Лидеры

Как я понял пока это вот все тестируется на добровольцах) Внимание вопрос - ждать ли нам такие параметры wireguard asc?) @Le ecureuil

Раз уж началась такая пляска, то добавлю свои пять копеек в этот тред, т.к. он касается и меня в том числе, а также повлиял на мою дальнейшую смену роутера (в отрицательном для сообщества Keenetic значении). Моему софту MagiTrickle это тоже мешает. Я писал свой софт так, чтобы все правила жили в своих iptables chain, и уже они подключались в конец всех правил, и чтобы не пересекались с основными правилами (чтобы, например, если возникли какие-либо проблемы - мои правила можно было очень быстро найти и подчистить, не высматривая их среди огромного списка iptables-save). Под капотом в моём софте происходит что-то по типу: iptables -t nat -N MT_DNSOR iptables -t nat -A MT_DNSOR -d 192.168.1.1/32 -p tcp -m tcp --dport 53 -j DNAT --to-destination :3553 iptables -t nat -A MT_DNSOR -d 192.168.1.1/32 -p udp -m udp --dport 53 -j DNAT --to-destination :3553 iptables -t nat -A PREROUTING -j MT_DNSOR Время выполнения команды "iptables" если быть честным - очень долгое (уже не помню, но чот около 100мс на каждый индивидуальный вызов iptables, что выливается в секунды выполнения, за которые Keenetic успевает выполнить чистку правил). И по факту между выполнением этих команд Keenetic начинает чистку iptables, после чего я получаю ошибку в стиле "iptables: no chain MT_DNSOR", потому что мой код не успел вовремя заполнить таблицу нужными значениями. Моё ПО кросс-платформенное. Я не ориентируюсь только на один Keenetic. Городить костыли по типу "если зафейлилось - повторить" не собираюсь, потому что вместо ошибки "iptables: no chain MT_DNSOR" вполне может затесаться ошибка по типу "iptables: no module loaded" (условно), и в подобном случае аварийная остановка моей программы - оправдана, и пытаться выполнить перезагрузку - бессмысленно. В результате, из-за частых сбросов iptables, особенно в момент запуска роутера, мне пришлось городить костыль, который бы пытался запускать сервис после перезагрузки роутера в течении 5-ти минут. GitLab (/opt/etc/init.d/S99magitrickle) Потенциально эта проблема исправляется вызовами iptables-save и iptables-restore --noflush (высчитывая разницу между тем, что есть, и тем, что должно быть, формируя diff в формате iptables-restore), что я реализовал в коммите GitLab (Commit 6e4bd9c0), однако (далее скорее является моим багом, но если бы не ситуация с очисткой - мне бы и не пришлось делать что-то подобное) теперь возникает такая ситуация, что если Keenetic вызовет несколько раз вызов netfilter.d, то я получу такую ситуацию, что: --- Вызов netfilter.d --- iptables-save > (/dev/stdout) iptables-restore --noflush < (/dev/stdin) --- Вызов netfilter.d --- iptables-save > (/dev/stdout) iptables-restore --noflush < (/dev/stdin) --- Вызов netfilter.d --- iptables-save > (/dev/stdout) --- Вызов netfilter.d --- iptables-save > (/dev/stdout) iptables-restore --noflush < (/dev/stdin) iptables-restore --noflush < (/dev/stdin) По итогу из-за того, что я не могу заблокировать iptables между запросами iptables-save и iptables-restore - у меня происходит дубликация правил. Реализовывать нативную работу iptables на Go (как это делает сам бинарник "iptables" работая с самим ядром Linux) ради одного KeeneticOS, когда на других платформах всё работает и без этого - желания как такового ноль. И это не говоря о том, что мне в целом приходится ловить эвент с помощью Bash скриптов, оборачивать их в RAW HTTP соединение (либо городить внутренний бинарный API либо по собственному протоколу, либо gRPC), и уже обрабатывать это событие индивидуально в программе, что опять же, считаю костылём. GitLab (/opt/etc/ndm/netfilter.d/100-magitrickle) Этих проблем нет на таких прошивках, как DD-WRT и OpenWRT (где на последний я в итоге перешел, ведь он мне даёт больше возможностей, как энтузиасту-разработчику).

