Master2009

Точно колдовство. А по факту наверно что-то не учли в прошивке 4.3.6.3, из-за чего большинство базовых функций работало нормально, а более сложные вещи приводили к перезагрузкам. Была бы свобода выбора прошивки, вопросов бы не было вообще. Сам клиент не вовремя стал обновлять прошивку, значит сам и ответственен за последствия, но если это же произошло со стороны, да ещё и не предусмотрев никаких последствий, то ситуация уже другая. P.S. Кстати, возможно и прошивка 5.0.1 это же поведение наследует, ещё проверять надо.

Хорошо, если так. Возможно интерфейс сделать более человеколюбивым, как в старых версиях прошивки, чтобы глаза не ломать и пальцами через экран не тянуться, если одной рукой телефон брать? Мода пройдет, а неудобство для глаз останется. И потребление оперативной памяти ужимается пропорционально её общему количеству для старых роутеров (например 256 Mb. RAM для Keenetic Hopper KN-3810)?

Благодарю за подтверждение аптайма. Аптайм, да, хороший, 53 дня, дай бог, если ничего к релизу не сломают, как в предыдущей. Интерфейс холодный, мрачный, чёрный фон, кнопки управления меню скорее всего, как и в 4.3.6.3 слева, в мобильной версии надо через весь экран пальцем тянуться, а не как удобная кнопка внизу справа в 4.0.2. Черный цвет фона уже использован, наверно в запасе остались только цвета чернее чёрного, например Ultra black со шрифтом Arial Cosmoblack. Раньше элементы интерфейса размечали, отдельные части выделяли фоном и прямыми элементами типа линий и уголков блоков, фон вызывал приятные ощущения. Взгляд раньше легко перемещался вдоль линий, опираясь на эти элементы, теперь всё одним блоком идёт, игнорируя физиологию зрения. Вниманием спускаешься к нужной позиции, зрение каждый раз напрягается, чтобы нужный элемент не пропустить. RAM на новых прошивках используется похоже сразу 403 Mb. из 1024 Mb., а у меня всего 256 Mb. Если даже больше программ и модулей загружено с OPKG, на новых прошивках столь же экономны в потреблении памяти и ресурсов процессора? P.S. Да, "любят" здесь проблемных клиентов. Теперь наверно мне про это принудительное самообновление роутера ещё долго вспоминать будут, хоть его фирма Keenetic сама и устроила пользователям, а я несколько дней убил ни на что, вылавливая глюки прошивки, а затем возвращая старую прошивку.

Наверно это и есть те ответы, на которые в ближайшее время можно рассчитывать. ) P.S. От подобного аптайма вида "30 дней" и больше я точно не откажусь. Да и интерфейс старой прошивки тёплый ламповый, уютный, а новой какой-то холодный, жёсткий. Новая мода "матириал десигн", глазу не за что зацепиться, болят, когда нужный элемент искать приходится. ) А сколько аптайм сейчас у вас на свежих прошивках? 2-3 дня? )

Поскольку ответа я не дождался, пришлось разбираться самому. В итоге оказалось, что блокировка сервера обновлений привела к тому, что клиент ACME KeenDNS не может нормально обновить DNS TXT record, которая делается также через этот сервер, что не даёт сгенерировать и обновить SSL-сертификат Lets encrypt для домена роутера KeenDNS. В случае появления в журнале уведомлений вида: Янв 9 21:28:47 ndm Acme::Runner: unable to update DNS TXT records: server error: "0". Янв 9 21:28:47 ndm Acme::Runner: check failed for domain "mydomain.keenetic.pro". Янв 9 21:28:47 ndm Acme::Client: unable to issue certificate for "mydomain.keenetic.pro": too many failed retries. необходимо временно отключить блокировку сервера обновлений и дать системе обновить сертификат. Для этого достаточно одной минуты, после чего блокировку можно включить повторно. P.S. Время работы роутера на прошивке 4.0.2 без единой самостоятельной перезагрузки - 27 дней и продолжает расти.

Содержимое журнала роутера Keenetic Hopper KN-3810. Что с этим можно сделать? Или это Lets encrypt сам забанил? Jan 9 13:01:44 ndm Error: Acme::Runner: check failed for domain "...". Jan 9 13:01:44 ndm Error: Acme::Runner: unable to update DNS TXT records: server error: "0". Jan 9 13:01:43 ndm Info: Acme::Runner: updating DNS TXT records for "...". Jan 9 13:01:43 ndm Info: Acme::Runner: perform DNS sanity checks for domain "...". Jan 9 13:01:39 ndm Info: Acme::Client: obtaining certificate for domain "..." is started. Jan 9 13:01:39 ndm Info: Core::Pki::Tools: certificate for "..." should be renewed.

