Лидеры

Выпуск 5.1 Beta 0.2 Core: устранена утечка памяти в парсерах API для адресов и префиксов IPv6 [NDM-4376] NDNS: исправлен неверный статус 403 Forbidden при доступе к устройству по имени в облачном режиме через IPv6 [NDM-4378] Web: восстановлена возможность выбора диапазона Wi-Fi для зарегистрированных клиентов (сообщил @Gonzik) [NWI-4774] Web: исправлены шрифт и цвет логотипа в заголовке (по запросу @dimon27254 и сообщества) [NWI-4771] Wi-Fi: восстановлена возможность настраивать разные SSID для диапазонов 2,4 и 5 ГГц в одном сегменте (сообщили {1, 2} @keenet07, @Robespierre) [NDM-4343] WSD: исправлен формат пакетов сообщений Probe и Hello для устранения проблемы перезагрузки с видеокамерами NETSurveillance [NDM-4387]

Версия 5.0.9 (preview): Core: устранена утечка памяти в парсерах API для адресов и префиксов IPv6 [NDM-4376] HTTP: устранена уязвимость CVE-2026-28753 в службе веб-конфигуратора [NDM-4368] NDNS: исправлен неверный статус 403 Forbidden при доступе к устройству по имени в облачном режиме через IPv6 [NDM-4378] VLAN: устранена проблема, приводившая к появлению в журнале сообщений «VLAN ID is busy» при добавлении сетевых сегментов [NDM-4363] VLAN: исправлена настройка приоритета 802.1q для исходящих пакетов с ненулевым DSCP-маркером [NDM-4342] Web: добавлена сортировка по имени и объему переданного трафика в списке подключений WireGuard (по запросу @Алексей Микин) [NWI-4732] Web: в селектор «Подключаться через» добавлена опция отключения пира WireGuard [NWI-4756] Web: исправлена ссылка на вкладку Активные cоединения в меню Диагностика со страницы Системый монитор (сообщил @Dezinsektor) [NWI-4743] Web: исправлено отображение графиков на странице Монитор трафика (сообщил @- zZz -) [NWI-4758] Web: исправлена операция переупорядочения подключений на странице Приоритеты подключений (сообщил @spatiumstas) [NWI-4740] Web: исправлена прокрутка на странице Анализатор трафика приложений (сообщил @Mihol) [NWI-4726] Web: исправлено отображение размера раздела на странице Приложения (сообщил @spatiumstas) [NWI-4495] Web: исправлены шрифт и цвет логотипа в заголовке (по запросу @dimon27254 и сообщества) [NWI-4771] Web: удалено отображение собственного статуса переключателя (сообщил @KeyYerS) [NWI-4742] WSD: исправлен формат пакетов сообщений Probe и Hello для устранения проблемы перезагрузки с видеокамерами NETSurveillance [NDM-4387]

Подтверждаю, старое оформление вернулось. Теперь все красиво. Спасибо!

5.1 Beta 0.2 Вернули прежний стиль.

Источник получения информации то один и тот же. Ничего сильно больше там грузить не станет. Просто брать больше инфы из вывода таблицы conntrack

Настройки системы -> WiFI -> Общие параметры Wi-Fi Выбор оптимального канала всегда сбрасывается на "При включении"

Можно оформить как в Мониторе WI-FI. Обводка и фон. Будет хорошо смотреться.

