Report post 04/11/2018 02:56 PM Где в новом веб-интерфейсе фильтрация по mac адресам? 11 1 Share this post Link to post Share on other sites
1 Report post 05/30/2018 03:16 PM В 11.04.2018 в 17:56, blbulyandavbulyan сказал: Где в новом веб интерфейсе фильтрация по mac адресам? Есть новости. Мы с отделом продукции проанализировали, как использовались черные/белые списки. Публикуем выводы здесь. Давайте обсуждать. Возможно, какие-то детали изменятся. Черные/белые списки Wi-Fi Признаём, проблема, вызвавшая весьма негативную реакцию. Из-за удаления черных/белых списков у пользователей пропала возможность решать следующие задачи: Блокировать доступ устройствам Wi-Fi к домашней сети. Блокировать доступ к 2,4 ГГц, вынуждая клиента всегда выбирать 5 ГГц. Блокировать подключение Wi-Fi репитера не к той точке доступа. В исходном виде функцию вернуть невозможно. Она противоречит дальнейшим планам по реализации Wi-Fi системы. Каждая из перечисленных задач будет решена в версии 2.13 на новом уровне и гораздо удобнее, а именно: Добавление более жесткого уровня запрета доступа в модуль ip hotspot. * Гибкая настройка Band Steering для отдельных устройств. Автоматическая блокировка MAC-адреса репитера при добавлении в Wi-Fi систему. (Подобные настройки должны делаться без вмешательства пользователя.) В CLI черные/белые списки Wi-Fi по-прежнему доступны, их удаление не планируется. * Здесь поясню. В API системы ip hotspot будет добавлен новый уровень запрета для сегментов и хостов. На странице "Приоритеты подключений" добавляется более жесткий режим: "Без доступа к Wi-Fi", куда можно перетаскивать сегменты и хосты. У черных и белых списков в драйвере нет жестких ограничений по размеру, поэтому сформированные списки можно передавать на все будущие устройства домашней Wi-Fi системы. Использование текущего API "interface mac access-list" в веб-интерфейсе приведет в тупик, а нового API пока нет. Поэтому в 2.12 придется пожить без блокировки Wi-Fi в вебе. 04.08.2018: дальнейший анализ показал, что оптимально делать запрет доступа посегментно. (Первоначальная идея с ip hotspot не позволяет разрешить доступ, например, только в гостевую сеть.) В таком виде ACL реализован в версии 2.13.A.4.0-1 и добавлен в веб-интерфейс. Всем спасибо за конструктивную критику! 2 11 Share this post Link to post Share on other sites
0 Report post 07/26/2018 04:25 PM Контроль доступа по MAC-адресам для беспроводной сети Wi-Fi - пример настройки в cli \ консоли (статья из базы знаний Keenetic). 1 Share this post Link to post Share on other sites
0 Report post 04/27/2018 06:45 PM 4 часа назад, Le ecureuil сказал: Вместо тупого флуда лучше бы объяснили @Dmitry Tishkin зачем это вам - ваши пользовательские сценарии, а он бы подумал куда в новый веб это лучше встроить. Я уже выше писал,что как домашнее решение может не очень актуально. Впрочем может кто-то и дома использует. Но как офисное очень нужное. А Keeneticов по офисам ведь не мало стоит. В частности я активно фильтрацией пользуюсь именно в офисных сетях. Share this post Link to post Share on other sites
0 Report post 05/13/2018 10:59 AM если завтра @Dmitry Tishkin решит, что 8 LAN портов в Ultra II это слишком много для большинства пользователей (а реально это именно так), то ограничатся ли создатели очередной прошивки простой блокировкой "лишних" или к каждому владельцу этих устройств будет проходить специально обученный человек и выдирать "лишние" порты? нет, ну реально, нафига 8 портов то? достаточно 4. ну 6. а 8 куда??? 4 Share this post Link to post Share on other sites
0 Report post 05/13/2018 11:02 AM @Dmitry Tishkin Взываем Вас к здравому смыслу по теме. Эта тема подымается также в свете отсутствия старого интерфейса - см. сообщения от @Dmitriy Ryabov https://forum.keenetic.net/topic/4618-http-удалена-поддержка-старого-веб-интерфейса/#comment-54062 1 Share this post Link to post Share on other sites