Или вот ещё общие/индивидуальные уведомления на входе в админку. Роутер регулярно пингует сервер обновлений, который сообщает о доступной новой версии прошивки. Что мешает в этот пинг встроить запрос файла с предупреждением по XML/HTTP, который сохранять и выводить при его наличии не внутри админки, а в форме входа в админку роутера?

frontccp, поставьте сами или с чьей-то помощью старую версию прошивки и заблокируйте обновление через Firewall или DNS, если получится. Прошивки есть в шапке форума, даже если не сохранили свою версию прошивки. Для старой прошивки будет действовать старое соглашение и вопрос будет решён. Можно ещё сразу после принятия, если заморочиться, отправить письменный отказ в обработке персональных данных или изменить перечень разрешенных методов, по закону это обязаны сделать, хотя и не известно, что реально будет сделано. Всё равно здесь всё закрыто и на словах, не проверить никак. Илья Хрупалов, напишите пожалуйста, а то непонятно из всех ответов, в итоге что реально планируется и будет сделано с прошивками? Поскольку тема многогранная и все обсуждаемое так или иначе пересекается с тем, что произошло и что при этом сделала фирма Keenetic. И если "всё не по теме" будет удалено, как вы пишете, хотелось бы знать, как при этом будут решены вопросы, связанные с темой. Из самих прошивок всё же будут удалены функции удаленного управления без ведома и контроля покупателей роутеров, чтобы удаленное управление осталось в формате только предварительного получения согласия пользователя и с уведомлением? Как писал раньше, например, три варианта выбора режима автообновления прошивки с возможностью его действительно полного отключения? И что мешает внедрить важные уведомления для пользователей при входе в админку или другие ранее предложенные способы защиты роутеров? Меня например, как писал выше, глюки самообновленной прошивки 4.3.6.3 не устроили. Или можно ожидать только переработки старого пользовательского соглашения для роутеров с его подгонкой под текущую ситуацию? С расширением прав производителя, без каких-либо изменений ситуации и бэкдор производителя для роутеров останется на том же старом месте? Спасибо. Upd. Кто может разъяснить и знает ситуацию, реально хотел бы понять. Вот есть роутер со старой прошивкой, включено облако KeenDNS, роутер регулярно пингует облако, сообщает о своём домене, CID, серийном номере, что он в сети и скорее всего о текущей версии прошивки, когда обращается за этим на сервер обновления? Всё это Keenetic собирает в базу данных? Значит можно взять из базы данных информацию, какой роутер с прошивкой ранее определенной версии связан с каким доменом KeenDNS и индивидуально поменять связь его домена, указав другой IP для домена, при этом вместо его веб-админки показать уведомление, что надо обновить прошивку или сменить пароль? Или из-за этого могут поломаться другие сервисы, связанные с доменом по другим портам? Или, может, можно как-то ещё переадресовать пользователя, блокировав только админку? Например перевести все роутеры со старой версией прошивки принудительно в режим серого IP-адреса и блокировать трафик только на админку, когда он пойдет через облако? Что вообще было реально сделать с роутерами в этой ситуации? Облако - просто Dynamic DNS, компьютер получил из DNS IP-адрес роутера и трафик уходит на него, разве что если IP-адрес не серый, тогда облако становится посредником. Если блокировать доступ к админке, то только в момент получения обращающимися к роутеру нового IP-адреса из KeenDNS, переадресуя его на сервер-"HTTPS-заглушку", при этом из домена можно вытащить информацию о том, к какому роутеру обращаются, но кто именно и зачем, неизвестно. При блокировке домена KeenDNS страдает удаленное управление и входящие обращения по адресу KeenDNS, исходящая связь у роутера не теряется. Подтвердить личность обращающегося можно через Госуслуги/телефон/смс, после этого пустить посетителя к роутеру, сменив DNS на правильный или разрешив обращение к серому IP-адресу и порту 443. Схема выглядит несколько костыльной за неимением лучшего механизма, вовремя не встроили, но может быть есть ещё что-то в этой ситуации для решения?

Да, похоже именно это. Для показа предупреждений, что обновление недоступно, пока включён режим "fail-safe" (Режим безопасной настройки) надо мышу было навести на кнопку, а у меня мыши там не было, браузеры мобильные, в основном описании пункта в админке ничего не написано. Вот и решил, что обновление через админку наглухо блокировано. Благодарю! Включаться наверно вряд ли, если только отдельно не будет замечено. В моём случае "Режим безопасной настройки" уже был включен до автообновления, он мне и старые настройки роутера спас, не дав их переписать, но и откатить прошивку в админке через файл не дал. Пришлось через Recovery лезть в обход, тексты выше описывают это развлечение. Что-ж, зато теперь роутер можно поднять из полудохлого состояния, учения прошли успешно. Согласен. Я описывал ситуацию, когда "Режим безопасной настройки" был уже включён, он как раз самостоятельно никак не менялся. Наоборот, от него больше пользы, если роутер правильно настроен, старые настройки может спасти.

