[KN-1912 EAEU мертвые ссылки в прошивке]

23 часа назад, efessor сказал:

Добрый день, уважаемые разработчики. С момента появления бренда Netcraze наблюдаю в прошивке множество линков, ведущих на старый сайт (чейнджлог, техподдержка, "статьи по теме" и т.д.), где этой модели нет. Неужели нельзя пофиксить этот момент, раз уж решили сменить ресурсы?

в новых версиях по ссылки ведут как раз на support.keenetic.ru - если вы туда не попадаете и происходит редирект, вероятно стоит отключить VPN

[Разные сегменты WG клиентов]

2 часа назад, myazykov сказал:

Есть Giga на Beta 1. Есть AWG подключение.
как можно задавать приоритеты/сегменты подключений подключенным из внешней сети через VPN устройствам? Во внутренней сети можешь любому устройству назначить любой приоритет. При подключении к роутеру по VPN всегда приоритет - по умолчанию Обсуждалось, что можно обойти через сегмент. Можно, но сегмент задается на все VPN подключение (У меня работает WG сервер и IKEv2). Хочется в рамках одного VPN подключения назначать разные сегменты в зависимости от устройства/подключения. 
Для чего? В определенных сценариях для совершения, например, звонка, надо чтобы весь трафик ушел в туннель. Но 99% времени нужна просто маршрутизация по DNS через стандартный приоритет 

из коробки такой возможности нет, через entware можно например вот так
ip rule add from 192.168.98.10 table 4096
номер таблицы смотреть в show ip policy

[«Белый» IP от Ростелеком с помощью Entware]

21 минуту назад, Viktor. сказал:

Могу предложить только свою реализацю, т.к. последняя актуальная здесь лично у меня 100% ломала удаленный доступ к роутеру и пропускала IP адреса через CG-NAT. Проверял только на имеющимся роутере Hopper в течении месяца стабильно работает, выдает разные белые IP и ошибки не сыпал.

 

ваш скрипт в принципе не может быть рабочим, конкретно

        ndmcli connection PPPoE0 disconnect
        sleep 5
        ndmcli connection PPPoE0 connect

        sleep 15

        ndmcli service keenetic-cloud restart

ndmcli не существует в природе как и service keenetic-cloud restart 

[Гибкая привязка DoT/DoH DNS к интерфейсам]

22 часа назад, Greg6542 сказал:

В AdGuard Home можно задать разные DNS для разных адресов.

https://github.com/AdguardTeam/AdGuardHome/wiki/Configuration#upstreams-for-domains

именно то, на что вы ссылаетесь, есть из коробки уже много много лет, см. поле "домен" при добавлении сервера

у ТСа реквест совсем о другом

[Логи wg сервера]

2 минуты назад, Fat32alist сказал:

Абсолютно согласен. НО в моей ситуации попытки handshake для пиров, которые неактивны и более чем 10 минут происходят. В этом и суть

вы у пиров на сервере keepalive не проставили случайно?

[Логи wg сервера]

2 часа назад, Fat32alist сказал:

Это конечно спасибо, но разве нормально со стороны сервера ожидать handshake после того как пир помечен как неактивный?

ADD Команда system log suppress wireguard абсолютно никак не повлияла на журнал

пир помечается как не активный только примерно через 2 минуты - это специфика вг (не конкретно у кинетика)
а команда конечно же не повлияла, я вам дал ссылку на тему в разделе "развитие". Фича, увы, не реализована

[Логи wg сервера]

Баянъ

https://forum.keenetic.ru/topic/18543-добавить-возможность-указания-system-log-suppress-wireguard/

[[5.1 Beta 4] Некорректная работа экстендеров если больше 2 сегментов]

2 часа назад, slydiman сказал:

Невозможность выставить trunk на портах экстендера в mesh - тоже очень серьезная проблема.

