Переключение OpenSSL 3.0.x/3.1.x/3.2.х

[tr22]

Возможно ли в KeeneticOS 4.1.x реализовать в интерфейсе возможность переключиться на старую OpenSSL 3.0.х?
Например, ту что в в версии KeeneticOS 4.0.7 "Библиотека OpenSSL обновлена до последней версии 3.0.8"  .
В KeeneticOS 4.1.x "библиотека OpenSSL обновлена до последней версии 3.1.2" и у меня не работает всё, что связано с 3.0 в локальной сети и внешней...

[sergeyk]

6 часов назад, tr22 сказал:

и у меня не работает всё, что связано с 3.0 в локальной сети и внешней...

Почему вы решили, что проблема в OpenSSL?

[tr22]

Решил по собственному мнению... Наблюдениям...
1. В локальной сети (за роутером) у меня сервер Апач 2.4.х на убунту 22.х. На сервере OpenSSl 3.0.х.
В версии KeeneticOS 4.0.7 "OpenSSL 3.0.8" всё работает.
2. При установке на Роутер тестовой KeeneticOS 4.1.x "с OpenSSL3.1.2" не могу выйти в интернет при помощи Яндекс Браузера ( Версия
23.11.2.771 (64-bit)) (с обычного ноута в той же сети). Другие браузеры интернет эксплорер, хром, опера, атом, мозила - работают, сайт видят. Я задал вопрос в ТП Яндекса чтобы они добавили поддержку OpenSSL 3.1 и OpenSSL 3.2, но (по моему опыту общения с ними) это бесполезно, они ответят через месяц "актуален ли еще этот вопрос" и ничего делать не будут. Там у них каша полная в ПО и их программах. (возможно, они вообще не знают что есть OpenSSL 3.1 и OpenSSL 3.2).
Для меня эта ситуация критична, т.к. прекращаются заходы на сайты (расположенные на моём сервере) из Яндекс поиска и приложений (они просто не видят сервер). При этом вебмастер сервер(сайты) видит, Гугл видит (из гугла заходы идут как и раньше). У Яндекса каша полная в ПО и их программах. (возможно, они вообще не знают что есть OpenSSL 3.1 и OpenSSL 3.2).
3. При установке на Роутер тестовой KeeneticOS 4.1.x "OpenSSL3.1.2" перестаёт работать с обычного ноута в той же сети доступ к серверу по SFTP (FileZilla Client Version: 3.66.1).
Почему я решил, что дело в OpenSSL?
Ранее, я устанавливал свой на сервер OpenSSL 3.1.х и OpenSSL 3.2.х - также переставал работать в локальной сети доступ к серверу по SFTP, не было заходов на сайты из Яндекс браузера. На роутере, при этом стояла версия KeeneticOS 4.0.х "OpenSSL 3.0.8". Установка KeeneticOS 4.1.x "с OpenSSL3.1.2" на ситуацию никак не влияла.
Вот и связано моё пожелание реализовать возможность выбора версии OpenSSL 3.0.х , OpenSSL 3.1.х , OpenSSL 3.2.х  в будущем KeeneticOS 4.1.x и далее.
Читал хелп на сайте разработчика OpenSSL - версии OpenSSL 1.1.х, OpenSSL 3.0.х , OpenSSL 3.1.х , OpenSSL 3.2.х - различаются кардинально. и не совместимы обратно.
Вот.

[sergeyk]

15 минут назад, tr22 сказал:

1. В локальной сети (за роутером) у меня сервер Апач 2.4.х на убунту 22.х. На сервере OpenSSl 3.0.х.
В версии KeeneticOS 4.0.7 "OpenSSL 3.0.8" всё работает.

Как этот сценарий связан с OpenSSL роутера?

15 минут назад, tr22 сказал:

2. При установке на Роутер тестовой KeeneticOS 4.1.x "с OpenSSL3.1.2" не могу выйти в интернет при помощи Яндекс Браузера ( Версия
23.11.2.771 (64-bit)) (с обычного ноута в той же сети). Другие браузеры интернет эксплорер, хром, опера, атом, мозила - работают, сайт видят. Я задал вопрос в ТП Яндекса чтобы они добавили поддержку OpenSSL 3.1 и OpenSSL 3.2, но (по моему опыту общения с ними) это бесполезно, они ответят через месяц "актуален ли еще этот вопрос" и ничего делать не будут. Там у них каша полная в ПО и их программах. (возможно, они вообще не знают что есть OpenSSL 3.1 и OpenSSL 3.2).
Для меня эта ситуация критична, т.к. прекращаются заходы на сайты (расположенные на моём сервере) из Яндекс поиска и приложений (они просто не видят сервер). При этом вебмастер сервер(сайты) видит, Гугл видит (из гугла заходы идут как и раньше). У Яндекса каша полная в ПО и их программах. (возможно, они вообще не знают что есть OpenSSL 3.1 и OpenSSL 3.2).