Пользователи сталкиваются с нестабильной работой приложения. Причина в принудительной очистке правил iptables со стороны системы. Статистика за 17 минут работы: Сигнал `SIGUSR1` получен: 24 раза. Правила iptables приложения не найдены (были удалены извне) и пересозданы: 19 раз. В среднем таблица очищается чаще, чем 1 раз в минуту. Лог событий с таймингами (удаление и пересоздание правил приложения): Со стороны пользователя действий не производилось: интерфейсы не создавались, не удалялись и не падали (Link всегда UP). Постороннего ПО, управляющего iptables, не установлено. Вопросы: Что в системе может так агрессивно сбрасывать/перезагружать таблицы iptables? Как избежать состояния гонки между приложением и системой? Является ли добавление задержки (2-3 сек) перед обновлением правил решением, или есть более надежный подход? @Le ecureuil @eralde @Александр Рыжов Не знаю кого еще можно тегнуть по этому вопросу, прошу прощения если не в адрес. Буду благодарен хотя бы за намек в какую сторону копать. Пользователи мучаются... Дополнительные сведения

v0.3.0 (GitLab Release) Changelog: Теперь доступны сборки под Entware (DD-WRT, ASUS-Marlin и т.п.). Теперь доступны сборки под OpenWRT. Исправлено использование IPv6 Upstream DNS серверов (спасибо @dan0102dan). (Keenetic) Исправлен неработающий DNS сервер при подключении по L2TP. (Keenetic) Порог попыток запуска MagiTrickle после перезапуска роутера повышен до 5 минут. (Keenetic) Исправлена ошибка "Opkg::Manager: /opt/etc/ndm/netfilter.d/100-magitrickle: exit code 1" если MagiTrickle находится в оффлайн. (Frontend) Реализован поиск по группам и правилам (спасибо @dan0102dan). (Frontend) Реализовано массовое добавление правил в группы (спасибо @dan0102dan). (Frontend) Реализован Drag and Drop групп. (Frontend) Убраны лигатуры из шрифта (когда "^|" превращался в "↑" и т.п.) (спасибо @dan0102dan). (Frontend) Ну и наконец - добавлена щепотка новогоднего настроения! (опять же - спасибо @dan0102dan).

Версия 5.0.4 (preview): CIFS: исправлена совместимость с MacOS TimeMachine [NDM-4112] gnutls: обновление до 3.8.11 [NDM-4205]: CVE-2025-32988 CVE-2025-32989 CVE-2025-32990 CVE-2025-6395 CVE-2025-9820 HTTP: исправлена потеря доступа к веб-интерфейсу из-за таймаутов обнаружения устройств в сети [NDM-4223] IP: исправлено добавление статических маршрутов после маршрута по умолчанию [NDM-4209] NTCE: оптимизировано потребление памяти [NDM-4219] SSDP: исправлена аварийная ситуация при поиске сети [NDM-4224] Web: добавлена сортировка по имени в маршрутизации на основе DNS [NWI-4595] Web: исправлено сохранение конфигурации без идентификатора VLAN (сообщил @Mikhail_YAR) [NWI-4578]

Небольшая вспомогательная полностью оффлайн утилита на html для ручного переноса настроек из одного конфигурационного файла в другой для устройств Keenetic/Netcraze. Поможет при миграции со старого оборудования на новое. Возможности в рамках того, что хранится в самом конфиге. Но можно быстро перекинуть регистрации и привязки устройств, правила межсетевого экрана, проброс портов, статические маршруты, общие настройки устройства и расширений, быстро сравнить и изменить нужные параметры в конфигурационных файлах, а также ещё многое другое. Загружаете конфигурационный файл с вашего старого устройства и с вашего нового устройства. Удобно переносите строки или целые блоки из старого в новый. Есть возможность редактирования параметров, для этого сделайте двойной клик по нужной строке на любой панели. Встроенный поиск, поможет быстро перейти к нужному параметру. Настройка интерфейса под свои предпочтения. Есть функция Undo/Redo на 50 действий, позволяет отменять или повторять вновь ваши последние действия. Место вставки выбирается двумя способами, либо посредством нажатия на специальную кнопку которая есть в каждой строке целевого конфига, либо нажатием на полоску разделитель между строк. Она и будет местом вставки. Предназначено для пользователей понимающих что они делают. UPD: Вышла новая версия, файл обновлен 04.01.2026 Config_Migration_Tool.7z

Хотел бы предложить идею по развитию IntelliQoS. Сейчас IntelliQoS умеет определять приложения и типы трафика. Было бы очень полезно использовать этот же механизм не только для приоритизации, но и для маршрутизации. То есть чтобы можно было задать правило вида: если IntelliQoS распознал приложение → направлять трафик через выбранное подключение (WAN / VPN / WireGuard и т.д.). Это позволило бы обходиться без списков доменов и IP, упростило бы сценарии с несколькими подключениями и логично дополнило уже существующий функционал IntelliQoS.

v0.4.0 (GitLab Release) Changelog: Добавлена поддержка статических IPv6 маршрутов. Оптимизированы правила использующие RegExp. Ответы от DNS сервера теперь приходят сжатые (требуется для некоторых устройств, по типу PS5). (Frontend) При импортировании списка записей в режиме "Auto" домены второго уровня теперь будут определяться как "namespace". (Frontend) Кнопки импорта/экспорта поменяны местами. (Frontend) Неактивные интерфейсы теперь подсвечиваются серым цветов (спасибо @dan0102dan). (Frontend) Мелкие улучшения по дизайну (спасибо @dan0102dan).

