Jump to content

Leaderboard

Popular Content

Showing content with the highest reputation since 07/12/2016 in all areas

  1. Кто хотел бы видеть ночную тему нового интерфейса в прошивке не стесняемся и голосуем. Есть вариант,что она появится.
    34 points
  2. Думал как сформулировать тему, ну как получилось... Если уже было - крайне извиняюсь, значит тему следует закрыть. Хотелось бы иметь возможность (штатными средствами) использовать в правилах межсетевого экрана, nat и всего-всего прочего списки ip адресов, которые бы наполнялись при разрешении заданных доменных имен. Попадались два подхода: 1) Как в mikrotik - в /ip firewall address-list add address=example.com list=myiplist указывается домен и список, роутер тут же (и автоматически по ttl, если не ошибаюсь) обновляет его. Да, минус - поддомены таким образом не обрабатываются, только то, что явно указали. Зато зависит от того. использует ли клиент данный роутер как dns сервер. 2) Когда dns сервер сам при разрешении имен добавляет в таблицу адрес (dnsmasq: ipset=/example.com/example.net/myiplist) при запросе клиентом. Плюс - обрабатываются поддомены, при этом только то что реально нужно (что запросили клиенты). Но нужно заворачивать все запросы на встроенный резолвер (что уже и так есть в кинетике). Тут уже есть Есть ли возможность добавить в МСЭ списки IP-адресов?,, а также много про блокировку по url, что, в случае с https можно решить. используя списки ip, разрешенные из доменных имен.
    33 points
  3. Версия 2.16.D.3.0-4: Opkg: ExtFs: уменьшено потребление памяти при проверке ФС ext2/3/4 Opkg: Exfat: добавлена утилита для создания ExFAT (поддержки проверки пока нет) Opkg: Ntfs: добавлены утилиты для создания и проверки NTFS от Tuxera Opkg: Fat: добавлены утилиты для создания и проверки FAT12/FAT16/FAT32 Cifs: tsmb: добавлена поддержка устройств на MT7620/RT6856/RT63368 tzdata: обновлен до версии 2020a добавлена поддержка ФС ExFAT
    32 points
  4. Добрый день. Планируется ли полноценная поддержка IPv6 в прошивках для Keenetic Ultra II? 1. Не могу задать IPv6 DNS в веб-интерфейсе для локальной сети. 2. Не могу настроить внутренние подсети и маршрутизацию. 3. Не могу настроить правила файрволла для разрешения трафика из WAN в Lan. Веб интерфейс принимает только IPv4 адреса. Очень огорчает "кастрированность" IPv6 в Keenetic, и OpenWRT нет для Keenetic II Очень не хочется сдавать устройство или продавать.
    30 points
  5. Версия 2.16.D.7.0-0: Wireguard: бэкпорт из 3.5 (только cli-версия) Отключен диагностический модуль из-за невостребованности данных со старых моделей (сообщил @chak7) Web: добавлены настройки доступа по SSH (сообщил @The_Immortal) (внимание! сохранение настроек всегда принудительно включает службу ssh) Web: немного улучшена поддержка USB QMI (сообщил @Михалыч Земляной) Adguard DNS: обновлены IP-адреса (сообщил @Rootdiv) CIFS: Tsmb: исправления в управляющей логике USB: QMI: добавлена поддержка Telit LN940, T77W676, E392u-12 USB: UsbLte: добавлена поддержка Huawei E3372h-320 A1 Avahi: добавлен режим работы повторителя mDNS при выключении isolate-private (сообщил @khmm12) WiFi: rt539x: поправлен регресс после исправления Kr00k (сообщил @DagalProject) tzdata: обновлено до версии 2020b openssl: обновлен до версии 1.1.1h
    30 points
  6. Голосование создано по мотивам инструкции Подключение веб камеры в Entware (ZyXEL Keenetic II), и дискуссии в теме. Голосуем за то, нужна ли поддержка подключения веб камер в прошивке, с управлением настройками как это сейчас происходит с трансмиссией или dlna/ftp серверами при подключении внешнего винчестера. Спасибо.
    30 points
  7. Версия 2.16.D.8.0-0: Web: добавлена поддержка компонента wireguard (просили @diqipib), все благодарности отправляем @eralde. transmission3: добавлен отдельный компонент transmission3 из 3.05 с обновленным web. Старый компонент остается на 2.94. Они взаимозаменяемы по настройкам, но одновременно в системе быть установлены не могут. cifs: tsmb: обновлен до версии 3020.9.24. DNS: реализована блокировка DNS Rebinding (по просьбе @SecretSanta), бэкпорт из 3.05. [no] dns-proxy rebind-protect (strict | auto) auto — блокировка адресов, входящих в текущие private-подсети (включено по умолчанию) strict — блокировка всех адресов из списка IANA IPv4 Special-Purpose Address Registry
    29 points
  8. Версия 2.16.D.4.0-0: ZK DSL, VOX: Web: исправлено управление портами (сообщил @DagalProject) USB: UsbLte: улучшено определение рабочих композиций TTY USB: добавлена поддержка модема E3372h-320 USB: улучшена поддержка модема E3131 USB: добавлена поддержка модема Alcatel IK41V USB: добавлена поддержка модемов QMI (бэкпорт из 3.5) cli: добавлена сортировка списка команд по алфавиту в подсказке Netflow: добавлена команда установки версии протокола: ip flow-export version {version} Opkg: Exfat: добавлена команда проверки ФС exfat: opkg exfat check Web: добавлена группа языковых пакетов TSMB: обновлен до версии 3020.7.27 curl: обновлен до версии 7.71.0 Версия 2.16.D.4.0-1: Поправлена сборка части устройств
    28 points