Тут дело точно в чём-то другом, маршрутизация и NAT никак с OpenSSL роутера не связаны.

16 минут назад, tr22 сказал:

3. При установке на Роутер тестовой KeeneticOS 4.1.x "OpenSSL3.1.2" перестаёт работать с обычного ноута в той же сети доступ к серверу по SFTP (FileZilla Client Version: 3.66.1).

К серверу на Keenetic? В этом случае может помочь захват и анализ трафика при попытке установки соединения.

[tr22]

Ясно, спасибо. Я думал дело в OpenSSL 3.1. Позахватываю ошибки в версии 4.1.х (когда ЯБ не может соединиться с интернетом) и когда нет доступа к SFTP.
 

[sergeyk]

4 минуты назад, tr22 сказал:

когда ЯБ не может соединиться с интернетом

Как в этом сценарии участвует OpenSSL на Keenetic? Соединение должно напрямую идти в интернет.

[tr22]

Ну значит не связано с OpenSSL.
Видимо проблема в яндексе, или каком-то другом компоненте. Тогда вопрос с OpenSSL закрыт. Спасибо.
 

Внутри журнала роутера такие надписи
(ИП компьютера в локальной сети 192.168.1.92)

wireshark на 4.0.7 KeeneticOS выдаёт это (ЯБ работает всё гуд) 

186    14.506317    192.168.1.92    149.154.167.41    TCP    54    55144 → 443 [ACK] Seq=282 Ack=90 Win=8193 Len=0
187    14.507405    77.88.8.8    192.168.1.92    TCP    66    443 → 55378 [SYN, ACK] Seq=0 Ack=1 Win=42300 Len=0 MSS=1410 SACK_PERM WS=256
188    14.507505    192.168.1.92    77.88.8.8    TCP    54    55378 → 443 [ACK] Seq=1 Ack=1 Win=262144 Len=0
189    14.509010    192.168.1.92    77.88.8.8    TLSv1.3    648    Client Hello (SNI=common.dot.dns.yandex.net)
190    14.516955    91.142.81.244    192.168.1.92    TCP    60    443 → 55357 [ACK] Seq=79 Ack=33 Win=1026 Len=0
191    14.519658    77.88.8.8    192.168.1.92    TCP    60    443 → 55378 [ACK] Seq=1 Ack=595 Win=41728 Len=0
192    14.522389    77.88.8.8    192.168.1.92    TLSv1.3    1274    Server Hello, Change Cipher Spec, Application Data
193    14.522389    77.88.8.8    192.168.1.92    TCP    1274    443 → 55378 [PSH, ACK] Seq=1221 Ack=595 Win=42496 Len=1220 [TCP segment of a reassembled PDU]
194    14.522640    77.88.8.8    192.168.1.92    TLSv1.3    989    Application Data, Application Data, Application Data
195    14.522690    192.168.1.92    77.88.8.8    TCP    54    55378 → 443 [ACK] Seq=595 Ack=3376 Win=262144 Len=0
196    14.523078    192.168.1.92    77.88.8.8    TLSv1.3    134    Change Cipher Spec, Application Data
197    14.523212    192.168.1.92    77.88.8.8    TLSv1.3    146    Application Data
198    14.523332    192.168.1.92    77.88.8.8    TLSv1.3    386    Application Data
199    14.523372    192.168.1.92    77.88.8.8    TLSv1.3    323    Application Data
200    14.535498    77.88.8.8    192.168.1.92    TCP    60    443 → 55378 [ACK] Seq=3376 Ack=675 Win=42496 Len=0
201    14.535498    77.88.8.8    192.168.1.92    TCP    60    443 → 55378 [ACK] Seq=3376 Ack=767 Win=42496 Len=0
202    14.535498    77.88.8.8    192.168.1.92    TCP    60    443 → 55378 [ACK] Seq=3376 Ack=1099 Win=42240 Len=0
203    14.535498    77.88.8.8    192.168.1.92    TCP    60    443 → 55378 [ACK] Seq=3376 Ack=1368 Win=41984 Len=0
204    14.535498    77.88.8.8    192.168.1.92    TLSv1.3    309    Application Data
205    14.535627    77.88.8.8    192.168.1.92    TLSv1.3    309    Application Data
206    14.535627    77.88.8.8    192.168.1.92    TLSv1.3    91    Application Data
207    14.535627    77.88.8.8    192.168.1.92    TLSv1.3    85    Application Data
208    14.535682    192.168.1.92    77.88.8.8    TCP    54    55378 → 443 [ACK] Seq=1368 Ack=3954 Win=261632 Len=0
209    14.535787    192.168.1.92    77.88.8.8    TLSv1.3    85    Application Data
210    14.545614    77.88.8.8    192.168.1.92    TCP    60    443 → 55378 [ACK] Seq=3954 Ack=1399 Win=42496 Len=0
211    14.584600    77.88.8.8    192.168.1.92    TLSv1.3    112    Application Data
212    14.584600    77.88.8.8    192.168.1.92    TLSv1.3    183    Application Data
213    14.584684    192.168.1.92    77.88.8.8    TCP    54    55378 → 443 [ACK] Seq=1399 Ack=4141 Win=261376 Len=0
214    14.601645    77.88.8.8    192.168.1.92    TLSv1.3    92    Application Data
215    14.601764    77.88.8.8    192.168.1.92    TLSv1.3    144    Application Data
216    14.601790    192.168.1.92    77.88.8.8    TCP    54    55378 → 443 [ACK] Seq=1399 Ack=4269 Win=261120 Len=0

