Comments 89
вы кинетик не перепутали с GL.Inet?
Когда-то давно я был наслышан, что Keenetic - это что-то типа брендированного OpenWrt, кроме того, на глаза попадались статьи на Хабре (правда я их не читал)
Так держать!
Статья в стиле "я был наслышан, что популярная марка авто это круто и был уверен, что смогу на таком авто и 50 тонн щебёнки за раз перевезти и на морское дно опуститься и истребитель в небе обогнать".
Вы полагаете, что мне нужно было лично купить и испробовать прежде чем советовать? А мне оно зачем?
У меня такое впечатление создалось из каментов от любителей кинетиков под моими постами и постами коллег по настройке не самых типичных сценариев.
Полагаю, что оборудование надо выбирать по параметрам, а не по сарафанному радио )
По параметрам и выбрали. И поставленную задачу выполнили. Никакой ошибки с выбором оборудования не произошло. Пост о кривизне процедуры конфигурации.
Если вашу аналогию с машиной ввернуть, то получается, что когда вы покупаете машину, то вы уже глубоко в курсе того, сколько там предохранителей в щитке и за что каждый отвечает.
Хотя в реале скорее всего первое что вы будете делать, когда туда полезете - будете громко материться на тему как тяжело достаётся предохранитель из своего гнезда. =)
Когда буду покупать машину чтобы сразу залезть под капот, то буду заранее изучать сколько там предохранителей и как легко до них добраться. Популярный сегмент на то и популярный, что он отвечает на 90% потребностей большинства, а большинство не лезет в настройки nat через текстовую консоль.
В душе не подозревал, что задача настройки NAT'а (пипец какая сложная) требует лазанья в текстовую консоль. В том же OpenWrt эта настройка вполне себе имеется на вебморде Lede. И вообще не вижу никаких проблем вынести её в вэбморду кинетика - всего-то галочку добавить в настройки интерфеса. Точнее одна проблема есть - если их модуль управления не умеет отдавать статус этого параметра, то и вэбморда не сможет отразить текущий статус.
Зато у них в интерфейсе есть загадочная галочка типа "через этот интерфейс можно ходить в интернет". К чему приводит её установка - вообще не понятно. Скорее всего будет добавлен default route, но что если таких интерфейсов несколько? Или опять расчет на то, что у 95% потребность только у одного интерфейса такую галочку ставить?
Не я сказал: но создай систему, которой сможет пользоваться только идиот, и только идиот захочет её воспользоваться.
Вообще в совсем старой версии веб интерфейса возможно эта галочка была - точно не помню, но ее скорее всего убрали именно из-за того, что ей практически никто не пользовался.
А вот галочка "ходить в интернет" - очень востребована, и да, она включает использование этого интерфейса для маршрута по умолчанию. Если интерфейсов несколько, то будет реализовано горячее резервирование, и они будут использоваться для новых исходящих соединений согласно порядку на странице настройки дефолтной политики. Для входящих из Интернет будут доступны все активные в данный момент. Также эта галочка разрешает интерфейсу быть использованым в политике доступа (когда каким-то конкретным клиентам нужен доступ через конкретный WAN-интерфейс из множества).
Ну и в веб-интерфейсе возле некоторых "непонятных" галочек есть знак вопроса, при нажатии на который будет выведена подсказка, зачем он нужен и отображены связанные с этим элементом управления статьи в базе знаний. Можно воспользоваться этим инструментом в качестве справки.
Ошибка в начале - отказались от микротик. Кинетик хорошо, но не для корпоративной среды. Шелл очень задолбал. У меня один из старых кинетиков екстра после обновления до последней версии перестал запуливать телефоны во влан вайфай клиентов, хотя все настроено, они даже адреса по дхйп от микротика получают внутри влана, но IPтрафик просто блочится и не ходить, только маки видны
Разумеется, ошибка, потому что MIkrotik, а не Microtik.
Ошибка в начале - отказались от микротик.
Где гарантии, что не повториться история а-ля Meraki? Одна из двух этих стран, о которых речь в посте под санкциями.
Кинетик хорошо, но не для корпоративной среды.
