rustrict

Добавлю к уже написанным пожеланиям ещё шейпинг трафика IPv6. Сейчас забавная ситуация возникает в dual-stack, когда в сегменте с ограничением скорости IPv4-трафик режется, а IPv6 нет. Особенно наглядно видно в этом тесте.

Да, Google рекомендует использовать в качестве Authentication Domain Name (ADN) адрес dns.google. Он же прописан в их сертификате как «Common Name» (CN). Но в этом же сертификате есть поле «Subject Alternative Name» (SAN), в котором есть адрес dns.google.com. Поэтому проблем с подключением по такому адресу быть не должно. Mac-mini:~ rustrict$ echo | openssl s_client -connect dns.google.com:853 | openssl x509 -text | grep "DNS:" depth=2 OU = GlobalSign Root CA - R2, O = GlobalSign, CN = GlobalSign verify return:1 depth=1 C = US, O = Google Trust Services, CN = GTS CA 1O1 verify return:1 depth=0 C = US, ST = California, L = Mountain View, O = Google LLC, CN = dns.google verify return:1 DONE DNS:dns.google, DNS:*.dns.google.com, DNS:8888.google, DNS:dns.google.com, DNS:dns64.dns.google, IP Address:2001:4860:4860:0:0:0:0:64, IP Address:2001:4860:4860:0:0:0:0:6464, IP Address:2001:4860:4860:0:0:0:0:8844, IP Address:2001:4860:4860:0:0:0:0:8888, IP Address:8.8.4.4, IP Address:8.8.8.8 Ну и собственно пример запроса: rustrict@debian:~$ kdig -d @dns.google.com +tls-ca +tls-host=dns.google.com keenetic.com ;; DEBUG: Querying for owner(keenetic.com.), class(1), type(1), server(dns.google.com), port(853), protocol(TCP) ;; DEBUG: TLS, imported 128 system certificates ;; DEBUG: TLS, received certificate hierarchy: ;; DEBUG: #1, C=US,ST=California,L=Mountain View,O=Google LLC,CN=dns.google ;; DEBUG: SHA-256 PIN: vEbqO29VPXOULHxmGJxvrlGDm1MJ4XJQ6MtmlpgvL40= ;; DEBUG: #2, C=US,O=Google Trust Services,CN=GTS CA 1O1 ;; DEBUG: SHA-256 PIN: YZPgTZ+woNCCCIW3LH2CxQeLzB/1m42QcCTBSdgayjs= ;; DEBUG: TLS, skipping certificate PIN check ;; DEBUG: TLS, The certificate is trusted. ;; TLS session (TLS1.3)-(ECDHE-X25519)-(RSA-PSS-RSAE-SHA256)-(AES-256-GCM) ;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 13351 ;; Flags: qr rd ra; QUERY: 1; ANSWER: 1; AUTHORITY: 0; ADDITIONAL: 1 ;; EDNS PSEUDOSECTION: ;; Version: 0; flags: ; UDP size: 512 B; ext-rcode: NOERROR ;; QUESTION SECTION: ;; keenetic.com. IN A ;; ANSWER SECTION: keenetic.com. 3599 IN A 46.105.148.88 ;; Received 57 B ;; Time 2019-09-01 18:49:02 MSK ;; From 2001:4860:4860::8888@853(TCP) in 58.0 ms

И еще

С другой стороны, есть еще по теме:

Я не смог сейчас сходу найти поиском, но @Le ecureuil в разных темах в разное время писал, что такой доступ невозможен. Загвоздка с маршрутизацией на самом модеме, ЕМНИП. UPD: Вот, кое-что нашел

На всякий случай мой запрос по этой теме #446611. Если я ничего не путаю, то @vst там в копии.

Извините, конечно, после "rm" ключ "f" у "ln" уже будет лишним. Правильнее так: rm -f /opt/etc/localtime ln -s /opt/share/zoneinfo/Europe/Moscow /opt/etc/localtime Дело там в том, что Entware устанавливается с симлинком "localtime -> /opt/share/zoneinfo/". Если выполнить "ln -sf /opt/share/zoneinfo/Europe/Moscow /opt/etc/localtime", то с localtime ничего не произойдет, зато в /opt/share/zoneinfo создастся симлинк "Moscow -> /opt/share/zoneinfo/Europe/Moscow".

@exeigor, попробуйте сначала удалить симлинк, а потом создать заново: rm -f /opt/etc/localtime ln -sf /opt/share/zoneinfo/Europe/Moscow /opt/etc/localtime

Изменено в редакции 1.58 (26.07.2019).

@enpa, в текущей редакции справочника (1.57) для команды crypto engine (п. 3.13) написано, что по умолчанию используется программный режим. Да, если её выполнить с префиксом no, включается режим software, как и написано дальше. Но, если сбросить роутер до заводских настроек, то в конфиге по умолчанию стоит crypto engine hardware. Это несколько сбивает с толку. Возможно, стоит уточнить описание?

@denis0605, ответ у вас прямо в логе: Вам нужно внимательнее просмотреть эту инструкцию (в данном случае — "Требования"). На ваш Keenetic можно поставить прошивку версии 2.15 через CLI: components list delta components commit Учтите при этом дисклеймер внизу поста по ссылке:

@i81, а у вас там флешка случайно не FAT32/NTFS? Если так, вам надо форматировать её в ext2/ext3/ext4 прежде, чем начинать установку. Как это сделать для ext4 можно посмотреть, например, тут: https://help.keenetic.com/hc/ru/articles/115005875145-Использование-файловой-системы-EXT4-на-USB-накопителях

Недавно писали об этом, см.:

Если вы там ещё не делали opkg update && opkg upgrade, то можно ввести команду opkg flag hold busybox, чтобы не давать ему обновляться.

Можно вручную забрать нужную часть из Makefile busybox и закинуть её через веб-интерфейс, но без /opt/bin/busybox он сам себе симлинки не восстановит

Если установлен curl, то можно попробовать: curl -sS https://raw.githubusercontent.com/Entware/Entware/master/package/utils/busybox/Makefile | /opt/bin/busybox sed '/Package\/busybox\/postinst/,/endef/!d' | /opt/bin/busybox sed '1d;$d;s/\$\$/\$/g' > /opt/lib/opkg/info/busybox.postinst /opt/bin/busybox chmod +x /opt/lib/opkg/info/busybox.postinst /opt/lib/opkg/info/busybox.postinst

Если вы еще не вышли, то попробуйте выполнить: /opt/lib/opkg/info/busybox.postinst

Проверьте, пожалуйста, п. 3.71 "ipv6 firewall" (редакция 1.51): написано, что по умолчанию отключен, но у меня после сброса на заводские в версии 2.15.C.3.0-2 сразу есть в конфиге.