  9. Версия 2.16.D.1.0-1: curl: обновлен до версии 7.68.0 dropbear: обновлен до версии 2019.78 OpenVPN: добавлена поддержка шифра CHACHA20-POLY1305 VPN: исправлено подключение Android-клиентов с симптомами: ppp-pptp: fsm timeout ppp: compressor dropped pkt исправлено добавление маршрутов с флагом "auto" и явным адресом шлюза SSTP: отключены опции accm, accomp, pcomp для совместимости с VPN Client Pro (сообщил @vasek00) Udpxy: количество клиентов увеличено до 32 SSH: добавлена настройка таймаута для ssh-сессии: ip ssh session timeout {timeout} IPv6: устранены возможные перезагрузки при использовании VLAN Adguard DNS: исправлено определение доступности сервиса IPsec: удалены все лимиты по количеству туннелей HTTP: proxy: добавлена передача заголовков Connection и Upgrade для работы WebSocket SNMP: исправлены CVE-2020-6058, CVE-2020-6059, CVE-2020-6060 DNS: реализован ответ NOTIMPL на запрос IQUERY(1)
    27 points
  10. Тестовая версия 2.16.D.12.0-0: Wi-Fi: исправлены все выявленные уязвимости из серии FragAttacks: CVE-2020-24586 CVE-2020-24587 CVE-2020-24588 CVE-2020-26139 CVE-2020-26140 CVE-2020-26146 CVE-2020-26147 DLNA: исправлена автоматическая индексация при добавлении медиафайлов [NDM-1667] USB: исправлена работа ускорителя ppe software с устройствами cdc_ether [NDMS-1606] HTTP: добавлена команда ip http proxy x-real-ip (сообщил @Alexey Shlyakhov) Web: поправлено отображение страницы otherConnections когда установлен только wireguard (сообщили @diqipib, @Игорь Слесаренко) SSH: добавлена поддержка выполнения команд через shell, реализован прием аргумента "-c" curl: 7.77.0 (исправлены CVE-2021-22901, CVE-2021-22898, CVE-2021-22897) USB: исправлена работа ускорителя swnat с устройствами cdc_ether [NDMS-1606]
    26 points
  11. Версия 2.16.D.5.0-0: Переработан SSL-сервер для исправления зависаний (сообщили @Himmler, @T@rkus, @feoser, @Vik2018, @ankar84 и многие другие) Добавлено распознавание нового режима "extender" и возможность захвата устройств KN-xx11 в этом режиме. Перенесены более строгие правила ACL для IPv6 из 3.4. Добавлено описание правил ACL Поправлены описания компонентов с exFAT и NTFS
    26 points
  12. Версия 2.16.D.3.0-5: DECT: отключена обработка SIP-заголовка Service-Route DECT: версия синхронизирована с 3.4 stable CloudControl2: версия синхронизирована с 3.4 stable OpenSSL: обновлен до версии 1.1.1g CIFS: tsmb: обновлена версия ExFAT: включена поддержка на KVOX/KLTE/KDSL USB: добавлена поддержка модема E3131 SSTP: улучшена совместимость с клиентом AnyVPN SSTP Connector
    26 points
  13. Версия 2.16.D.3.0-3: перенесено из 3.х улучшение при загрузке обновлений системы (сообщил @agromov77) Web: ускорена работа интерфейса при большом количестве маршрутов (сообщил @Alexander Kudrevatykh, @r13) Opkg: ExtFs: мелкие улучшения Torrent: подняты ограничения до 10/15/20 Мбайт/сек (сообщил @agromov77) Torrent: перенесена из 3.х поддержка ip policy OpenSSL 1.1.1g: исправлена CVE-2020-1967
    26 points
  14. Ветка 2.11 переходит в неофициальную категорию legacy: 2.11.D. Скажем так, good old stable. Эта песочница создана для следующих категорий пользователей: желающие иметь "классический" Web-интерфейс желающие иметь поддержку для LTE, VOX, DSL и Keenetic III и держать их в актуальном состоянии с точки зрения критических багов и уязвимостей Перейти на эту песочницу можно через > components list legacy После этого вы останетесь на ней. Выкладывание бинарников для перехода не планируется. Выпуски будут выходить не на регулярной основе, а по мере необходимости. Если найдутся заметные баги - будет пересобираться, если нет - будет лежать долго в одной и той же версии. ВНИМАНИЕ! Это такая же неофициальная версия, как delta и draft. Поддержка по багам и уязвимостям осуществляется на этом форуме. Обращаться с ней в официальную техподдержку бесполезно. Мы тут с вами остаемся один-на-один. Поддерживаемые устройства: все, на которых была 2.11 в том или ином виде. А именно: Keenetic Start II Keenetic Lite II Keenetic Lite III Keenetic Lite III rev. B Keenetic 4G III Keenetic 4G III rev. B Keenetic Omni Keenetic Omni II Keenetic Viva Keenetic Extra Keenetic II Keenetic Giga II Keenetic Ultra Keenetic III Keenetic DSL Keenetic VOX Keenetic LTE Полный список устройств с разбивкой по каналам выпуска доступен здесь. Новые устройства, которые выйдут на 2.12 и выше в качестве заводской версии, не будут поддерживаться. Версия 2.11.D.0.0-0: добавлен вывод IPv6 Link-local адресов (по просьбе @r13) исправлен декремент TTL в модуле fast_nat при передаче пакетов LAN → WAN починены счетчики трафика зарегистрированных хостов на protected-сегментах OpenSSL обновлен до 1.1.0i VPN: реализован выбор случайного адреса VPN-сервера из DNS Wi-Fi: реализована поддержка SSID в кодировке UTF-8 (только в CLI) HTTP: исправлено вычисление хеша при авторизации (сообщил @AlexU) реализована поддержка режима wwan-force-connected для интерфейсов UsbLte реализована поддержка USB-модема ME909s-120 Wi-Fi: добавлена команда настройки BSSID для WISP: interface {name} mac bssid {bssid} исправлен принудительный сброс сессий при работе некоторых модемов Huawei HiLink реализована поддержка USB-модема Huawei K5160 Opkg: скорректирован обработчик "opkg disk" с учетом символов ':' и '/' (сообщил @Sergey Zozulya) исправлена фиксация TTL на исходящих пакетах "ip interface adjust-ttl send" (сообщил @qwertyhgfdsa) ... и еще много других мелких фиксов, все уже и не упомнишь
    24 points