Помилуйте, сударь! Какая корпоративная среда? Тут две домохозяйки на коленке борщ сварили =)
Я люблю Кинетики, за то что уже многие годы они хорошо отображают потребности пользователей в нашей стране: надёжность и функционал, поэтому их можно встретить и в любом магазине, "-не знаете, что купить - купите кинетик", и в любом малом бизнесе, бюджетных организациях, "-нужен роутер со встроенным модемом, для торговой точки, кафе.., не знаете какой выбрать - купите кинетик", но и не только, кинетики как лакмусовая бумажка отлично показывает отношение рынка в обоих направлениях: не смогли идти параллельно с ZYXEL - "отпочковывали", есть спрос на умные и современные штуки, простой интерфейс - вот пожалуйста, нужно снизить стоимость производства - прямо сейчас можем наблюдать очередную волну снижения стоимости производства, цена как за премиальную вещь - может быть оправдано...
Кинетики - очень хорошие роутеры, и я рад что они столько лет с нами! Ну а про то что пишет автор.. на мой взгляд это всё ерунда и безграмотность автора.
То, что вы считаете, что Keenetic OS является "кастрированным OpenWRT" или "другим Linux" - это исключительно ваше заблуждение. Вендор такого нигде не указывал.
Управляющий слой и система команд Keenetic OS существует со времен, когда OpenWRT еще вообще не существовало как являения (или, если хотите, продукта) доступного широкому пользователю (конец 2000-х годов). При разработке была взята ориентация на уже существовавших тогда "серьезных" вендоров, и CLI был выдержан в этом стиле. Существует подробный CLI Guide, который регулярно актуализируется (ссылка для модели KN-1011, например).
Абстракция от конкретной реализации специально выдерживается, чтобы в случае необходимости осуществлять портирование на разные архитектуры и ядра. Система команд в текущем виде существует с времен, когда основной базой SDK были ядра Linux 2.4 (без netlink и ip-route2). Также существовал проект по реализации Keenetic OS на BSD-ядре, он не был доведен до публики из-за сложностей с переносом драйверов из SDK вендоров, но такой "запасной" путь по прежнему открыт. Управляющая система не использует ничего из "классических" POSIX-like утилит и шелла для работы, потому ничего из этого не поставляется в комплекте. Управляющий модуль самодостаточен, и только вызывает крупные (навроде strongswan или nginx) внешние процессы-компоненты.
Для сбора трафика существует компонент Monitor, который можно очень легко использовать в веб-интерфейсе.
Вывод: Keenetic это продукт, который специально так сделан. Базовая и официальная часть системы не является GNU/Linux-дистрибутивом-конструктором в классическом смысле (каким является OpenWRT). Есть официальный способ запустить Linux-окружение, но это именно интерфейс для расширения пользователями, а сама система на него не полагается. Именно про этот интерфейс расширения скорее всего вы слышали в контексте "пересборки OpenWRT", но правдой здесь является то, что одним из поддерживаемых окружений является Entware, который и правда является частичной пересборкой репозитория OpenWRT. Однако это всего лишь один из вариантов, и у нас есть примеры успешного запуска полноценного Debian и Alpine в этом окружении - и вообще ничего от OpenWRT в таком случае нет.
Насчет того, что "выполняет NAT для клиентов из локальной сети" - это настраивается командой ip nat Home, которая дословно означает: "делайте SNAT для любого трафика, выходящего отсюда". Это является настройкой по-умолчанию, поскольку в варианте "из коробки" типичный пользователь ожидает именно такого поведения.
Насчет сложностей с более тонкой настройкой NAT - эта проблема известна, и происходит из давних времен, когда эта самая тонкая настройка было нужна очень малому количеству пользователей. Планируется сделать эту настройку более гибкой и очевидной, чем сейчас.
Насчет "показа статуса на интерфейсе": как минимум сама таблица показывается, но было бы очень хорошо, если бы вы показали пример того, что хотели бы увидеть на примере другого вендора, или сами подробно рассказали что там должно быть.
Вот за такие ответы и любим. И ждем настроечку.
