avanti-sysadmin

Вернул везде на старую прошивку 2.11.C.1.0-3. Опытным путём выяснил, что проблемы были только с VIVA и с GIGA II, а моделью II проблем не было.

Прошивка была именно 2.11.C.1.0-3, нашел один необновлённый роутер (но только VIVA, к сожалению) с ней, забрал, поставил. Но там нет компонентов IP-IP/GRE, а они теперь нужны, их уже не поставишь без обновления прошивки (а новая прошивка сбойная). Всё равно просьба исправить баг с IPSec в новой прошивке 2.13.C.0.0-4. Спасибо!

Один из роутеров Giga II, тоже "упал", соединение вроде есть (с обеих сторон), но данные и пинги не ходят. Попытка отключить и включить соединение не помогают. Помогает только перезагрузка роутера. Обращаюсь к разработчикам - просьба помочь с исправлением бага, могу выслать логи...

Галка "Автоподключение" и "Nailed-up" взаимоисключающие? Но вопрос в том, что есть ряд точек, где такие же настройки и там ничего не падает (версия кинетик ос та же). Мне кажется, это не вопрос настроек, а где-то есть баг, которого не было в более ранней прошивке... Именно эти настройки были в старой прошивке и всё работало без сбоев. И сейчас есть ряд точек, где стоит DSL (2.11.C.1.0-3) и там такая же настройка и нет сбоев.

Может в новой версии что-то требуется поменять в настройках? (роутеры кинетик у меня являются клиентами, т.е. именно они "поднимают" соединение)...

Добрый день! Обновился на одном роутере (Keenetic II) до 2.13.C.0.0-4. Вроде выглядело всё стабильно, обновил остальные (Keenetic Viva / II) - IPSec падает каждый день. Точнее, не падает, а на роутере выглядит живым, но соединения (пинги, данные) не идёт. Перезагружаешь роутер - всё ок. Если не перезагружать - то просто перезапустить IPSec не получается, не поднимается. Вроде бы проблема касается только Keenetic Viva, наблюдаю... До этого была какая-то версия, которая кончалась на 3 (вроде из серии 2.13, хотя может и 2.11-2.12). Сдуру обновил, не скачав старую прошивку себе на комп Найти такую прошивку не могу здесь: http://files.keenopt.ru/experimental/Keenetic_Viva/ Единственное, что нашел, это kng_rc_draft_2.12.A.1.0-4.bin, но там есть надпись жёлтая "Экспериментальная версия" (или что-то подобное), а в моей - не было. И даже если её поставить, в ней куча ненужных компонентов, и одного нужного нет (SNMP), а если их поставить/удалить, то прошивка станет 2.13.C.0.0-4, т.е. проблемной... Просьба помочь, если это возможно. Спасибо!

Неужели нужно дождаться момента взлома, чтобы начать действовать? У меня нет желания, чтобы взломали (а сеть большая и точек с кинетиками много и вай-фай на многих из них используется для дела), поэтому и хочу превентивно защититься...

TheBB скинул ссылку, там пишут, что в прошивках 2.10.B.0.0-0 от 13.10.2017 и 2.11A 4.0-1 от 7.10.2017 эта уязвимость (частично) решена. Но где такие взять? http://files.keenopt.ru/experimental/ тут нет http://files.keenopt.ru/firmware/ тут тоже нет В этом и был вопрос... надо обновиться на последнюю из тех, что на сайте (draft или delta) и далее обновится средствами самого роутера?

Роутеров много, DSL / II / Giga II / Viva. Везде прошивка одна 2.09.C.1.0-0. Хотелось бы закрыться от этой уязвимости, но стабильность (в первую очередь IPSec и SNMP) тоже важна, так как сейчас всё работает стабильно...

Я правильно понимаю, нужно ставить последнее, что есть на сайте, и далее обновляться в автоматическом режиме?

А где эти прошивки найти? http://files.keenopt.ru/experimental/ здесь настолько свежих нет...

https://habrahabr.ru/company/pentestit/blog/340182/ http://www.kb.cert.org/vuls/id/228519 Добрый день! Просьба обратить внимание. Спасибо!

Благодарю!

Жду обновку. Благодарю!

Полный сброс приведет к последней релизной 2.0.5? Или оставит ту, что есть 2.0.8? Дефолтное значение для SNMP при любом раскладе - Не установлено. А ставить галку на SNMP и "Установить" нельзя, зальётся 2.0.9.0.4 (последняя)... а она сбойная...

Я слил, но только с одного DSL, но там другая конфигурация (без SNMP)... про компоненты не подумал... урок мне на будущее... Что можно сделать, если прошивки с включенным SNMP нет? Как и нет прошивки с кучей удаленных ненужных компонентов...

