keenet07

Если у вас модель UT850EG с возможностью подключения к PC по USB, то ещё можно о чем-то думать. А если ваша модель вообще без USB, то простого решения нет.

Скорее всего можно через какой-нибудь пакет proxy установленный в OPKG.

Откатиться вы можете без всякого входа куда-либо. Через режим Recovery. https://help.keenetic.com/hc/ru/articles/214470865 Прошивку нужную выберите https://forum.keenetic.net/announcement/5-где-взять-тестовые-прошивки/ и скачайте тут Настройки после восстановлении остаются прежние. У меня всё сохранилось. Если у вас ещё что-то на флэшке сохранено, наверное её на всякий случай лучше отключить.

Опишите что у вас случилось по-детальнее. С какой на какую версии обновились. И что значит зайти не реально?

Удалите модуль полностью в компонентах в Общих настройках. Контроль состояния интернет-подключения (Ping Check)

Нет желания обновиться до актуальной прошивки? Для вашего это 2.11 https://forum.keenetic.net/announcement/5-где-взять-тестовые-прошивки/ А вот история изменений с вашей версии

Не могу попробовать это у себя, не пользуюсь KeenDNS. Единственное могу подсказать, что тут очень поможет функция роутера Захват пакетов. Прослушиваете пакеты в разных вариациях интерфесов и смотрите что куда отправляется. Проще было бы конечно у разработчиков уточнить, но они как правило не очень любят как-то комментировать некоторые аспекты внутренней кухни.

Так это смотря что и где блокировать. Можно заблокировать только внутренние запросы или ответы админки ещё до ухода в туннель. Нужно только выявить правильный интерфейс, адрес и порт.

А дополнительно заблокировать правилом доступ к админке в Межсетевом экране разве нельзя в этой схеме? Но наличие такой галочки поддержу.

Да. Пока только там это работает. )

Блокировка по IP не выше по эффективности чем по домену и по адресу в пакетах. Пиратский сайт просто меняет либо IP, либо хостера и продолжает работать на том же доменном имени. И народ не теряется в поисках нового сайта или зеркала. Иногда просто переадрессацию ставят на главной странице.

@Himmler Пробовали через официальную тех.поддержку вопрос решить? Тут явно требуется больше сведений чем вы дали в первом сообщении. https://help.keenetic.com/hc/ru снизу.

Если временно отключить KeenDNS ситуация не меняется? Вы случайно ничего лишнего в брандмауэре не заблокировали? Возможно роутер не может обновить сертификат. Но я не утверждаю.

Если кто не понял, то сейчас все прямые запросы к произвольным DNS серверам спокойно проходят в открытом виде, даже если вы настроили DoT/DoH на роутере. То что я предлагаю даст возможность перенаправить эти не подконтрольные DNS запросы либо на выбранные вами открытые DNS сервера, либо на выбранные вами DoT/DoH сервера в зашифрованном виде. Кстати, помимо того, что через эту уязвимость могут незаметно переслать какие-то ваши данные, ничто не помешает через этот не очевидный канал установить прямой сеанс управления троянцем на вашем ПК в интерактивном режиме. Возможно через эти запросы переслать и бинарный код преобразованный в ASCII код. Таким образом троянец послужит загрузчиком другого вредоноса с требуемым функционалом. И никакая сетевая защита ничего не покажет. Простой Брандмауэр ничего не заблокирует. Можно конечно заблокировать всю сетевую активность для новых неизвестных программ запускающихся на ПК. Но для этого нужен хороший файрвол с подобной возможностью. В общем далеко не каждый такой себе ставит и правильно конфигурирует. Давайте закроем эту брешь ещё на уровне роутера. В первую очередь эта фишка нужна простым пользователям. Как говорится включил и забыл. Одним уязвимым местом станет меньше. Профи конечно могут и самостоятельно настроить соответствующим образом iptables.