То, что вы считаете, что Keenetic OS является "кастрированным OpenWRT" или "другим Linux" - это исключительно ваше заблуждение. Вендор такого нигде не указывал.
Не заблуждение. Наличие OPKG разбивает этот домысел, ровно как и вызов команды more по паре файликов из /proc. Обещаний, что там чистый линукс или какой-то дистриб, конечно, не было, но делать вид и прикидываться, что я тут слеп и не вижу, что там под капотом, я не буду )
При разработке была взята ориентация на уже существовавших тогда "серьезных" вендоров, и CLI был выдержан в этом стиле.
Ориентация взята, но получилось не очень (ИМХО, разумеется) и главное не понятно зачем. Keenetic явно не делает продукты для бородатых дядей из махрового Ынтырпрайза с сертификатами Циски. А рядовому юзеру погружаться в этот стиль довольно странно. И повторяю вопрос заданный вскользь в посте. Как узнать текущее значение какого-нибудь параметра, который вы можете менять командой или её отрицанием через "no"? Как узнать командой текущий статус (вкл или выкл) NAT на интерфейсе? И вообще без привязки к этому злощастному нату: как узнать включен ли или выключен ssh? Как узнать текущее значение таймаута сессии ssh? Без всего этого управление устройством является write only.
Это является настройкой по-умолчанию, поскольку в варианте "из коробки" типичный пользователь ожидает именно такого поведения.
Я ничего не имею против настроек по умолчанию. Я (как уже упоминал выше) против того, чтобы нельзя было эти настройки как-то обозреть, кроме как скопом командой show running-config, что тоже не очевидно.
Насчет "показа статуса на интерфейсе": как минимум сама таблица показывается
Таблица может быть пустой, если нет текущих tracked соединений. Но это вовсе не означает, что NAT выключен. Кроме того, по таблице совершенно не понятно к какому интерфейсу относится настройка приведшая к попаданию конкретной строчки в эту таблицу. Так что наличие таблицы никак не заменяет указания статуса NAT на конкретном интерфейсе.
но было бы очень хорошо, если бы вы показали пример того, что хотели бы увидеть на примере другого вендора, или сами подробно рассказали что там должно быть.
Без относительно NAT'а, а вообще касаемо любой настройки хорошо бы иметь что-то вроде get ip nat Home и получать в ответ enabled/disabled или конкретное значение параметра: get ip ssh session timeout - 60 seconds, например.
Насчет сложностей с более тонкой настройкой NAT - эта проблема известна, и происходит из давних времен, когда эта самая тонкая настройка было нужна очень малому количеству пользователей. Планируется сделать эту настройку более гибкой и очевидной, чем сейчас.
Как таковой проблемы с настройкой NAT тут не было. Проблема была в том, что он по всей видимости не работал будучи настроенным, а после того, как поменяли маску адреса интерфейса вдруг заработал. Не совсем понято зачем и для чего модуль управления смотрит на маску, принимая решение переопределить волю администратора. Но если он так делает, то не плохо бы об этом написать, например, в консоль.
Именно про этот интерфейс расширения скорее всего вы слышали в контексте "пересборки OpenWRT", но правдой здесь является то, что одним из поддерживаемых окружений является Entware, который и правда является частичной пересборкой репозитория OpenWRT
Скорее всего да.
То, что он сейчас построен на ядре Linux - факт, но он не гарантирован, и может быть изменен без уведомления. Мы не публикуем историю версий ядра, libc, компилятора и прочих внутренних вещей, что ожидалось бы от полноценного дистрибутива, только те вещи, которые могут быть заметны пользователю, внутренняя механика максимально прикрыта. Пользователю мы гарантируем сохранение настроек и внешнего поведения при обновлении.
Текущее значение каждого параметра описано в cli guide, ссылку на который я привел. Если команды нет в конфиге явно, то оно имеет значение по умолчанию. А насчет "косплея"
С NAT все просто - если есть команда ip nat <iface>, то значит NAT есть, иначе его нет. Какое-то особое состояние, не существующее в конфиге, для нее отсутствует.