  15. Версия 2.16.D.11.0-0: исправлена проблема монтирования раздела с файловой системой exFAT созданной в MiniTool Partition Wizard HTTP: добавлены заголовки X-Forwarded-Proto и X-Forwarded-Port (по просьбе @Zzub) CloudControl2: добавлена заглушка для security-level (по просьбе @vvp2) tzdata 2021a OpenSSL 1.1.1j (устранены уязвимости CVE-2021-23841 и CVE-2021-23840) Wireguard: поправлена работа с огромным количеством пиров QMI: исправлена обработка составных SMS-сообщений (сообщил @glogjet) QMI: добавлена поддержа модемов: DW5821e (T77W968) UsbModem: Alcatel L100V
    24 points
  16. Версия 2.16.D.1.0-0: OpenSSL: обновлен до версии 1.1.1d tzdata: обновлен до версии 2019c ACME: улучшена совместимость с новым CDN Let's Encrypt NAT: добавлена поддержка протоколов ICMP, GRE и IPIP в правилах "ip static" добавлена поддержка устойств с отказавшим внешним модулем WiFi на шине PCI Express (Keenetic II: 2,4; Giga II: 2,4; Ultra: 2,4 и 5; LTE: 2,4; VOX: 2,4; DSL: 2,4; Extra: 5 ГГц) (подробности о первоначальном восстановлении тут) исправлены CVE-2019-11477, CVE-2019-11478 RT6856: исправлено высокое значение LA
    24 points
  17. А как вы смотрите на то, чтобы сделать в web-интерфейсе роутера дополнительный подраздел, что-то вроде "Отчеты безопасности" где собирать и выводить какую-то статистику например по произведенным на роутер сетевым атакам со стороны WAN, выводить отчеты по попыткам сканирования какого-либо перечня опасных портов? А также выводить там все попытки перебора пароля в админку и к другим службам роутера. Попытки перебора паролей Wi-Fi. Ну и конечно же сделать удобный способ бана этих адресов, как в автоматическом, там и в ручном режиме. Этакий форпост безопасности будет. Думаю железо это не нагрузит. А фишка у роутера офигенная будет. Сразу его на голову выше аналогов поднимет. Я понимаю, что какие-то из этих функций уже частично реализованы в том или ином виде. Но пора уже собрать всё это в одном месте. По моему в наше время штука достаточно актуальная. А в перспективе развития различных ботнетов просто необходимая. Так же на любую активность из предложенного списка можно сделать сигнализацию на выбранный светодиод на корпусе роутера. Чтоб вовремя заметить. Или почтовые алерты замутить. Можно так же добавить сюда политику изменения паролей. Например, чтоб напоминала периодически менять установленные пароли.
    23 points
  18. Версия 2.16.D.4.0-2: Исправлены уязвимости класса Kr00k (CVE-2019-15126, CVE-2020-3702) Поправлено описание компонента usbqmi (сообщил @wenderfit)
    23 points
  19. Версия 2.16.D.3.0-2: добавлена поддержка K3/in_rb, DSL/kna_ra, VOX/ina_ra, LTE/ingt_rb. Не работают встроенные телефония и DSL; LTE-модем на LTE работает. Cifs: tsmb поднят по последней версии из 3.03. IPsec: исправлено цепочечное переподключение туннелей (сообщил @r13) IPsec: исправлена работа расписания с L2TP/IPsec (сообщил @keshun) IPsec: убрано ограничение lifebytes DSL: исправлено применение профилей VDSL (сообщил @WMac) storage: отсоединение устройств теперь происходит только при перезагрузке, при отмонтировании последнего раздела все остается как есть (сообщил @T@rkus) opkg: storage: добавлен компонент для проверки и создания файловой системы ext4 Adguard DNS: исправлено определение доступности сервиса SNMP: исправлена ошибка "Bad address" OpenSSL: обновлена версия до 1.1.1f L2TP, L2TP/IPsec клиенты: улучшено завершение сессии, устранены зависания сессии на BRAS kmod-dvb: обновлен до версии 16 OpenVPN: закрыта CVE-2020-11810
    23 points
  20. Версия 2.16.D.2.0-1: 802.1x: исправлена авторизация PEAP/MS-CHAPv2 (сообщил @Алексей Подвойский) Web: добавлено всплывающее предупреждение об отсутствии пароля у пользователя admin SSH: добавлена поддержка chacha20-poly1305@openssh.com Mws: заглушена ошибка "Configurator: not found: "show/mws/associations"" (сообщил @Denis P)
    23 points
  21. Версия 2.16.D.11.0-1: OpenSSL обновлен до 1.1.1k: исправлена уязвимость CVE-2021-3449 исправлена уязвимость CVE-2021-3450 curl 7.76.0: исправлена уязвимость CVE-2021-22876 исправлена уязвимость CVE-2021-22890 OpenVPN: исправлена уязвимость CVE-2020-15078 UsbLte, UsbModem: поправлена работа с tty (сообщил @VL-VL) DLNA: исправлена работоспособность (сообщил @henry.pootel) TSMB: исправлена ошибка доступа [NDMS-1303] TSMB: разрешен вызов SMB_COM_SEEK без установленного флага SMB_FLAGS2_UNICODE [NDMS-1531] DLNA: исправлена ошибка "Exceeded max connections [50], not forking" [NDMS-227] SSL: улучшена совместимость с новой цепочкой сертификатов от LetsEncrypt
    22 points
  22. Версия 2.16.D.10.0-0: Поправлены проблемы с обновлением на устройствах с rt6856 (сообщили @Equalizer, @bardenol, @g7acnt7) LTE: исправлена работа QMI-подключений через дополнительные профили "ip policy" QMI: исправлен возможный сбой при обращении к SIM-карте DHCP сервер: поправлена возможная невыдача адреса ZKLTE, ZKVOX, ZK3: поправлен индикатор USB (сообщил @dmotovilov) curl: 7.74.0 tzdata: 2020f
    22 points
  23. Версия 2.16.D.9.0-0: USB: QMI: бэкпорт изменений из 3.6 wireguard: исправлены kernel crash
    22 points
  24. Версия 2.16.D.2.0-0: добавлено автоматическое отключение USB-накопителей при перезагрузке или отмонтировании последней ФС на нем переназначены OOM-приоритеты процессов для стабилизации работы системы под нагрузкой пакет dvb-tuner возвращен на версию 4.4.2-15 (сообщил @dadaduda) Opkg: добавлен модуль для Web-камер gspca-ov519 Firewall: исправлено сохранение access-list на output (сообщил @r13) Собрано ТОЛЬКО в draft для устройств на 6856/7620/7628. По результатам тестирования стабильности первых двух изменений будет собрано в legacy как обычно.
