[Keenetic Ultra 2 3.4.Alpha1 и полный неадекват USB и CPU]

3.4.Alpha.3 на Zyxel Keenetic Ultra 2. Зависания портов USB при вставке модема Huawei с флешкой microSD внутри продолжаются. Модем без флешки порты не вешает, флешка без модема порты не вешает, флешка и модем в разных портах usb порты не вешают. Проблема не в модеме, т.к. разные модемы Huawei имеют один и тот же результат. И не в роутере, т.к. на 3.3.10 ничего такого нет, а вот на 3.4.Alpha уже 3 выпуска продолжается. Порты отвисают только полным ребутом роутера.

@ndm, скажите, это нормально?

Народ, проверьте, пожалуйста, у кого ещё такое наблюдается? Я на KN-1810 проверить не могу, т.к. всю сеть тогда надо класть, а у меня iptv почти круглые сутки у родных.

Свежий self-test, если надо, могу приложить.

[Запрос на добавление новой возможности (SSH Клиент)]

Иными словами. Задача в том, чтобы, не открывая порты на постоянную, иметь возможность пробросить в сеть временный туннель с нужным портом? Интересно.

[Запрос на добавление новой возможности (SSH Клиент)]

1 час назад, ITПавел сказал:

Ваши сомнения абсолютно беспочвенны. Вы сомневаетесь в надёжности защиты Keenetic или не дай бог SSH? Зачем мне картинки? SSH достаточно надёжен и используется по всему миру. Есть такое понятие как SSH-ключ, им почти все и пользуются, парольный доступ это плохой тон и он обычно вовсе отключается в случае использования ключа, поэтому любой доступ извне по подбору пароля даже мониторить не нужно, так как они там ничего не наподбирают. Ну а для подбора SSH-ключа понадобится наверное квантовый компьютер, который только-только пытаются изобрести и заставить нормально работать. Пока можно спать спокойно.

Если вы беспокоитесь за открытые порты, то тут тоже не о чем волноваться, т.к. порты будут подниматься на внутрисетевом интерфейсе 192.168.1.1 которая извне недоступна. Конечно криворукие настройщики маршрутизации и пробросов портов всегда найдутся, но и лезть их в это никто не заставляет, не умеешь пользоваться ssh-клиентом и настройками роутера - не берись.

Я вас понял. Просто сейчас авторизация по ключу не реализована совсем.

Я в Кинетиках не сомневаюсь. Просто именно важен нюанс, что авторизацию тогда лучше настроить на ключ, иначе первый же пролом пароля может принести массу неприятных моментов.

Да и мне всё же неясно, чем не угодил тот же старичок PPTP или иной VPN протокол.

[Запрос на добавление новой возможности (SSH Клиент)]

15 часов назад, ITПавел сказал:

Всем привет. Первый раз на форуме, поэтому не знаю есть ли здесь разработчики прошивки, надеюсь да. В общем я программист, пользуюсь вашим роутером и бед не знаю, по качеству ПО полагаю это лучшее решение на рынке. Так же пересадил многих друзей и коллег IT-шников на ваши роутеры, мы все безумно ими довольны. Работают без единого разрыва, как говорится. Так вот, в эту пятницу, в баре за пивом зашел разговор о нашей работе, о наших кинетиках и о всяком IT-шном. И вот в чем вопрос, мы все пришли к выводу, что в кинетиках не хватает одной очень важной вещи SSH-Клиента. Есть куча всего для школьников и домохозяек, от торрент-клиента, до Яндекс-DNS и даже OpenVPN клиента. Но это всё для домашних хомячков. А программисты и IT-специалисты часто пользуются SSH тоннелями до своих рабочих серверов, баз данных, рабочих компьютеров и прочего оборудования. И им тоже нужны плюшки Точнее нам) За пивом, с коллегами, мы поделились общей бедой, у многих дома постоянно открыты SSH тоннели, много к чему и как, у кого-то динамический прокси настроен и прочее. И для всего этого необходимо постоянно держать открытыми Putty, OpenSSH клиент, termius, kitty и прочие SSH клиенты, которые работают как тоннели или прокси, но без консоли (флаги -NT).

