[Некорректная работа IGMP в KeeneticOS 3.0]

@iggo @Exter Да, пока фиксов нет, но исправление в планах и проблема на контроле. Как появится информация, будет сообщено здесь и в Ваших тикетах.

[Выключение авторизации для устройства на домен 4 уровня KeenDNS]

@Gim12 изменить порт управления nginx с 80, например, на 777? Нужно смотреть self-test файл.

[Проблема со SkyDNS]

@r3L4x после перезагрузки наблюдается проблема в резолве:

Line 1094: [E] Aug  8 18:52:48 ndm: Dns::Resolver: failed to resolve "www.skydns.ru": timed out.
Line 1095: [E] Aug  8 18:52:48 ndm: Io::Http::Client: [255] failed to resolve "www.skydns.ru".
Line 1096: [E] Aug  8 18:52:48 ndm: SkyDns::Client: network failed.

Удалите компоненты dns-tls, dns-https - проблема уйдет?

[Интернет-фильтр AdGuard не определяется]

@r3L4x это уже отдельный кейс, который требует изучения, не в этой теме.

[Интернет-фильтр AdGuard не определяется]

@r3L4x описали данное поведение - здесь.

[Некорректная работа IGMP в KeeneticOS 3.0]

@iggo, @dexter проблема продолжается на 3.01.B.3.0-0 ?

[Настройка DoT/DoH]

Пример оптимальной настройки, с учетом использования DoT \ DoH серверов таких компаний, как Adguard, Google, Cloudflare, Quad9 + с форматами DNS JSON & DNSM.

Настройка в Command Line Interface, CLI:

dns-proxy
tls upstream 8.8.8.8 sni dns.google
tls upstream 8.8.4.4 sni dns.google
tls upstream 1.1.1.1 sni cloudflare-dns.com
tls upstream 1.0.0.1 sni cloudflare-dns.com
tls upstream 9.9.9.9 sni dns.quad9.net
tls upstream 94.140.14.14 sni dns.adguard.com
tls upstream 94.140.15.15 sni dns.adguard.com
https upstream https://dns.google/dns-query dnsm
exit
system configuration save

show dns-proxy

# ndnproxy statistics file

Total incoming requests: 133
Proxy requests sent:     134
Cache hits ratio:        0.113 (15)
Memory usage:            31.29K

DNS Servers

                      Ip   Port  R.Sent  A.Rcvd  NX.Rcvd  Med.Resp  Avg.Resp  Rank  
               127.0.0.1  40500       2       0        2      22ms      21ms     1  
               127.0.0.1  40501       2       0        2      36ms      36ms     1  
               127.0.0.1  40502       2       0        0       0ms       0ms     4  
               127.0.0.1  40503       2       0        0       0ms       0ms     2  
               127.0.0.1  40504       2       0        0       0ms       0ms     1  
               127.0.0.1  40505       2       0        0       0ms       0ms     4  
               127.0.0.1  40506       2       0        0       0ms       0ms     1  
               127.0.0.1  40508       3       1        2     350ms     310ms     3  
               127.0.0.1  40509     117     115        2      21ms      21ms    10

Среднее время отклика med. avg. response time конечно скачет, может достигать выше 1000 ms, но в целом отклик хороший, практически у всех адресов.

Также написана статья в базе знаний по настройке, с описанием и примерами - Протоколы DNS over TLS и DNS over HTTPS для шифрования DNS-запросов, которая дополняется информацией.

Проверка работоспособности шифрования - ТОЛЬКО для адресов от Cloudflare:

https://www.cloudflare.com/ssl/encrypted-sni/

https://1.1.1.1/help



https://adguard.com/ru/test.html




Настройка фильтрации рекламы, трекеров, вредоносных сайтов с подробной аналитикой от https://nextdns.io/ через протокол DNS over TLS.