    22 points
  25. Версия 2.16.D.1.0-2: pppd: исправлена CVE-2020-8597 kmod-opkg-video: добавлен модуль Web-камеры gspca_sonixj (VX-3000) (по запросу @nortel) L2TP/IPsec-сервер: добавлены современные proposals с sha256 KeenDNS: поправлена работа с IPv6 (сообщил @VOG V)
    22 points
  26. Предложение реализовать DNS-over-HTTPS от Google Public DNS по образу и подобию SkyDNS и Яндекс.DNS. Плюсы: 1) Аналог DNSCrypt, но реализация на уровне прошивки; 2) Запросы к DNS Гугла идут по HTTPS, снижая эффективность сниффинга, атак MITM итд.; 3) Отсутствие подмен резолвинга со стороны в т.ч. провайдеров и соответствующих последствий; 4) Поддержка философии открытого интернета и информационной целостности. Подробности и желательные настройки (для гибкости): https://developers.google.com/speed/public-dns/docs/dns-over-https Вариант реализации архитектуры DNSSEC через Google DNS-over-HTTPS (чтобы был опорный код для скорости реализации): https://github.com/behrooza/dnsd
    22 points
  27. Версия 2.16.D.7.0-1: Web: восстановлена работа страницы "Пользователи и доступ" (сообщили @ZlydenGL, @chak7, @stefbarinov, @Игорь Слесаренко)
    21 points
  28. Версия 2.16.D.6.0-0: Opkg: добавлена возможность установки на встроенную flash-память (ZK G3/U2, ZK LTE, KN-1010/1810/1910/2010/2110). Включен zram по-умолчанию на устройствах с < 256 Мбайт ОЗУ (применится после сброса настроек). L2TP/IPsec: исправлена CVE-2020-15173 USB: исправлена процедура сканирования Anydata W140 USB: QMI: добавлена поддержка HP lt4220 и Foxconn T77W676 WiFi система: улучшена работа контроллера на 2.16 с устройствами KN-xx11 исправлена уязвимость CVE-2020-14386
    21 points
  29. Ветка 2.15 переходит в неофициальную категорию legacy: 2.16.D. Скажем так, good old stable. Эта песочница создана для следующих категорий пользователей: желающие остаться на ветке 2.x с ядром 3.4 (по разным причинам) желающие иметь поддержку для устройств на MT7620 и RT6856 и держать их в актуальном состоянии с точки зрения критических багов и уязвимостей По поводу перехода на эту версию смотрите здесь. ВНИМАНИЕ! Для некоторых устройств вместо legacy нужно использовать draft! Выкладывание бинарников для перехода не планируется. Выпуски будут выходить не на регулярной основе, а по мере необходимости. Если найдутся заметные баги - будет пересобираться, если нет - будет лежать долго в одной и той же версии. ВНИМАНИЕ! Это такая же неофициальная версия, как delta и draft. Поддержка по багам и уязвимостям осуществляется на этом форуме. Обращаться с ней в официальную техподдержку бесполезно. Мы тут с вами остаемся один-на-один. Поддерживаемые устройства: все, на которых была 2.15 в том или ином виде. А именно: Keenetic Start II Keenetic Lite II Keenetic Lite III Keenetic Lite III rev. B Keenetic 4G III Keenetic 4G III rev. B Keenetic Omni Keenetic Omni II Keenetic Viva Keenetic Extra Keenetic II Keenetic Giga II Keenetic Ultra Keenetic Ultra II Keenetic Giga III Keenetic Air Keenetic Extra II KN-XXXX Начиная с 2.16.D.3.0-2 также доступна для Keenetic III Keenetic VOX Keenetic DSL Keenetic LTE с некоторым ограничением функций. Полный список устройств с разбивкой по каналам выпуска доступен здесь. Новые устройства, которые выйдут на 3.x и выше в качестве заводской версии, не будут поддерживаться. Версия 2.16.D.0.0-0: Chilli: адаптирована работа с USB-модемами Yota DDNS: исправлена обработка ошибки при назначении профиля на несуществующий интерфейс L2TP: исправлена совместимость с сервисом hidemyna.me по L2TP/IPsec IPv6: форсирована установка TTL в значение 64 во внешнем IPv4-заголовке 6in4 L2TP: восстановлена работоспособность security-level public на L2TP/IPsec
    20 points
  30. Версия 3.7 Alpha 1: Реализована поддержка Keenetic SDK: https://github.com/keenetic/keenetic-sdk [NDMS-1398] Реализован переход на вычислительно эффективный алгоритм приоритетной обработки пакетов при скоростях потоков выше 24 Мбит/с [NDMS-1247] Увеличен встроенный раздел "storage" на устройствах с flash-памятью NAND за счет использования пространства, не задействованного в предыдущих версиях KeeneticOS. В качестве файловой системы используется UBIFS [NDMS-1460] USB: переработан механизм отключения дисков при извлечении накопителя и перезагрузке системы. Исправлена инициализация xHCI-контроллера (сообщил @Unfaithful) [NDMS-1489] USB: добавлена поддержка модемов: MTS 8430FT [NDMS-1221] Fibocom L850-GL/L860-GL [NDMS-1473] DHCP: разрешено добавление маршрутов с адресом 0.0.0.0/0 в опции 121 (сообщил @Alexey Lyahkov) [NDMS-1222] mDNS: добавлена команда управления режимом "reflector" для прозрачной работы между сегментами домашней сети (сообщил @ajs) [NDMS-1418]: mdns reflector enforce — принудительно включить независимо от изоляции сегментов mdns reflector disable — принудительно выключить независимо от изоляции сегментов Заменена команда "interface ip adjust-ttl (set | inc | dec)", отвечающая за корректировку TTL во входящих IP-пакетах [NDMS-1419]: interface ip adjust-ttl recv {recv} TSMB: исправлена совместимость с Sony PlayStation 2 [NDMS-1018] DECT: реализована поддержка DNS SRV при подключении к SIP-серверу [NVOX-317]
    19 points
  31. Версия 2.16.D.6.0-1: NTFS: восстановлено монтирование разделов (сообщили @kis-markiz, @Rootdiv, @Goblin)
    19 points
  32. Планируется ли реализация этой функции в ближайших прошивках после 2.08? C opkg настроил, конечно, но как-то костыльно это выглядит и ненадежно (1. встроенный dns прокси переопределен и в случае отказа dns с шифрованием или самого пакета нужно будет оперативно лезть в телнет, чтобы вернуть dns-override на место. 2. AD перестает работать, так как идущий с ним dns сервер уже нельзя указать как дополнительный в настройках Keenetic). Было бы здорово указать основной и резервный dnscrypt сервер прямо в настройках встроенного dns прокси, прямо в вебморде без всяких флешек с дополнительными пакетами. Яндекс DNS, OpenDSN к слову, шифрование поддерживают. Функция нужная, как защита от MITM.