По итогу даже такой костыль не помог моей программе. Вообще этот лог я получил давно, просто руки никак не доходили отписать об этом здесь. Я получаю ошибку "iptables-restore: line 8 failed" при применении следующей цепочки: *nat :PREROUTING - [0:0] :MT_DNSOR - [0:0] -F MT_DNSOR -A MT_DNSOR -p tcp -d 192.168.133.1 --dport 53 -j DNAT --to-destination :3553 -A MT_DNSOR -p udp -d 192.168.133.1 --dport 53 -j DNAT --to-destination :3553 -I PREROUTING 1 -j MT_DNSOR COMMIT Т.е. да, оно падает на операции "COMMIT". Добавлю немного контекста - эта пробема происходит во время запуска роутера, и, соответсвенно, во время прогрузки сервисов Entware. Если без остановки перезагружать роутер, то с шансом на 1496 запусков 280 будут провальными. Инфу случайно собрал на моменте, когда в init скрипте на Dev-роутере у меня была реализована перезагрузка раз в 3 минуты, и когда у меня дома кто-то передёрнул свет, тем самым позволив собрать такую статистику. Я понимаю, что необходимость в MagiTrickle как в утилите для настройки выборочной маршрутизации немного отпала, т.к. у Keenetic появилась своя стоковая, но всё же - много кто отписывает, что моё решение, которое по факту является костылём, работает лучше этого самого стокового решения (сам не использовал - много кто в моём чате об этом пишет). Собственно я уже немного без понятия куда писать, ибо ветка по факту мертва. Подсказали, что нужно пингануть @admin, и в таком случае на неё могут обратить внимание, поэтому... Надеюсь, что в эту ветку заглянут.

5.1 Beta 0.2 Вернули выбор разрешенных диапазонов.

Поддержка протокола:

https://forum.keenetic.ru/topic/16899-xkeen/page/120/#findComment-237934

Предлагаю разблокировать ручную настройку интервала маяка, порога RTS и интервала DTIM. Эти настройки имеют решающее значение для оптимизации времени автономной работы устройств IoT и повышения стабильности в условиях высокой плотности или шума в радиочастотной среде

Добрый день! Потратьте время на прочтение последних двух страниц этой темы.

Не совсем понятно, с какой целью вам это необходимо. Если вам требуется заблокировать определенные страны - используйте геоблокировку в режиме черного списка. Если вы желаете увидеть страну, откуда было подключение - это со стороны Антискана реализовано не будет. Сопоставление списков адресов/подсетей с базой GeoIP будет очень медленным и ресурсозатратным (особенно, на слабеньких mips/mipsel, при сотнях или тысячах записей). В будущем, возможно, к данной идее я когда-нибудь вернусь.

Я знаю, но его можно создать и сделать некоторые темы доступными только для пользователей форума, не видимыми без регистрации и в поисковиках.

Была установлена 5.1 Alpha 7 FT было настроено только для 5GHz, для 2.4GHz было отключено. После обновления на 5.1 Beta 0.2 FT оказалось отключено полностью, параметр "ID мобильного домена" оказался не задан.

Я же не против, хотелось бы обратной связи. Вот написали бы "В работе", вопросов бы не было. И о каком спаме идет речь? Проверил функционал на новой версии, отписал результат.

В какой прошивке? В 5.0.8 на Ultra (NC-1812) такого пути нет. ЗЫ Я бы не стал хардкодить полный путь до модулей на случай смены релиза версии ядра. Сделал бы /lib/modules/$(uname -r)/xt_NFLOG.ko

Добавить возможность в статических маршрутах указывать не один интерфейс, а группу интерфейсов (например, ISP и USB-модем) с автоматическим переключением при отказе основного канала. Сейчас резервирование работает только для маршрута по умолчанию. Для сотен статических маршрутов-исключений невозможно вручную менять интерфейс при падении ISP. Аналогия — 'zone' или 'группа интерфейсов' в политиках доступа, но для статических маршрутов. Дополнительно: указать их применимость в Политиках. Сейчас можно или все или ничего (ip policy Policy2 standalone), а в идеале - флажок для того или иного маршрута - в какой политике его надо применять, а в какой нет.

Взять можно тут Keenetic Recovery Там ставится какая-то древняя прошивка, но это не страшно, после завершения процедуры нужно выбрать стабильный канал обновления, обновится с него, а потом, по желанию, оставаться на этом канале, или обновляться через канал разработчика. После всего можно сделать бекап, и подсунуть свежую прошивку в папке рекавери вместо старой (просто её переименовать).

Спасибо всем за присланные камеры! В последний draft вошёл фикс проблемы со второй камерой (в веб-интерфейсе она обозначена как NETSurveillance). Он же войдёт в ближайшую предварительную версию. В этот раз уже поведение камеры не соответствовало стандарту.