Настройка в Command Line Interface, CLI:

!
dns-proxy
    tls upstream 45.90.28.0 853 sni xxx.dns1.nextdns.io
    tls upstream 45.90.30.0 853 sni xxx.dns2.nextdns.io

# ndnproxy statistics file

Total incoming requests: 613
Proxy requests sent:     493
Cache hits ratio:        0.225 (138)
Memory usage:            33.91K

DNS Servers

                      Ip   Port  R.Sent  A.Rcvd  NX.Rcvd  Med.Resp  Avg.Resp  Rank  
               127.0.0.1  40516      25      12        8     119ms     449ms     3  
               127.0.0.1  40517     468     453        8      89ms      94ms     4  

               proxy-tls: 
               server-tls: 
                      address: 45.90.28.0
                         port: 853
                          sni: xxx.dns1.nextdns.io
                         spki: 
                    interface: 

               server-tls: 
                      address: 45.90.30.0
                         port: 853
                          sni: xxx.dns2.nextdns.io
                         spki: 
                    interface: 

       proxy-tls-filters: 
             proxy-https: 
     proxy-https-filters: 

где xxx - Ваш ID профиля nextdns.

Настройка в WebUI:



Проверка доступности https://my.nextdns.io/configuration/xxx/setup:




Корректная фильтрация контента зависит от выбранных Вами готовых профилей в https://my.nextdns.io/configuration/xxx/lists.

Мой лист:

EasyList
Malware Domain Blocklist by RiskAnalytics
Ransomware Tracker
AdGuard Simplified Domain Names filter
hpHosts (ATS / Ads & trackers)
hpHosts (EMD / Malware)
pornhosts
Sinfonietta (Porn)
RU AdList
CoinBlockerLists (browser)

Проверка фильтрации https://checkadblock.ru/:

 

[Документация по командной строке]

@kosyak_kpol 3.31.91 interface ip nat loopback - здесь.

[Документация по командной строке]

Начиная с 29.07.19 .pdf файлы Command Reference Guide Keenetic более не публикуются в репозитории http://files.keenopt.ru/

Обновление для CLI DOC выходят каждую неделю, в пятницу. Файлы в облачном хранилище docs.help.keenetic.com будут перезаписываться, линки постоянные.

Новые линки на актуальные версии Command Reference Guide CLI DOC Keenetic:

Model | Part Number | NDM HW ID | Link:

• 4G KN-1210-01RU KN-1210
• Air KN-1610-01RU KN-1610
• City KN-1510-01RU KN-1510
• Extra KN-1710-01RU KN-1710
• Giga KN-1010-01RU KN-1010
• Lite KN-1310-01RU KN-1310
• Omni KN-1410-01RU KN-1410
• Start KN-1110-01RU KN-1110
• Ultra KN-1810-01RU KN-1810
• Viva KN-1910-01RU KN-1910
• DSL KN-2010-01RU KN-2010
• Duo KN-2110-01RU KN-2110
• Keenetic 4G III (Rev.B) EMG1301-T10A-RU01V1F kg_rh
• Keenetic Air EMG1800-T10A ki_ra
• Keenetic Extra II EMG1812-T10A ki_rb
• Keenetic Giga III EMG2880-T10A kng_re
• Keenetic Lite III Rev.B EMG1311-T10A-RU01V1F kl_rh
• Keenetic Start II EMG1300-T10A-RU01V1F kl_rg
• Keenetic Ultra II EMG2885-T20A ku_rd

При этом резервные копии старых и новых версий документации доступны в Хранилище:

cloud.mail

yandex.disk

И с официального сайта Keenetic:

Центр загрузки Keenetic

[Не работает интернет при изменении имени провайдера]

@VirtuoozX таким образом включается игнорирование DNS-серверов от провайдера:

I [Jul 21 16:00:55] ndm: Dns::InterfaceSpecific: static name server list cleared on GigabitEthernet1.

I [Jul 21 16:00:58] ndm: Dhcp::Client: name server 94.228.204.33 is ignored.
I [Jul 21 16:00:58] ndm: Dhcp::Client: name server 94.228.204.34 is ignored.