0 Report post 05/13/2018 12:14 PM (edited) Не пойму, почему разработчики открыто не признаются - невозможно гарантировать детект подключения именно по W-Fi, ведь если девайс подключен к ТД, на главном роутере он виден как проводной и фильтруется из списка. Вины разработчиков в этом нет - задача строить mesh сеть из умных ТД и контроллера за пределами бюджета Keenetic. Без фильтра эта красивая и очень востребованная функция будет хромым дублёром другого механизма - запрета ходить в сеть зарегистрированным/незарегистрированным устройствам. Почему не дать прямой развёрнутый авторитетный ответ с жирной точкой в конце, как умеет @Padavan, @Le ecureuil и @ndm? Зачем юлить и изворачиваться ни два ни полтора? Зачем провоцировать бессмысленную дискуссию? И кстати, @Dmitry Tishkin - есть рабочий сценарий использования именно этой функции. Ноутбук двухдиапазонный, основной роутер Ultra + AP Omni. С помощью ЧС запрещал ему подключаться к Ultra на 2.4, чтобы принудительно шел на 5. Из-за фильтрации из списка устройств подключенных проводом, после даже кратковременного коннекта к ТД ноутбук из списка удаляется и опять цепляется на 2.4 к Ultra. Edited May 13, 2018 by makc22 2 Share this post Link to post Share on other sites
0 Report post 05/13/2018 07:45 PM (edited) Ув. makc22, Вы так хорошо написали, что есть технические сложности в отведенном бюджете, но не написали, что это стандартный функционал всех роутеров, даже за 11 USD, который у меня стоит на работе. Представляете, там это есть!, а может быть и работает, и в Кинетике было, а сейчас за пользователей разрабы решили, что совсем не нужно и требуют доказательств нужности. Мы не на суде, чтобы что-то доказывать, я голосовал рублем. И Вы, и другие форумчане приводили примеры использования. Что еще надо, поклониться в ножки славному парню Дмитрию Тишкину? Я уважаю его работу, но он игнорирует этот раздел, ничего не ответил по существу вопроса. А некоторые уважаемые мною гуру форума просто тролят тему. Это не обмен мнениями, это откровенное неуважение к форумчанам и в конце концов к потребителю. Edited May 13, 2018 by iggo 5 Share this post Link to post Share on other sites
0 Report post 05/14/2018 07:07 AM 18 hours ago, makc22 said: Не пойму, почему разработчики открыто не признаются - невозможно гарантировать детект подключения именно по W-Fi, ведь если девайс подключен к ТД, на главном роутере он виден как проводной и фильтруется из списка. Вины разработчиков в этом нет - задача строить mesh сеть из умных ТД и контроллера за пределами бюджета Keenetic. Без фильтра эта красивая и очень востребованная функция будет хромым дублёром другого механизма - запрета ходить в сеть зарегистрированным/незарегистрированным устройствам. @makc22: верно улавливаете суть. Стоит добавить, что технологии Wi-Fi систем разрабатываются не вендорами конечных изделий, а поставщиками чипсетов. Никакие финансовые вливания не помогут сделать полноценный mesh, если разработчик чипа это не предусмотрел. У них идет своя работа, мы за этим внимательно следим, но не стоит ждать появления дешевых умных ТД. Будут или дешевые, или умные, так устроен этот рынок. Функция запрета доступа, безусловно, будет дорабатываться. Она изначально задумывалась в виде: разрешить ассоциацию с ТД, после чего умным образом сообщить хозяину или самому клиенту, что доступ запрещен, и тут же кнопка "разрешить" в мобильном приложении, и прочее. Фильтр по MAC-адресам эту идею полностью ломает. Что касается умных сетей, нам никуда не деться от сценария, когда люди ставят домой дополнительные ТД для улучшения зоны покрытия. Даже если они из бюджетного железа, и там будет непонятный псевдо-роуминг, в наших силах сделать их настройку более удобной. 18 hours ago, makc22 said: рабочий сценарий использования именно этой функции. Ноутбук двухдиапазонный, основной роутер Ultra + AP Omni. С помощью ЧС запрещал ему подключаться к Ultra на 2.4, чтобы принудительно шел на 5. Из-за фильтрации из списка устройств подключенных проводом, после даже кратковременного коннекта к ТД ноутбук из списка удаляется и опять цепляется на 2.4 к Ultra. Мы сами попросили Дмитрия "держать оборону" здесь во избежание худших проблем в поддержке. Поведение, когда клиента пинают с ТД, сильно зависит от клиента. Грубо говоря, если ТД по маякам ему очень нравится, но там тупой фильтр, он может вообще забить на SSID или начать спрашивать PSK по второму разу, и это выглядит отвратительно. В Вашем сценарии надо делать настройку — предпочтение по диапазону для отдельных клиентов, чтобы это так и выглядело в GUI. 3 1 Share this post Link to post Share on other sites
