[В режиме роутера обновил прошивку до беты и переключил в точку доступа. Роутер ушёл в нокаут!]

Привет, товарищи! В этом посте селф-теста не будет, т.к. снять его невозможно. Log, скопированный с терминала Telnet цепляю сюда.

Нокаутирован: KN-1810

Нокаутирован чем: 2.15.B.0.0-1

Нокаутирован как: в режиме роутера обновлен до 2.15.B.0.0-1 с удалением netfriend и лишних фильтров, кроме яндекса, после чего переподключен в другую сеть в режиме точки доступа для проверки возможностей по добавлению порта 0 в сегменты сети, как заявлено в релизноте. При обращении к веб-интерфейсу была попытка отобразить лицензионное соглашение, но оно не отобразилось, и веб-интерфейс улетел в глухой ноль. Ни хром, ни эдж его не видят. Телнет подрубается, но при попытке отобразить self-test или show running-config зависает насмерть. USB носители не видит.

Результат получен 2 раза подряд, возврат только через режим полного восстановления с утилиты, т.к. даже на команду сброса с кнопки оно не реагирует.

Show version

Скрытый текст

(config)> show version

          release: 2.15.B.0.0-1
             arch: mips

              ndm:
                exact: 0-e4ab25e
                cdate: 9 Feb 2019

              bsp:
                exact: 0-a02e70c
                cdate: 9 Feb 2019

              ndw:
              version: 1.6.15
             features: wifi_button,wifi5ghz,usb_3,usb_3_first,
                       led_control,vht2ghz,mimo5ghz,mimo2ghz,dual_image,wifi_ft
           components: base,cloudcontrol,config-ap,config-client,
                       config-repeater,corewireless,ddns,dhcpd,dlna,dot1x,fat,
                       ftp,hfsplus,igmp,kabinet,l2tp,madwimax,miniupnpd,
                       nathelper-ftp,nathelper-h323,nathelper-pptp,nathelper-
                       rtsp,nathelper-sip,ntfs,pingcheck,ppe,pppoe,pptp,ssh,
                       storage,trafficcontrol,transmission,tsmb,usb,usbdsl,
                       usblte,usbmodem,usbnet,usbserial,ydns

     manufacturer: Keenetic Ltd.
           vendor: Keenetic
           series: KN
            model: Ultra (KN-1810)
       hw_version: 10188000
            hw_id: KN-1810
           device: Ultra
            class: Internet Center
           region: RU
      description: Keenetic Ultra (KN-1810)

 

log.txt

[Сообщение "Интернет недоступен" при доступном интернете на Резервном подключении WISP 2.4]

Позволю себе апнуть тему, т.к. проблема актуальна. Свежий селф бежит следом. Ныне версия прошивки - 2.14.B.1.0-2, роутер KN-1810. Без установленного ping-check на резервное подключение статус показывает нормально. Включаю ping-check - получаю глюк.

[Сообщение "Интернет недоступен" при доступном интернете на Резервном подключении WISP 2.4]

Здравствуйте!

Имеем глюк с проверкой статуса интернета на резервном подключении Wireless ISP 2.4 GHz при настроенной проверке доступности интернета.

По факту интернет доступен, но на странице подключения показан статус "Интернет недоступен". Для визуализации глюка картинка.

Пациент Keenetic Ultra KN-1810, прошивка 2.14.A.5.0-0

Self-test далее. Как и всегда.

Спасибо.

С уважением, Shadow87.

[Переподключение wifi]

Приветствую, Товарищи!

Поскольку тема о непонятках с Band Steering есть, думаю добавить сюда свою проблему, т.к. выглядит она очень похоже. Если не прав, прошу сильно не ругать.

Суть такова: при подключении по Wi-Fi на ноуте интернет пашет нестабильно, а сегодня вообще teamviewer на нём отказался куда-либо ходить, пока я не цапнул ноут проводом на порт роутера. После отключения Band Steering на роутере проблема ушла пока. Буду наблюдать дальше.

Пациент KN-1810, прошивка 2.13.B.0.0-2.

