JIABP

В рамках тикета откатился на 2.10 и заодно заскринил как было. Было (выделил жёлтым имя устройства задаваемое вручную): Стало (имя устройства отсутствует):

@PASPARTU я скорее про то, что в EULA которую отдаёт роутер есть явные орфографические ошибки и другие упущения.

Интересные знаки в некоторых разделах, при вводе команды show eula document: 2.2.┬аThis is a license to, 8.┬аINDEMNIFICATION 11.┬аGENERAL PROVISIONS (Your ProductтАЩs unique identification number) model name, Your Product А s current SW authorised for optimal use ofYour Product

Решил попробовать https://keenetic.cloud/ и, видя его потенциал, становится понятно, что он и дальше будет наполняться разным функционалом удалённого мониторинга и, возможно, управления сразу несколькими устройствами, поэтому его необходимо защищать не только лишь паролем, но и другими способами. Предлагаю реализовать следующие механизмы защиты: 1) Двухфакторная аутентификация при входе в аккаунт с использованием следующих инструментов: Генерация одноразовых кодов через TOTP приложение на телефоне (Google Authentificator, Authy, FreeOTP) Вход с помощью аппаратного U2F ключа (JaCarta U2F, YubiKey 5 NFC). Статья про YubiKey на Хабре. Вход через аналог уведомления от Google, но через приложение My.Keenetic - при новом входе код присылается в виде PUSH-уведомления в приложение на телефоне. Резервные коды на случай утери U2F токена, TOTP-устройства и т.д. 2) Двухэтапная аутентификация (менее безопасная, но более удобная): Код приходит либо в SMS-сообщении на мобильный телефон, либо поступает звонок где робот сообщает код голосом. 3) Пароли приложений - по аналогии с Google и другими почтовыми сервисами - вместо того, что бы вводить свой пароль в разные почтовые клиенты, системы резервного копирования и т.д, вводится автоматически сгенерированный пароль, который всегда можно аннулировать и доступ будет закрыт для конкретного устройства/приложения. В настоящее время этот функционал вряд ли нужен, т.к. пока авторизоваться можно только в приложении и на сайте keenetic.cloud, которые находятся под контролем производителя, но кто знает как будет развиваться платформа в будущем. 4) Дополнительные инструменты журналирования и аудита: На каких устройствах выполнен вход и возможность выполнить принудительный выход на этих устройствах; Журнал событий с указанием времени, IP-адреса и предполагаемого города/страны входа в аккаунт, а так же другие записи с указанием даты и времени - изменение пароля, добавление TOTP, добавление/изменение телефона и т.д; Список надёжных устройств, для которых не запрашивается второй фактор; Уведомление на почту/PUSH о входе в аккаунт и других действиях связанных с ним. 5) Другое автоматический logout после 'x' минут простоя. Ресурсы, в которых можно почерпнуть много полезной информации по данной тематике: 1) А вы защищаете свои аккаунты двухфакторной или двухэтапной аутентификацией? 2) Двухфакторная аутентификация без SMS, одноразовых кодов и паролей

Поддержу.

Да, без картинок вида "было-стало" - трудно понять, согласен.

А где имя роутера, которое Вы сами задаёте? Я про это говорю:

@ndm можете подсказать, правда что оно есть на дельтах и нет на релизе?

Если это неуправляемые, "тупые" коммутаторы за 500-1000 рублей, то да - будет работать. У меня так и сделано. Если коммутаторы управляемые, "умные" - не знаю, не пробовал. Примерная моя схема: Giga 3 (controller) ----commutator #1-------Zyxel Air access point.

@Kiborg_Man у меня релизная 2.15 на Giga 3 / 1010 - не отображается.

Ап! Добавили хотя бы в low priority? Или не набрала хотелка кворума?

На 2.15.C.3.0-2 на Giga 3, Zyxel Air #1 и Zyxel Air #2.

Всё прекрасно работает. Быстрый переход есть на iOS 12.2 на 5S / 6 / 7 и 8 айфонах. Только ограничил мощность всех 3-х точек эмпирическим путем, что бы точно переключения происходили. В общем, фейстайм, который раньше сбрасывал качество до 0,44p при переходе с точки на точку без роуминга (точнее роуминг из палок - одна SSID сеть и пароли), то сейчас есть разве что микро затык и падения качества нет. Не говоря уже об обрывах.

iPhone 5S / 6 / 7 на iOS 12.2.