HydraRoute Neo v0.6.1-1 Исправление узкого места и BugFix - Размер буфера при обработке файлов domain.conf и ip.list ранее был ограничен 64 КБ. - Буфер увеличен до 10 МБ — примерно 10 млн символов или ~555 тыс. доменов (при средней длине домена 17 символов). - ipset пары создавались только для политик из watchlist (domain.conf) игнорируя CIDR-only политики.

rci-tools — это репозиторий, в котором я пытаюсь систематизировать свои наработки, связанные с REST API, доступном на устройствах Keenetic/Netcraze. Содержимое репозитория состоит из трех частей: Документация по RCI API npm-пакет(ы) для работы с этим API (@rci-tools/core) Демо-приложения, созданных с использованием этих npm-пакетов Разные части репозитория могут быть интересны разным людям 🙂 В частности, раздел с документацией должен помочь тем, кто самостоятельно что-то автоматизирует на своих устройствах. Я неоднократно отвечал на похожие между собой вопросы о том, как работать с RCI API, и решил, что пора эти ответы как-то свести в один документ. npm-пакеты и примеры на их основе призваны продемонстрировать, как можно самому реализовать альтернативный фронтенд для чего-то, что нужно лично вам. Мне кажется, что альтернатива webcli вышла довольно симпатичной 😇 Все три части будут со временем дополняться/обновляться. Буду рад, если все это окажется кому-то полезным, и признателен за конструктивную обратную связь 🙂

Было бы здорово если где-нибудь в веб, например в диагностике была страница с разной подробной статистикой по внутренней кухне устройства. Какие процессы/службы сколько в памяти занимают. Можно Топ-5. Какие есть кэши, сколько выделено памяти. То же самое про утилизацию процессора. Какие процессы активны, какой больше всего процессор жрет. Можно тоже Топ-5. Сейчас у нас есть только % загрузки CPU и общий объем занятой памяти. Интересно и полезно в плане диагностики было бы видеть чем? Потому-что на устройствах с малым объемом используется меньше памяти, но всё работает. На устройстве с 1Гб памяти при тех же процессах что были на младшей модели уже использовано 436Мб из 1Гб. На младшей использовалось где-то половина от 256Мб. Интересно было бы видеть такую информацию. Знаю что можно в CLI, но это другое. ) А там глядишь и на Дашборд что-нибудь в виде плитки просочится.

Ждём нормально вмонтированного в интерфейсе AWG 2 или новее. Спасибо за поддержку

Недавно настроил коллеге netcraze giga. Архитектура aarch64. Пакеты: amneziawg-tools_1.0.20250903-1_aarch64-3.10 amneziawg-go_v0.2.15-1_aarch64-3.10.ipk Столкнулся с тем, что периодически пропадал трафик. При запросе curl'ом в ответ получал тишину. При этом это происходило в разное время на разных интерфейсах (awg, proton). Пляски с файлами конфигурации к успеху не привели. Решил попробовать включить пинг-чек на opkgtun интерфейсах. (все делается в cli кинетика) И падать оно перестало. Может кому-то будет полезным.

В виде отключённой по умолчанию опции. При включении опции должна меняться логика работы с DNS-серверами: 1) Защищённые DNS (DoH, DoT) больше не получают приоритет перед незащищёнными 2) Отключается мультирезолвинг (одновременная отправка запросов на несколько DNS-серверов). DNS опрашиваются по порядку их следования в списке. Если первый не ответил за определенное время, запрос идёт к следующему и так далее. Таймауты можно подглядеть в коде dnsmasq, там такая опция как раз есть. Какие проблемы это решает: - Есть популярный проект (для кое чего, что тут обсуждать запрещено, поэтому не будем), там необходимо, чтобы при поднятом VPN-туннеле роутер резолвил все домены исключительно через DNS на стороне VPN-сервера. Но если тоннель упал, то нужен какой-то fallback. В текущих прошивках получается неразрешимая ситуация: если в качестве DNS оставить только локальный адрес VPN-сервера, то при падении туннеля мы остаёмся без резолвинга вообще. А если добавить какой-то резервный DNS, то KeeneticOS шлёт запросы сразу на оба DNS. Сейчас это решается костылями в виде создания маршрутов, привязанных к интерфейсу, но хотелось бы более простой способ. - Решает описанную здесь проблему. Пользователь мог бы просто включить "строгий порядок опроса" и поместить DoH/DoT в самый верх, а ниже добавить "обычные" DNS.