Wi-Fi на ноуте: Intel Killer Wireless-AC 1550i Adapter (9560NGW)

На ноуте стоит штатная Windows 10 с последним драйвером Wi-Fi, который я сам обновил с сайта производителя ноута.

Self-test как всегда летит следом. Спасибо.

[В FTP отображаются конфигурационные файлы]

35 минут назад, KorDen сказал:

Вы же сами предложили - не давать админу доступ на FTP, делов то. Гораздо большей дыркой является невыпиливаемый доступ к web в новой морде у учетки admin, в совокупности с новомодными облачными доступами

Согласен. Даже не предложил, а напомнил одно из правил информационной безопасности в сегодняшней действительности.

Только учитывая, сколько пользователей всё же дают админу доступы к FTP факт остаётся фактом, дырка, хоть и потенциальная, есть.

Касаемо самой учётки админа, да это тоже грустно.

[В FTP отображаются конфигурационные файлы]

5 минут назад, Sergey Zozulya сказал:

Только почему-то их размер всегда 0. В смысле не после скачивания, а в листинге файлов на FTP.

Это не совсем файлы, а скорее ссылки на экспорт и импорт этих файлов из/в роутер. Сами файлы хранятся в роутере в весьма специфичном виде.

[В FTP отображаются конфигурационные файлы]

Под админом в FTP действительно видны конфигурационные файлы. Как я понимаю, это фича для тех, кто не хочет/не может пользовать веб для скачивания этих файлов, хотя по мне это кажется дыркой в безопасности. Доводом к своему мнению могу привести периодические попытки взлома моего сервера по HTTP(S) и SSH, за что сервер регулярно рапортует мне о блокировках некоторых IP адресов. В тех устройствах, где есть USB порты, хватит, на мой взгляд, того, что конфигурационные файлы можно скопировать из консоли в общую папку или флешку и обратно, а там уже и пользоваться ими.

А вообще, давать админу доступ к FTP на мой взгляд - глупость полнейшая. Лучше, пусть это будет отдельный пользователь и обязательно без админских прав. Так намного лучше и безопаснее, ибо боты и ломщики не дремлют. Shodan бдит.

[Точка доступа виснет при добавлении сегмента]

2 часа назад, eralde сказал:

Спасибо! Проблема воспроизвелась, фикс будет в следующей сборке.

Это хорошо, будем ждать.

Кроме того, есть ещё один вопрос: в режиме точки доступа у Giga 3 доступны 4 из 5 портов, для разведения сегментов через веб-интерфейс, а 5, порт 0, намертво зафиксирован в 1 сегменте. Это возможно поправить или надо тему в Развитие класть?

[Точка доступа виснет при добавлении сегмента]

Приветствую, товарищи!

Пациент: Keenetic Giga III

Прошивка 2.12.B.1.0-4

При попытке добавить новый сегмент сети в него через веб-интерфейс, интерфейс наглухо зависает сразу после нажатия на кнопку "Сохранить" и ничего не делает. При этом интерфейс перестаёт вообще на что-либо реагировать до обновления страницы в браузере. Естественно, что задачу он не выполняет, поскольку после обновления страницы, новый сегмент сети не появляется. Повторная попытка также результата не даёт.

Ниже картинка, как это выглядит. Селф-тест летит следом. Спасибо

[Слетают права пользователя при настройке]

2 часа назад, eralde сказал:

При настройке на странице "Пользователи"?

@eralde, да.

[Слетают права пользователя при настройке]

Приветствую, товарищи!

Пациент Keenetic Ultra 2, прошивка 2.12.B.0.0-4.

При попытке выставить через веб-интерфейс пользователю права на доступ к какому-либо сервису слетают ранее установленные права. Особенно это видно на примере установки прав на вход пользователя в веб и cli. Если пользователю потом ещё что-то назначить, права на веб и cli слетают.

Self-test прилетит в следующем сообщении

Спасибо.

[DSL-подключение в 2.12.B.0.0-2 без DSL модема.]

Привет, товарищи!

Пациент: Keenetic Ultra 2

DSL модема нет и никогда не было, городской телефон 100 лет как огпонился, а интернет оростелекомился примерно в те же годы.