После активации функции «Расписание работы» наблюдается некорректная индикация состояния сети в веб-интерфейсе. Ожидаемое поведение: статус должен отображать «Подключено», если текущее время входит в разрешенный интервал. Фактическое поведение: интерфейс выводит статус «Выключено по расписанию», однако беспроводная сеть продолжает функционировать, устройства подключаются, и доступ в интернет предоставляется в штатном режиме. Версия ОС: 5.1 Beta 0.2 Модель: Peak (KN-2710)

Когда на роутере создано несколько ВПН серверов, а также куча клиентов - то хотелось бы иметь возможность получить информацию о том, какие пользователи подключены, каким способом, а в идеале еще и их IP адрес. ну или добавитьих в /devicesList - тогда откроется перспектива возможности рутинга каждого клиента по образу и подобию подключенных по вифи/проводам клиентов в нужный сегмент вне зависимости от типа впн подключения

Если идет речь о маршрутизации, то, что показано на скриншоте - скорее заявлено как работающий механизм, чем реально работающий. На форуме есть пара тем, где описаны все проблемы этой штуки в "стабильной" версии, можно сделать выводы о том, как жто работает. Ну и заявленный механизм fallback в правилах на второй интерфейс не работает вообще для доменных имен.

5.1 Beta 0.1 Плохо читается выделение диапазонов WIFI на белой теме. Особенно в высоком разрешении. Там бы пожирнее обводку сделать. Это на скриншоте ещё крупно показано. В реальности всё мельче. На темной теме смотрится лучше.

Как-нибудь вот так.

архивы с бинарником для mips / mipsel (as is) root@ZKUII: /opt/root # ./xray version Xray 26.3.27 (Xray, Penetrates Everything.) d2758a02 (go1.26.1 linux/mipsle) A unified platform for anti-censorship. root@ZKUII: /opt/root #

@Anna_, ссылки на issues старые. Если это проблема браузеров, то тогда все сайты должны страдать от этой проблемы, но это не так. Повторюсь:

@Anna_ @eralde Нельзя ли сделать в Системном журнале сортировку? 1) Показывать все 2) Показывать желтое (предупреждения) и красное (ошибки) 3) Показывать только красное (ошибки) Еще было бы неплохо иметь встроенный поиск по логу Сдается мне так было бы удобнее искать какие-то предупреждения/ошибки в логе

Версия 5.0.8 (preview): Web: исправлена настройка номера порта управления (сообщил @keenetic_user) [NWI-4747] Web: улучшены кнопки управления правилами переадресации портов в мобильном представлении настроек зарегистрированных клиентских устройств (сообщил @dimon27254) [NWI-4672] Web: исправлена сортировка записей по IP-адресу клиентского устройства в списках клиентов (сообщил @dimon27254) [NWI-4677] Web: исправлено отображение свободного места для SMS у ряда моделей модемов (сообщил @Сергий Stern) [NWI-4692] Web: исправлено изображение шестеренки при наведении указателя на системном мониторе в темном оформлении (сообщил @spatiumstas) [NWI-4712] Web: исправлено автоматическое обновление отображения активных подключений (сообщил @mega1volt) [NWI-4713] Web: скорректирован сброс набора языков при ручном обновлении [NWI-4703] Web: исправлено отображение всплывающей подсказки у правого края графика монитора Wi-Fi для более широких экранов (сообщил @keenet07) [NWI-4717] Web: исправлен избыточный опрос службы Captive portal (сообщил @spatiumstas) [NWI-4368] WSD: по умолчанию рассылка сообщений Hello ограничена интерфейсом Bridge0 [NDM-4314] Wi-Fi: исправлена настройка включения и выключения беспроводной сети на устройствах с одной аппаратной кнопкой [NDM-4326] WSD: изменен формат сообщения Hello для устранения проблемы перезагрузки некоторых IP-камер (сообщил @dimon27254) [NDM-4331] IPsec: устранена проблема блокировки сокета межпроцессного взаимодействия [NDM-4332] IP: скорректирован сброс соединений, использующих маршрут на основе FQDN [NDM-4336]

Всем спасибо за столь активный интерес к данной ситуации. Однако хотелось бы не будить лихо, пока оно тихо, и громко кричать имена собственные сторонних сервисов. Потому тему пока прикроем, а сам протокол давайте называть, ну скажем, ASC 2.0. Так вот, ASC 2.0 (мне так кажется) стоит ждать в ближайшее время.

