gaaronk

Произошёл инцидент. Неприятный. Но все бывает. И вместо того, чтобы честно и прозрачно рассказать: Что случилось, почему было принято то решение, которое было принято, как такие ситуации будут обрабатываться в будущем, что сделать прямо сейчас что бы нивелировать последствия такого (не самого удачного) решения и тд и тп. Мы получаем отсутствие ясной коммуникации, отсутствие инструкций – «всё решение в деталях разработчики вряд ли раскроют», то есть security through obscurity, и вообще все это когда ни будь потом, не сейчас по горячим следам - «увидим в недалеком будущем». Что же, позиция компании понятна. Спасибо.

Ну так дайте официальную инструкцию. Почему все так старательно обходят этот вопрос стороной?

Конечно. Очень внимательно. Есть железка. Есть ПО. Версия ПО меня устраивает. Более того именно эта версия ПО мне нужна. По ряду причин. И для этого автообновление отключено. Производитель признает что это не баг, что роутер сам обновился. Это сознательно заложенный функционал. И какой образ ПО с каким функционалом мне против моей воли вольют в следующий раз - я не знаю. Если это фича, а не бага - сообщите уже тут, в телеграмм канале, в документации - как это отключить.

Ну ок. "Да, у нас есть бэкдор. Мы им воспользовались. Примите наши фальшивые извинения. Нет, бэкдор мы не удалим, как его отключить мы не расскажем. Захотим и воспользуемся им снова и снова. Ваши устройства вам не принадлежат." Вопросов больше не имею.

Стоп стоп. Компания приняла решение форсить обновление. Уж она то озаботилась созданием резервной копии для всех кого "осчастливила"? Если нет - то почему? Если такая страшная дыра в безопасности - почему не сделали патч? Была у меня образно версия 4.1.7, стала 4.1.7.1 с патчем. Вариант - давайте не делать патч, а тупо накатить всем последнюю версию со всеми ее багами, ну это так себе.

При этом компания что только не делает - поясняет, рассказывает, извиняется, аргументирует, но всеми доступными методами избегает предоставления информации о том, как на роутере сделать ignore_force_update Может пора уже рассказать? Потому что для тем кому это надо сейчас - это важно. А для компании на будущее это не критично - она ведь мотает на ус и клянется что никогда-никогда более этот флаг не выставит на своих серверах обновлений... Или нам опять что то недоговаривают?!

Илья! Так и не получил ответа где я могу скачать резервную копию прошивки и конфигурации для автообновленных устройств. Когда я руками обновляю маршрутизатор или включаю опцию "автоматическое обновление" - то создание резервных копий - моя зона ответственности. Когда производитель принудительно, в обход настроек, принимает решение обновить мой маршрутизатор - естественно он сделает все резервные копии (как это и описывают рекомендации от производителя) - это его зона отвественности. Где и как я могу скачать бэкап прошивки для моего маршрутизатора? Если резервные копии не сделаны - когда будет реализована возможность скачать со всеми нужными компонентами не просто последнюю в ветке (stable например) - а конкретную версию прошивки их всех версий 4.2.х, 4.3.х и тд?

А почему все спрашивают "как эту функцию отключить"? После того что произошло эта функция должна быть полностью удалена из всех версий прошивок. Ее не надо отключать, ее не должно быть вообще.

Надеюсь они следовали своим же рекомендациям и сохранили резервную копию прошивки и конфига переде обновлением. Нужен сайт где свои резервные копии можно скачать.

Из release notes "Moons" are now considered even more extra deprecated and should not be used in new deployments. Оттуда же The network controller (controller/) is now under a commercial source-available license. Default binary builds no longer contain the controller.

Посмотреть что бы в ndwrt.config для модели было CONFIG_PACKAGE_libunwind=y ?

Что бы из скажем гостевого сегмента не ходили на сервисы на самом кинетике по link-local в обход правил межсетевого экрана. Впрочем вопрос я решил.