0 Report post 06/22/2018 06:36 PM В 12.04.2018 в 10:30, Le ecureuil сказал: А где в старом web фильтрация по MAC? https://help.keenetic.com/hc/ru/articles/213969309-Контроль-доступа-по-MAC-адресам-для-беспроводной-сети-Wi-Fi Share this post Link to post Share on other sites
0 Report post 06/22/2018 06:40 PM 2 минуты назад, Илья Жив-в сказал: https://help.keenetic.com/hc/ru/articles/213969309-Контроль-доступа-по-MAC-адресам-для-беспроводной-сети-Wi-Fi Хитро...(Вы поняли про что) Share this post Link to post Share on other sites
0 Report post 06/22/2018 06:44 PM 2 минуты назад, AndreBA сказал: Хитро...(Вы поняли про что) да, но не из хитрости, а дабы другим было тоже быстрее найти.. и не оффтоп) а Вам - спасибо! пытаюсь сделать по статье Share this post Link to post Share on other sites
0 Report post 07/01/2018 09:17 AM (edited) В 30.05.2018 в 18:16, ndm сказал: На странице "Приоритеты подключений" добавляется более жесткий режим: "Без доступа к Wi-Fi", куда можно перетаскивать сегменты и хосты. Вот это хорошо, будем ждать. Лишь бы на мою Гигу вышла) Edited July 1, 2018 by Sergei Kazennikov Share this post Link to post Share on other sites
0 Report post 07/12/2018 06:08 PM А у меня такая радость: галочку вы убрали из веб-морды, а в кишках она где-то осталась. И теперь я не могу ни одного нового устройства подключить к вайфаю. Спасибо за заботу! А когда хочу зарегистрировать вручную пользователя, то на кнопку "зарегистрировать" окно просто не реагирует. Браво! Вы бы хоть спросили, прежде чем делать. Share this post Link to post Share on other sites
0 Report post 07/13/2018 02:29 AM 8 часов назад, Ибрагим Жапильщик сказал: Вы бы хоть спросили, прежде чем делать. Вы читали эту тему полностью? Разработчики отвечали на вопросы. 8 часов назад, Ибрагим Жапильщик сказал: А у меня такая радость: галочку вы убрали из веб-морды, а в кишках она где-то осталась. И теперь я не могу ни одного нового устройства подключить к вайфаю. Если не много настроек, то полный сброс и настройка с нуля. Или через cli редактировать. Share this post Link to post Share on other sites
0 Report post 07/13/2018 02:20 PM @Ибрагим Жапильщик да, у некоторых пользователей воспроизводится данный баг с регистрацией нового хоста в Домашнем сегменте. Если и после сброса у Вас воспроизводится проблема, то можно сделать регистрацию в консоли, введя следующие команды: known host MYCOMP a8:1e:84:85:f2:xx ip dhcp host MYCOMP a8:1e:84:85:f2:xx 192.168.1.44 system configuration save получаем: Share this post Link to post Share on other sites
0 Report post 07/13/2018 08:01 PM В 13.07.2018 в 17:20, enpa сказал: @Ибрагим Жапильщик да, у некоторых пользователей воспроизводится данный баг с регистрацией нового хоста в Домашнем сегменте. Если и после сброса у Вас воспроизводится проблема, то можно сделать регистрацию в консоли, введя следующие команды: known host MYCOMP a8:1e:84:85:f2:xx ip dhcp host MYCOMP a8:1e:84:85:f2:xx 192.168.1.44 system configuration save получаем: НЕ РАБОТАЕТ. Устройство зарегистрировано, подключиться к сети не дает, при этом в гостевой сеть работает и на 2,4 и на 5 ГГц. И, отвечая, предыдущему оратору про то, что разработчики отвечали, хочу сказать - у меня нет времени мониторить все форумы в мире, чтобы выловить изменения в работе тех вещей, которые УЖЕ РАБОТАЮТ. Не трогайте работающее. 1 Share this post Link to post Share on other sites