    19 points
  33. Добрый день. Было бы хорошо добавить отображение на веб-морде информации о текущей гарантии. У всех новых устройствах keenetic гарантия начинает действовать с первого момента подключения устройства в интернет. Когда это было не все помнят или знают. Или может его кто-то уже использовал и вернул в магазин. Тем более когда конечные пользователи покупают устройства б/у. Это очень важный момент!
    19 points
  34. Версия 2.16.D.10.0-1: TSMB: возвращена версия 3020.7.27 (сообщили @Meccep45, @ziv, @kodirovshchik)
    18 points
  35. Здравствуйте, хочу внести предложение и прошу посетителей проголосовать. В веб-интерфейсе кинетика, в разделе обновления прошивки есть прогресс бар внизу странички. Как я понимаю, этот прогресс бар указывает на заполненность памяти. Предлагаю добавить к прогресс бару цифровое обозначение количества занятой и всего доступной памяти. На скриншоте постарался показать примерную реализацию того, что я имею ввиду.
    18 points
  36. Версия 2.16.D.9.0-1: OpenSSL: версия 1.1.1i (исправлена уязвимость CVE-2020-1971) USB: Alcatel: улучшена поддержка IK40V v.01008 OpenVPN: поправлена работа при установленном интерфейсе "via" (сообщил @Евген) VDSL: поправлено определение линка (сообщил @alsergo)
    18 points
  37. Голосование создано по мотивам обсуждения из темы Transmission-cfp fork Суть такова: Добавление опции закачки файла последовательно - от начала к концу в прошивочный торрент-клиент Transmission 2.84. Это позволит смотреть видео файлы прямо в процессе закачки этого файла. Может быть полезно в ситуациях, когда ширина интернет-канала средняя, и это не позволяет быстро скачать тот или иной фильм, но в то же время достаточно, чтобы смотреть параллельно качая. Уважаемый @Le ecureuil отметил, что появление данной опции возможно, если опция будет востребована пользователями. Голосуем, отписываемся. Спасибо.
    18 points
  38. В массовых моделях роутеров до недавнего времени преобладало полное господство SPI-NOR (serial) флэш-памяти. Она недорога, удобна, и очень стандартизована - в принципе, ее можно менять на платах даже между разными вендорами без каких-либо изменений в софте. В том числе, подобные устройства легко ремонтировать при появлении признаков износа - выпаивание старой, прошив и запайка новой микросхемы занимает пять минут с перекурами. Даже более, на многих моделях изначально разводят контактные площадки сразу и под SOIC-8, и под SOP-16, соединяя одинаковые пины и позволяя ставить любую флешку любого формфактора. Но кроме преимуществ у SPI-NOR есть и недостатки. В первую очередь, это скорость записи, которая для сравнимого по цене nand выше почти на 2 порядка. Затем идет высокая удельная стоимость, которая к середине 2010-х годов сравняла по стоимости 16 Мбайт serial-NOR и 128 Мбайт parallel-NAND. Это привело к тому, что начинает использоваться более быстрая NAND-память в параллельном варианте. На данный момент parallel NAND активно вытесняется serial NAND, который собрал самые лучшие черты обоих типов флэш-памяти, но о нем здесь разговора не будет - с точки зрения замены чипов все сильно похоже на serial NOR. Итак, в середине 2010-х годов начинается проникновение parallel-NAND флэш-памяти. С точки зрения износоустойчивости она представляет собой все тот же SLC-тип с 100 000 циклами перезаписи, но с точки зрения софта она изначально выстроена иначе. На NAND-flash допускается наличие видимых пользователю "битых" блоков уже с завода; причем их количество может расти по мере старения микросхемы. Потому применение NAND автоматически влечет за собой использование ECC для проверки данных и систему ремапа "плохих" блоков в "хорошие"; а также их запас на случай замены. Здесь нужно сделать отступление о том, что логическая организация raw flash в Linux не является ни классическим блочным, ни классическим символьным устройством. Существует особая подсистема MTD (memory technology device). Она принимает на вход микросхему NAND в виде "как есть", то есть массив страниц и блоков (страница - минимально адресуемый для чтения/записи элемент, блок - минимально стираемый элемент; обычно блок заметно больше страницы; типичные значения для микросхем в 128 Мбайт: 2 Кбайт на страницу, 128 Кбайт на блок). Затем mtd внутри себя производит операции, за которые отвечает FTL (flash translation layer), например remap плохих блоков, выравнивание износа (wear leveling), особый стиль стирания - и после этого устройство доступно как "обычное" блочное, навроде жесткого диска. Также стоит отметить, что алгоритм работы с "плохими" блоками определяется не столько производителем flash-памяти, сколько производителем NAND-контроллера и драйвера. Например, один и тот же чип flash с геометрией страница/oob/блок 2048/64/128K будет совершенно по-разному вести себя с чипсетом RT63368 (контроллер с т.н. BMT-таблицей) и MT7621 (контроллер со skip-листами). Основная заметная разница между BMT и SKIP в том, что SKIP просто помечает и пропускает "плохие" блоки, но при этом не скрывает их из вида. BMT-контроллер же производит прозрачный remap, и наружу никогда "плохие" блоки не выдает, а только их замены из подменного фонда. Из-за такой очень своеобразной специфики работы для Flash плохо подходят традиционные ФС, особенно журналируемые. Постоянная запись и стирание определенного, строго заданного количества блоков гарантированно выведет их из строя. Поэтому были разработаны как особые ФС (JFFS2, Yaffs2, LogFS, F2FS), так и целые "многослойные" решения (например UBI/UBIFS), которые целиком заменяют весь блочный стек вида "device > device-mapper > lvm > filesystem" на "raw flash > ubi > ubifs (filesystem)", при этом позволяя как эффективно управлять местом, скрывая внутри все сложности FTL навроде wear leveling и обработку "плохих" блоков. Для работы opkg-раздела в итоге был выбран вариант UBI + UBIFS, поскольку при этом максимально рационально используется ресурс перезаписей flash (ubi