[Создание безопасного режима]

вроде в прошивке padavan так было (и есть наверно) - настраивается режим записи настроек, при изменении или вручную кнопкой записать. так и cli работает - вначале правим, потом вручную сохраняем. странно что в вебе такой возможности нет- очень полезная фича

[Пользователи, группы...]

спасибо! чтот застрял...

cat /opt/usr/sbin/privoxy-su

#!/opt/bin/sh

su privoxy -p -c "privoxy $1 $2 $3 $4"

так запускается: privoxy-su /opt/etc/privoxy (процесс в ps w есть)

а если в /opt/etc/init.d/S24privoxy написать PROCS=privoxy-su - не запускается

~ # /opt/etc/init.d/S24privoxy start
 Starting privoxy-su...              failed.

кажется оно не уходит в background... присобачил перед "su ..." sudo -b" и заработало но наверно как-то криво. как правильно?

 

[Пользователи, группы...]

добрый день. подскажите, никак не найду, как запустить приложение (службу) (пример - privoxy) не от рута, а от другого пользователя, если в самом приложении такой настройки нет? в файле /etc/init.d/S24privoxy и других нет такой настройки... например systemd юнитах это  как-то так [service] USER=privoxy GROUP privoxy; а как это сделать в entware?

[Общая тема по уведомлениям о событиях]

добрый день. а планируется ли, может в далеком будущем, уведомления в браузере?

[ошибки в логе invalid domain name с именами устройств с подчеркиванием]

50 минут назад, r13 сказал:

Txt запись это просто текст, туда хоть отрывок из войны и мира  можно писать.

отрывок из войны и мира длиной символа (и это если латинскими буквами, кириллицей намного меньше). 63 ASCI символа там лимит

если имеете в виду содержимое txt записи, то как это связано с ограничениями в именах занисей?

[ошибки в логе invalid domain name с именами устройств с подчеркиванием]

блин, не хочется уводить тему в сторону... растолкуйте пожалуйста, что значит "DNS host names can't contain the following characters:" это именно имена windows хостов? ну потому что в txt записей точно должны поддерживаться "_" иначе никак не получится включить dmark для почтового сервера. ну и letsencrypt dns-подтверждение тоже "_" использует, только там в начале, не в середине имени

 

[ошибки в логе invalid domain name с именами устройств с подчеркиванием]

 

Очень немало такой красноты в логе

и так с тампой (выше), с умной розеткой, с планшетом. это при включенной опции в ip dhcp pool  update-dns.. 

Создавал уже такую же тему в ветку 3.5, но там все закончилось обсуждением что dns серверы вообще не должны такие записи добавлять - поддерживать. Совершенно против захламления форума, но наверно продолжать там тему неправильно, т.к. ветка 3,5 уже неактуальна.

Это баг или фича? 

[Множество одинаковых сообщений в логе от wireguard]

Там написано system log suppress transmissiond. Переделывая под этот случай, что писать - system log suppress kernel? Но тогда и другие сообщения от kernel пропадут

[Множество одинаковых сообщений в логе от wireguard]

Добрый день. Возможно ли как-то ограничить количество одинаковых сообщений типа

 

роутер в роли клиента (за nat), были проблемы с интернетом на нем, и был остановлен wireguard сервер. При подключении через пару минут в журнале роутера ничего не разобрать, половина сообщений - ошибки подключения wireguard. 

[Общая тема по уведомлениям о событиях]

Добрый день. Раз это общая тема.. Очень хочется уведомление что устройство включилось после нажатия на кнопку WOL (которая в свойствах в верхнем правом углу). Да, в приложении есть возможность отправлять уведомления при подключении-отключении, это крайне неудобно, слишком много лишних сообщений (при использовании wake-on-lan, например, раз в неделю, а комп автоматически уходит в сон через час и т.д.) ... 

[VPN подключения (клиенты) в дашборде]

Добрый день. Добавьте пожалуйста отображение текущих VPN подключений  (клиентов) в Системном мониторе, с выводом протокола (SSTP, OpenVPN, Wireguard, IPSec), имя пользователя, локальный (vpn) ip (и, если возможно, внешний адрес).

 

[VPN: доступ к устройствам локальной сети из Интернет]

Добрый день. Если хочется иметь доступ из интернета через VPN к локальным ресурсам, со снятой галочкой "Использовать для доступа в интернет" - не работает. (Наверно, входящий трафик идет через VPN в локалку, а ответы из локалки идут через основной интернет-подключение? )

 

 При установленной галочке "Использовать для доступа в интернет" все ок, но при (плановом?) обрыве pppoe сессии/переподключении провайдера роутер пробует переключаиться на "резервное" (т.к. стоит эта галочка), VPN подключение. Ну и на некоторое время интернет не работает.... или вообще, остается висеть на VPN соединении. Есть раздел приоритетов подключений, не помогает. 

