helljumper2

Хорошо. С 4.3.6.2 до 4.3.6.3 конечно же. Kn-1810 и kn-1811. Настройка автоапдейт выключена, канал обновлений - основной.

Я так понимаю, вопрос полностью решается и без обновления - либо отключением внешнего управления, либо установкой адекватного сильного пароля.

Правильным решением будет срочно добавить в настройку обновлений пункт «авто установка критически важных обновлений безопасности», который позволил бы отключить это сомнительное поведение тем кто имеет причины на ручной апдейт строго. У меня две ультры сегодня обновились с 4.6.2 до 4.6.3 , при выключенном автообновлении. Был неприятный сюрприз и неожиданные два обрыва связи в неподходящее время. Осадочек так себе конечно.. Усугубляет еще отсутствие уведомлений и официальных коммуникаций, то что втихую всё сделано. Ведь про про переход на netcraze например рассылки же были. В моей модели угроз например, риск эксплуатации уязвимости при определенных настройках и условиях - стоит ниже чем риск скомпрометированной прошивки в источниках обновлений. Таких примеров хватает на моей памяти.

Кстати, cloudflare умеет и так: что является неплохим компромиссом, что-то похожее умеет делать и Adguard DNS. Поэтому повторюсь, уровень privacy тут легко может регулироваться за счет правильного выбора резолвера, лишь бы роутер обращаясь к нему отправлял нужную информацию. Для максимально враждебного окружения - чтобы это была отключаемая настройка в конфигураторе.

Это вопрос выбора резолвера, ставьте в настройках какой кому нравится - privacy или обычный. К тому же через cloudflare (мимо роутера) ответы таки приходят верные, соответствующие региону, возможно просто за счет большого количества точек присутствия. Не означает что роутер должен иметь свою политику и мнение по этому вопросу, кроме как через наличие настройки в конфигураторе и описания в документации. Ваше личное мнение по данному вопросу тоже извините, но не должно учитываться дальше вашего персонального оборудования. Есть стандарты, технологии - оборудование должно поддерживать их и уметь с ними работать. Задача предоставить пользователю возможности и пояснения, и дать делать выбор самостоятельно.

Поддержка ECS сегодня ожидается по-умолчанию, а его отсутствие ломает логику geo dns сервисов, дающих привязку ip адреса к региону, как это например умеет делать AWS Route 53. В идеале по-умолчанию это должно присутствовать и быть включенным, а не наоборот. У меня такой кейс - я игнорирую dns-ы провайдера, настроены несколько DoT серверов cloudflare и google. Если я запрашиваю домен использующий geo dns на aws route53 - то от кинетика я получаю "глобальный ответ". Если я запрашиваю из терминала на ноуте теже самые DoT серверы и этот домен - то получаю правильный, региональный адрес. Используется самая свежая на данный момент версия 4.6.3 на кинетике ультра. Соответственно, делаю вывод что это именно роутер не отправляет ECS в dns запросах к DoT серверам. Только для особо параноидальных сценариев можно было бы добавить настройку отключения пересылки подсети в dns запросах, хотя тут можно использовать и специальный резолвер, как например quad9 в дефолтном исполнении 9.9.9.9. Просьба - обратить внимание, и починить эту историю.

А я поддержу добавление поддержки ECS (EDNS Client Subnet), его наличие уже ожидается по-умолчанию, а его отсутствие ломает логику geo dns сервисов, дающих привязку ip адреса к региону, как это например умеет делать AWS Route 53. В идеале по-умолчанию это должно присутствовать и быть включенным, а не наоборот. Только для особо параноидальных сценариев, можно было бы добавить настройку отключения пересылки подсети в dns запросах, хотя тут как раз логика использование специального dns резолвера подходит лучше, как тот quad9 в дефолтном исполнении 9.9.9.9 убирает ecs для приватности. У меня такой кейс - я игнорирую dns-ы провайдера, настроены несколько DoT серверов cloudflare и google. Если я запрашиваю домен использующий geo dns на aws route53 - то от кинетика я получаю "глобальный ответ". Если я запрашиваю из терминала на ноуте теже самые DoT серверы и этот домен - то получаю правильный, региональный адрес. Используется самая свежая на данный момент версия 4.6.3 на кинетике ультра. Соответственно, делаю вывод что это именно роутер не отправляет ECS в dns запросах к DoT серверам. Поэтому просьба - обратить внимание, и починить эту историю, это совсем не какой-то особый редкий случай.