сам всегда делает wear leveling), а также слой ubi отвечает за обработу видимых "плохих" блоков. Но и это еще не все - поскольку при работе с NAND "все начинается с контроллера", это приводит к несовместмости форматов записанного на flash на разных устройствах. Если SPI-NOR flash можно прошить обычным файлом на ПК через программатор, и это в неизменном виде будет работать на устройстве, то в случае с NAND "программатором" является сочетание "драйвер - контроллер SoC - чип", и записанное на ПК через программатор будет представлять собой кашу с точки зрения SoC. Этот вариант flash можно программировать или напрямую с устройства в замкнутом цикле, или (например) через аппаратные отладчики навроде JTAG. Давайте рассмотрим эту плату: Казалось бы, что такого особенного? Обычный ZK LTE в виде платы с собственной персоной, ничего необычного (кроме отсутствия модема). Если не переворачивать... Что это такое сзади? Давайте рассмотрим поближе Теперь стало понятнее - это сменная панель для корпуса TSOP-48, а именно для микросхем parallel-NAND flash-памяти. Расмотрим еще, как именно панель крепится к плате: В "неофициальных" кругах это чудо инженерной мысли получило прозвище "матерь всех NAND", поскольку именно здесь можно запрограммировать NAND в понятном SoC формате. Чтобы "добить" всю эту историю нужно понять, что процессор должен откуда-то начать загрузку. Да, у него обычно есть выводы, замыкая которые в землю можно выбрать режим flash - SPI NOR / parallel NAND, но от этого не легче. Прочитав нулевую страницу NAND чип увидит только "ff" полностью стертой микросхемы, впадет в осадок и все будет выглядеть как полный кирпич. То есть на устройство нужно записать bootloader, но это невозможно сделать из-за несовместимости форматов, а без него все так и останется кирпичом. К счастью, именно у чипа RT63368 есть встроенная крохотная ПЗУ с микрозагрузчиком. Загрузившись в этот recovery режим можно дальше через xmodem передать драйверы RAM и NAND, включить их в работу и, затем передав через xmodem нужные данные корректно запрограммировать их на flash. Очень удобный способ "вытягивания себя за волосы", и особенно удобный для экспериментов с bootloader. Если на 7621 ваши опыты привели к стиранию flash, то кроме JTAG у вас нет никаких шансов; в случае с 63368 достаточно загрузиться в recovery-режим, записать новый bootloader и продолжить как ни в чем не бывало. Ну и понятно, что на этапе разработки устройств с NAND это устройство на базе ZKLTE очень сильно помогло с разметкой и программированием parallel NAND flash. Все это было написано, чтобы стало максимально понятно, что постоянная мелкая запись на flash - это очень вредно, и ее нужно минимизировать. Если нужен log - лучше разместить его в /tmp. Размещение БД на flash тоже не самая лучшая идея. А в связи с тем, что замена parallel NAND малореальна, то и "убитая" flash остается такой навсегда - до смены устройства. К частью, это касается только испорченных разделов, соседние этому не подвержены. И что радует еще сильнее - новые модели оснащаются уже SPI-NAND, который восстаналивается в программаторе в разы лучше.
    17 points
  39. Так как l2tp/ipsec перестает быть доступным в использовании, и лютое большинство нормальных VPN провайдеров отказалось от него еще в прошлом году, то единственной альтернативой остаются OPENVPN и IKEv2 /IPSec. К сожалению даже самые мощные модели из линейки кинетиков, VIVA, GIGA и Ultra могут пропустить максимум 20 - 25 мбит при использовании протокола OPENVPN. В то время как IKEv2 /IPSec на данных моделях может предоставлять скорость выше 200мбит. По слухам уже вскоре будет выпущено новое ядро для Кинетиков. Большая просьба интегрировать поддержку IKEv2 /IPSec client for VPN providers with a certificate для соединения с современными VPN провайдерами. Спасибо
    17 points
  40. Данная тема создана по следам инструкций по использованию предыдущих версий первой ветки замечательного приложения dnscrypt-proxy, которое автор вернул к плотной разработке, правда, сменив язык на Go. Для начала рекомендую ознакомиться со статьями о первой версии приложения: Установка Замена основного DNS резолвера прошивки резолвером dnscrypt-proxy2 Настройка клиентов на использование dnscrypt-proxy2 в качестве DNS сервера Хранение файлов DNSCrypt и некоторые советы по конфигурации Блокировка рекламы Добавляем возможность разрешать домены в зоне *.lib Перехват всех DNS запросов на роутере. "Приземление" DNS трафика Диагностика проблем с запуском\работой. Опять же все ограничения, которые касались использования первой версии dnscrypt-proxy справедливы и для второй, ссылки на инструкции я приложил выше. Это моя первая инструкция в этом разделе, так что сильно не пинать, а конструктивная критика крайне приветствуется. Если есть, что нужно подправить\доработать - пишите, вместе сделаем использование данного пакета проще и эффективнее. Изменения шапки. В итоге: Защитили весь свой DNS трафик от перехвата со стороны провайдера и Гугла Заблокировали рекламу на всех устройствах домашней сети (это наиболее актуально для всяких Смарт ТВ и других девайсов не нет возможности блокировать рекламу на самом устройстве) Получили разрешение имен *.lib и других, чем немного упростили себе жизнь в все более блокируемом интернете
    16 points