Было бы замечательно иметь возможность использовать VPN для входящих соединений из интернета (или, если конкретно, из сетей, которые доступны и через основное подключение) - настройку в web-gui или в cli.

[Возможность создавать свои "интернет-фильтры"]

к сожалению почему-то нет возможности отредактировтаь, потому дополню здесь...

хотелось бы

1) Чтобы с компьютеров (где гораздо эффективнее работает какое-то расширение браузера) не было фильтра

2) на планшете/телефоне/приставке был фильтр но не adguard и проч. встроенный в прошивку а работающий на каком-то устройстве в сети (типа pi-hole или adguard home) который можно подкрутить по своему желанию (например, adguard иногда блочит не то что нужно например не всегда работает переход в магазин с кэшбэк сервиса)

[Имя хоста keedns в Title страницы]

В 03.08.2020 в 05:01, Mamay сказал:

А если не используется ddns как быть? 

hostname роутера например

 

 

[Возможность создавать свои "интернет-фильтры"]

Очень классная штука эти интернет-фильтры, и много их добавлено, но т.к. это просто dns сервера, было бы здорово иметь возможность создавать свои. 

Это полезно, например, если где-то в сети (или на самом роутере..) стоит adguard-home ну или pi-hole, или что-то еще. Или dns сервер с фильтрацией которого еще нет в "интернет-фильтрах". 

 

 

[Более наглядное отображение dns серверов для отдельных доменов в дашборде]

В разделе "Сетевые правила" - "интернет-фильтр" все хорошо видно, табличка "сервер" - "домен"  (или пустое место для всех прочих запросов" - "подключение".

В дашборде в спойлере "подробнее о соединении" "DNS-серверы" все dns-сервера кучей, без каких-либо различий. Пожелание как-то "облагородить" этот список, например, или вообще убрать днс-сервера для отдельных доменов (в информации о подключении не очень-то нужны..) или как-то (бледным цветом или курсивом) отметить ну или вообще подписать. Особенно интересно этот список выглядит, когда несколько записей (несколько доменов) с одним днс сервером.

[Ошибки в логах при включенному update-dns и имени устройства с подчеркиванием]

Это совершенно не мешающая и не влияющая ни на что проблема, просто "неприятные" красный строчки в логе...Они появляются когда в настройках dhcp пула стоит update-dns. Конечно, после переименования устройства проблема пропадает. Но было бы здорово если бы такие (недопустимые, с символом подчеркивания) просто игнорировались (при автоматическом добавлении в dns)

ndm

Dns::Manager: invalid domain name: yeelink-light-bslamp2_mibt32A

Май 6 08:36:02

 

ndm

Dns::Manager: invalid domain name: yeelink-light-bslamp2_mibt32A5.mynet.lan.

 

 

[Заголовок X-Forwarded-For не передается]

Вот при открытии того же адреса с телефона с мобильного инета (роутер за NAT, провайдер выдает серый ip типа 10.25** - так что точно через облако)

192.168.1.1 - - [04/May/2020:17:52:52 +0300] "GET / HTTP/1.1" 302 5 "-" "Mozilla/5.0 (Linux; Android 10; HD1900) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.162 Mobile Safari/537.36"

[Заголовок X-Forwarded-For не передается]

 

 

Добрый день. Вот тут написано что это в Реализованных пожеланиях. Пробую - не хочет работать (что-то не так делаю??)

    set_real_ip_from 192.168.1.1;
    set_real_ip_from 192.168.1.0/24; # для теста
    real_ip_header X-Forwarded-For;
    real_ip_recursive on; # наверно необязательно?

Вот что в логах после после curl http://192.168.1.30 -H "Host: <domain>.keenetic.link" -H "X-Forwarded-For: 1.2.3.4"

1.2.3.4 - - [04/May/2020:11:43:12 +0300] "GET / HTTP/1.1" 302 5 "-" "curl/7.54.0"

Вот что в логах после curl http://<domain>.keenetic.link" (т.е. идет через облако)

192.168.48.1 - - [04/May/2020:11:45:54 +0300] "GET / HTTP/1.1" 302 5 "-" "curl/7.54.0"

 

Возможно что-то делаю не так? Или что-то не так работает? 

 

 

[Ошибка в статье или некорректная работа авторизации на прокси?]

Спасибо, понятно. 

[Ошибка в статье или некорректная работа авторизации на прокси?]

Добрый день. Не знаю куда уж писать.. В статье комменты закрыты (почему?)

В статье "Включение авторизации для устройства с открытым веб-интерфейсом, при использовании удаленного доступа через службу KeenDNS" написано

Теперь при открытии в веб-браузере адреса qnap.myrouter01.keenetic.pro вы увидите точно такое же окно авторизации, как при заходе на сам Keenetic по адресу myrouter01.keenetic.pro.