И вот на меня возложили обязанность написать сюда) Было бы неплохо добавить в стандартную прошивку полнофункциональный ssh-клиент (чтобы работали все пробросы портов, туннели и прокси) или хотя бы сделать такой пакет-расширение для установки. Чтобы можно было поднять прокси до рабочей машины командой типа этой ssh -NTFakx -R 127.0.0.1:22344:127.0.0.1:4444 -i privkey.sshkey -N root@workcomp.ru  на роутере и забыть о висящей программе на компьютере. Или допустим на роуетере через ssh-клиент у тебя будет поднят тоннель до базы MySQL на работе, и вот ты подключаешься на адрес 192.168.1.1:3315 и попадаешь на рабочий компьютер на порт 3306 по SSH тоннелю. Это же круто как удобно. Ребят, очень просим) очень надо) Вещь простая, даже SSH сервер в роутерах есть, а клиента нет, ну как так то:-)

 OPKG даже не предлагайте) Это для садомазохистов. Если добавите - респект от всего IT сообщества!

Павел, а вы уверены, что вам это сильно нужно? Вопрос банально в том, что эта возможность может оказаться хорошей дыркой в безопасности сети. В роутере и без этого достаточно возможностей доступа к сети, находящейся за ним. Ну а для обоснования своих слов приведу простой факт: 4332 постоянно заблокированных уникальных ip адреса, заблокированных за попытки взлома SSH к моему NAS за примерно полгода. До этого блокировку ставил на сутки. Список продолжает расти, примерно, по 10 ip в день. Картинку с панели управления кинуть?

[Keenetic Ultra 2 3.4.Alpha1 и полный неадекват USB и CPU]

Продолжу тему. Сейчас обновился на 3.4.Alpha2, зависания остались. Перешил роутер, оставив из модемных модулей только "3G/4G USB модемы". Зависания есть. Причём выявил фокус: если модем втыкается без флешки во встроенном картридере - ничего не зависает, если модем воткнуть с флешкой во встроенном картридере - повисаем. Испытуемый сейчас модем Huawei e3372h. Self-test будет следующим скрытым постом.

[Keenetic Ultra 2 3.4.Alpha1 и полный неадекват USB и CPU]

Приветствую, товарищи!

Дано: Zyxel Keenetic Ultra 2

Прошивка 3.4.Alpha.1

с ним в сцепке Wi-Fi системы по воздуху Zyxel Keenetic Giga 3 с прошивкой 3.3.10 в режиме усилителя-ретранслятора.

в Zyxel Keenetic Ultra 2 воткнут модем Huawei с встроенной в нём флешкой и отключенным интернетом. Проверял возможность спуфинга DNS на новой прошивке Keenetic.

Из клиентов на тестовой сети только старый пк на селероне с двумя ядрами проводом воткнутый в порт рядом стоящей Giga 3.

Основная и тестовая сети сцеплены IPSec подключением.

Интернет на обе сети подан независимым. Оба роутера имеют на выход внешний белый адрес.

Что получаю: при фактически нулевой загрузке тестовой сети 26-30% CPU на Ultra 2 после нажатия FN1 (размонтирование флешки в модеме) и зависание всех USB портов. Причём порты зависают сразу же после подключения модема, он даже не подключается в систему. Зависает даже индикация usb порта, куда воткнут модем. Индикатор порта, где был модем, горит даже при отключении модема, реакции при этом больше нет ни на какие другие подключения в usb порты. Оживаем только при полной перезагрузке без модема.

На 3.3.10 ничего подобного на Zyxel Keenetic Ultra 2 с этим модемом нет и близко.

Self-test с включённым режимом отладки далее. Спасибо.

[Подключение по PPPoE на 3.3.10]

По работе приглядываю за объектом. Там, с моей рекомендации, стоит Keenetic GIGA KN-1010, а в него идёт оптика Ростелеком. Интернет там тоже через PPPoE, и там полный порядок на 3.3.10.

[При входе на веб-интерфейс NAS через http-proxy роутера NAS видит только IP роутера.]

В 11.06.2019 в 23:25, Le ecureuil сказал:

У части приложений заголовки x-forwarded-for и x-real-ip вызывают глюки. Потому их нет.

А как-то можно их включить? В моём случае это было бы очень кстати. Спасибо.

[Wireless mesh feature]

В 09.07.2019 в 21:18, ndm сказал:

Начиная с версии 3.1 Alpha 5, на все двухдиапазонные устройства, входящие в Wi-Fi-систему, добавлена скрытая точка доступа (SSID вида afb6450c906294c87fd6619c8f3749c7), предназначенная для связи узлов Wi-Fi-системы между собой. Все узлы, работающие в режиме "repeater" и захваченные контроллером Wi-Fi-системы, автоматически настраивают интерфейс WifiMaster1/WifiStation0 для подключения к скрытому SSID. При этом используется 4-адресный формат заголовков Wi-Fi, по аналогии с WDS, содержащий адреса Receiver's Address [RA], Transmitter's Address [TA], Source Address [SA] и Destination Address [DA], т.е. адреса промежуточных беспроводных узлов и оконечных устройств LAN.