0 Report post 07/14/2018 08:38 AM 12 часа назад, Ибрагим Жапильщик сказал: НЕ РАБОТАЕТ. Устройство зарегистрировано, подключиться к сети не дает, при этом в гостевой сеть работает и на 2,4 и на 5 ГГц. И, отвечая, предыдущему оратору про то, что разработчики отвечали, хочу сказать - у меня нет времени мониторить все форумы в мире, чтобы выловить изменения в работе тех вещей, которые УЖЕ РАБОТАЮТ. Не трогайте работающее. Не обновляй работающее. Все согласно вашей логике. Если уж подписался на обновления, будь добр следи за ходом разработки. Я обновляю все вручную и никаких претензий кроме себя быть не может. 1 Share this post Link to post Share on other sites
0 Report post 07/15/2018 08:16 AM Вот еще один кейс. Стоит роутер в небольшом офисе. Была включена фильтрация по белому списку. Понадобилось, в первый раз за много времени, дать доступ новому устройству, но как сами понимаете нужной функции в интерфейсе найти не смогли. Получается интересная ситуация: можно пойти по тупому пути и сбросить настройки роутера, а потом заново перенастраивать и создавать этот список уже в новом функционале, либо шерстить вашу документация как же там в CLI эти функции работают. И самый главный вопрос: почему убрали функцию из веба, но не отключили ее в CLI? Какие-то полумеры. Если уж решили никого не предупредив выпилить ИСПОЛЬЗУЕМЫЙ функционал, так делайте до конца. 23 часа назад, keshun сказал: Не обновляй работающее. Все согласно вашей логике. Если уж подписался на обновления, будь добр следи за ходом разработки. Я обновляю все вручную и никаких претензий кроме себя быть не может. Этот функционал включен по умолчанию. Роутеры Kinetic относятся к классу SOHO, т.е. для домашнего использования "включил и забыл". Большинство даже задумываться про это обновление не будет. Share this post Link to post Share on other sites
0 Report post 07/16/2018 06:47 AM 22 часа назад, Роман «An1metall» Бардашов сказал: относятся к классу SOHO, т.е. для домашнего использования "включил и забыл". Большинство даже Знать не знает , что там есть функция белого списка и куча других фич, и пароль от WI-FI оказывается можно менять. Вы сами сказали это роутер для дома и там нафиг не нужна такая фильтрация. Засунули его в офис и требуете функционал CISCO. Share this post Link to post Share on other sites
0 Report post 07/16/2018 09:05 AM В 15.07.2018 в 11:16, Роман «An1metall» Бардашов сказал: почему убрали функцию из веба, но не отключили ее в CLI? Потому что была заявлена изначально в техописании. Share this post Link to post Share on other sites
0 Report post 07/17/2018 09:56 AM а как с консоли получить эти списки (черные и белые) ? в том числе на старых прошивках? Share this post Link to post Share on other sites
0 Report post 07/17/2018 12:30 PM 2 часа назад, VecH сказал: а как с консоли получить эти списки (черные и белые) ? в том числе на старых прошивках? Чуть выше уже писали как... Share this post Link to post Share on other sites
0 Report post 07/17/2018 12:59 PM Скорее всего я неверно выразился, или меня наверно поняли мне нужно не разрешать/запрещать а посмотреть текущие списки в cli подозреваю что проще будет system configuration save more startup-config и уже там grep-ать списки неужели штатных вариантов кроме этого нет? Share this post Link to post Share on other sites
0 Report post 07/17/2018 01:05 PM 4 минуты назад, VecH сказал: Скорее всего я неверно выразился, или меня наверно поняли мне нужно не разрешать/запрещать а посмотреть текущие списки в cli подозреваю что проще будет system configuration save more startup-config и уже там grep-ать списки неужели штатных вариантов кроме этого нет? Либо скачать startup-config и в нем посмотреть Share this post Link to post Share on other sites
0 Report post 07/17/2018 01:08 PM 1 минуту назад, T@rkus сказал: Показать содержимое Либо скачать startup-config и в нем посмотреть Как посмотреть я и сам оттуда уже описал Ладно, утрирую вопрос: У меня только консоль линуксовая, как я могу скачать этот файл через без огромного геморроя в виде шастанья wget-ом с предварительным сохранением cookie и т.д.? Share this post Link to post Share on other sites