  41. Начиная с версии 2.13.A.3.0-1 в ядре появилась поддержка NFQUEUE и стало возможно использовать наработки от bol-van. Делюсь своим вариантом настройки с нуля. Устанавливаем компоненты системы (через веб интерфейс) : Протокол IPv6. Поддержка открытых пакетов. Перезагрузка. Подключаем entware. Модули ядра подсистемы Netfilter. Перезагрузка. Пакет расширения Xtables-addons для Netfilter. Перезагрузка. Далее работаем по ssh: ssh root@192.168.1.1 Ставим необходимые пакеты: opkg install ipset curl bind-tools iptables cron nano git-http Для того чтобы можно было пользоваться crontab -e в /opt/etc/profile добавляем строку (это не обязательно): export EDITOR='/opt/bin/nano' В файле /opt/etc/init.d/S10cron вместо ARGS="-s" оставляем просто ARGS="" иначе в логах будет мусор каждую минуту. Скачиваем сам скрипт; git clone https://github.com/LukyanovM/zapret.git /opt/zapret в файл /opt/zapret/ipset/zapret-hosts-user.txt добавляем те сайты для которых хотим отключить блокировки: rutracker.org kinozal.tv Генерируем список IP для обхода, эту команду нужно выполнять каждый раз когда вы хотите изменить перечень сайтов в /opt/zapret/ipset/zapret-hosts-user.txt: /opt/zapret/ipset/get_user.sh Делаем пробный запуск: /opt/zapret/init.d/keenetic/S99zapret start Если всё хорошо, то в консоли должно быть примерно так: iptable_raw.ko is already loaded xt_string.ko is already loaded nfqws is installed tpws is installed Restoring ipset Adding iptables rule Starting anti-zapret: zapret. На данном этапе за роутером должны заработать рутрекер и кинозал. Если тут всё нормально делаем симлинк на автозапуск: ln -s /opt/zapret/init.d/keenetic/S99zapret /opt/etc/init.d/S99zapret У скрипта 3 режима работы Fragmentation - принудительно выставляется малый размер TCP окна, в результате чего пакеты фрагментируются и не попадают под анализ DPI. Используется NFQUEUE. Самый быстрый режим. Установлен по умолчанию. Работает в IPv4 для HTTP и для HTTPS (не всегда) Modification - прозрачное HTTP проксирование с модификацией HTTP заголовков. Работает в IPv4 и в IPv6 но только для HTTP Combined - комбинированный режим. Для HTTP используется проксирование(tpws), для HTTPS - фрагментирование пакетов(nfqws). Обязательная часть на этом закончена. Дальнейшее касается выгрузки из РКН и может быть пропущено. Для этой цели есть два скрипта: get_reestr.sh и get_antizapret.sh. Первый берет оригинал реестра и парсит его в айпи самостоятельно - нагрузка низкая, но парсить может сутками. Второй берет готовый список айпи с antizapret.prostovpn.org, отрабатывает за полминуты. Я использовал второй вариант: /opt/zapret/ipset/get_antizapret.sh Cейчас за роутером должно заработать всё. Осталось только вставить в cron актуализацию выгрузки: cp /opt/zapret/ipset/get_antizapret.sh /opt/etc/cron.daily/get_antizapret.sh Правим cron скрипт /opt/etc/cron.daily/get_antizapret.sh: Строку SCRIPT=$(readlink -f $0) удаляем, а строку EXEDIR=$(dirname $SCRIPT) меняем на EXEDIR=/opt/zapret/ipset Теперь роутер сам каждую ночь будет обновлять выгрузку. Чтобы отключить обход блокировок достаточно выполнить команду (действует до перезагрузки) : /opt/etc/init.d/S99zapret stop UPD: Если протокол HTTPS так и не заработал можно настроить прозрачное проксирование через тор или пустить заблокированный трафик через штатный openvpn.
    16 points
  42. Версия 3.7 Alpha 14: Реализовано обнаружение петель между портами коммутатора и подавление широковещательной рассылки. Функция работает на встроенных коммутаторах mt7530 и rtl8370mb устройств Keenetic Giga (KN-1010, KN-1011), Ultra (KN-1810), Viva (KN-1910), DSL (KN-2010), Duo (KN-2110), Hero 4G (KN-2310), Giga SE (KN-2410), Ultra SE (KN-2510), Giant (KN-2610), Speedster (KN-3010), и также Giga III [SYS-217, SYS-218, SYS-264, SYS-272, NDM-1679, NWI-322] Web: реализовано графическое отображение уровня сигнала на встроенных LTE-модемах и модемах, подключенных по USB [NWI-324] Opkg: добавлен вызов обработчика /opt/etc/ndm/sms.d/* при получении SMS-сообщений [NDM-185]
    15 points
  43. Планируется ли вернуть URL фильтрацию (как это было на 1 версиях прошивки для старых белых кинетиков) ? в тв начали пихать рекламу в смарт, хочу заблокировать.
    15 points
  44. Версия 3.7 Alpha 6: Компонент IntelliQoS заменен на Traffic Classification Engine. Реализовано распознавание и классификация приложений и протоколов. В web-интерфейсе, на вкладке "Монитор трафика" появились диаграммы "Категории" и "Приложения". В разделе "Статус" появился новый пункт "Application Traffic Analyzer". Новые разделы становятся видны после установки компонента ntce и включения службы: service ntce. Компонент работает полностью автономно и не выполняет никаких обращений к внешним сервисам. [NDMS-1476, NDW-2109] Web: в настройках HTTP-прокси разрешено указывать IP-адрес и FQDN в качестве адреса назначения [NDW-2201] Web: исправлена сортировка в разделе "Другие подключения" [NDW-2169] DLNA: исправлена ошибка "minidlna: Network interface br1 not found" [NDMS-1604] IPv6: исправлена автоматическая настройка IPv6-адресов на ретрансляторах, добавленных в Mesh-систему [NDMS-1475] Transmission: исправлено переключение языка в Web-интерфейсе [NDMS-1541] OpenVPN: устранена уязвимость CVE-2020-15078
    15 points
  45. На форуме уже пару раз возникал вопрос о периодическом бэкапе конфига. Но не менее обидно потерять свои наработки в entware. В данной статье выложен простой скрипт, который запускается по cron и сохраняет содержимое /opt, конфига и прошивки. Есть возможность отказаться от бэкапа любого из указанных компонентов. Резервная копия прошивки не сжимается архиватором, т.к. файл прошивки и так уже максимально упакован. Старые архивы в соответствии с установленным интервалом времени удаляются. Предварительно необходимо изменить настройки скрипта в разделе конфигурационных параметров. Данная резервная копию может использоваться как для полного, так и частичного восстановления entware. Информация об этом дана в конце статьи. Для нормальной работы cron entware д.