До последней беты вкладку не примечал, а в последней приметил. Думал даже, что компоненты для Keenetic DSL поставил, но нет.

А вкладка есть, правда пустая.

[Общие настройки системы потерялись]

9 часов назад, miltt сказал:

Дело не в ностальгии.
Одно дело находить, и помогать этим устранять ошибки работы (логики работы) прошивки, и немного другое иметь проблемы с не доделанными (не перенесёнными из старого интерфейса) функциями нового интерфейса, которые в старом работали более чем адекватно.

p.s. Ваш ответ и позиция понятны.

Уже разговор был, что постепенно всё допилится. Просто, как сказал @ndm, в старом интерфейсе оказалась большая лажа, связанная с ошибкой его проектирования, потому новый интерфейс они пишут почти с нуля. Всё прирастётся, а может станет и лучше. И мы со своей стороны можем им помочь, выявляя то, что они у себя не видят по тем или иным причинам.

[Общие настройки системы потерялись]

1 час назад, ndm сказал:

Слабо. Трагедия старого веба была в том, что он принципиально не мог быть компонентом. Его можно было только удалить. Тяжесть исторического наследия было таким, что сервер сборки, который по запросу пакует образ из готовых ipkg, обязан был отдельно вызывать скрипт сборки веба со списком запрошенных компонент. Процедура сборки веба замедляла обработку запросов примерно на треть. И всё это намертво задеплоено по всем билд-серверам с кучей зависимостей.

Теперь за сборку 2.12 и выше смогут отвечать отдельные билды, и нагрузка на них значительно снизится. Запросы makeFirmware можно будет разруливать на L7-роутерах...

Словом, дело не в 500k, а гораздо сложнее.

Будем какое-то время обновлять дельту. Также обсуждается вариант с отдельной песочницей legacy для особо ностальгирующих.

Что-то в подобном роде я ожидал услышать, но всё одно - брутально. Я так понимаю, что эта проблема тянется ещё с первого поколения, когда NDM OS не была такой модульной и гибкой. Там веб и cli были жёстко вморожены в систему, а новый веб стал началом нового подхода, где интерфейсы - такие же модули, как и всё прочее. Правильно ли я понял вас?

В какой-то степени на такие выводы меня подтолкнул ещё ответ @eralde о необходимости опции role для правильной идентификации подключений.

[Не меняется PSK сервера L2TP/IPsec и IPsec VPN]

Понятно. А IKEv2 пока убрали вообще или его в cli поднять можно?

[Не меняется PSK сервера L2TP/IPsec и IPsec VPN]

37 минут назад, r13 сказал:

Так как оба сервера ikev1 они не могут жить параллельно с разными PSK

 

15 минут назад, enpa сказал:

Для того, чтобы поменять ключ, нужно в консоли прописать:

(config)> crypto ike key VirtualIPServer TESTTESTMY any 
IpSec::Manager: "VirtualIPServer": crypto ike key successfully updated.
(config)> crypto ike key VPNL2TPServer TESTTESTMY any
IpSec::Manager: "VPNL2TPServer": crypto ike key successfully added.

 

r13 != enpa Как то так. Учитывая, что @enpa привёл настройку двух разных ключей через cli делаем вывод, что 2 разных ключа возможны. Итого 2 ошибки в 1 заход.

Будет ржачно, если выяснится, что именно конфликт двух настроек ломал кнопку. 

[Не меняется PSK сервера L2TP/IPsec и IPsec VPN]

Допустим, хотя в старом вебе настраивалось всё это более адекватно, и там был разный ключ на то и другое. Кроме того, это не решает и никак не объясняет проблему несменяемости ключа.

[Не меняется PSK сервера L2TP/IPsec и IPsec VPN]

Привет всем!

Собственно ситуация простая: зашёл в новый веб попробовать настроить IPSEC VPN, забил общий ключ и обратил внимание, что общий ключ теперь сменить нельзя, т.к. кнопочка "Изменить" недоступна.

Мало того, в настройках L2TP/IPSEC VPN сервера оказался прописан тот же ключ, хотя я его туда не писал. И он, поганка, тоже не меняется. Как быть?