0 Report post 07/18/2018 10:41 AM 21 час назад, VecH сказал: У меня только консоль линуксовая, как я могу скачать этот файл через без огромного геморроя в виде шастанья wget-ом... А чем вам внезапно не угодил православный wget с прямой ссылкой аля http://my.keenetic.net/ci/startup-config.txt??? Share this post Link to post Share on other sites
0 Report post 07/18/2018 10:57 AM root@pve:~/test# wget --user=admin --password=pass1234 http://10.2.33.37/startup-config.txt --2018-07-18 19:55:35-- http://10.2.33.37/startup-config.txt Connecting to 10.2.33.37:80... connected. HTTP request sent, awaiting response... 401 Unauthorized Authentication selected: Digest realm="ZyXEL Keenetic III", nonce="0h1PWz+QkxbKqcViq2f0E91ITtF7nVWN", qop="auth" Reusing existing connection to 10.2.33.37:80. HTTP request sent, awaiting response... 302 Moved Temporarily Location: /error.html?code=404&ref=%2Fstartup-config.txt [following] --2018-07-18 19:55:36-- http://10.2.33.37/error.html?code=404&ref=%2Fstartup-config.txt Reusing existing connection to 10.2.33.37:80. HTTP request sent, awaiting response... 401 Unauthorized Authentication selected: Digest realm="ZyXEL Keenetic III", nonce="0h1PW0LAaVUzblFgCNYAoVWJxzMyrtdu", qop="auth" Reusing existing connection to 10.2.33.37:80. HTTP request sent, awaiting response... 200 OK Length: unspecified [text/html] Saving to: ‘startup-config.txt’ startup-config.txt [ <=> ] 938 --.-KB/s in 0s 2018-07-18 19:55:36 (160 MB/s) - ‘startup-config.txt’ saved [938] root@pve:~/test# cat startup-config.txt <!DOCTYPE html> <html><head> <meta charset="utf-8"/> <title></title> <script> var s = location.search.substr(1), query = {}; if (s) { var a = s.split('&'); for (var i = 0; i < a.length; ++i) { var l = a[i].split('='); query[l[0]] = decodeURIComponent(l[1]); } } var start = /^\/[A-Z]{2}\/([a-z0-9_-]*)\.html(.*)$/.exec(query.ref); if (start && query.ref) { var ref = query.ref.split('?'), ref_query = {}, a = (ref[1] || '').split('&'); for (var i = 0; i < a.length; ++i) { var l = a[i].split('='); ref_query[l[0]] = decodeURIComponent(l[1]); } location.replace('/#'+start[1]+'/back='+encodeURIComponent(ref_query.back)); } else { var redir = /^\/([A-Z]{2})\/([a-z0-9_-]*)\/([a-z0-9_-]*)\.html(.*)$/.exec(query.ref); if (redir) window.localStorage.l10n_lang = redir[1]; location.replace(redir && query.code == '404' ? '/#'+redir[2]+'.'+redir[3] : '/#error/'+s); } </script></head><body></body></html> Share this post Link to post Share on other sites
0 Report post 07/18/2018 01:00 PM (edited) wget "http://10.2.33.37/ci/startup-config.txt" --user="admin" --password="password" заработало Edited July 18, 2018 by VecH Share this post Link to post Share on other sites
0 Report post 07/18/2018 01:09 PM 10 минут назад, VecH сказал: wget "http://10.2.33.37/ci/startup-config.txt" --user="admin" --password="password" заработало Почему-то нисколько не удивлён... Share this post Link to post Share on other sites
0 Report post 07/18/2018 01:13 PM в пути между глаз пролетел кусок /ci/ Share this post Link to post Share on other sites
0 Report post 07/26/2018 01:20 PM Полностью поддерживаю топикстартера. Офигенно удобная была вещь, да в сраном длинке 100 летней давности есть и прекрасно работает. Например современные телефоны видят обе сети, как мне теперь сказать какому в какую сеть можно? Да и вообще новый интерфейс УБОГИЙ. Раньше был простой и понятный. Зачем так резко все менять, люди за года привыкли где что и как, с закрытыми глазами все можно было сделать, а теперь пипец! БЕСИТ. Поменяли так оставьте и старую версию, пусть она ставится/включается не явно, но пусть будет. 2 Share this post Link to post Share on other sites
Где в новом веб-интерфейсе фильтрация по mac адресам?
Share this post
Link to post
Share on other sites