Поддержка Awg 2.0 сильно нужна, надеюсь в ближайших релизах появится

А если ещё раз прочитаете две последние страницы, только более внимательно, но найдете рабочий xray 26.3.27 для mipsel

Диапазон меняется автоматически, это проверил сразу, проблема в другом. Сейчас обнаружил в конфиге, когда не подключается беспроводной клиент, что Bridge0 не содержит точки wifi. Еще должны быть строки:

Да.

Проблема реально может быть в фильтре. После отключения фильтров я или переподключаю клиентов или перезагружаю роутер, что бы наверняка все корректно заработало.

Ясно, что проблема с доступом к /opt/etc/xray/dat/geoip_v2fly.dat - права доступа, отсутствует файл или что-то подобное,вот что, например, по этому поводу ответил ДипСик 😉:

@eralde @Anna_ @Test Pilot В Alpha 6 название бренда и модели теперь выводится одним шрифтом: Это какая-то ошибка, или так и задумано? Вариант из 5.1 Alpha 5 и ниже был более заметным:

Роутер KN-1811/1812 или любой другой с USB. Конфигурация: system set dev.usb.allow_uas 1 В любой из портов подключен: https://www.raspberrypi.com/products/flash-drive/ dmesg ... xhci-mtk 1a0c0000.usb: xHCI Host Controller xhci-mtk 1a0c0000.usb: new USB bus registered, assigned bus number 2 xhci-mtk 1a0c0000.usb: Host supports USB 3.0 SuperSpeed usb usb2: We don't know the algorithms for LPM for this host, disabling LPM. usb usb2: New USB device found, idVendor=1d6b, idProduct=0003, bcdDevice= 4.09 usb usb2: New USB device strings: Mfr=3, Product=2, SerialNumber=1 usb usb2: Product: xHCI Host Controller usb usb2: Manufacturer: Linux 4.9-ndm-5 xhci-hcd usb usb2: SerialNumber: 1a0c0000.usb hub 2-0:1.0: USB hub found hub 2-0:1.0: 1 port detected usb 2-1: new SuperSpeed Gen 1 USB device number 2 using xhci-mtk usb 2-1: New USB device found, idVendor=2e8a, idProduct=0030, bcdDevice=11.00 usb 2-1: New USB device strings: Mfr=1, Product=2, SerialNumber=3 usb 2-1: Product: USB Flash Drive usb 2-1: Manufacturer: Raspberry Pi usb 2-1: SerialNumber: <edited> usb 2-1: UAS is whitelisted for this device usb 2-1: UAS is whitelisted for this device scsi host0: uas scsi 0:0:0:0: Direct-Access General USB Flash Drive 1100 PQ: 0 ANSI: 6 sd 0:0:0:0: Attached scsi generic sg0 type 0 sd 0:0:0:0: [sda] 501350400 512-byte logical blocks: (257 GB/239 GiB) hw_nat: MediaTek HW NAT module v5.0.7.0-22 loaded, FoE size: 16384, AG pairs: 31 usb 1-1: new high-speed USB device number 3 using xhci-mtk sd 0:0:0:0: [sda] Write Protect is off sd 0:0:0:0: [sda] Mode Sense: 43 00 00 00 sd 0:0:0:0: [sda] Write cache: disabled, read cache: enabled, doesn't support DPO or FUA sd 0:0:0:0: [sda] Optimal transfer size 33553920 bytes sda: sda1 sda2 sd 0:0:0:0: [sda] Attached SCSI disk fastvpn: sizeof(bind) = 304 Через OPKG пробуем запросить smart, первый вызов отрабатывает, на следующий раз - роутер зависает и не доступен пока не отвалится накопитель: smartctl -d sat,12 -a /dev/sda dmesg ... xhci-mtk 1a0c0000.usb: ERROR Transfer event for disabled endpoint or incorrect stream ring xhci-mtk 1a0c0000.usb: @0000000057609f20 57d08100 00000000 1b000000 01058000 sd 0:0:0:0: [sda] tag#0 uas_eh_abort_handler 0 uas-tag 1 inflight: IN sd 0:0:0:0: [sda] tag#0 CDB: opcode=0xa1 a1 08 0e 00 01 00 00 00 00 ec 00 00 scsi host0: uas_eh_bus_reset_handler start usb 2-1: reset SuperSpeed Gen 1 USB device number 2 using xhci-mtk scsi host0: uas_eh_bus_reset_handler success xhci-mtk 1a0c0000.usb: ERROR Transfer event for disabled endpoint or incorrect stream ring xhci-mtk 1a0c0000.usb: @00000000576093e0 57d08100 00000000 1b000000 01058001 https://support.thepihut.com/hc/en-us/articles/33860320299421-SMART-not-working-on-Raspberry-Pi-USB-Flash-Drive Хотелось бы полноценной поддержки для накопителя, где заявлено: USB 3.0 gen 1×1 interface with type-A connector USB Attached SCSI Protocol with fallback to USB Mass Storage USB 3.0 U1/U2 idle power saving support SMART drive health reporting Спасибо. P.S. Отключение dev.usb.allow_uas решает проблему, но только вот Pi OS не "падает" (зависает и не обрабатывает трафик/не открывается интерфейс) от этого накопителя в любом режиме, как и любой другой линукс, например, на Radxa E52.