Здрасьте приехали, они по дефолту транками и являются

[Добавить возможность в WEB установку security-level/lockout-policy]

1 час назад, vasek00 сказал:

А это 

  Скрыть контент

[W] May 16 18:43:53 dropbear[9440]: Bad password attempt for 'root' from 92.118.228.251:55038
[I] May 16 18:43:54 dropbear[9440]: Exit before auth from <92.118.228.251:55038>: (user 'root', 1 fails): Exited normally
[I] May 16 18:44:25 dropbear[9455]: Child connection from 92.118.228.251:48118
[W] May 16 18:44:26 dropbear[9455]: Bad password attempt for 'root' from 92.118.228.251:48118
[I] May 16 18:44:34 dropbear[9455]: Exit before auth from <92.118.228.251:48118>: (user 'root', 1 fails): Exited normally
[I] May 16 18:45:04 dropbear[9461]: Child connection from 92.118.228.251:56234
[W] May 16 18:45:05 dropbear[9461]: Login attempt for nonexistent user from 92.118.228.251:56234
[I] May 16 18:45:06 dropbear[9461]: Exit before auth from <92.118.228.251:56234>: Exited normally

 

ограничен через межсетевой экран

Не покажите где данный порт (по умолчанию он 222) от службы Entware-dropbear ограничен в межсетевом.

 

 

 

 

По умолчанию заблокировано всё, что не разрешено (кроме исключений приведенных выше, там будут в том числе и vpn сервера), вероятно вы сами открыли доступ.
Изучайте правила вашего межсетевого экрана, возможно что-то упустили.
По вашей логике все порты в кинетике открыты, если их ручками не закрыть.

[Добавить возможность в WEB установку security-level/lockout-policy]

2 часа назад, vasek00 сказал:

Странно, что на разных.

  Показать контент

dropbear от entware недоступен из интернетов по умолчанию.

Можете показать как это происходит, что он недоступен.

~ # netstat -ntulp | grep dropb
tcp        0      0 0.0.0.0:2PORT2              0.0.0.0:*               LISTEN      1052/dropbear
tcp        0      0 0.0.0.0:KeenPORT            0.0.0.0:*               LISTEN      1282/dropbear
tcp        0      0 :::2PORT2                   :::*                    LISTEN      1052/dropbear
tcp        0      0 :::KeenPORT                 :::*                    LISTEN      1282/dropbear
~ # ps | grep drop
 1052 root      2636 S    /opt/sbin/dropbear -p 2PORT2 -P /var/run/dropbear/dropbear.pid
 1282 root      5312 S    /usr/sbin/dropbear

пока вижу это, 2PORT2 этот из Entware, что так же упомянутые в логе записи которые выше.

Я просто сделал то же самое что и для родного 

  Показать контент

SSH_IN -p tcp -m tcp --dport KeenPORT -m set --match-set _NDM_BFD_SSH4 src --return-nomatch ! --update-counters ! --update-subcounters -j DROP
SSH_OUT -p tcp -m tcp --sport KeenPORT -m set --match-set _NDM_BFD_SSH4 dst --return-nomatch ! --update-counters ! --update-subcounters -j DROP

для прошивочного

SSH_IN -p tcp -m tcp --dport 2PORT2 -m set --match-set _NDM_BFD_SSH4 src --return-nomatch ! --update-counters ! --update-subcounters -j DROP
SSH_OUT -p tcp -m tcp --sport 2PORT2 -m set --match-set _NDM_BFD_SSH4 dst --return-nomatch ! --update-counters ! --update-subcounters -j DROP

для dropbear из Entware сделал так же, хотя из WEB можно по проще

-p tcp -m tcp --dport 2PORT2 -j ACCEPT

 

 

в iptables в таблице filter есть целая цепочка, _NDM_IP_PUBLIC, в которой прекрасно видно какие порты у нас разрешены для доступа "снаружи"
то что сервис "слушает" совсем не означает что доступ к нему не ограничен через межсетевой экран

там же, в filter можно найти пользовательские правила, например разрешенный icmp снаружи выглядит таким образом

-A @GigabitEthernet1 -p icmp -j ACCEPT

[Добавить возможность в WEB установку security-level/lockout-policy]

15 часов назад, vasek00 сказал:

Не расскажите как сервис 1052 по умолчанию заблокирован 

 1052 root      2636 S    /opt/sbin/dropbear -p ХХХХХ -P /var/run/dropbear/dropbear.pid
 1282 root      5312 S    /usr/sbin/dropbear

Пример выше как то не говорит об этом.