Просьба реализовать возможность перенаправления транзитных для DNS роутера запросов на собственные DNS роутера. Под транзитными я понимаю прямые запросы с клиентов к произвольным DNS серверам на 53 порту. Например такой "nslookup ya.ru 8.8.8.8". Такой запрос пройдёт в открытом виде независимо от настроенного на работу с DOT/DOH DNS сервером. Данная функция должна легко включаться и при необходимости отключаться. Реализовать можно как отдельный фильтр в Интернет-фильтрах. Многие программы используют в разных целях такие прямые обращения к DNS, тем самым засвечивая такие запросы и открывая их для атаки "человек посредине". Так же некоторые трояны пользуются тем, что выход на 53 порту к DNS практически всегда разрешён на файрволе и через такие обращения могут передавать на свой подставной DNS сервер любую текстовую информацию, например ваши логины и пароли от учетных записей. Данная функция конечно не защитит вас полностью от подобных утечек. Но во всяком случае ваши данные не попадут в руки тех кто на них нацелился. Данная тема так же имела обсуждение здесь В общем всех не равнодушных прошу проголосовать за данную тему стрелочкой вверх в заголовке топика.

В общем поковырялся сам. Снял дамп. Увидел что все запросы со всех этих DNS идут только на dns-family.adguard.com dns.adguard.com Т.е. служебный трафик AdGuard. Но вопрос остается открытым. Для чего он всё время обновляет информацию по этим адресам даже когда везде выбрано "Без фильтрации"? А он это делает часто. Можно ли так оптимизировать код, чтоб лишних действий просто так не выполнялось? И соответственно эти UDP 53 в Активных соединениях не светились зря. Пусть обновляет только тогда когда активирован фильтр хотя бы на одном из устройств.

Вы понимаете что ваш выбор из списка предполагает работу только с одним из выбранных серверов? А когда заполнен весь список разными серверами, то они работают все. Только автоматом выбирается самый скоростной. И это могут быть не только гугл и клодфлэйр, но ещё и множество других.

Сейчас нет возможности. Могу сказать, что сразу при активизации фильтра AdGuard и при первом же DNS запросе из локалки открывается целая связка DNS серверов. Которые у меня даже не прописаны нигде. Источник Адрес назначения Служба :59401 145.100.185.15 UDP/53 :59401 1.1.1.1 UDP/53 :59401 8.8.8.8 UDP/53 :59401 185.49.141.37 UDP/53 :59401 176.103.130.130 UDP/53 Это похоже на то что делает bootstrap для работы DOH? И вопрос делает ли он такое обращение всегда когда активен просто на всякий случай? Без учета выбран ли какой-то реальный фильтр и без учета активирован ли DOH? Если да, тогда всё понятно. Если не должен так делать, тогда нужно исправить.

@Le ecureuil А что по моему вопросу повыше? Настройки у меня такие: available: yes port: 53 doh-supported: no doh-available: yes dot-supported: yes dot-available: yes Но вижу активность с 53.

На счёт включения и выключения с галочки согласен. А на счёт нередактируемых предустановок серверов нет.

Установлен и настроен DOT. DOH не установлен. Активировал фильтр AdGuard DNS и выбрал в нем "без фильтрации", просто чтобы завернуть все прямые обращения к DNS по 53 на DOT. В Активных соединениях в Диагностике вижу различные исходящие обращения на 53 порт. Откуда они берутся? Что это такое? Без AdGuard такого не было. Если бы у меня был установлен DOH, подумал бы на bootstrap. А так кто там ещё напрямую пролазит? Сам AdGuard тоже для чего то использует bootstrap? Зачем он ему DOH всё-равно не установлен? Как вылечить?

Точно. Скорее всего. ) Я сам только на DOT у меня этого не требуется. )

Такого быть не должно. Вероятно вы смотрите не тот интерфейс в Активных соединениях. Когда активирован DOH других запросов инициированных роутером по 53 быть не должно. Поэтому могу предположить, что это у вас либо интерфейс ПК за натом, либо мобильника которые отправляют прямые обращения на гугл DNS в открытом виде. Чтобы такого не происходило нужно установить Интернет-фильтр AdGuard и он будет заворачивать все запросы на DNS роутера.

В меню Диагностика - Активные соединения найдите ваш интерфейс выхода в интернет и там должны быть коннекты на 8.8.8.8 (или другой гугловский ip) порт 443. Никаких соединений на 53 порт.

UDP-прокси вам не подойдет? Он ретранслирует мультикаст каналы по http