Внимание: беспроводные связи между экстендерами устанавливаются только в диапазоне 5 ГГц. Это объясняется текущими возможностями драйверов Wi-Fi. В будущем не исключаем, что появится 2.4 ГГц в виде опции.

Сегменты Home, Guest и т.д. мультиплексируются в беспроводных соединениях точно так же, как и в проводных —  с помощью VLAN 802.1q.

На каждом сегменте включен протокол STP, обеспечивающий выбор оптимальных связей между экстендерами. Предпочтение отдаётся проводным соединениям. При подключении экстендера по проводу беспроводное соединение всё равно устанавливается, но передача данных через STA-интерфейс блокируется на уровне моста, пока подключен провод.

Экстендер при включении выбирает оптимальную точку доступа, основываясь на мощности её сигнала и метрике (расстоянии до контроллера), которая передаётся в пакете Probe response. Метрика вычисляется исходя из значения root_path_cost STP. Таким образом, беспроводной экстендер может определить, имеет ли точка доступа связь с контроллером, и насколько он далеко. Сам контроллер передает метрику, равную единице.

Команда show mws member показывает информацию о подключении каждого экстендера:

• идентификатор вышестоящего устройства
• интерфейс подключения
• расстояние до контроллера

Наример:

[
  {
    "cid": "9942687c-3e81-11e7-8489-0da3593493fa",
    "model": "Giga (KN-1010)",
    "mac": "50:ff:20:00:00:3a",
    ...
    "backhaul": {
      "uplink": "WifiMaster1/WifiStation0",
      "bridge": "8000.50:ff:20:00:01:0e",
      "cost": 50
    }
  },
  {
    "cid": "e5da6c72-e60d-11e8-8000-e975d199df10",
    "model": "Giga (KN-1010)",
    "mac": "50:ff:20:00:01:11",
    ...
    "backhaul": {
      "uplink": "WifiMaster1/WifiStation0",
      "bridge": "e000.50:ff:20:00:00:3a",
      "cost": 100
  },
  ...

Префикс e000 означает, что вышестоящее устройство само является экстендером.

Известные недостатки

1. Добавление экстендера по кнопке WPS происходит в два этапа:
   1. устройство подключается к сегменту Home
   2. пользователь нажимает кнопку "Захватить" на странице "Wi-Fi-система.

Думаю, что пока это не недостаток, а фича! Причин я вижу минимум 2:

1) Невозможность управления раздачей vlan на порты подключенного к роутеру экстендера, если тот захвачен в систему.

2) Учитывая перспективу в дальнейшем двухрежимной системы роутеров роутер-экстендер, должна сохраниться возможность в режиме экстендера получить простой Wireless Bridge, как в режиме адаптер сейчас. Объединённые в систему экстендеры дольше пересинхронизируются с роутером, чем в режиме адаптера.

[обновление 3,1С]

1 час назад, vovec79 сказал:

установлено последнее обновление 3,1С которое....

так же настроено при появлении обновления - мигает индикатор fn2

если выбрать канал обновления релиз - мигает индикатор, но в вэбморде нет предложений обновиться...

если выбрать предварительный канал, то индикаторр не мигает..

На предварительном и релизном каналах одна и та же версия, поэтому и не мигает.

[Некорректная работа IGMP в KeeneticOS 3.0]

18 часов назад, iggo сказал:

Возможно, известный баг оказался сложным для починки, это я могу понять.

Но зачем тогда обещать то, что указано вверху? 

Техподдержка будет очень рада этому багу от обращений телезрителей )))

Вполне возможно, что расширение выборки пользователей с одной стороны сдвинет приоритеты по задачам, а с другой даст возможность найти то, что вызывает ошибку. Конкретно у себя описанного бага я пока не наблюдаю, но когда на бете я игрался с wi-fi системой, был момент пропадания мультикаста на первом канале. Причём по проводу всё было норм, а через wi-fi мост перелетали все мультикасты, кроме Первого канала.

Я тогда не понял однозначно причину, а потом увидел эту тему. Но к этому моменту я уже разобрал wi-fi систему из-за претензий домашних. И пепевёл домашнюю сеть с беты на релиз. На тестовой сети на Keenetic Ultra 2 это не повторилось.

[Wireless mesh feature]

52 минуты назад, che100 сказал:

Ну ка поведай нам, чо там у сяомяу умеет пресловутый k. r. v. 