Проблема в WebUI. 

Вы также можете заметить, что отключается чекбокс напротив пункта:



Проблема обработке символов в description интерфейса.

Временное решение:

(config)> ip name-server 8.8.8.8 
Dns::Manager: Name server 8.8.8.8 added, domain (default).
(config)> ip name-server 8.8.4.4
Dns::Manager: Name server 8.8.4.4 added, domain (default).
(config)> system configuration save
Core::ConfigurationSaver: Saving configuration...

 

[Web: DNS Провайдера]

@T@rkus Кейс создан, в процессе починки.

Пример работы в cli.

Отключить получение провайдерских DNS:

(config)> no interface ISP ip dhcp client name-servers 
Dhcp::Client: ISP DHCP name servers are disabled.
(config)> system configuration save 
Core::ConfigurationSaver: Saving configuration...

Включение получение провайдерских DNS:

(config)> interface ISP ip dhcp client name-servers 
Dhcp::Client: ISP DHCP name servers are enabled.
(config)> system configuration save 
Core::ConfigurationSaver: Saving configuration...

Проверяем DNS:

(config)> show ip name-server 

           server: 
              address: 8.8.8.8
                 port: 
               domain: 
               global: 0

           server: 
              address: 8.4.4.8
                 port: 
               domain: 
               global: 0

           server: 
              address: 193.0.175.xx
                 port: 
               domain: 
               global: 700

           server: 
              address: 193.0.174.xx
                 port: 
               domain: 
               global: 700

 

[osize too small]

@Eduard Bogdanov пробовали отключить поддержку Сжатие данных (CCP) в настройка PPTP-клиента?

Если не поможет, потребуется перейти на KN-1810_draft_3.01.A.5.0-0, где имеется расширенный лог на данный случай. После установки необходимо включить дебан на ppp-клиенте, далее воспроизводить проблему.

В поддержке Вам написали о дальнейших действиях.

[Принцип выбора днс роутером на 2.11?]

20 часов назад, cmisha сказал:

Хотелось бы знать, сколько по умолчанию.

По умолчанию значение жизни TTL кэшированных DNS записей для ndnproxy = 10000 миллисекунд. Изменить значение в cli можно от 1 до 604800000 миллисекунд.

[Документация по командной строке]

@KorDen обновили информацию.

[Transmission. Низкая скорость скачки.]

@bator что нужно для максимальной скорости загрузки - здесь.

[Защита от брутфорса веб-интерфейса по протоколу HTTPS]

Начиная с версии 3.0 была добавлена поддержка 'lockout-policy' (защита от перебора паролей, брутфорса) для протокола HTTPS. Включено по умолчанию для SSL-сервера. Спасибо @Le ecureuil

Записи попыток подбора паролей в журнале - по аналогии с nginx-сервером (http).

[Документация по командной строке]

@KorDen исправление будет в следующем выпуске cli doc.

[Документация по командной строке]

@rustrict спасибо, по умолчанию данная опция в конфиге включена. Будет исправлено в следующей версии документации.

[Приглашаем на бета-тест нового приложения!]

@Sergey SV закончились инвайты - https://t.me/keenetic_firmware/38

: 

Ждем дополнительную информацию от @AlexSP

 

[Ultra-II непонятные сообщения лога]

@Eduard Bogdanov

Данные сообщения возникают из-а того, что включен 'igmp snooping' в режиме Точки Доступ (AP mode).

Для того, чтобы отключить данный режиме на AP, Вам потребуется зайти в настройки роутера через консоль и ввести следующие команды

igmp-snooping disable
system configuration save

Далее проверьте логи и работу AP.

Да и вопрос @Le ecureuil актуален.

 

[Не видны компьютеры в локальной сети]

@mega1volt 

Вам необходимо проверить Ваши устройства, кто выступает в роли Master browser. Подробно об этом можно почитать - здесь.

Начиная с версии KeeneticOS 2.15 можно установить модуль TSMB, который позволяет роутеру быть в роли главного обозревателя сети - Master Browser. Он уже у Вас установлен.