При отключении диапазона wifi в ''Точка доступа'' нет перевода в предупреждении:

При сохранении конфига или прошивки тема с "тёмной" меняется на "светлую" (в доп окне браузера). FireFox ESR "крайний".

Прошу рассмотреть реализацию SOCKS5 сервера в компоненты прошивки с управлением через GUI, по аналогии с WG например.

Возможно Вы подскажете, как изоляция клиентов пересекатеся с межсетевым экраном? Еще вижу что есть настройка security-level на интерфейсах. Она может как-то влиять на поведение клиентов в сегменте VPN?

Исходя из сегодняшних реалий ограничения и блокировки могут быть разные и как вариант: В случае не ответа всех прописанных DOT/DOH раз по пять, что бы роутер переключался на обычный DNS если Он прописан до того момента пока не станут доступны. Конечно ж что бы включалось опционально галочкой (например как игнорировать DNS провайдера) может кто то не защищёнными не хочет пользоваться (все не хотят конечно кто про это знает). А то не дай бог решат их все заблокировать и получится что без физического доступа к роутеру интернета на нём не будет.

Согласен, было бы здорово иметь виртуальный Кинетик.

Ну а что можно придумать инновационного? Зашифрованный раздел, который развернется при загрузке? Ключ прописан в загрузчике и все равно найти где он в памяти возможно. Предположим он не хранится в загрузчике, то все равно как то получает ключ. Эмулятор с компилятором писать если только, вопрос к чему это. Все равно от реверса защититься на 100% не получится. Можно усложнить и на этом все. С железом конечно проще... Самое то главное что бы не полезли CVE в ПО. Тут больше вопрос к разрабам на сколько они уверены в своем коде. PS: Я не говорю, что защиту делать не надо, но и ставить ее наперед тоже не стоит. У вас есть продукт которые люди любят и будут за него платить. То что его будут ломать и реверсить это да, в любом случае. Нужно изучить этот вопрос и выбрать лучшие методы.