HydraRoute Neo WebUI 1.6.2-1 В Proxy раздел добавлено: - Поддержка подписок - Протоколы xRay (VLESS, VMess, Trojan, SOCKS (4/5) и HTTP/S Proxy) - Стратегии балансировки (leastPing, leastLoad, random, roundRobin)

Не знаю, одобрит ли модератор ссылку, но я написал подробную инструкцию опираясь на собранные данные по форуму: https://gitlab.com/ShidlaSGC/keenetic-entware-awg-go/-/blob/main/README.md + Там есть написанный скрипт конкретно под использование opkgtun Люди уже успешно ставят по ней 🙂

HydraRoute Neo WebUI 1.8.1-1 New & Fix: Раздел Proxy - Выбор серверов при добавлении подписки; - Плитки интерфейсов: пинг ->до<- сервера, проверка связи через интерфейс; - Уточнения и исправления в парсере ссылок. Раздел Info - Добавлена пара ссылок на полезные проекты; - Исправлена орОфграиФя и пунктуация. Общее - Добавлена проверка на использование устройством сторонних DNS; - Нажатие на лого "Hydra Route Neo" редиректит в админку роутера. Backend: - Фиксы багов; - Оптимизация; - Подчищен "мертвый" код; - Закрытие некоторых уязвимостей. IPK - Убран hrneo как зависимость; - Структура пакета приведена в соответствие с требованиями Entware. Обновиться opkg update && opkg upgrade Скриншоты

Операция по удалению конденсаторов прошла успешно: Положительная динамика сразу же была замечена: модем начал уверенно определяться Кинетиком, однако, иногда все же может отвалиться под нагрузкой. Я решил, что останусь с подключенным USB-хабом между роутером и удлинителем. Но, думаю, данный опыт по аппаратной модификации все равно будет кому-то полезен. Большое спасибо @slomblobov.

Где-нибудь в 5.1 появится.

Здесь одна идея: интегрировать tun\tap интерфейс, который вы поднимаете в Entware, в логику прошивки. Включать\отключать этот интерфейс средствами прошивки вы не сможете, однако сможете использовать его в правилах файервола или роутинга в т.ч. прямо в веб-интерфейсе. В Entware настраиваете свой любимый tunnel/vpn/mesh софт на использование интерфейса opkgtun0 (строчными, без прописных), в моём примере это tinc: ~ # cat /opt/etc/tinc/tinc.conf … Interface = opkgtun0 ~ # cat /opt/etc/tinc/hosts/keenetic Subnet = 192.168.254.3/32 В CLI роутера необходимо добавить описание интерфейса. Логика прошивки полагается только на эту часть: interface OpkgTun0 description Tinc security-level public ip address 192.168.254.3 255.255.255.255 ip global auto ip tcp adjust-mss pmtu up ! system configuration save Обратите внимание, что адрес и подсеть вы задаёте дважды: при настройке софта в Entware и в CLI роутера. Всё! Если сетевой интерфейс работоспособен, можете использовать его на страницах веб-интерфейса: Интернет → Приоритеты подключений, Сетевые правила → Межсетевой экран, Сетевые правила → Переадресация портов, Сетевые правила → Маршрутизация (включая Маршруты DNS), Начните с этого.