Далее, для диагностики необходимо:

1. Переустановить драйвер сетевого адаптера у компьютеров.
2. Проверить настройки антивируса - сетевого экрана. 
Возможно в настройках для сетевого интерфейса выставлен параметр "Публичная сеть" (на примере антивируса Касперского).
3. Проверьте поддержку протокола SMBv1 у Ваших компьютеров.
4. Бывают случаи, когда сетевой протокол Netbios для обнаружения компьютеров в сети неактивен или вышел из строя, прим это доменные имена не будут отображаться в Сети (Сетевом окружении), Обзоре сети. 

Чтобы включить Netbios, Вам потребуется проделать следующие действия, которые описаны в статье - https://help.keenetic.com/hc/ru/articles/360003431639

Замечу, что когда происходит отключение протокола SMBv1, то отключается и обозреватель сети Browser в WindowsOS - https://support.microsoft.com/en-us/help/4034314/smbv1-is-not-installed-by-default-in-windows 

В будущих же версиях модуля TSMB в KeeneticOS планируется добавить поддержку WS-Discovery за место Browser - https://en.wikipedia.org/wiki/WS-Discovery После этого обнаружение должно заработать, как и раньше. 
 

[Пароль пользователя admin]

Воспроизвели проблему с @ndm в Arch Linux \ Manjaro и версии Yandex Browser 19.3.1.777 beta (64-bit).

Фикс будет в ближайшем драфте.

[Пароль пользователя admin]

И вправду не проходит авторизация в Yandex Browser 19.3.1.777 beta (64-bit) Linux после смены пароля в cli:

 

[Проблемы WPA3 клиентов]

@Sergey Zozulya не забывайте про дамп сетевого трафика, поэтому потребуется зафиксировать обмен между телефоном и роутером на уровне фреймов стандарта IEEE 802.11

Нужно:

1. Отдельный клиент, который слушает тот же радио-канал и способный к захвату пакетов в Monitor mode.
2. Скачать дистрибутив (образ) Wifislax - здесь или здесь. 
3. Делаем загрузочный накопитель (ниже пример), по-аналогии, например, с загрузочным установочным диском или usb флеш-накопителем Windows.

Запуск Wifislax:

1. Находим приложение Wireshark в меню Wifislax - Network-Tools
2. Запускаете его, выбираете интерфейс wlan0
3. На нем нужно открыть параметры и установить флаг Monitor Mode
4. Запускаем захват на этом интерфейсе, выбрав тот же радиоканал, на котором работает роутер и попытаться подключить ТВ. Весь обмен между телефоном и роутером на этом канале попадет в дамп. 

Пример создания загрузочной USB флеш-накопителя:

1. Скачиваете программу http://www.chrysocome.net/downloads/ddrelease64.exe
2. Открываете командную строку от имени администратора
3. Даете команду diskpart. Запустится утилита управления дисками Windows. Вводите
list disk
будет выведен список дисков в системе, определяете номер диска флешки (для примера это 2). Вводите
select disk 2
clean
Диск будет очищен. Вводите exit.
4. Переходите в каталог где лежат скачанные программа dd и образ дистрибутива (например cd Downloads. Запускаете dd. Сначала, так
ddrelease64.exe --list
Будет выведен список доступных точек монтирования. Вам нужно определить какая из них соответствует флешке, там выводятся буквы дисков, например такая запись

\\.\Volume{43d55195-2839-11e8-becd-20898444332b}\
  link to \\?\Device\HarddiskVolume16
  removeable media
  Mounted on \\.\g:

Теперь можно запустить собственно операцию развертывания образа на флешку, так:
 ddrelease64.exe if=wifislax64-1.1-final.iso od=g: bs=1M --progress

После того как эта операция завершится, с флешки можно загружаться и захватывать трафик.

[minidlna - DLNA-сервер]

@User624 http://bin.entware.net/mipselsf-k3.4/Packages.html