О какой слежке речь, если тема "Добавить возможность в WEB установку security-level/lockout-policy". 

 

есть ощущение что мы разговариваем с вами на разных языках. Попробую расставить все точки над "ё"
dropbear от entware недоступен из интернетов по умолчанию.
Вы просите реализовать lockout-policy для службы из entware, верно?

[Маршрутизация DNS иногда не работает]

8 минут назад, Racer X сказал:

Ибо галка запрета транзита блокирует только обычный открытый DNS по 53 порту

нет, именно блокирует DoT и DoH (популярные). Редиректит 53.

[Добавить возможность в WEB установку security-level/lockout-policy]

3 часа назад, vasek00 сказал:

2. просто заблокировать данный порт 222 (так как он в conf при установке) через WEB

Он по умолчанию и так заблокирован, по этому и остальные аргументы довольно странные.
Следить за службами/портами в opkg из ndms так себе затея, учитывая что пользователь развернуть там может практически что угодно.

[Opkg::Manager: missing initrc "/opt/etc/initrc": no such file or directory, trying default one (/opt/etc/init.d/).]

8 часов назад, Serbernar сказал:

inflating "aarch64-installer.tar.gz". 

Архив не для вашей модели.

[Маршрутизация DNS иногда не работает]

22 минуты назад, hoaxisr сказал:

Он "однозначно" выключается через невообразимо долгое время. Т.е. до статуса "административно" down проходит куча времени. А вот статус "failed" от pingcheck вообще не влияет на работу этой функции, даже когда failedcount>установленного в профиле pingcheck.  Можете проверить самостоятельно, в ТП об этом писал, но обратного гудка не слышно и вера потеряна. 

Рекомендовать использовать этот функционал я бы точно не стал. Особенно в свете наличия сторонних решений, умеющих делать не тупое наполнение ipset от резолва, а сравнивать SNI и IP и маршрутизировать избирательно даже сервисы за CDN.

 

Вы проверяли с

 interface X ping-check restart

?

Фокус то именно в этом...

[Маршрутизация DNS иногда не работает]

17 минут назад, hoaxisr сказал:

Заявленный функционал fallback для fqdn как не работал, так и не работает. 

А тут момент, все зависит от типа интерфейса. Например если речь о вг, нужно повесить на него пинг чек, чтобы интерфейс однозначно отключался при недоступности пира

[DNS-based routes для не-Default политик]

1 час назад, vincome сказал:

Маршрутизация по ДНС сейчас автоматически использует маркер политики по умолчанию.

Наоборот, проверяет нет ли метки и только в этом случае переходит к нужной цепочке

-A PREROUTING -m mark --mark 0x0 -j _NDM_DNSRT_PREROUTING_MANGLE
 

При наличии entware эта проверка убирается довольно просто и правила начинают работать в других политиках. Вероятно в 5.2 это и будет сделано, но это не точно 

 

[Не могу войти по SSH после обновления]

В 29.04.2026 в 13:18, JohnDoe27 сказал:

Поломали dropbear на последнем обновлении, так же как и busybox:

opkg install dropbear
Installing dropbear (2025.89-1) to root...
Configuring dropbear.
Generating 2048 bit rsa key, this may take a while...
Public key portion is:
ssh-rsa .....

root@localhost
Fingerprint: ...
Unknown key type 'ecdsa'
Usage: /opt/bin/dropbearkey -t <type> -f <filename> [-s bits]
-t type Type of key to generate. One of:
                rsa
                ed25519
-f filename    Use filename for the secret key.
               ~/.ssh/id_dropbear is recommended for client keys.
-s bits Key size in bits, should be a multiple of 8 (optional)
           Ed25519 has a fixed size of 256 bits
-y              Just print the publickey and fingerprint for the
                private key in <filename>.
-C              Specify the key comment (email).
Generating 256 bit ed25519 key, this may take a while...
 

