Gary Komarov

Спасибо! Получилось через cli и создать пользователя с нужным регистром и задать ему нужный короткий пароль Через веб авторизуется А вот через smb/cifs пока не хочет из win10 заходить на роутер через сеть, точнее не подхватывает логин/пароль из винды, запрашивает авторизацию Но пароль принимает если ввести, причем пользователя при запросе отображает в нужном регистре как в кинетике задан

Угу это уже понял Вопрос что хранится в running-config в поле md5? Какая там часть realm из md5(login:realm:password) ? Выходит авторизация в smb должна проходить с одним хешем (паролем) для разных пользователей

Да согласен что проблема web интерфейса, через cli пользователи в разных регистрах создаются Спасибо, проверю Но я пробовал hash от admin (из running-config) другому пользователю назначать через password md5 hash1 и password nt hash2 И не взлетело, под новым с паролем как у admin не заходит Кстати что такое password nt?

К сожалению есть жалобы в 4.3.5: 1. Уже давно запретили заводить пользователей когда различия только в регистре символов. Например если есть пользователь "test" то добавить еще пользователя "Test" нельзя! Хотя это разные пользователи и авторизация в кинетике при отличиях в регистре не проходит. Раньше (очень давно) спокойно можно было делать "дубли" пользователей с разницей в регистре. И если они уже есть то после обновления оставались и работали, пока не удалишь, а добавить снова облом. 2. Аналогичная ситуация произошла со сложностью паролей. Если уже есть пользователи со слишком простыми паролями - они частично работают, пока не удалишь. А снова добавить с простым или поменять пароль на простой нельзя! Даже если через cli поменять ("user test password md5 хеш_простого_пароля") то авторизация с ним не проходит в любых режимах. Имхо было бы правильно и запрет имен пользователей с разным регистром и сложность паролей по дефолту как сейчас. Но глубоко в интерфейсе запрятать нужные галочки, которые разрешают и дубли с регистрами и отключают сложность/валидацию паролей. Кому надо те разрешат, понимая что делают.

Попробовать поменять пароль на новый более сложный И думаю заработает... Кстати для "admin" оставили действующими старые пароли, которые для других пользователей не проходят валидацию Непонятно только где оно хранит что "пароль кривой"? Только же MD5 хеш по идее должен храниться, какого фига оно ни через cli, ни по ssh на opkg, ни через браузер не пускает для новых пользователей с плохими паролями Т.е. через cli "user Test password MD5 Хеш" - оно дает установить хеш от плохого пароля Но работать он не будет, если не admin

Спасибо за решение! Мое замечания в т.ч. по результату попыток совмещения с решением обхода DPI от bol-van/zapret: 1. Лучше "ipset create bypass hash:net -exist", понятно проверить поддержку роутером "hash:net", если нет то оставить "hash:ip" 2. Чтобы в скриптах случайно не пересекалось, ipset надо переименовать с "bypass" на нечто более уникальное, например "bypass1" Ибо существует опция "--queue-bypass" Сделать "ipset create bypass1 hash:net -exist" и в прочих скриптах тоже "bypass1"

Не проще внешний usb модем в кинетик на lan порт (который сделать wan2)? Через еще один мини-роутер, например на чипе RT5350F Хотя у старых прошивок (например Keenetic 4G II) RT5350F не уверен насчет поддержки новых модемов типа L860 и T77W968 https://help.keenetic.com/hc/ru/articles/213967409-Список-поддерживаемых-моделей-USB-модемов-3G-4G-для-интернет-центров-Keenetic-1-го-поколения Вероятно придется OpenWRT или роутер поновей с usb, lan и поддержкой новых модемов

Так же желательно подгрузка списка маршрутизируемых доменов из файла. Еще лучше автообновление их с внешнего ресурса Или хотя бы допилить стандартную загрузку маршрутов Чтобы там можно было указывать интерфейс и обновлять по сети

Очень полезная функция! Причем обязательно настройка "wildcard" для автоматического добавления ip поддоменов тоже в маршрутизацию.

Нафик свой, я уже решил проблему. Прога на golang запускается при старте на роутере, постоянно проверяет каждую секунду наличие файла /var/openvpn/OpenVPN0/openvpn.config. Если файлик есть то каждые 10 миллисекунд проверяем otp_code внутри и подменяем если не правильный. В результате встроенный OpenVPN клиент сначала не может подключиться потом подключается с нескольких попыток и все ок. Встроенный клиент после подключения удаляет файлик openvpn.config и моя прога переходит в режим ожидания с проверкой через 1 секунду.

Вот через opkg, скрипт и бинарник на golang или код под nodejs у меня и формируется нужный otp_code от текущего времени и секретки. Как его подсунуть во встроенный openvpn клиент, чтобы не поднимать еще свой в opkg? При поднятии встроенного клиента настройки пишутся в "/tmp/openvpn/OpenVPN0/openvpn.config". Можно конечно попробовать их там успевать перехватывать и подменять но это изврат же.

Подскажите каким образом во встроенном OpenVPN клиенте (kn-1910) можно программно устанавливать логин/пароль перед подключением? Суть что есть секция <auth-user-pass> login otp_code </auth-user-pass> Но на сервере используется TOTP через алгоритм Google Authenticator и надо как то подменять otp_code на правильный перед каждым подключением. Если поднимаю OpenVPN клиента скриптами из OPKG (Entware) то там такой проблемы нет. А где же хранятся настройки конфига встроенного OpenVPN и каким образом их можно править из OPKG. Ну или чтобы цеплял login/otp_code из файлика или еще как но была возможность менять их не только через веб-интерфейс.