б. установлена на раздел с файловой системой ext2/ext3/ext4. Устанавливаем и запускаем cron opkg install cron /opt/etc/init.d/S10cron start В каталоге /opt/etc/cron.daily создаем файл backup и размещаем в нем следующий код: Делаем файл backup исполняемым: chmod +x backup В данном скрипте предусмотрено исключение определенных каталогов (например, tmp, var/log). Бэкап производится на другой диск (флэшку). Если будете бэкапить содержимое на этот же диск, не забудьте добавить каталог с архивами в исключение. Иначе скрипт будет выполняться, пока не закончится место на диске. Архивы хранятся 8 дней (переменная DAYSTOR). Новый архив конфига создается только в том случае, если произошло его изменение. При этом не учитывается MD5 и строка "clock date". Информация о ходе бэкапа передается в syslog. Если эта информация нужна, и syslog у вас еще не настроен, то рекомендую его включить, как указано в соответствующей статье. Если не нужна, то ничего делать не нужно. Как минимум в данном коде вам необходимо изменить переменные BACSTORDIR и BACNAME. Всё. Каждую ночь будет сохраняться свежая копия entware и конфига роутера. Использование сохраненной резервной копии. По восстановлению конфига роутера вопросов возникнуть не должно. Распаковываем файл командой gzip, копируем его себе на устройство и далее его можно загрузить в роутер через соответствующий пункт в веб-интерфейсе ("Система-Файлы"). Пример команды для распаковки конфига: gzip -d config-2016-11-29.gz Таким же образом можно воспользоваться сохраненным файлом прошивки. Теперь о том, для чего делается резервная копия entware и как можно использовать полученный архив. Возможны случаи, когда мы наставили большое количество пакетов (какие не помним, они начали работать некорректно и т.п.), но точно знаем что хотелось бы вернуться на состояние "как было пару дней назад". Или еще хуже в результате экспериментов удалили системные файлы entware, полностью нарушив ее работу. Или вышел из строя диск (флэшка). 0. Подготовительная стадия. Предполагается, что у нас есть чистая entware, используемая для функции восстановления. Например, отдельная флэшка или раздел на диске/флэшке (далее диск восстановления - ДВ). На нем предварительно установлены утилиты для работы с диском (создания разделов, форматирования файловой системы): opkg install fdisk tune2fs e2fsprogs Через веб-интерфейс в разделе "Приложения-OPKG" подключаем entware с ДВ. 1. Создание раздела на диске. В моем примере восстановление entware будет выполняться на второй раздел флэшки (диск /dev/sda). ДВ находится на первом разделе флэшки. Используемая файловая система для entware - ext2 Создаем раздел диска через fdisk. Если на новом диске есть какие-то не нужные разделы, то их также можно удалить (см. help по команде "m"). 2. Форматирование раздела. Создаем ФС ext2 с меткой KINGSTON2 и UID (для удобства работы c OPKG) 00000000-0000-0000-1111-000000000002: Создаем каталог /tmp/mnt/KINGSTON2 и монтируем вновь созданную ФС: mount /dev/sda2 /tmp/mnt/KINGSTON2 Предполагаем, что архив entware уже находится на ДВ в /opt/tmp/king3-2016-12-06.tgz 3. Восстановление и запуск entware. Запускаем восстановление entware и создаем каталоги, которые мы не включили в резервную копию: Запускаем восстановленную entware в веб-интерфейсе. Примечание: Пункты 0-2 можно пропустить, если раздел для entware создается на каком-то другом устройстве (например, ПК). Также для простоты, используя midnight commander (opkg install mc), можно в архиве entware просмотреть интересующие нас файлы или скопировать их в какой-то другой каталог. Возможно извлечение и просмотр отдельных файлов и через команду tar.
    15 points
  46. Версия 2.16.D.8.0-2: tzdata: обновлено до версии 2020b TSMB: возвращена версия 3020.7.27 (сообщили @SplinterVS, @Meccep45, @ZlydenGL)
    15 points
  47. Версия 3.5 Alpha 1: IPsec: реализован IKEv2 клиент (по просьбе @diam) в виде отдельного компонента IPsec: реализован IKEv2 VirtualIP-сервер на основе сертификата Let's Encrypt crypto virtual-ip-server-ikev2 IPsec: реализован подсчет трафика VPN-клиентов Virtual-IP IPsec: реализован компонент ESP ALG ip esp alg enable Wi-Fi: реализована поддержка Fast Transition в режиме WPA3-PSK (FT-SAE) Wi-Fi: реализован раздельный кеш PMK для FT и WPA3 Wi-Fi: исправлен GTK rekey для клиентов, перешедших по FT (чипы mt7615/mt7613) Wi-Fi: исправлено переполнение хранилища PMK-R1 ключей для обслуживания Fast Transition Wi-Fi: реализована привязка устройств к диапазону: interface {Bridge} mac band {mac} (0|1) — при указании 0 (2,4 ГГц) или 1 (5 ГГц) принимать подключение устройства {mac} только к одному диапазону, и игнорировать попытки подключения к другому DNS: реализован интернет-фильтр CloudFlare (по просьбе @mega1volt) cloudflare-dns check-availability cloudflare-dns assign {mac} (standard | malware | family) cloudflare-dns enable show cloudflare-dns availability show cloudflare-dns profiles HTTP: реализован случайный ключ для сессионных cookie SSTP: улучшена совместимость с клиентом AnyVPN SSTP Connector USB: добавлена поддержка модемов: MTS 8810 FT Quectel EP06 (QMI) Web: улучшен дизайн плашки Private Cloud Web: исправлена кнопка "Удалить расписание" (сообщил @Alexander) Web: исправлена валидация настроек подсети сегмента DECT: переработана система настроек (Внимание: опасно, возврат на версию 3.4 и ниже приведёт к потере конфига) Известные ошибки DECT: слетает регистрация трубок (сообщил @KorDen)
    15 points
  48. Версия 2.11.D.2.0-0: ACME клиент: бекпорт из 2.15: поддержка ACMEv2, удаление поддержки ACMEv1 обновлен openssl до 1.1.1c удален компонент cloudcontrol2 как неподдерживаемый L2TP/IPsec сервер: исправлено сохранение MTU/MRU kernel 3.4: рефакторинг механизма возврата памяти из кэша
    15 points
  49. Тестовая версия 2.16.D.11.0-2: Wi-Fi: исправлены все выявленные уязвимости из серии FragAttacks: CVE-2020-24586 CVE-2020-24587 CVE-2020-24588 CVE-2020-26139 CVE-2020-26140 CVE-2020-26146 CVE-2020-26147 Пока собрано только для устройств на rt6856 и mt7620 и только в канал draft, просьба протестировать.
    14 points
  50. На официальной странице отсутствует инфа по настройке Wireguard через CLI. Набросал краткую инструкцию, как поднять Wireguard сервер через командную строку кинетика: Сегодня утром на Wireguard измерил скорость, дошла до 40 Мбит/сРаньше на тоннеле IPsec не поднималась выше 26 Мбит/с Спасибо Le ecureuil
    14 points
This leaderboard is set to Moscow/GMT+03:00
×
×
  • Create New...