С десяток redmi-ков лично проверял, и ни один не умеет k. r. v. 

Коллега выше не постеснялся выложить свои проверки. А ваши мы увидим, уважаемый?

Признаться честно, даже интересно будет сравнить.

[Wireless mesh feature]

1 минуту назад, che100 сказал:

Значительно лучше,спасибо за ответ. 

На китетиках сижу давно ещё чётко помню девайсы первой серии. С появлением "Бесшовного роуминга" надеялся что заживём как белые люди, оказалось что облом, т. к. нужны 802.11k, r, v , а их умеют только 1,5% устройств. Потом узнал про реализацию mesh сети и снова здарова. 

Все баста, лимит доверия исчерпан, перехожу на тики. 

Я ссылочку давал про бесшовный роуминг. Задублирую её сюда: https://help.keenetic.com/hc/ru/articles/360000862539-Бесшовный-роуминг-Wi-Fi

Там подробнее и чётче всё расписано про этот роуминг. Теоретически, при правильной настройке всё должно работать с любым устройством. Могу ошибиться, конечно, но понимаю так.

[Wireless mesh feature]

1 час назад, che100 сказал:

А ты точно вопрос читал? 

Давай попробуем ещё раз. 

В чём отличие вашего "Бесшовного роуминга" от вашей реализацией "Mesh сети" ?  В частности для миграции клиентов от одной точки до другой нужны 802.11k, r, v? 

Главным образом в том, что это совсем разные вещи. Mesh сеть - транспортная инфраструктура, если так яснее, позволяющая объединить точки доступа, между которыми в дальнейшем происходит бесшовный роуминг. 802.11k, r, v нужны, т.к. именно это и есть бесшовный роуминг. Так лучше?

[Wireless mesh feature]

9 часов назад, che100 сказал:

Молодец дурак .

Что-то я не понял?! Я вас, вроде, не обзывал нигде! Вы спросили о различиях Mesh сети и бесшовного роуминга. Я ответил. Протоколы, указанные вами, являются основой бесшовного роуминга. Подробности тут.

[Wireless mesh feature]

22 часа назад, che100 сказал:

В чём отличие вашего "Бесшовного роуминга" от вашей реализацией "Mesh сети" ?  В частности для миграции клиентов от одной точки до другой нужны 802.11k, r, v? 

Бесшовный роуминг - это передача клиента между точками доступа без перерыва связи для клиента, а Mesh сеть - реализация системы объединения узлов расширения сети с основным роутером.

Раньше были роутеры, точки доступа и усилители (репитеры) Wi-Fi. Функционально только роутеры и точки доступа могли полноценно распространять всю сеть со всеми её подсетями и прочим, превращая её в стабильную централизованную систему. Усилители (репитеры) Wi-Fi расширяли только одну подсеть, к которой были подключены, хотя некоторые из них и позволяли настроить дополнительные сети, но вся передача данных шла через основную сеть. При смене параметров основной сети усилители (репитеры) Wi-Fi отваливались, что приводило к необходимости побегать за ними.

В Mesh сети эти проблемы пытаются решить. Для этого введена отдельная защищённая точка доступа, через которую связываются все усилители (репитеры) Wi-Fi с основным роутером, реализованы механизмы контроля связи и реализовано централизованное управление параметрами Wi-Fi, что позволило перейти от системы роутер, точки доступа, усилители к системе роутера и экстендеров (узлов расширения). То есть теперь имеется основной роутер и экстендеры сети, которые с роутером связаны проводом, Wi-Fi или обоими вариантами сразу и управляются им централизованно, обеспечивая чёткое и бесперебойное функционирование сети. И бесшовный роуминг в этой сети - одна из её основных функций.

[Wireless mesh feature]

Товарищи разработчики, а это так и должно быть, что на экстендере нельзя порты по VLANам раскинуть? 

На экстендере стоит первый влан по умолчанию + тегирование остальных на каждом порту. При попытке изменить в веб-интерфейсе назначение порта в влан, экстендер твердит, что вланы раскидываются с контроллера. Мне казалось, что вланы пачкой приезжают в раздающий узел, например экстендер, и им расшиваются независимо от других узлов.

Ляпну ниже картинку с экстендера для наглядности.

[Wireless mesh feature]

В 09.07.2019 в 23:47, ndm сказал:

Что касается объединения репитера и ТД — попали в точку. С этого года пойдут двухрежимные устройства с простым переключателем: роутер-экстендер.

