kn-1010 Версия ОС3.00.B.1.0-0 тоже не показывает онлайн устройства
  27. 3 points
    Также у нас есть подозрение на утечку в IPsec XFRM, из-за того что не освобождаются SPI. Вот с этим сейчас разбираемся.
  28. 2 points
  29. 2 points
    Сломалось отображение времени в журнале переходов в Wi-Fi системе на 3.1 Alpha 3, KN-1510. При этом время на всех устройствах корректное, синхронизируется по NTP, в логах время также верное.
  30. 2 points
    Можно еще прикинуть возможные проблемы: - диск во время проверки недоступен, юзер негодует почему 10 минут творится НЕХ - диск во время проверки случайно выдернули / погасло питание и окончательно накернилась ФС - диск подключился на usb 1.1 (случайно / контакт плохой), и проверка тянется уже третьи сутки...
  31. 2 points
    Реализовано в версии 2.15 вместе с введением ACMEv2 и wildcard-сертификатов. На собственных зонах KeenDNS работает через DNS-TXT-записи вместо HTTP /.well-known.
  32. 2 points
    Если вы включите Интернет-фильтр, то все запросы "мимо", включая даже dot/doh мимо - будет завернуты на роутер или дропнуты. Такая штука существует для plaintext udp/53 и tcp/53 еще с 2.06, а для dot/doh появилась в 3.0. Что еще осталось, кроме black-list? Запуск скриптов по cron считаю избыточным, потому что в системе без opkg это излишество (скрипты хранить негде), а с opkg вы так и так можете поставить cron.
  33. 2 points
    Все, что шлется "мимо" роутера при включенном интерент-фильтре (любом) принудительно заворачивается на роутер.
  34. 2 points
    Да, поддержу. С внедрением DoT/DoH частично необходимость в dnscrypt-proxy для меня отпадает в части защиты DNS запросов от перехвата. Но еще огромный пласт возможностей dnscrypt-proxy нужно как-то реализовать в прошивке. И начать можно как раз с черного списка блокируемых доменных имен. В качестве реализации можно предложить загрузку файла со черным списком через веб интерфейс. Хотя еще останется проблема устройств на Android - они продолжат посылать запросы на 8.8.8.8 мимо роутера, а эти запросы уже может кто-то перехватить\подменить. Эту проблему можно решить реализацией юзерских скриптов в прошивке (тема в развитии по этому поводу).
  35. 2 points
    Ответ на конкретный вопрос - это необходимо для разработки. Как узнать, что после выпуска стабильной версии и начала массового автообновления все хорошо? В основном по репортам о "жизнеспособности", в которых не должно быть статистически значимых аномалий. Список того, что передается написан в eula, если вас не устраивает - можете приобрести любое другое устройство.
  36. 2 points
    У Вас есть 2 недели для того, чтобы вернуть товар, не устраивающий Вас, в магазин.
  37. 2 points
    Проверить работу DOH, DOT для Cloudflare можно здесь - Privacy-First DNS Resolver
  38. 2 points
    У Keenetic есть отличная техподдержка - https://help.keenetic.com/hc/ru - не стесняйтесь задавать вопросы туда, вам там обязательно помогут. Это форум пользователей - тут тоже могут помочь, но - это форум "Поиск - самая неиспользуемая часть форума © Лурк". Поиск тут в лучших традициях search.php ничего нормального типа поиска форм слов не умеет
  39. 2 points
  40. 2 points
    Реализовано в версии 3.1.
  41. 2 points
    Все получилось. Опишу. Через web эти настройки сделать нельзя, только CLI. Допустим, провайдер дает подсеть 195.1.1.104/248, наша локальная подсеть 10.1.1.0/24. На интерфейс провайдера в кинетике прописан адрес 195.1.1.106. Хочу, чтобы https сервер 10.1.1.107 был доступен по адресу 195.1.1.107 Зайти в CLI кинетика. Сделать бэкап текущих настроек, сохранив локально файл running-config (через web) Выбрать интерфейс, на котором сидит провайдер (допустим, он называется ISP): > interface ISP Добавить ему второй IP как алиас: > ip alias 195.1.1.107 255.255.255.248 Добавить правило трансляции адреса/порта с 195.1.1.107:443 на 10.1.1.107:443 (можно сделать через web) Дополнительно можно сделать так, чтобы некоторые компы выходили в интернет с одним адресом, а остальные - с другим. Например, чтобы комп 10.1.1.37 выходил с адресом 195.1.1.107. Для этого в CLI выполнить команду: > ip static 10.1.1.37 255.255.255.255 195.1.1.107 По завершении нужно сохранить настройки во флэш, чтобы они применились после перезапуска кинетика: > copy running-config startup-config До выполнения этой команды все, что сделано в CLI, сбросится после рестарта кинетика.
  42. 2 points
    Все проще, не указывайте шлюз в маршруте, только интерфейс.
  43. 2 points
    Это нормально. После каждого теста скорости результат на определенное время кэшируется.