 

[А что с правами пользователя в новом вебе?]

Понятно, ждём. В свете появления ssh доступа для конфига архиактуально. В обоснование могу собрать и скинуть логи регулярных попыток брута админской учётки на NAS.

[Через новый веб-интерфейс создаётся нерабочее PPTP подключение к сети]

Пожалуйста. Будем ждать. 

[А что с правами пользователя в новом вебе?]

Приветствую, товарищи!

Скажите, пожалуйста, отсутствие возможности дать пользователю доступ к вебу и cli и ограничить его только на чтение это баг или фича? Где галочки? Прошивка 2.12.A.6

[Через новый веб-интерфейс создаётся нерабочее PPTP подключение к сети]

1 час назад, Shadow87 сказал:

В моём случае PPTP используется не для выхода в интернет, а для связи с удалённой сетью, поэтому получилось то, что получилось. Раньше одновременно с поднятием подключения PPTP происходило прописывание соответствующего маршрута в таблицу, а после недавнего пересоздания словил это. И, кстати, глючное подключение при всём прочем висит со статусом подключено и я даже могу достукаться до удалённого роутера, но не до сети за ним, в чём собственно и есть проблема.

Попробую ещё повторить успех на другом Кинетике из моего зоопарка.

Keenetic Ultra 2, прошивка 2.12.A.6

Созданное в веб-интерфейсе PPTP соединение не отображается в приложении. В созданном подключении те же опции role misc и ip address no dhcp.

Проблема с не отображением подключения в приложении решается командой interface PPTP0 no role, что сбивает параметр role misc.

А interface PPTP0 ip address dhcp приводит в порядок доступ к сети за удалённым роутером.

И какие здесь случайности?

Замечу, что в обоих случаях создание PPTP подключений через приложение делало сразу рабочие варианты.

[Через новый веб-интерфейс создаётся нерабочее PPTP подключение к сети]

1 час назад, User624 сказал:

Le ecureuil, попробовал у себя PPTP. Заработало сразу и без проблем, но есть одна странность. Пока не поставил галочку "Использовать для выхода в интернет" в "Профилях доступа" оно не появилось. Хотя подключение к серверу прошло успешно.
И можно ли как то сделать, что бы созданное подключение не вставало первым в основном профиле. А также разблокируйте пожалуйста параметр "Добавлять новые подключения автоматически"

В моём случае PPTP используется не для выхода в интернет, а для связи с удалённой сетью, поэтому получилось то, что получилось. Раньше одновременно с поднятием подключения PPTP происходило прописывание соответствующего маршрута в таблицу, а после недавнего пересоздания словил это. И, кстати, глючное подключение при всём прочем висит со статусом подключено и я даже могу достукаться до удалённого роутера, но не до сети за ним, в чём собственно и есть проблема.

Попробую ещё повторить успех на другом Кинетике из моего зоопарка.

[Через новый веб-интерфейс создаётся нерабочее PPTP подключение к сети]

Дважды пробовал. Keenetic Giga 3, прошивка 2.12.A.5.0-10.

Оба раза через веб создаётся битое, а через приложение нормально.

Сейчас сам посмотрел селфы. В битом подключении есть опция ip address no dhcp, хотя в свойствах подключения в интерфейсе стоит автоматическое получение адреса. И ещё в нём же есть опция role misc. Не знаю, что это, но возможно оно и мешает отображению подключения в приложении My.Keenetic.

[Через новый веб-интерфейс создаётся нерабочее PPTP подключение к сети]

Приветствую, товарищи!

Имеется проблема с новым веб-интерфейсом: подключение к удалённой сети через PPTP, которое было создано через новый веб-интерфейс в текущей прошивке, неработоспособно. При подключении к сети нет маршрута до сети в таблице маршрутизации и, самое интересное, это подключение не показывается в приложении my.keenetic.

Если подключение я создаю через приложение, тогда всё в порядке и всё работает. Как это так?

Селф-тесты рабочего и нерабочего подключения PPTP едут следом.

Спасибо.