Почему-то сразу вспомнились старые жёсткие диски с их Master-Slave. А вообще идея хорошая.

Я как раз недавно налаживал распределённый Wi-Fi с роумингом. А теперь думаю, сколько бы мучений сэкономили бы с вашим Mesh. Но там закупали другие устройства. Будем с нетерпением ждать обкатку системы. Успехов вам!

[При входе на веб-интерфейс NAS через http-proxy роутера NAS видит только IP роутера.]

Приветствую! Вот понять пытаюсь, но так ответа и нет, а проблема есть.

NAS: QNAP D4 Pro

Роутер: KN-1810

Версия ПО роутера: 3.00.B.0.0-0

Версия ПО NAS: 4.3.6.0805

Проблема в том, что при входе напрямую в веб-интерфейс NAS, в нём спокойно видно IP адрес вошедшего.

Если же войти через доменное имя вида nas.predator404.keenetic.pro, являющееся поддоменом, полученным функцией http proxy роутера, то в веб-интерфейсе NAS видно только внутренний ip роутера, но не ip вошедшего клиента.

Как быть и что делать? Как я понимаю, в роутере используется nginx, который не отдаёт NAS ip входящего клиента. Прав ли я? Прошу помощи, т.к. хочу использовать такое имя, а не штатное через myqnapcloud.com

Спасибо.

UPD: картинка для наглядности

[При изменении функций кнопок FN не сохраняются настройки.]

Приветствую!

@eralde, возможно это для вас.

Пациент: KN-1810

Версия ПО: 3.00.B.0.0-0

При попытке изменить назначение кнопок FN в веб-мордочке невозможно сохранить изменения. На нажатие кнопки Сохранить вообще никакой реакции. Мне кажется, это явно не фича.

Пикча для иллюстрации ниже. Self-test далее. Спасибо.

UPD: он вообще ни одну кнопку выставить не даёт.

[На поддомен доменного имени KeenDNS невозможно получить сертификат ssl]

В 13.05.2019 в 12:11, Le ecureuil сказал:

Отзовите все сертификаты на домены 4 уровня, и у вас будет работать wildcard с L3 начиная с 2.15.

Спасибо. Скинул до нуля настройки роутера, и SSL заработал полноценно.

[На поддомен доменного имени KeenDNS невозможно получить сертификат ssl]

В 24.04.2019 в 11:59, ankar84 сказал:

Попробуйте получить wildcard сертификат.

Помогло. Перевыпустил через командную строку сертификат основного домена и сразу получил wildcard. Спасибо.

Единственное, что раньше работало автоматическое перенаправление на ssl, а теперь на поддомене приходится приглядывать за ssl.

Еще в догонку хотелось бы понять. Через http proxy веб-интерфейс моего nas отказывается видеть ip компа, с которого я подключаюсь. Вместо него в журнале подключений висит внутренний ip роутера. Можно ли как-то проявить вместо ip роутера ip зашедшего из вне через http proxy роутера компа?

NAS: QNAP D4 Pro

Если надо родить отдельную тему, скажите куда.

[На поддомен доменного имени KeenDNS невозможно получить сертификат ssl]

2 минуты назад, ankar84 сказал:

Попробуйте получить wildcard сертификат.

О! Вечером заценим. Спасибо.

[На поддомен доменного имени KeenDNS невозможно получить сертификат ssl]

Здравствуйте!

KN-1810 с прошивкой 3.00.A.2.0-4 не получает ssl сертификат для поддомена домена KeenDNS.

Есть домен predator404.keenetic.pro, он на момент перепрошивки в драфт прошивку уже был настроен и имел сертификат. Уже после перепрошивки я решил завести поддомен nas и получить на него ssl сертификат. Итог: поддомен есть и работает, но ssl не получает, т.к. "404 not found" в журнале. Как это исправить?

Self-test летит следом. Спасибо.

[Не сохраняется подключение OpenVPN при изменении его свойств и сбрасывается интернет-фильтр в KN-1810]

Здравствуйте, товарищи!

@eralde, я скорее всего к вам. В Keenetic KN-1810 на прошивке 2.15.С.1.0-1 перестало сохраняться подключение OpenVPN, если ему выставить ранее не выставленную галку на получение маршрутов. При попытке сохранения страница со свойствами зависает и не закрывается.

Плюс ко всему при любом изменении свойств подключения OpenVPN или PPTP сбрасываются сопоставления доменов dns серверам, привязанные к соответствующим подключениям, в разделе Интернет-фильтр.

Self-test как всегда следом. Спасибо.