Добрый день! Большой парк Zyxel Keenetic (DSL, II). Долгое время они работали на версии v2.08(AAGK.0)C1. Мне требуется SNMP и IPSec (всё работает, всё ок). Месяца два роутеры начали показывать, что есть обновление до 2.09.C.0.0-2, я обновил один, потестировал, вроде всё работает. С неделю назад обновил ряд роутеров до 2.09.C.0.0-4 (оно было самым свежим). Итог - SNMP не работает. Картинку прилагаю. Возвращаю назад, заливаю что kna_ra_delta_2.09.C.0.0-2 (из файла), что kna_ra_delta_2.08.C.1.0-0 (тоже из файла) - итог - система обновляется, но SNMP отключен (галка на установлена). Ставишь её... и не можешь нажать на Установить, так как "Платформа NDMS" тоже обновится на 2.09.C.0.0-4 (а она сбойная)... Итог - есть ряд роутеров, на которых не могу включить SNMP. Как включить SNMP (и отключить ряд других дефолтных пакетов), не обновляя платформу? Неужели ждать новую прошивку, где баг SNMP исправлен? Наблюдение: на некоторых роутерах DSL в ошибках видел строку "too short mac address:" (много раз). А на некоторых (как на скрине) - её нет. Информация о конфигурации: На всех роутерах кроме основного проводного интернета подключен резервный LTE-модем. Спасибо за помощь заранее! p.s. радует хоть то, что IPSec не выключается после загрузки прошивки из файла... а то вообще попал бы... p.p.s. интересное наблюдение - на роутерах Giga II, тоже обновившихся до 2.09.C.0.0-4 - проблемы с SNMP нет.

Добрый день! Только недавно увидел, что для Keenetic DSL появились свежие прошивки (с поддержкой IPSec и SNMP). Спасибо за это! У нас много DSL, которые теперь используются не как DSL. И IPSec не поднять было. Теперь это возможно. Хотя полгода назад мне на форуме здесь писали, что в DSL IPSec не будет... Почитал здесь (внизу): https://forum.keenetic.net/announcement/5-где-взять-тестовые-прошивки/ Насколько опасно использовать эти прошивки на продакшене? Тот же вопрос применительно к Keenetic II. Спасибо!

Починил, работает. В МСЭ зачем-то указывал оба порта 161 (и in, и out). Сам ошибся - сам поправил. Спасибо!

Добрый! alekssmak, присоединяюсь... та же песня, иногда само по себе разрывается, и назад само не поднимается... заходишь, нажимаешь применить - поднимается заново, всё ок... Просьба сделать (если уже не сделано) автоматическое "поднятие". Спасибо!

А есть ли какая-то форма настройки SNMP в админке (или телнетом)? Порт поменять, т.д.?

service snmp system configuration save Делал, конечно же... ведь с внутреннего интерфейса 192.168.x.x всё работает... По части ботов - открывать 161 я собирался только для одного IP (удаленного, мой сервер заббикса). Попозже открыл на всё, чтобы протестировать. Но увы, с внешнего не видится. По части запрещающих всё (Deny all входящее). Я такое правило на Zyxel Keenetic'ах не прописывал никогда и оно работало, я делал вывод, что оно дефолтное в системе и стоит последним. Нет? В Zywall'е проще, там ты рулишь сам...

Я делал оба варианта, и TCP и UDP. Увы, на всех отваливается по таймауту. Провайдер не блокирует точно, так как другие роутеры (Zywall) на этом же провайдере отлично видны извне.

Добрый день! Про SNMP (Keenetic Viva, v2.08(AANT.0)B0). Не вижу устройство по внешнему интерфейсу (извне). По внутреннему snmpwalk -v2c -c public 192.168.х.х всё работает. Разрешающие правила для нужного WAN-интерфейса UDP и TCP с/на порт 161 в Межсетевом экране есть. Не подскажете, где собака порылась? Спасибо!

Добрый день!У меня несколько вопросов к гуру Очень рад тому, что в Zyxel Keenetic II появился VPN IPsec, наконец-то я смогу связать наш офис (Zywall USG 50) с точками (там роутеры серии Zyxel Keenetic). Вопрос №1. У нас большое количество Zyxel Keenetic DSL, на них в обновлениях еще нет VPN IPsec, будет ли и когда? Вопрос №2. Тот же вопрос про Zyxel Keenetic 4G Вопрос №3. Тот же вопрос про Zyxel Keenetic Viva Вопрос №4. Если на этих устройствах IPsec не ожидается, как поднять его там нештатно (желательно не меняя прошивку)? Вопрос №5. Немного с другой области... Если я поднимаю туннель IPsec на Zywall USG 50 в офисе (серверную сторону), а на точках стоят Zyxel Keenetic II с включенным IPsec (клиентская сторона), сколько таких точек может быть подключено одновременно? На всех точках и в офисе - статический белый IP. Спасибо огромное!