keenet07

Точно ли так, как я написал? А то я на ваших скринах видел такие правила, которые в принципе сработать не могли. Всё поперепутано. Вряд ли у провайдера с десяток DNS серверов. Ну 2, ну максимум зачем-нибудь 3.

Попробуйте для всех DNS провайдера на интерфейсе PPPoE создать такие правила. Может быть заблокируется с ними трафик. Из списка они может и не исчезнут, но может хоть работать не будут. В диагностике - Активные соединения посмотрите. Включить правило - галочку поставить.

А у вас поля Игнорировать DNS (как внизу на скрине) для PPPoE соединения нет?

Вот именно. ) Поэтому желателен статический белый IP. Так я не понял удалось его без DNS-сов применить в ручном режиме? Пропали они или нет?

Понятно. Если бы у вас была необходимость в статическом белом адресе, вы могли бы заказать. И указывать его смело в ручном режиме. Забивать туда нужно конечно не что попало и не локальные адреса типа 192.168.0.1. Не удивительно что настройки сбрасывались. Забейте ранее уже выданные вам IP адрес, маску и шлюз. И больше ничего. Кстати, если с 178.45.126.13 всё понятно, то с 10.79.17.xxx не очень. Это вообще Лос-Анджелес какой-то. Попробуйте сейчас в ручном режиме продублировать текущие выданные адреса. Будет ли работать интернет. И не попытается ли провайдер в какой-то момент выдать такой же адрес кому-то ещё. И что при этом произойдет.

Но практика указания для DoT как IP. А DoH везде в виде fqdn. Если DOH указать как IP работать будет? Или там тоже для правильной работы сертификата нужно обращение по fqdn?

Есть конечно. Но нужно правильно её сформировать. Я по CLI не большой специалист. Нужно в доки лезть. А вообще до того как пробовать создавать правило блокировки DHCP на конкретном интерфейсе, хотелось бы убедиться, что ваш интернет через PPPoE соединение сможет работать с выставленными в ручную настройками. Вы мне так и не ответили проверяли ли вы такую возможность или там серый IP меняется при каждом соединеннии. Настройте вручную и сделайте скрин. Иначе просто смысла нет. Заброкируем DHCP и пропадет у вас инет после перезагрузки. Потом будете спрашивать как отменить это правило.

Да даже если бы и работало. Обходится всё элементарным образом. Включение в браузере DOH. Сейчас это доступно для Firefox и Google Chrome. А вскоре появится и в приложениях браузеров в мобильниках. Думаете почему так взвыла определенная часть индустрии от появления DOH в браузерах. А там ещё и ESNI. А это вообще штука термоядерная. Куча определенного оборудования просто не сможет эффективно работать, как прежде. Прошу прощения за оффтоп.

Недавно я решил ради интереса попробовать AdGuard. Установил, настроил всё на Семейный. Включил. Убедился, что DNS запросы идут именно через него. Зашёл в браузер и в первом же поисковике набрал Porno, Sex, чтобы убедиться в работоспособности фильтрации. И поисковик запросто мне выдал все эти сайты. На первые ссылки я даже зашёл для проверки. Всё открылось. Может я как-то не так проверяю его работоспособность? Помимо этого перед открытием каждого сайта стала заметна существенная пауза. Т.е. DNS работал медленно. В моем обычном режиме DoT новые сайты открываются визуально мгновенно. А ещё после работы через него YouTube вдруг заблокировал у меня потенциально взрослый контент. Такой отметкой помечаются некоторые видео на ютубе. И посмотреть и самое главное отключить этот режим оказалось не так просто. Пришлось искать обходной путь отключения этого режима. Т.е. в самом ютюбе этот параметр стал недоступен.

В этих целях подобные фильтры остановят разве что только школьника, и то не любого. )) В общем, тогда через Рекавери не пробуйте. Я не помню есть ли SkyDNS по умолчанию в базовом списке компонентов. Если не окажется... то разыграется ваша зависимость.