Не, не такое же, а обычное окошко авторизации (basic-auth?) Это баг или так и должно быть, и в статье не верно написано? Или не так понимаю смысл "точно такое же".. 

Вот то, что на картинке неудобно тем, что, например, не все браузеры позволяют сохранить пароль

[Отображение в журнале при sstp (через облако) подключении внешнего ip роутера вместо ip адреса клиента]

Не знаю корректно ли писать в разделе текущей версии, т.к. это было и раньше.

Проблема в общем-то косметическая но тем не менее... При подключении через клиента (клиент Windows, не другой роутер если это важно) в Системном журнале отображается следующее

Фев 18 15:54:09 ppp-sstp
sstp: proxy: connection from 10.255.222.15:55304
Фев 18 15:54:09 ppp-sstp
ppp1:: connect: ppp1 <--> sstp(10.255.223.29:55304)
Фев 18 15:54:09 ppp-sstp
ppp1:toff: toff: authentication succeeded
Фев 18 15:54:09 kernel
sstp0: renamed from ppp1
Фев 18 15:54:09 ndm
SstpServer::Manager: user "remoteuser" connected from "10.254.221.15" with address "172.16.5.38".

собственно 10.255 - серый ip провайдера. Собственно, SSTP-сервер работает через облако.

Сорри если чего-то недопонимаю, но кажется в последней строчке должен быть адрес клиента. Ну или что-то иное, никак не внешний ip роутера. 

[Разрешение имен локальных хостов]

Хотелось бы добавить в голосовалку следующее пожелание.

Возможность где-то в веб-интерфейсе (например, на странице сегмента сети, если возможно) поставить выпадающий список типа "разрешать адреса dns-сервером keenetic" и опциями "автоматически добавлять по hostname" (dnsmasq. windows dhcp+dns и прочие так умеют) "вручную" (зайти в свойства устройства и поставить галочку), "отключено".  Возможность включать DHCP Option 15 тут же. И галочку вроде "дополнять все короткие dns-имена доменным именем" для пущей надежности разрещения имен (оно ведь точно ничего не сломает, в интернет такие за запросы все равно ходить не должны) (конечно должно включаться только при "автоматически" или "вручную")

В статье Каким образом можно указать доменные имена устройствам в локальной сети Keenetic?  все уже есть, но через cli + нужно указываеть полное доменное имя. И, если правильно понимаю, в случае, если по какой-то причине домен захотелось сменить - нужно менять и все записи... А вариант с DHCP Option 15 тоже cli (хотя бы в gui галочку...)+ полагается на клиент и может не отработать

Да, в курсе про entware и dnsmasq. В курсе возможности в cli. Но очень хочется прекрасного юзерфрендли и чтоб все само... И да, LLMNR не так надежен и не на всех устройствах есть, в отличие от DNS.

[Защита от перебора пароля блокирует внешний адрес самого роутера]

почему-то нет кнопки "редактировать"

поторопился и не знал про команду ip http log auth, теперь в логах 

Июл 28 14:41:17

Июл 28 14:41:17 ndm
Core::Scgi::Auth: authentication failed for user admin.

без адреса откуда логинился пользователь - хотя этой строчки вообще не должно быть, судя по статье...

 

[Защита от перебора пароля блокирует внешний адрес самого роутера]

Заранее извиняюсь если чего-то не понимаю, тогда просьба указать в чем ошибаюсь... 

Захотелось попробовать поперебирать пароль к своему роутеру. Как указано в статье тут после 5 попыток доступа адрес "атакующего" должен быть заблокирован.

Июл 28 13:57:57 ndm
Netfilter::Util::Conntrack: flushed 106 IPv4 connections for 10.255.216.247.
Июл 28 13:57:57 ndm
Netfilter::Util::BfdManager: "Http": ban remote host 10.255.216.247 for 15 minutes.
Июл 28 13:58:34 ndm
Io::TcpSocket: failed to connect: operation timeout.
Июл 28 13:58:34 ndm
Cloud::Tunnel: "NDNS/<censored>": failed to connect to 10.255.216.247:443 - operation timeout.

пробую несколько раз заведомо неправильный пароль с мобильного интернета. Но мне кажется что адрес 10.255 не может быть адресом телефона (он хоть и за нат но адреса начинаются со 100.* должен быть виден внешний адрес оператора по идее)

Доступ к веб интерфейсу разрешен - через облако. В статье в базе знаний Функция-защиты-от-перебора-паролей-для-доступа-к-интернет-центру вообще написано "Функция защиты от перебора паролей не работает через службу KeenDNS в режиме "Через облако". Т.е. вообще ничего банить не должно (или статья уже неактуальна к бета-версии 3.0/3.1?)

Странно еще что в статье на скриншоте логи неуспешных попыток авторизации - адрес, пользователь. Ничего подобного в логе нет.

Версия  3.1 Beta 2