Установка и настройка Hysteria 2 на роутерах Keenetic Установка и настройка Hysteria 2 на роутерах Keenetic с использованием Entware и проекта H-wave. Требования Роутер Keenetic с поддержкой USB Внешний USB-накопитель Установленный Entware Доступ к роутеру по SSH Установка Entware Перед установкой Hysteria 2 необходимо подготовить USB-накопитель и установить Entware. 📘 Официальная инструкция Keenetic: 👉 https://help.keenetic.ru/hc/ru/articles/360021214160.html Включение необходимых компонентов Для корректной работы требуются модули ядра Netfilter: xt_TPROXY xt_socket xt_multiport Как включить В веб-интерфейсе Keenetic: Управление → Параметры системы → Общие настройки системы→ Изменить набор компонентов → Пакеты OPKG Включите компонент: Модули ядра подсистемы Netfilter Перезагрузите роутер при необходимости. Обновление Entware и установка зависимостей Подключитесь к роутеру по SSH и выполните: opkg update opkg install wget-ssl ca-certificates Установка Hysteria 2 Hysteria 2 устанавливается напрямую из релизов GitHub. Для архитектуры mipsle: opkg install https://github.com/for6to9si/H-wave/releases/download/v2.6.5/hysteria_2.6.5_mipsle.ipk Для архитектуры arm64: opkg install https://github.com/for6to9si/H-wave/releases/download/v2.6.5/hysteria_2.6.5_arm64.ipk ℹ️ Если архитектура роутера неизвестна, можно попробовать установить оба пакета — Entware не позволит установить неподходящий. ⚠️ Версия arm64 не тестировалась автором. Удаление Hysteria 2 Удаление пакета Hysteria из списка opkg влечет за собой удаление связанной с ним политики доступа Hwave на роутере keenetic opkg remove hysteria-tg-installer Конфигурация Hysteria Далее необходимо внести настройки в файл конфигурации Hysteria: Пример файла конфигурации можно найти здесь: /opt/etc/hysteria/config.json Список команд /opt/etc/init.d/S96hysteria status — узнать текущий статус /opt/etc/init.d/S96hysteria restart — перезапуск Hysteria (включает запуск Hysteria и применение настроек маршрутизации) /opt/etc/init.d/S96hysteria fast_restart — быстрый перезапуск Hysteria (маршрутизация не затрагивается) /opt/etc/init.d/S96hysteria firewall_up — запуск / применение настроек маршрутизации /opt/etc/init.d/S96hysteria stop — остановка Hysteria и отключение маршрутизации Логи и отладка Просмотр логов Hysteria Просмотр логов Hysteria и другая полезная отладочная информация: cat /opt/var/log/hwave/hwave.log Режим отладки По умолчанию включён полный режим отладки. Для отключения отладочного вывода установите переменную DEBUG=false в файле /opt/etc/init.d/S96hysteria. Важное замечание о Obfuscation Включение Obfuscation (см. документацию: https://v2.hysteria.network/docs/advanced/Full-Client-Config/?h=obfuscation#obfuscation) приводит к неработоспособности Hysteria на сотовых операторах. Причина: операторы распознают пакеты как непонятный UDP-трафик и дропают их. Лучше отключить маскировку, и настройть работу Hysteria на работу quic Решения для работы с QUIC Вариант 1: Бесплатный домен и сертификат Зарегистрировать домен 3-го уровня на сайте: freedns.afraid.org Автоматически получить TLS-сертификат с помощью встроенного ACME-клиента Hysteria Документация: https://v2.hysteria.network/docs/getting-started/Server/?h=acme#__tabbed_1_1 Вариант 2: Свой домен и платный сертификат Использовать свой домен Применить купленный TLS-сертификат Быстрый взгляд на Hysteria Чистая Hysteria имеет ряд преимуществ перед встроенным пакетом Hysteria в программе sing-box. Основные преимущества Поддержка опции медленной загрузки 👉 https://v2.hysteria.network/docs/advanced/Full-Client-Config/?h=lazy#lazy Поддержка опции быстрого подключения 👉 https://v2.hysteria.network/docs/advanced/Full-Client-Config/?h=fast+open#fast-open Особенности работы Соединение по UDP может держаться почти 2 часа в открытом состоянии без повторного обмена ключами. Также можно изменять размер пакета QUIC: 👉 https://v2.hysteria.network/docs/advanced/Full-Client-Config/?h=quic+parameters#quic-parameters Однако на практике эта возможность, скорее всего, не понадобится. Настройка портов и режимов работы TCP (Redirect) Режим: Redirect Протокол: TCP Требование: Порты должны совпадать в конфигурациях Сервис Файл конфигурации Строка Ссылка H-wave /etc/hwave/hwave-conf.json #L19 ссылка Hysteria /etc/hysteria/config.json #L22 ссылка UDP (TPROXY) Режим: TPROXY Протокол: UDP Требование: Порты должны совпадать в конфигурациях Сервис Файл конфигурации Строка Ссылка H-wave /etc/hwave/hwave-conf.json #L20 ссылка Hysteria /etc/hysteria/config.json #L26 ссылка Примечания Бинарник Hysteria забирается через GitHub Actions ссылка с добавляются файлы c проекта H-wave и собирается пакет ipk. Поддержка arm64 не тестировалась, я взял бинарник для сборки hysteria-linux-arm64 возможно следовало взять hysteria-linux-arm Полезные ссылки H-wave: https://github.com/for6to9si/H-wave Hysteria: https://github.com/apernet/hysteria Entware: https://entware.net Surfboard: https://github.com/for6to9si/SurfBoard

В проекте rci-tools от @eralde есть замечательный пример sv-webcli, в котором продемонстрирована работа полноценного CLI в веб-интерфейсе: https://github.com/Eralde/rci-tools/blob/master/examples/sv-webcli/README.ru.md Очень хотелось бы такое увидеть нативно в NDMS, без необходимости использования Entware.