После этого dropbear запускается, но не принимает ключи. Откат на старую версию 2024.86-1 решает проблему.

Вы точно используете репозиторий bin.entware.net ?

А то сейчас окажется что на каком-то из зеркал версия с ecdsa осталась

[5.1 Beta 1 | Пропадает основное интернет-подключение после добавления сегмента без дополнительной настройки]

техподдержка багу признала, обещали починить.

[Перестал работать Site-to-Site IPSec Туннель после перехода на 5.0.10 прошивку с 4.3.7]

28 минут назад, KonstantinM сказал:

Я так понимаю без вариантов....

В первую очередь стоит обращаться в техподдержку, контакты указаны тут

https://support.netcraze.ru

[Маршрутизация DNS]

12 минут назад, Кинетиковод сказал:

Очевидно это разные подходы в маршрутизации

и снова вы пришли к неверному выводу, перечитайте пожалуйста мои сообщения. 
Если вам сложно верить "на слово" берем entware и смотрим ipset'ы в названиях которых есть _NDM_OGDN_
а дальше в iptables упоминания этих же наборов и/или в цепочку _NDM_DNSRT_PREROUTING_MANGLE . Откроете для себя много нового.

[Маршрутизация DNS]

4 минуты назад, Кинетиковод сказал:

Очевидно при резолве куча ненужный подсетей не добавляется. Плюс набор доменов для разных сервисов не будет меняться так же часто, как могут меняться CIDR. В этом и есть плюс именно доменной маршрутизации. А накидать вместо доменов кучу подсетей можно, но это такой себе костыль. Почему в стоке глючит именно доменная маршрутизация это отдельный вопрос, но замена доменов на CIDR это не решение проблемы, в этом случае можно домены вообще не добавлять и это уже не будет именно доменной маршрутизацией. Если вы в маршрутизатор накидали CIDR и рассказываете всем, что у вас доменная маршрутизация работает отлично, то что тут можно сказать? Человек использующий только домены думает, что он наверное делает что-то не так, ведь у других же всё работает. 

Настоящая, исключительно доменная маршрутизация прекрасно работает в сторонних маршрутизаторах. МТ и HR на сегодня самые актуальные, другие маршрутизаторы можно считать морально устаревшими, хоть и у стариков есть свои плюсы. 

Есть стойкое ощущение что вы просто проигнорировали вышенаписанное. Нет ни одного упоминания того что CIDR правильнее и лучше. 
Текст был только о принципе работы и почему при указании CIDR и fqdn в одном и том же модуле может наблюдаться разное поведение.

[Маршрутизация DNS]

33 минуты назад, Кинетиковод сказал:

То что CIDR это не доменная маршрутизация никого не интересует

Вы бы хоть посмотрели как оно работает изнутри, перед тем как делать подобные выводы.

Вся проблема маршрутизации именно доменов не в маршрутах как таковых (которые по факту ими и не являются), а в резолве и последующем наполнении ipset'ов. При указании cidr'a запись в ipset добавляется точно так же, но набор не меняется и не дополняется без участия пользователя.

tldr
dns-proxy слишком медленно резолвит адреса и наполняет ipset'ы

[Wake on lan из сети для Яндекс.станции]

3 часа назад, DVG сказал:

Добрый день. Ссылка уже не рабочая, поэтому если не сложно, то поясните, как надо настроить домен? 

https://support.netcraze.ru/ultra/nc-1812/ru/55035.html

[ipsec сеть-сеть. проблема во мне или технологии?]

7 часов назад, vvfd сказал:

Собственно вопрос в первом посте был в том можно ли завернуть трафик с роутера принудительно в тоннель силами кинетика, если я это соединение не вижу в интерфейсах ни в каком виде.