Сейчас то конечно. Проще или не трогать или перенастроить с нуля. Чего там такого сложного у вас настроено для родителей?

Последняя уже Версия 3.3 Beta 5 (официальная бета) А вообще наверное скоро и релиз. Честно говоря не знаю как это поможет со SkyDNS. В общем, можете рискнуть залить через Рекавери новую прошивку. Если всё сростется, то будет работать. Если нет, придётся или назад откатываться, на ту что была. Желательно, чтоб у вас была слитая когда-то с настроенного роутера текущая прошивка. (именно с вашим набором компонентов) Или всё-равно, так или иначе, производить сброс настроек и полную настройку роутера.

А в чем вообще цель обновления?

Не просто нажать во время работы. А именно зажать в выключенном состоянии роутера. 3. Нажмите на интернет-центре кнопку "Сброс" и, удерживая ее, включите питание интернет-центра.4. Отпустите кнопку "Сброс", когда на интернет-центре начнет мигать индикатор "Статус". Это перевод устройства в режим Recovery. Впрочем, если опасаетесь, лучше не делать. Там много чего может пойти не так. Мы ведь не знаем вашу конфигурацию и набор компонентов.

Когда я так обновлял свой старый роутер все настройки сохранились. И старый пароль и правила Межсетевого экрана. А вот сброс точно всё сотрет.

Можно. Через Recovery. https://help.keenetic.com/hc/ru/articles/214470865 Но установится базовый набор компонентов для той прошивки которую будете заливать.

Для этого я и задал автору вопросы.

Провайдер выдал вам по одному кабелю два белых адреса? И присваиваются они по MAC адресам устройств? Один для Keenetic, второй для вашей железки. Или выдаются посредством разных PPPoE соединений? Или через разные VLAN? Вы хотите железку поместить в локалку и сохранить ей её белый IP? А как оно у вас было подключено до того как вы железку в локалку потащили? Через тот самый свитч?

Нужно вот такое правило. Но только для исходящего соединения. Пока-что вы его создать не сможете. Сейчас у вас нет такой вкладки в Межсетевом экране. Там все для входящих.

Зачем у вас в адресе источника стоят эти адреса? Это адреса DNS серверов? Их тут быть вообще не должно. Мы сейчас блокируем обращение к DHCP серверу.

DHCP это чисто UDP 67, причем блокировать нужно исходящий запрос на интерфейсе PPPoE. Что обычным правилом в веб-интерфейсе вы не сделаете. Нужно из CLI блокировать исходящее. Или если интересно могу подсказать как сделать вкладку для Межсетевого экрана с Исходящими на нужном интерфейсе. И уже в ней создать правило блокировки UDP 67. А где вы блокируете я так и не понял. Вместо интерфейса пишите мне о протоколе.

Покажите правило блокировки DNS. Имейте в виду что создавая правила вы блокируете входящие соединения. Запрос DNS это исходящее на 53, но ответ приходит с другого порта. Покажите на каком интерфейсе вы пытаетесь их заблокировать. И вообще. Если ваш PPPoE соединение сможет работать с выставленными вручную настройками вместо того, что идёт по DHCP, то просто заблокируйте сам запрос или ответ DHCP сервера. Это UDP 67. Соответственно не получите эти DNS адреса. И не нужно будет потом каждый блокировать. Они просто там не должны появиться, если всё правильно сделаете. Я же вам писал уже.

Вы про туннель ipv6 6to4? Вот тут посмотрите https://help.keenetic.com/hc/ru/sections/203192789-IPv6

Скорее всего 6 выйдет сегодня-завтра и в неё исправление не попало. Будет в 7.

Вот это разве не оно? <crl-verify>-----BEGIN X509 CRL-----... <--сюда вставить тело ключа из файла crl.rsa.2048.pem-----END X509 CRL-----</crl-verify> Опция crl-verify включает чёрный список отозванных сертификатов и указывает файл, из которого этот список нужно читать. crl.pem Список отзыва сертификатов CRL