AndyU
-
Постов
65 -
Зарегистрирован
-
Посещение
Тип контента
Профили
Форумы
Галерея
Загрузки
Блоги
События
Сообщения, опубликованные AndyU
-
-
4 hours ago, spatiumstas said:
Вроде не первый год на форуме, а только сейчас узнали что чтобы пользоваться устройством нужно принять EULA...так было еще в 3-х версиях, и скорее всего 2-х. Без принятого соглашения устройство не даст себя использовать
Одно "но", я сейчас посмотрел в backup'ах прошивок пары моих роутеров, бывшего EAEU и EU от рождения. И там и там второй стороной соглашения является Keenetic Limited (Тайвань). А кто там роутеры насильно обновлял? Netcraze и Keenetic GMBH? А так можно было? И сколько раз я не обновлял прошивки, ни разу меня не просили переподписать EULA.
Privacy Notes - Keenetic GMBH. Что на последних прошивках EAEU - понятия не имею.
-
2
-
1
-
-
9 minutes ago, D_K_ said:
Этих данных достаточно.
Ну, я успел "перетащить" все мои роутеры с регионом EAEU в регион EU еще когда облако было объединённым и в Германии. Сейчас для единственного роутера из этой кучки в online, годовая история трафика начинается с марта. Что произошло с предыдущей реинкарнацией, не знаю. Надеюсь, немецкая компания не отдала старые данные в РФ. Да или нет, не знаю. Только по аналогии с EAEU других пользователей. Вот с какого момента у них видна история трафика? Если с начала года, значит, Германия отдала их данные в РФ. Если с весны-лета, значит - нет. Роутеры были зарегистрировалы в РФ облаке, как новые.
-
7 hours ago, D_K_ said:
Сейчас облако не хранит и не анализирует пароли.
Чтобы добавить в приложение удаленный (remote) роутер, вы должны ввести в приложениие его CID и пароль администратора. Что-то я совсем не уверен, что он в облако не уплывает.
-
2 hours ago, Axel Pervolianinen said:
Прошивка keenetic с моей гиги, та самая 4.3.6.3. ничего нигде не переименовано. Везде keenetic.
Тут отсутствует один раздел на flash-диске, где лежит регион, CID, серийник, URL сервера с обновлениями и пр.
Ну и загрузчик.
-
12 hours ago, Илья Хрупалов said:
Вы забываете простую вещь: если устройство вдруг уже было захвачено в ботнет
...то роутер уже сам давным давно лазает в интернет за всякими вредоносными payload и по расписанию начинает делать гадости. И единственный способ бороться - искать провайдеров, и сообщать им про потенциальные проблемы с Keenetic'ами. А уж дальше пусть они сами со своими клиентами разбираются. Хотя они и так должны такое отлавливать по нетипичной активности роутеров.
-
1
-
-
Кстати про SSH. А не планируется научить роутер пользоваться сертификатами и отключать вход по паролю, а admin'у вообще? Ну еще sudo хочется, если нет.
-
1
-
-
5 hours ago, keenet07 said:
Весь инструментал доступен на самом устройстве, просто подумайте и сделайте.
Я, кстати, беглым поиском в указанной вами теми, того, что еще нужно, не нашел. Или плохо искал, или потерли, как в документации. В прошивке (*.bin) тоже ничего не вижу. Но можно попробовать есть по кускам. Есть еще способ, опубликованный на github'е, но мне что-то стремно на рабочей железке экспериментировать. Или можно просто на траффик посмотреть штатными средствами роутера.
-
6 minutes ago, Илья Хрупалов said:
Пожалейте свое время. Облачное управление через приложение вообще никак с этим не связано
Однако ведь телеметрия уходит в облако независимо от обсуждаемой настройки?
-
2 minutes ago, _Roman_ said:
условно бд откуда сервер забирает данные с регионом и чемто еще для ответа роутеру на присланный cid. затем роутер уже по этому конфигу знает какого он региона и в какой домен ему ходить в облако. на истину не претендую, просто мысли.
Да. роутеры с регионом EAEU используют облако ea.master.keenetic.cloud, старые, еще с регионом RU - ru.master.keenetic.cloud, европейсие eu.master.keenetic.cloud, турецкие - tr.master.keenetic.cloud. Раньше IP был один и тот же, С весны IP для EAEU и RU поменялся.
-
15 minutes ago, keenet07 said:
Так почему вы считаете что там нельзя поменять что-либо ещё.
Технически можно. И даже не теоретически, а практически. А вот этически... Один раз использовали по просьбе клиента, но и то я напрягся, а вот второй - уже без просьбы/согласия, и в большом ряде случаев, во вред. Я бы предпочел, чтобы технической возможности не было. Только перепаяв ПЗУ, например.
P.S. И конечно, использовать в бизнес-целях домашний роутер, это не дело, но понимаешь это, только поработав в большой корпорации.
-
7 minutes ago, _Roman_ said:
думаю что регион они меняют в своей таблице маршрутизации, а на роутер регион и прочие нужные настройки подтягиваются после перезагрузки и отправки cid на сервер.
Скорее, чтение региона осуществляется один раз при загрузке для выбора разных настроек. А уж откуда и как это "защищено", так тут меня удивили в личных сообщениях до состояния полного изумления.
Т.е. перезагрузка нужна после.
И что такое "своя таблица маршрутизации", поясните, пожалуйста.
А так, да, роутер посылет CID в облако, там проверяется, что ему нужно поменять регион, и обратно в ответе отправляется спец.команда. Я так пару роутеров с полки достал, включил после основного, сам перезагрузил и все, регион поменялся. Ну как, спец? Выход в консоль с правами root с помошью недокументированоой CLI команды и вперед.
