AndyU

Запустил сервер на Hero (KN-1011) 5.0.10. Windows Cisco Secure Client c галочкой "do not connect to untrusted servers" коннектится и работает. А с Android-клиентом (Тот же cisco anyconnect) ситуация странная.С аналогичной галочкой в настройках ругается на сертификат сервера, подписанный R13 (серийник правильный - если сравнить с тем, что можно посмотреть в Firefox, если открыть страничку сервера), но после его импорта не очень понятно куда, но потом его видно в Settings -> Diagnostics -> Certificate Management -> Server, ругаться перестает. Я бы предположил (недавно на похожие грабли наступал на работе), что Openconnect сервер на Keenetic'ах не отдает всю цепочку сертификатов, но firefox, что на PC, что на Android'е видит всю цепочку до корневого ISRG Root X1. С другим моим VPS на ubuntu в Амстердаме с сертификатом тоже от Let's Encrypt, но где следущий E8, никаких проблем. Загадка.

Одно "но", я сейчас посмотрел в backup'ах прошивок пары моих роутеров, бывшего EAEU и EU от рождения. И там и там второй стороной соглашения является Keenetic Limited (Тайвань). А кто там роутеры насильно обновлял? Netcraze и Keenetic GMBH? А так можно было? И сколько раз я не обновлял прошивки, ни разу меня не просили переподписать EULA. Privacy Notes - Keenetic GMBH. Что на последних прошивках EAEU - понятия не имею.

Ну, я успел "перетащить" все мои роутеры с регионом EAEU в регион EU еще когда облако было объединённым и в Германии. Сейчас для единственного роутера из этой кучки в online, годовая история трафика начинается с марта. Что произошло с предыдущей реинкарнацией, не знаю. Надеюсь, немецкая компания не отдала старые данные в РФ. Да или нет, не знаю. Только по аналогии с EAEU других пользователей. Вот с какого момента у них видна история трафика? Если с начала года, значит, Германия отдала их данные в РФ. Если с весны-лета, значит - нет. Роутеры были зарегистрировалы в РФ облаке, как новые.

Чтобы добавить в приложение удаленный (remote) роутер, вы должны ввести в приложениие его CID и пароль администратора. Что-то я совсем не уверен, что он в облако не уплывает.

Тут отсутствует один раздел на flash-диске, где лежит регион, CID, серийник, URL сервера с обновлениями и пр. Ну и загрузчик.

...то роутер уже сам давным давно лазает в интернет за всякими вредоносными payload и по расписанию начинает делать гадости. И единственный способ бороться - искать провайдеров, и сообщать им про потенциальные проблемы с Keenetic'ами. А уж дальше пусть они сами со своими клиентами разбираются. Хотя они и так должны такое отлавливать по нетипичной активности роутеров.

Кстати про SSH. А не планируется научить роутер пользоваться сертификатами и отключать вход по паролю, а admin'у вообще? Ну еще sudo хочется, если нет.

Я, кстати, беглым поиском в указанной вами теми, того, что еще нужно, не нашел. Или плохо искал, или потерли, как в документации. В прошивке (*.bin) тоже ничего не вижу. Но можно попробовать есть по кускам. Есть еще способ, опубликованный на github'е, но мне что-то стремно на рабочей железке экспериментировать. Или можно просто на траффик посмотреть штатными средствами роутера.

Однако ведь телеметрия уходит в облако независимо от обсуждаемой настройки?

Да. роутеры с регионом EAEU используют облако ea.master.keenetic.cloud, старые, еще с регионом RU - ru.master.keenetic.cloud, европейсие eu.master.keenetic.cloud, турецкие - tr.master.keenetic.cloud. Раньше IP был один и тот же, С весны IP для EAEU и RU поменялся.

Технически можно. И даже не теоретически, а практически. А вот этически... Один раз использовали по просьбе клиента, но и то я напрягся, а вот второй - уже без просьбы/согласия, и в большом ряде случаев, во вред. Я бы предпочел, чтобы технической возможности не было. Только перепаяв ПЗУ, например. P.S. И конечно, использовать в бизнес-целях домашний роутер, это не дело, но понимаешь это, только поработав в большой корпорации.

Скорее, чтение региона осуществляется один раз при загрузке для выбора разных настроек. А уж откуда и как это "защищено", так тут меня удивили в личных сообщениях до состояния полного изумления. Т.е. перезагрузка нужна после. И что такое "своя таблица маршрутизации", поясните, пожалуйста. А так, да, роутер посылет CID в облако, там проверяется, что ему нужно поменять регион, и обратно в ответе отправляется спец.команда. Я так пару роутеров с полки достал, включил после основного, сам перезагрузил и все, регион поменялся. Ну как, спец? Выход в консоль с правами root с помошью недокументированоой CLI команды и вперед.

Наличие вендорского backdoor'а, с помощью которого меняли регионы, с моей точки зрения, подтверждено: Т.е. вероятность этого 100% Куда больше?

Ну и какой же вариант, ваш или мой проще?

На самом деле спор идет, есть один backdoor или два?