keenet07

Расскажите в каких случаях необходимо использование большого количества коннектов.

Если у вас нет необходимости задавать различные профили фильтрации для разных устройств в сети, то второй способ вполне приемлем. При включении фильтра, если вы до этого работали с DNS провайдера его адреса на 53 порт в Активных соединениях исчезают не мгновенно. Нужно немножко подождать, пока они все закроются. Главное, что новые соединения не должны устанавливаться.

В Диагностике в Активных соединениях на интерфейсе WAN можно посмотреть через какие DNS идёт трафик. Там должны появиться адреса skydns серверов на порт TCP 853. И скорее всего не должно быть соединений на 53 порт.

Ну оно, вероятно, чисто программное. Фактически отключения не происходит. У вас же не гаснет лампочка на порту WAN. Просто этот интерфейс становится недоступен. ИМХО.

Если бы как-нибудь службу FTP представить как интерфейс. То можно было бы воспользоваться компонентом Шейпер трафика для ограничения скорости.

Проблема не в этом. Эти интервалы нужно где-то хранить. В общий конфиг их вряд ли станут пихать. А так та страница сделана так, что работает полностью без настроек. Даже когда там выбираешь "построить график для определенного устройства" эта вкладка сохраняется только до тех пор пока не выйдешь из "Монитор трафика хостов" в любой другой пункт меню. Стоп. Пока это писал, проверил это и о чудо, оказывается вкладка теперь может сохраняться. Ну тогда и с интервалами никаких проблем не будет. Даже не знаю как давно вкладки стали сохраняться. ))

Где-то уже отвечали на что-то подобное, что возможно интервалы немного и расширят. Но вряд ли стоит ждать так скоро. Но как по мне то именно такие интервалы как вы указали смотрятся как-то не очень осмысленно. Ещё и в таком количестве. Уж лучше добавить одну или несколько вкладок с произвольно выбираемым интервалом. Каждый бы сделал под себя. Но т.к. это опять же потребует где-то хранить эти настройки, скорее всего такой реализации не будет. ) Таких похожих тем уже много наплодили:

Сложно. Установить NUT. Настроить под ваш ИБП по одной из множества инструкций в сети (пример https://my-box-371.blogspot.com/2015/04/nut-ippon-400-ups-usb-ubuntu-1404.html ) Установить что-то для отправки емейлов. Там в конце статьи есть об этом. Будет, не будет работать, не известно. Проще, ели рядом есть ПК всё сделать через него. Подключить к нему USB от UPS и... Там уже множество вариантов реализации и под винду и под линукс. Можно вместо ПК какой-то миниПК, если это у вас узел связи. Это всё проще.

Если у вас модель UT850EG с возможностью подключения к PC по USB, то ещё можно о чем-то думать. А если ваша модель вообще без USB, то простого решения нет.

Скорее всего можно через какой-нибудь пакет proxy установленный в OPKG.

Откатиться вы можете без всякого входа куда-либо. Через режим Recovery. https://help.keenetic.com/hc/ru/articles/214470865 Прошивку нужную выберите https://forum.keenetic.net/announcement/5-где-взять-тестовые-прошивки/ и скачайте тут Настройки после восстановлении остаются прежние. У меня всё сохранилось. Если у вас ещё что-то на флэшке сохранено, наверное её на всякий случай лучше отключить.

Опишите что у вас случилось по-детальнее. С какой на какую версии обновились. И что значит зайти не реально?

Удалите модуль полностью в компонентах в Общих настройках. Контроль состояния интернет-подключения (Ping Check)

Нет желания обновиться до актуальной прошивки? Для вашего это 2.11 https://forum.keenetic.net/announcement/5-где-взять-тестовые-прошивки/ А вот история изменений с вашей версии

Не могу попробовать это у себя, не пользуюсь KeenDNS. Единственное могу подсказать, что тут очень поможет функция роутера Захват пакетов. Прослушиваете пакеты в разных вариациях интерфесов и смотрите что куда отправляется. Проще было бы конечно у разработчиков уточнить, но они как правило не очень любят как-то комментировать некоторые аспекты внутренней кухни.

Так это смотря что и где блокировать. Можно заблокировать только внутренние запросы или ответы админки ещё до ухода в туннель. Нужно только выявить правильный интерфейс, адрес и порт.