wireshark на 4.1.бета2 KeeneticOS выдаёт это (ЯБ НЕ работает) 

333    15.068559    192.168.1.92    77.88.8.8    TCP    66    [TCP Retransmission] 53360 → 443 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM
334    15.068559    192.168.1.92    77.88.8.8    TCP    66    [TCP Retransmission] 53364 → 443 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM
335    15.068570    192.168.1.92    77.88.8.8    TCP    66    [TCP Retransmission] 53362 → 443 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM
336    15.068578    192.168.1.92    77.88.8.8    TCP    66    [TCP Retransmission] 53361 → 443 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM
337    15.068578    192.168.1.92    77.88.8.8    TCP    66    [TCP Retransmission] 53363 → 443 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM
338    15.070729    192.168.1.1    192.168.1.92    ICMP    94    Destination unreachable (Host unreachable)
339    15.070917    192.168.1.1    192.168.1.92    ICMP    94    Destination unreachable (Host unreachable)
340    15.099914    192.168.1.92    77.88.8.8    TCP    66    [TCP Retransmission] 53368 → 443 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM
341    15.099914    192.168.1.92    77.88.8.8    TCP    66    [TCP Retransmission] 53367 → 443 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM
342    15.099914    192.168.1.92    77.88.8.8    TCP    66    [TCP Retransmission] 53369 → 443 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM
343    15.099914    192.168.1.92    77.88.8.8    TCP    66    [TCP Retransmission] 53365 → 443 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM
344    15.099917    192.168.1.92    77.88.8.8    TCP    66    [TCP Retransmission] 53366 → 443 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM
345    15.115969    192.168.1.92    77.88.8.8    TCP    66    [TCP Retransmission] 53370 → 443 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM
346    15.115969    192.168.1.92    77.88.8.8    TCP    66    [TCP Retransmission] 53371 → 443 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM

 

[sergeyk]

18 минут назад, tr22 сказал:

(ЯБ НЕ работает) 

Без конфигурации ничего не понятно.

Я попробовал Yandex browser для Linux без каких-либо особенных настроек Keenetic, он без проблем выходит в интернет через 4.01.

[tr22]

В линуксе и у меня, оказывается работает...

Версия ЯБ
23.9.1.1077 (64-bit)

ОС
6.2.0-39-generic #40~22.04.1-Ubuntu SMP PREEMPT_DYNAMIC Thu Nov 16 10:53:04 UTC 2 x86_64 x86_64 x86_64 GNU/Linux
Distributor ID:    Linuxmint
Description:    Linux Mint 21.2
Release:    21.2
Codename:    victoria

Не работает
Версия ЯБ
23.11.2.771 (64-bit)

ОС
Выпуск    Windows 11 Pro
Версия    23H2
Дата установки    ‎28.‎09.‎2022
Сборка ОС    22631.2861
Взаимодействие    Windows Feature Experience Pack 1000.22681.1000.0

Конфигурация и у меня не особо изменена. Но, видимо, какой-то компонент есть в 4.0 работает, а в 4.1 нет...
 

[sergeyk]

1 час назад, tr22 сказал:

Конфигурация и у меня не особо изменена. Но, видимо, какой-то компонент есть в 4.0 работает, а в 4.1 нет...

Напишите лучше в техподдержку с описанием конфигурации устройства, версии KeeneticOS, Windows и браузера.

[tr22]

Спасибо. Просто не буду обновлять. Может, само починится.