Спасибо за скрипт Только установил Entware, и при выполнении скрипта вылезли ошибки: ndmq: not found Как выяснилось, пакет ndmq перенесен в архив и больше не входит в установку Entware, чтобы не устанавливать его из архива, я переделал скрипт на rci, изменения в строках 75, 104-105 Предварительно нужно установить пакет jq для разбора json opkg install jq Скрипт во вложении в архиве backup_rci.zip

Пример оптимальной настройки, с учетом использования DoT \ DoH серверов таких компаний, как Adguard, Google, Cloudflare, Quad9 + с форматами DNS JSON & DNSM. Настройка в Command Line Interface, CLI: dns-proxy tls upstream 8.8.8.8 sni dns.google tls upstream 8.8.4.4 sni dns.google tls upstream 1.1.1.1 sni cloudflare-dns.com tls upstream 1.0.0.1 sni cloudflare-dns.com tls upstream 9.9.9.9 sni dns.quad9.net tls upstream 94.140.14.14 sni dns.adguard.com tls upstream 94.140.15.15 sni dns.adguard.com https upstream https://dns.google/dns-query dnsm exit system configuration save show dns-proxy # ndnproxy statistics file Total incoming requests: 133 Proxy requests sent: 134 Cache hits ratio: 0.113 (15) Memory usage: 31.29K DNS Servers Ip Port R.Sent A.Rcvd NX.Rcvd Med.Resp Avg.Resp Rank 127.0.0.1 40500 2 0 2 22ms 21ms 1 127.0.0.1 40501 2 0 2 36ms 36ms 1 127.0.0.1 40502 2 0 0 0ms 0ms 4 127.0.0.1 40503 2 0 0 0ms 0ms 2 127.0.0.1 40504 2 0 0 0ms 0ms 1 127.0.0.1 40505 2 0 0 0ms 0ms 4 127.0.0.1 40506 2 0 0 0ms 0ms 1 127.0.0.1 40508 3 1 2 350ms 310ms 3 127.0.0.1 40509 117 115 2 21ms 21ms 10 Среднее время отклика med. avg. response time конечно скачет, может достигать выше 1000 ms, но в целом отклик хороший, практически у всех адресов. Также написана статья в базе знаний по настройке, с описанием и примерами - Протоколы DNS over TLS и DNS over HTTPS для шифрования DNS-запросов, которая дополняется информацией. Проверка работоспособности шифрования - ТОЛЬКО для адресов от Cloudflare: https://www.cloudflare.com/ssl/encrypted-sni/ https://1.1.1.1/help https://adguard.com/ru/test.html Настройка фильтрации рекламы, трекеров, вредоносных сайтов с подробной аналитикой от https://nextdns.io/ через протокол DNS over TLS. Настройка в Command Line Interface, CLI: ! dns-proxy tls upstream 45.90.28.0 853 sni xxx.dns1.nextdns.io tls upstream 45.90.30.0 853 sni xxx.dns2.nextdns.io # ndnproxy statistics file Total incoming requests: 613 Proxy requests sent: 493 Cache hits ratio: 0.225 (138) Memory usage: 33.91K DNS Servers Ip Port R.Sent A.Rcvd NX.Rcvd Med.Resp Avg.Resp Rank 127.0.0.1 40516 25 12 8 119ms 449ms 3 127.0.0.1 40517 468 453 8 89ms 94ms 4 proxy-tls: server-tls: address: 45.90.28.0 port: 853 sni: xxx.dns1.nextdns.io spki: interface: server-tls: address: 45.90.30.0 port: 853 sni: xxx.dns2.nextdns.io spki: interface: proxy-tls-filters: proxy-https: proxy-https-filters: где xxx - Ваш ID профиля nextdns. Настройка в WebUI: Проверка доступности https://my.nextdns.io/configuration/xxx/setup: Корректная фильтрация контента зависит от выбранных Вами готовых профилей в https://my.nextdns.io/configuration/xxx/lists. Мой лист: EasyList Malware Domain Blocklist by RiskAnalytics Ransomware Tracker AdGuard Simplified Domain Names filter hpHosts (ATS / Ads & trackers) hpHosts (EMD / Malware) pornhosts Sinfonietta (Porn) RU AdList CoinBlockerLists (browser) Проверка фильтрации https://checkadblock.ru/:

Роутер должен заниматься своим делом. Поддержка камер таковым не является.