  44. 2 points
    Сделайте таблицу канал/частота, исключаемых из работы роутера (ручного и автовыбора каналов), которую заполнит сам пользователь 3 столбца, 3 галки (check box) Исключаемые каналы: |----------------------------------------- |Канал 36 20 МГц 20/40 МГц| |Канал 40 20 МГц 20/40 МГц| |................................................| |Канал 165 20 МГц | ------------------------------------------ Пусть из региона, например, RU из ручного и автовыбора по умолчанию будут исключены каналы 12, 13, 132, 136, 140, 144, 165. Если у пользователя клиент поддерживает какие-то из этих каналов/частот, он скорректирует таблицу. Пользователь лучше знает возможности своего оборудования (а кто не знает тот и не полезет ничего менять) И навсегда решиться эта проблема. Что может быть проще ?? https://forum.keenetic.net/topic/6780-непонятно-с-каналами-140-144-5-ггц-80211n
  45. 2 points
    Он и обеспечивает Это зависит от реализации вендором, он решил что автоыбор работает в диапазоне от и до, так и сделал, не устраивает, выставляйте любой фиксированный канал, вендор вам разрешает ... Покупателю никто не запрещает настраивать роутер как ему угодно в пределах заложенного функционала ...
  46. 2 points
    Тогда подбирайте точку доступа с нужными Вам настройками "за свои деньги". Ну и с возможностями и прочими плюшками, как у кинетиков. Поделитесь, когда найдете. В кинетиках такой настройки "из коробки" не заявлялось, потребитель в таком случае не прав, когда требует. Еще можно в развитии тему создать, авось вас поддержат c табличкой. Здесь люди добрые, иногда фичи быстро делают. Уж снизить мощность можно известными вам методами через веб ) Но мне что-то подсказывает, что мощность вы не превысите ))) неправда ваша. В разных странах разные каналы разрешены; некоторые клиенты требуют помимо прочего родной country-code в явном виде. Тогда вы не с той стороны к проблеме подходите. Либо ваш адаптер действительно по каким-то причинам на момент продажи не поддерживал каналы 140-144 (например они не были разрешены в РФ), тогда можно поискать драйвер адаптера поновее. Либо это косяк производителя - тогда надо им писать. Либо, третий вариант - адаптер все-таки не RU, а правильный код нужно искать в настройках адаптера. В любом случае это все не имеет отношения к другому вендору, Keenetic'y, и не должно решаться с его стороны. У вас наверняка в сети полно потенциальных клиентов (соседей), и если точка будет ориентироваться на каналы, поддерживаемые ими, есть риск вместо хорошего Wi-Fi не увидеть вообще ничего ). Точка же при анонсе себя не знает, какой клиент к ней будет подключаться. И уж тем более не разбирает, какие каналы и прочие параметры кто из них поддерживает. Если у вас у соседей вдруг окажется клиент 802.11g, вы же будете сильно негодовать, если вдруг ТД решит на них ориентироваться и перестанет предлагать вам n? PS: Если у вас такой узкий список доступных каналов, поставьте статику. Зачем надеяться на автовыбор, да еще и в 5 ГГц, который априори не сильно подвержен влиянию соседних точек в силу недальнобойности?
  47. 2 points
    Воспроизвели, починили. busybox обновляют ровно, просто нет красивого варианта для его апгрейда на кинетиках. Для того, чтобы не иметь проблем в будущем, выполните: opkg flag hold busybox В отличие от большинства других embedded систем на кинетике нет своего linux shell'а в составе прошивки, поэтому возникает эта засада. Вероятно, мы просто запретим обновлять busybox в будущем.
  48. 2 points
    С точностью наоборот же?
  49. 2 points
    А как вы смотрите на то, чтобы сделать в web-интерфейсе роутера дополнительный подраздел, что-то вроде "Отчеты безопасности" где собирать и выводить какую-то статистику например по произведенным на роутер сетевым атакам со стороны WAN, выводить отчеты по попыткам сканирования какого-либо перечня опасных портов? А также выводить там все попытки перебора пароля в админку и к другим службам роутера. Попытки перебора паролей Wi-Fi. Ну и конечно же сделать удобный способ бана этих адресов, как в автоматическом, там и в ручном режиме. Этакий форпост безопасности будет. Думаю железо это не нагрузит. А фишка у роутера офигенная будет. Сразу его на голову выше аналогов поднимет. Я понимаю, что какие-то из этих функций уже частично реализованы в том или ином виде. Но пора уже собрать всё это в одном месте. По моему в наше время штука достаточно актуальная. А в перспективе развития различных ботнетов просто необходимая. Так же на любую активность из предложенного списка можно сделать сигнализацию на выбранный светодиод на корпусе роутера. Чтоб вовремя заметить. Или почтовые алерты замутить. Можно так же добавить сюда политику изменения паролей. Например, чтоб напоминала периодически менять установленные пароли.
  50. 2 points
    Версия 2.15.C.4.0-1 (официальный релиз): улучшен алгоритм выделения памяти в программном ускорителе (сообщил @valeramalko) исправлен подсчет трафика по хостам при наличии ТВ-порта для Giga III, Ultra II исправлен подсчет трафика по хостам в режиме VDSL для DSL и Duo Wi-Fi: исправлена работа повторной ассоциации после FT-перехода (сообщил @pigovina) Wi-Fi: оптимизирован алгоритм хранения ключей PMK-R0 Wi-Fi: исправлены ошибки распространения ключей PMK-R1 в мобильном домене Wi-Fi: исправлено падение скорости до OFDM 6 Мбит/с и CCK 1 Мбит/с при переключении таблицы rate_ctl на mt7628 и mt7592 Wi-Fi: восстановлена работа PPPoE- и IPv6-passthrough для беспроводных клиентов при включенном аппаратном ускорителе mt7621 TSMB: исправлено повреждение файлов при записи (сообщил @KorDen) TNTFS: исправлено отображение значков в именах файлов (сообщил @GrST) DHCP: добавлена возможность задавать любой IP-интерфейс в качестве WAN DECT: добавлена поддержка трубки Panasonic KX-TGA250
This leaderboard is set to Moscow/GMT+03:00
×
×
  • Create New...