Обновил дл 4.3.4 Удалил "Протокол IPv6" link-local адреса остались. Как их отключить? Вот эти inet6 addr: fe80::50ff:20ff:fe45:4967/64 Scope:Link

Wireguard же stateless протокол. Какой же у него reconnect то?

у меня на моем хостинге проблемы были с любым портом. только фрагментация пакетов с SNI помогла

Все стоит на кинетике. сам анблок запускается так youtubeUnblock --sni-domains=all --queue-num=567 Потом при старте системы insmod /lib/modules/$(uname -r)/iptable_raw.ko insmod /lib/modules/$(uname -r)/xt_connbytes.ko insmod /lib/modules/$(uname -r)/xt_NFQUEUE.ko iptables -t raw -A OUTPUT -d <IP сервера>/32 -p tcp -m tcp --dport 443 -m connbytes --connbytes 0:19 --connbytes-mode packets --connbytes-dir original -j NFQUEUE --queue-num 567 --queue-bypass порт 443 или нужный вам

Блочат TLS по сочетанию SNI/IP на ряд хостеров. Прогнав хендшейк openconnect через youtubeUnblock - заставил его работать

Никак это решено не будет. Официальный путь - заполнять скриптом из /opt/etc/ndm Но и это плохо работает. Когда iptables дергается часто. У меня с IPsec было что дергало 5-6 раз в секунду. И даже скрипты спотыкались. И да. Если вы заполнили свою цепочку один раз - рано или поздно кинетик ее убьет. Без вариантов. Я лично поэтому использую таблицу RAW

При этом оно работало. Дня 3-4 (или больше) назад отвалилось. И потом вот так. Может и в самом ZeroTier на контроллере что то правили.

Пока сохранил правильные identity в /opt/etc/ztrun/ И в скрипте /opt/etc/init.d/S01system делаю # fix zerotier cat /opt/etc/ztrun/identity.public > /var/run/ztrun-ZeroTier0/identity.public cat /opt/etc/ztrun/identity.secret > /var/run/ztrun-ZeroTier0/identity.secret if [ -f "/var/run/ztrun-ZeroTier0/zerotier-one.pid" ]; then kill -HUP $(cat /var/run/ztrun-ZeroTier0/zerotier-one.pid) fi

@Le ecureuil Что интересно на Keenetic Hopper (KN-3810) генерируются правильные identity А на Keenetic Duo (KN-2110) - кривые =( Везде где mipsel - хорошо А где mips - плохо

Обновился до 4.3b4 /var/run/ztrun-ZeroTier0# zerotier-idtool validate identity.public identity.public FAILED validation.

Сделал interface ZeroTier1 в /var/run/ztrun-ZeroTier1 появились identity.public, identity.secret # /opt/bin/zerotier-idtool validate identity.public identity.public FAILED validation. встроенный клиент говорит так /usr/bin/zerotier-idtool validate identity.public identity.public is a valid identity

Вот кстати интересно. То же самое. REQUESTING_CONFIGURATION Удалял переставлял - не помогает. Поставил из ентвари - зацепился в момент. Однако. Подсунул родному файлы от ентваревского authtoken.secret identity.public identity.secret Взлетел. Те же файлы от родного ентваревскому /opt/bin/zerotier-one: fatal error: invalid identity loaded from disk. Please remove identity.public and identity.secret from /opt/var/lib/zerotier-one and try again Однако. Делаем на родных файлах /opt/bin/zerotier-idtool validate identity.public identity.public FAILED validation. Берем identity.public с другого кинетика на котором ZT еще со времен 4.1 /opt/bin/zerotier-idtool validate test.public test.public is a valid identity Как сохранить identity.secret в настройках кинетика? Где он в системе храниться? Получается встроенный клиент что то криво генерирует?

Только что обновил Giga III 4.1.7 -> 4.2.6 Ребута два раза (по другим причинам) opkg dns-override components auto-update disable auto-update channel delta ! ! В web-ui в статусе Update channel system.components.sandboxes.delta.option-text