В каких случаях надо включать "Совместимость с FT over the DS"? Согласно статье оно нужно для "старых" клиентов. Насколько старых? У меня iPhone 5S / 6 / 7 / 8. iPhone 5S в веб-морде отображается как 11n/k/r/v 1x1 40 МГц - быстрый переход работает. iPhone 6 в веб-морде отображается как 11ac/k/v 1x1 80 МГц - быстрый переход не работает. Нужно ли для них включать FT over the DS и чем это чревато, раз по умолчанию оно не включено? В частности, сейчас на iPhone 6 быстрый переход не работает. На нём работает только "Переход по PMK-кэшу". Включение "Совместимость с FT over the DS" поможет в решении данного вопроса? Я сейчас далеко от своих точек и клиентских устройств, поэтому проверить руками смогу только на следующей неделе.

Сегодня сбросил 2 штуки ZyXEL Keenetic Air в режиме точки доступа на дефолт и обнаружил, что опция "Облачная служба Keenetic Cloud v2 (экспериментальная)" (http://192.168.1.1/controlPanel/system) включена по умолчанию. То же самое обнаружил, когда обновил настроенную Giga 3 с 2.13 до 2.15 - опция так же была включена по умолчанию. Считаю, что по умолчанию следует отключить любую возможность удалённого доступа, в частности данную опцию. Ну и пункт 2 (в самом низу, текст на синем фоне) из этой статьи звучит уже не так актуально:

Завтра на 2.15 обновлюсь, посмотрю, вернулся ли АОН.

@Sergei Sporik так по ссылке на саппорт.аппл.ком пишется: Adaptive 802.11r - начиная с iPhone 6s. @Sergey Zozulya эту ссылку я же постил 6 сообщениями выше Но см. мой коммент про адаптив 'r'.

Конечно! Когда механизм (только роуминг без захвата точек) только появился, я поигрался с ним - почти не рабочий, более того, к одному из 3-х устройств вообще клиенты перестали цепляться.

Как раз в воскресенье поеду обновлять свои 3 железки до 2.15, переконфигурирую свой псевдо-роуминг на нативный с захватом точек (гига 3 головной и 2 штуки Keenetic Air в режиме точек) и скажу. Одна беда - iPhone 5S и 6, для которых это делается не поддерживает r. Но всё равно посмотрим как оно выглядит.

iPhone 5S/6/7 https://support.apple.com/en-au/HT202628

@vasek00 ого, получается роуминг довели до ума и он заработал?

О таком варианте я не подумал, но это то ещё действо И на том спасибо. А зачем постоянно сбрасывать? Достаточно же просто один раз сбросить и сохранить чистый startup-config как эталон, а потом каждый раз скачивать настроенный startup-config и их сравнивать.

Блокнот я начал вести только недавно. А что я с 2016 года ввёл на новой, на тот момент, Giga 3, я уже точно не помню. Сейчас собираю по крупицам, но всё равно всего не найду. В общем, если бы это можно было реализовать средствами прошивки, то было бы куда легче и удобнее возвращаться на дефолт ибо сейчас это мучение и оттягивание до последнего.

Проблема: я на протяжении нескольких лет вношу изредка изменения через cli (ip http log auth; ip http lockout-policy; а так же при появлении новых команд/изменение дефолтных значений), потом возникает необходимость сбросить роутер на дефолт (это достаточно частый совет как здешних форумчан так и поддержки при неординарных проблемах) однако я не помню, какие команды и их значения я ранее вводил и которые надо ввести повторно через cli после сброса. Решение: создать возможность выгрузки всех введённых вручную через cli команд в рамках отдельной закоменченной группы строк startup-config, либо каким-либо другим образом иметь список команд, которые можно будет копипастой применить через cli после сброса роутера на дефолтные настройки. В идеале - иметь некий журнал введённых вручную команд. Насколько возможно создать подобное? Сейчас надежда только одна - на память и блокнот который я теперь веду. Но это, ИМХО, не очень удобное решение.