Вот тут сразу скажу - не угадали) Проект существует самостоятельно, его идейный вдохновитель и главтестер @FLK, как и автор-разработчик @dimon27254, никакого отношения к компании и прошивке не имеют и вряд-ли когда-то будут иметь) Но я думаю мы были бы рады, если бы в прошивке появился инструмент равнозначный по функционалу данному проекту По поводу "запыления" - не думаю, есть запал, огонь в глазах и идеи, они потихоньку реализуются. Как только все будет готово к выпуску в люди, вы узнаете об этом в этой теме)

Чтобы улучшить работу на длинном кабеле 3811, требуется сковырнуть емкости C7202 C7203 (10пФ). Они плюс емкость длинной линии портит фронты сигнала.

Данный инструмент подойдёт опытным пользователям sing-box, которые хотят настраивать сеть, исходя из своих знаний и предпочтений. Для всех остальных и для всего остального есть XKeen. На текущий момент в XKeen отсутствует поддержка ядра sing-box, поэтому, взяв из него логику создания правил iptables и придерживаясь принципа «не повторять код», я переписал его в POSIX-совместимом стиле, получив на выходе один файл размером ~50 КБ. Весь текущий функционал по режимам настройки проксирования - tproxy, redirect, mixed (hybrid), работа на выбранных портах или через их исключение, как и в XKeen, доступен в SKeen. Помимо этого, есть удобное меню, где можно посмотреть различные статусы работы, запустить, остановить, перезагрузить, обновить sing-box и сам скрипт, а также удалить его. Касательно зависимостей - их выбор минимально возможный, а именно: start-stop-daemon, iptables, jsonfilter, curl, tar. По факту всё уже доступно изначально, кроме jsonfilter. По поддержке роутеров могу гарантировать работу только на тех, которые поддерживают архитектуру aarch64 и последнюю стабильную версию прошивки, однако установка на mipsel и mips также предусмотрена (требуется тестирование). В остальном информацию можно найти в репозитории P.S. Автору XKeen и всем, кто приложил к нему руку, — большое спасибо и долгих лет жизни.

Предыстория (если кому интересно вообще): Сами исходники и изменения сделанные в оригинальных проектах amnezia-box (и amnezia-wg-go) лежат в репозитории Github Собранные для ARM, mipsel и amd64 исполняемые файлы лежат тут (https://github.com/hoaxisr/amnezia-box/releases/) Дополнительно собрал два ipk и выложил на Github для установки на роутеры в две команды с возможностью последующего обновления для архитектур mipsel и aarch64 (ARM) Краткая инструкция по установке: Краткая инструкция по настройке: Cтуктура нового объекта endpoint с типом awg для самостоятельной настройки: В следующем посте предлагаю для тех, кто будет использовать маршрутизацию через прекрасные проекты от энтузиастов (HR/Magitrickle/ipset-dns и т.д.) или "Маршрутизация по DNS", и хочет использовать AmneziaWG 1.5/2.0 воспользоваться инструментом по поднятию таких туннелей из entware - AWG Manager

Если речь об этом, то предполагалось, что это будет другое приложение, которое создает, мониторит, "запускает" различные типы туннелей через различные инструменты (amneziawg-go, smtp-tunnel-proxy-go, sing-box-go) и обеспечивает маршрутизацию по доменам/cidr/asn, но пока тестирование на роутере, который у меня есть показало, что mipsel устарели и не способны адекватно работать с такими типами туннелей (кроме smtp) при сколько-нибудь серьезной нагрузке. А как оптимизировать нагрузку выше моего понимания, поскольку реализацией занимается железный разум Просмотр видео на потоковых сервисах приводит имеющийся у меня роутер в состояние 100% нагрузки на процессор и его "отзывчивость" для других задач становится очень низкой. Думаю, что ARM роутеры будут справлятся с этим сильно лучше, но поскольку проверить не могу в виду отсутствия такого оборудования и отсутствия желания приобретать новое -- проект пока заморожен. Хотя он полностью функционален и протестирован. Возможно, я смогу "вычленить" из него только модуль создания туннелей и их мониторинга без обеспечения маршрутизации силами роутера, но пока я не могу оценить целесообразность этого мероприятия. По сути поднять amneziawg-go дело очень быстрое, хоть и непривычное потому что требует работу в терминале. Пока я сосредоточился на другом сценарии - это применение amnezia-box на мини-пк или каком-то одноплатном компьютере в локальной сети, который берет на себя все функции такого рода маршрутизации, а роутер только обеспечивает доступ в Интернет и занимается только NATом. Но, к сожалению, логика там очень сложная, взаимосвязанная и пока удалось добится только базового функционала, а сценариев становится больше и логика становится все сложнее. И начинают возникать логические ошибки, потому что я не предусмотрел одно, второе, третье.