А дополнительно заблокировать правилом доступ к админке в Межсетевом экране разве нельзя в этой схеме? Но наличие такой галочки поддержу.

Да. Пока только там это работает. )

Блокировка по IP не выше по эффективности чем по домену и по адресу в пакетах. Пиратский сайт просто меняет либо IP, либо хостера и продолжает работать на том же доменном имени. И народ не теряется в поисках нового сайта или зеркала. Иногда просто переадрессацию ставят на главной странице.

@Himmler Пробовали через официальную тех.поддержку вопрос решить? Тут явно требуется больше сведений чем вы дали в первом сообщении. https://help.keenetic.com/hc/ru снизу.

Если временно отключить KeenDNS ситуация не меняется? Вы случайно ничего лишнего в брандмауэре не заблокировали? Возможно роутер не может обновить сертификат. Но я не утверждаю.

Если кто не понял, то сейчас все прямые запросы к произвольным DNS серверам спокойно проходят в открытом виде, даже если вы настроили DoT/DoH на роутере. То что я предлагаю даст возможность перенаправить эти не подконтрольные DNS запросы либо на выбранные вами открытые DNS сервера, либо на выбранные вами DoT/DoH сервера в зашифрованном виде. Кстати, помимо того, что через эту уязвимость могут незаметно переслать какие-то ваши данные, ничто не помешает через этот не очевидный канал установить прямой сеанс управления троянцем на вашем ПК в интерактивном режиме. Возможно через эти запросы переслать и бинарный код преобразованный в ASCII код. Таким образом троянец послужит загрузчиком другого вредоноса с требуемым функционалом. И никакая сетевая защита ничего не покажет. Простой Брандмауэр ничего не заблокирует. Можно конечно заблокировать всю сетевую активность для новых неизвестных программ запускающихся на ПК. Но для этого нужен хороший файрвол с подобной возможностью. В общем далеко не каждый такой себе ставит и правильно конфигурирует. Давайте закроем эту брешь ещё на уровне роутера. В первую очередь эта фишка нужна простым пользователям. Как говорится включил и забыл. Одним уязвимым местом станет меньше. Профи конечно могут и самостоятельно настроить соответствующим образом iptables.

Просьба реализовать возможность перенаправления транзитных для DNS роутера запросов на собственные DNS роутера. Под транзитными я понимаю прямые запросы с клиентов к произвольным DNS серверам на 53 порту. Например такой "nslookup ya.ru 8.8.8.8". Такой запрос пройдёт в открытом виде независимо от настроенного на работу с DOT/DOH DNS сервером. Данная функция должна легко включаться и при необходимости отключаться. Реализовать можно как отдельный фильтр в Интернет-фильтрах. Многие программы используют в разных целях такие прямые обращения к DNS, тем самым засвечивая такие запросы и открывая их для атаки "человек посредине". Так же некоторые трояны пользуются тем, что выход на 53 порту к DNS практически всегда разрешён на файрволе и через такие обращения могут передавать на свой подставной DNS сервер любую текстовую информацию, например ваши логины и пароли от учетных записей. Данная функция конечно не защитит вас полностью от подобных утечек. Но во всяком случае ваши данные не попадут в руки тех кто на них нацелился. Данная тема так же имела обсуждение здесь В общем всех не равнодушных прошу проголосовать за данную тему стрелочкой вверх в заголовке топика.

В общем поковырялся сам. Снял дамп. Увидел что все запросы со всех этих DNS идут только на dns-family.adguard.com dns.adguard.com Т.е. служебный трафик AdGuard. Но вопрос остается открытым. Для чего он всё время обновляет информацию по этим адресам даже когда везде выбрано "Без фильтрации"? А он это делает часто. Можно ли так оптимизировать код, чтоб лишних действий просто так не выполнялось? И соответственно эти UDP 53 в Активных соединениях не светились зря. Пусть обновляет только тогда когда активирован фильтр хотя бы на одном из устройств.

Вы понимаете что ваш выбор из списка предполагает работу только с одним из выбранных серверов? А когда заполнен весь список разными серверами, то они работают все. Только автоматом выбирается самый скоростной. И это могут быть не только гугл и клодфлэйр, но ещё и множество других.