-
47 minutes ago, keenet07 said:
Что же вероятнее?
Наличие вендорского backdoor'а, с помощью которого меняли регионы, с моей точки зрения, подтверждено:
Spoiler
Т.е. вероятность этого 100% Куда больше?
-
59 minutes ago, keenet07 said:
В общем примерный алгоритм такой заложен в саму прошивку на роутере:
Ну и какой же вариант, ваш или мой проще?
-
2 minutes ago, keenet07 said:
По моему вам хоть на кванты вместе с железом всё разбери, вас это не убедит.
На самом деле спор идет, есть один backdoor или два?
-
3 minutes ago, _Roman_ said:
а что за соглашение? после обновы у меня никто ничего не требовал.
Я лично под этот паровоз не попадал, но и тут недавно кто-то про это упоминал, и на 4pda я это видел:
https://4pda.to/forum/index.php?showtopic=1048524&st=1240#entry140342280
-
43 minutes ago, keenet07 said:
Как видно из этого, производитель в любой момент может обновить прошивку выставив определенный управляющий флаг. Никакой дополнительной команды из облака не требуется.
Доказательством, какая версия верна, будет только реассемблированная прошивка. Но нафига козе баян, когда уже есть вендорский backdoor общего назначения?
-
51 minutes ago, _Roman_ said:
Зарегался специально чтобы написать что такие есть
Спасибо, Т.е. тут выключено?
Тогда придется проверять, что эта настройка выключает. Как бы только не доступ из мобильного приложения, а не все общение с облаком. Но на это время надо и пару роутеров в цепочку. Не зря же в новом лиц.соглашении требуется согласие на обработку перс.данных. Где бы время взять.
-
1 minute ago, keenet07 said:
Я вам выше об этом написал. И что?
Пардон, я вас не понял. Но результат то один и тот же - задержка. И кстати, значит роутер на сервер обновлений еще сообщает, что хочет обновиться в ручном режиме или авто.
-
1 minute ago, keenet07 said:
Что? То же самое, только на английском.
Оттуда про задержки при автообновлениях:
QuoteNOTE: Important! Commonly, auto-update on our server is not started immediately after release. Usually, it takes some time (about 1-2 weeks), and only after making sure the release is stable, the auto-update mechanism is activated on our server. Only then will the release be available for auto-update to devices with this feature enabled. It is up to Keenetic to decide for which release auto-update will be allowed.
-
17 minutes ago, keenet07 said:
Вы считаете что это роутер выжидает определенное время иногда недели до того как обновиться?
https://help.keenetic.com/hc/en-us/articles/360000922779-KeeneticOS-automatic-updates
-
6 minutes ago, keenet07 said:
Да и кто сказал что обновились только подключенные к облаку устройства?
Вроде бы, это включено по умолчанию. Я не думаю, что многие отключали, и я не видел сообщений с матюгами при отключенном облачном доступе.
-
2 minutes ago, Denis P said:
Вы не правильно поняли
Ссылку на сообщение от "пострадавшего", где бы это было прямо написано, приведете?
-
1
-
-
14 hours ago, keenet07 said:
Ого! А вы тогда вот здесь поясните, что хотели сказать. Что там не так.
Да не так все работает. Напрочь. Это любому программисту очевидно:
Роутер периодически лезет на сервер (раз в сутки?), где лежат прошивки, передавая свою модель и текущую версию прошивки. И ждет ответ, есть свежая или нет. Если на сервере есть свежая, то он сообщит версию, роутер запомнит и будет ее показывать в WEB-интерфейсе. Точка.
Если роутер "знает", что есть свежая прошивка, то после нажатия на кнопку "Обновить" (или автообновление сработает), то роутер пошлет на сервер другой запрос (если там REST API, то другую endpoint) на скачивание прошивки и сервер ее пришлет. Точка.
Два независимых асинхронных процесса. И нет кнопки/режима - "проверить наличие обновления и, если есть, сразу обновить".
Косвенное доказательство - прошивка 4.3.6.3 появилась как бы еще не в октябре - я ее поставил на одном из роутеров в начале ноября. А эпидемия автообновлений началась сильно позже. Как? Возможно, что при связи мобильного приложения с роутером нет сквозного шифрования, Т.е. облако может сэмулировать команду удаленного пользователя на обновление. Не зря же автообновлялись, как я понял, лишь те роутеры, которые имели связь с облаком.
То, что роутер сливает статистику в облако, очевидно - в мобильном приложении есть трафик за год, а в web-консоли - нет такого. Ну и, как сливает, так теоретически и может оттуда управляться.
-
2
-
-
Уважаемый Spatiumstas, а можете, свое мнение обосновать? Можно частным образом.
openconnect
в Обсуждение IPsec, OpenVPN и других туннелей
Опубликовано
Запустил сервер на Hero (KN-1011) 5.0.10. Windows Cisco Secure Client c галочкой "do not connect to untrusted servers" коннектится и работает.
А с Android-клиентом (Тот же cisco anyconnect) ситуация странная.С аналогичной галочкой в настройках ругается на сертификат сервера, подписанный R13 (серийник правильный - если сравнить с тем, что можно посмотреть в Firefox, если открыть страничку сервера), но после его импорта не очень понятно куда, но потом его видно в Settings -> Diagnostics -> Certificate Management -> Server, ругаться перестает.
Я бы предположил (недавно на похожие грабли наступал на работе), что Openconnect сервер на Keenetic'ах не отдает всю цепочку сертификатов, но firefox, что на PC, что на Android'е видит всю цепочку до корневого ISRG Root X1.
С другим моим VPS на ubuntu в Амстердаме с сертификатом тоже от Let's Encrypt, но где следущий E8, никаких проблем.
Загадка.