Мне кажется было бы удобно иметь возможность закомментировать отдельные строки в списках dns роутинга в веб интерфейсе. Бывает нужно временно отключить 1-2 домена не удаляя их из списка.

В телеграм-чате ещё один сценарий нарисовался: В локалке стоит домашний сервер/NAS/что-то подобное, на нём поднят DNS-сервер Pi-Hole. Если Кинетику указать это устройство в качестве DNS, то при падении Pi-Hole на время перезагрузки этого устройства резолвить будет некому. Тут как раз бы помог строгий порядок опроса DNS: достаточно первым указать Pi-Hole, а ниже какой-нибудь публичный в качестве резерва. Пока Pi-Hole недоступен, резолвит запасной.

Ничем особенным. По стандарту они не обязательны, но позволяют сгладить шумы и уменьшить импульсы при горячем подключении, разряде статики.

Я все же выделил отдельный функционал из большого, но пока бесполезного проекта для запуска AmneziaWG туннелей через AmneziaWG-go в Entware на роутере для тех, кто не хочет выполнять команды через терминал. Инструкция по установке и использованию AWG-Manager: (Отказ от ответственности: Все что вы делаете с этим приложением вы делаете на свой страх и риск, тестирование проводилось только на роутере архитектуры MIPSEL и версии ОС 4.3.6.3 (будет ли работать opkgtun в 5.0 мне неизвестно, но функционал имеется), работоспособность на других устройствах, версиях ОС, возможные поломки, пожары, мор, чума и другие бедствия полностью ответственность пользователя, у автора поста лапки и он ничего сам не программировал). История версий: Если вы хотите и умеете пользоватся поиском по форуму, понимаете как поднять интерфейс с помощью CLI инструментов, то можете воспользоваться собранными amneziawg-go 2.0 (решающие проблему конфигураций содержащих <c> в i1 и S4 из конфигураций AmneziaWG 2.0), awg-tools есть в соседней ветке посвященной этому инструменту. Включённые фиксы: - ✅ Counter tag <c> (obf_counter.go) - ✅ S4 keepalive padding fix Если вдруг они вам нужны amneziawg-go-linux-mipsle amneziawg-go-linux-arm64 amneziawg-go-linux-amd64

Добавил в интерфейс расширения создание группы из готовых правил, хранящихся в репозитории https://github.com/rekryt/iplist/tree/master/config Само расширение теперь опубликовано в google chrome store

Версия 5.0.3 (preview): DNS: исправлена маршрутизация на основе FQDN при работе DNS через TCP (сообщил @qmxocynjca) [NDM-4201] DNS: оптимизирована производительность обновлений списка маршрутизации FQDN [NDM-4197] MWS: исправлено беспроводное backhaul-подключение 2,4 ГГц для устройств на базе MT7603 и MT7628 [SYS-1513] udpxy: исправлен сбой при работе на public-интерфейсе Bridge [NDM-4200] Web: исправлено скрытие меню Mobile, когда не установлена поддержка USB-модема (сообщил @qmxocynjca) [NWI-4518] ZeroTier: исправлена циклическая перезагрузка системы при включенном режиме fail-safe [NDM-4187]

Можно ли этот функционал внедрить в прошивку так, чтобы это работало из коробки ( без entware) ? Идея очень замечательная и работает ,практически, без нареканий. P.S. особая благодарность @dimon27254 за такой инструмент!

MagiTrickle (произносится как Мэджитрикл) – утилита для точечной маршрутизации сетевого трафика по заданным доменным именам. Представляет собой установочный пакет, устанавливаемый в дополнение к операционной системе маршрутизатора. Принцип работы основан на подмене основного DNS-сервера через промежуточный компонент без его отключения. Это позволяет перехватывать входящие DNS-запросы, кешировать ответы и сопоставлять IP-адреса с доменными именами. Благодаря этому становится возможной маршрутизация трафика без необходимости очистки DNS-кэша на стороне клиентов. Очистка кэша требуется только при запуске или перезапуске сервиса MagiTrickle, поскольку в этот момент кэш ещё не прогрет, и маршрутизация невозможна до первого запроса к нужному домену. Установка пакета: Описание типов правил: Поддержка: Официальный сайт Канал Telegram Чат Telegram Финансовая поддержка проекта Исходный код: GitHub / GitLab Автоматические сборки: GitHub / GitLab

AR В мобильной версии у некоторых тогглов первое нажатие не переключает состояние, а только добавляет обводку ER Первое нажатие везде переключает состояние -366795789322701512.mp4

Вам и не скажут, форумчанин не разбирается в том, о чём пишет, поэтому отвечает ИИшными пастами 🤠

mipsel-3.4_kn - Сборка под Entware с ориентиром под Keenetic mipsel-3.4 - Сборка под Entware Отличается тем, что в версии с Keenetic есть хук "ndm/netfilter.d" который существует только на Keenetic. А вообще, в инструкции по установке подключается репозиторий. Можно его юзать, тогда можно будет и не думать 🙃