Кто может, просьба проверить, может ли включенная функция "Режим безопасной настройки" в прошивке 4.3.6.3 блокировать обновление прошивки и настроек файлом через админку? У меня уже не получится, новую прошивку я успешно снёс. Upd. Никто не сможет проверить, если не слишком сложно? При установленной прошивке 4.3.6.3 зайти в админке роутера в раздел "Параметры системы" и включить переключатель "Режим безопасной настройки", сохранить изменения, после чего посмотреть, активны ли в админке кнопки перепрошивки и загрузки параметров роутера через файл, нажимаются ли и предлагают ли загрузить файл на роутер (именно в роутер, не скопировать себе на компьютер). После этого ещё раз нажать тот же переключатель, выключить "Режим безопасной настройки" и снова посмотреть, активны ли кнопки перепрошивки и замены настроек в админке.

То есть сама эта настройка препятствует обновлению прошивки и замене настроек в админке через файл? Хорошо, значит в этом ложная тревога, мне уже не проверить, прошивка откачена. В админке об этом никаких предупреждений, выключать эту настройку я обычно не рисковал, а после самообновления тем более. Upd. Старая версия прошивки 4.0.2. обновление прошивки в админке и замену настроек с помощью загрузки файла при выставленной настройке "Режим безопасной настройки" не блокирует.

Вы обновитесь на эту прошивку 4.3.6.3 и сами проверьте, будете не столь категоричны. Я пальцами в админку уже потыкал без эффекта и реакции. Мобильное приложение этого функционала вообще не имеет, вот и доступно только через Recovery. Я квест прошёл, больше желания тратить время на это нет.

Вы перепутали причину и следствие, именно из-за этого параметра у меня уцелели старые настройки роутера до самообновления прошивки, новые настройки для новой прошивки не факт, что были бы совместимы со старой прошивкой после отката на старую версию. P.S. Удаление гланд не сработало. И вообще операцию не просили. Зашли в гости к хирургу... Upd. Дополнил предыдущее сообщение, чтобы было точно понятно, что произошло. 1. Прошивка самообновилась на 4.3.6.3. Настройки в файл startup-config не записались, только в running-config, в рабочую конфигурацию в памяти. Произошло это благодаря "Режим безопасной настройки". На этом этапе роутер и застрял, не сохраняя новые настройки, но и не сбрасывая их полностью. Каждый вход в админку он заново требовал их сохранить и отправлял в перезагрузку через 3 минуты, не получая ответа. 2. Я сохранил параметры startup-config в файл перед сохранением текущих настроек running-config на их место. 3. Старые настройки startup-config оказались с датой изменения до события самообновления прошивки, на месяц раньше, что меня вполне устроило. 4. После отката прошивки вручную на 4.0.2. я загрузил в роутер старую версию настроек и получил старую настроенную конфигурацию. Подрихтовал немного, заблокировал обновление и получил роутер полностью рабочий, как раньше, до вмешательства.

Читал про ботнет, видел. Слабые пароли тоже назывались в качестве причины. Про ботнет я тоже описывал возможные способы восстановления или решения. Например, просто опросить роутеры на предмет включенного KeenDNS и старой прошивки, перевести на заглушку всех, кто со старой прошивкой, запретив подключение по порту 80/443 и запросить подтверждение через заглушку, что у них длинный пароль, возможно с привязкой через телефон/email/Госуслуги, после чего разблокировать. Предупреждение через роутер и возможность выбора опций обновления (всё, только важные, если катастрофа или вообще ничего, но тогда под вашу ответственность и от облака отключим, если роутер "зомби" станет и не исправите), тоже предлагал, вполне реализуемо. В моём случае разговор идёт о моих роутерах. Опыт поломки устройств и программ/настроек после их неконтролируемого обновления производителем уже был не раз, автообновление у меня отключено и вряд ли после подобных событий будет включено без серьёзных оснований. Всех скопом в лени обвинять, тоже моветон. Это в мою сторону выпад? Интересно у вас получается, пользователи до внесения средств - покупатели, после внесения средств, а особенно если возмущаются нарушением прав, - ботоводы. Красота. Доказывать, что не верблюд, не собираюсь, роутеры покупал сам, обновление успешно заблокировал и дальше мне это роли не играет, в прошивку я производителя больше просто так не пущу. В крайнем случае продам их или сдам по гарантии, если ещё действует, этого хулиганства с прошивками вполне достаточно.

Мобильное приложение Keenetic через некоторое время (примерно на следующие сутки после блокировки) разблокировалось, видимо Ростелеком прекратил блокировать.