Да, мне тоже хочется, чтобы можно было "пробросить" авторизацию в ndmc без повторного ввода. Подумаем, возможно, это в прошивке и появится со временем. Пока можно, конечно, передавать туда пароль через JS, но это явно корявое решение 😁

Поздравляю всех с Новым годом! Я недавно прикупил себе KN-3811, и с ним у меня возникла довольно необычная проблема. Имеется модем T77W676, подключен через 6 метровый удлинитель из медной экранированной витой пары. Этот модем с удлинителем у меня "пережил" KN-1211, KN-1212, KN-3610, KN-1811, где долгое время все работало идеально. Однако, с KN-3811 данная связка ни в какую не хочет нормально работать - модем или не может инициализироваться, или под нагрузкой где-то "теряется". В логах все начинается с ошибок ядра Linux и продолжается бесконечным потоком сообщений "system failed" от NDM: Пробовал переключать режим порта с 3.0 на 2.0 и обратно - безрезультатно. Если этот же модем подключить напрямую в порт 3811 - никаких проблем не возникает. Можно было бы подумать, что все беды из-за удлинителя, но если между USB-портом 3811 и удлинителем поставить простейший пассивный хаб USB 2.0 (в порт роутера подключен хаб, а в него уже удлинитель с модемом), то все проблемы с модемом чудным образом исчезают и он начинает идеально работать. Как такое возможно? В KN-3811 есть какие-то особенности по разводке USB, или мне просто попался неудачный экземпляр? Ведь на других Кинетиках у меня все исправно работало и без хаба. Установлена KeeneticOS 5.0.3. @slomblobov

Чем больше активности, тем выше шанс, что человек вообще захочет этим заниматься. Ответ про «Может быть, в 5.1» довольно старый. А запрос на функцию есть и только растёт.

там в первую очередь + поставил) Так что ждем.

Тут какая-то конкретика может быть только от человека, который как раз и сказал "Где-нибудь в 5.1 появится", но он к большому моему (уверен и не только моему) сожалению на форуме пока отсутствует. Так что нам остаётся только терпеливо ждать и наблюдать за ситуацией. Ну и голосовать (как и где это делается я недавно написал)

Напомню тем, кто не в курсе - голосование за функционал проводится нажатием на галочку над цифрой (см. картиночку) В целом, если сложить проголосовавших и лайкнувших 1й пост набежит > 60-65 человек точно) Значит тема была создана не зря и функционал действительно необходимый. Голосуй, а то проиграешь... (С)

@eralde @Anna_ @Test Pilot Имеется устройство, наименование которого состоит из нескольких слов, разделенных пробелами. При вводе в поле "фильтр" первого слова, в выдаче пропадает пробел между первым и вторым: Проверял на NC-1812 с 5.0.3.

Проблема заключается в том, что для каждого такого маршрута можно указать лишь один IP или подсеть. С учетом того, что для больших сайтов это, как правило, большой список адресов и подсетей, то приходится рулить сразу множеством правил. Со временем, список настолько разрастается, что поддерживать его становится, мягко говоря, очень неудобно. Для решения данной проблемы я сделал браузерное расширение для Chrome. Оно позволяет группировать такие маршруты по названию и параметрам. Получается вот такая таблица: На каждую строку правил создается отдельный статический маршрут Отдельно также можно посмотреть пересечения с другими маршрутами При этом расширение не создает и не хранит никаких дополнительных сущностей. Все сохраняется в списке маршрутов роутера. Надеюсь, кому-нибудь будет полезно. Репозиторий тут: https://gitlab.com/kreoman/keenetic

+1 Поддерживаю добавление параметров I1-I5 - жизненно необходимо !!!

XKeen умеет в IPv6, но только если ваш провайдер его предоставляет и вы правильно его маршрутизируете. Если хотя бы одно из этих условий не выполнено, удалите компонент прошивки "Протокол IPv6". Так же убедитесь, что блокируте QUIC и в роутере в качестве DNS прописаны DoH/DoT серверы.

Здравствуйте! Можно ли увеличить количество записей серверов в интернет-фильтре -> настройка DNS? Сейчас ограничено 64, что очень сильно мешает многим пользователям. Если добавить больше, то получаем ошибку Dns::Manager error[22544485]: server list limit exceeded, the maximum is 64 addresses. Данные записи используются много для чего, в том числе для решения которое использую я и многие Уже писал на почту, вроде как уже давно есть задача на реализацию NDM-3077. На мой взгляд можно было бы смело увеличить в 4 раза, до 256.