Получение значения по умолчанию для произвольной команды, даже если ее нет в конфиге - здравая идея, но вообще вы первый (!) на моей памяти, от кого я слышу такой запрос. Конструктивные запросы мы слышим и по мере сил стараемся реализовать. Сейчас есть похожий механизм для получения значений по-умолчанию, но он сделан далеко не для всех команд и нужен только чтобы веб-интерфейс на странице смог вывести значения "по-умолчанию". Возможно его стоит обобщить для всех команды и сделать видимым пользователю.
Про маску так и не стало понятнее, если честно, слишком много вариантов. Но если вы придете в техподдержку и пришлете self-test, то с удовольствием посмотрим, что же там "не срабатывает".
Про маску так и не стало понятнее, если честно, слишком много вариантов. Но если вы придете в техподдержку и пришлете self-test, то с удовольствием посмотрим, что же там "не срабатывает".
Роутеры настроены, доступа у меня больше к ним нет, да их химичить в обратную сторону ради багрепорта мне не дадут скорее всего. Других кинетиков, на которых можно воспроизвести баг и сделать self-test у меня нет.
Сейчас есть похожий механизм для получения значений по-умолчанию, но он сделан далеко не для всех команд и нужен только чтобы веб-интерфейс на странице смог вывести значения "по-умолчанию".
Сдаётся мне, что поэтому же и настройка NAT у вас не вынесена в вэбморду. Хотя казалось бы: чего проще добавить одну галочку в настройки интерфейса. Lede справляется силами вэбморды с этой же задачей, к слову.
Влезу в ваш разговор. Была такая ситуация: Keenetic 192.*, в сети был сервер виртуализации 192...2, его виртуалки 10.*. Прописал маршрут до них, всё пробовал, убился — ну не имеют они доступ в интернет. После общения с вашей поддержкой получил команду ip nat ..., добавил, заработало. Но обратил внимание, что нигде узнать статус нельзя, кроме как в дампе конфигурации.
Есть официальный способ запустить Linux-окружение, но это именно интерфейс для расширения пользователями, а сама система на него не полагается. Именно про этот интерфейс расширения скорее всего вы слышали в контексте "пересборки OpenWRT",
Я вспомнил, где я про это слышал. https://github.com/keenetic/keenetic-sdk - тут написано: Keenetic SDK is based on the OpenWrt project (https://openwrt.org/). We recommend to read the OpenWrt build system manual (https://openwrt.org/docs/guide-developer/build-system/use-buildsystem) before following the next steps.
Я видимо не разобрался в том, что это за SDK и что оно к прошивке мало отношения имеет
KeeneticOS основана на OpenWrt, но именно, что "основана". Там под капотом уже очень много различий.
Поддержка "OPKG" (а точнее - Entware) это не показатель. Entware можно развернуть и на таких прошивках как ASUSWrt или Padavan. Вы же не называете асусовскую прошивку "кастрированной OpenWrt"?
Наконец, какая же она "кастрированная"? OpenWrt имеет что-то похожее на KeenDNS? Я могу накатить OpenWrt, "из коробки" получить уникальный домен третьего уровня и через него иметь удалённый доступ к роутеру, находящемуся за провайдерским NAT?
Более того, opkg вроде был в yocto и куче других LEDE-based фиговин
Общего там ядро и glibc
KeeneticOS основана на OpenWrt, но именно, что "основана". Там под капотом уже очень много различий.
О чем мы ломаем копья с этим OpenWrt? О том, что я написал, что "KeeneticOS является чем-то вроде брендированного OpenWrt".
По итогу одни пишут тут, что вообще никакого отношения не имеет. Вы пишите, что всё-таки основана на OpenWrt. Но в сущности: какая разница? Даже если это совсем не так, основной посыл статьи был в том, что этот самый keenetic shell отрезает возможности использования нижележащего Linux на 100%. Я бы согласился с тем, что сосуществование двух механизмов управления (через кинетиковский шел и, скажем, posix shell в имплементации какого-нить busybox) чрезвычайно сложно подружить. Но можно было бы написать большими буквами, что все изменения настроек через утилиты Linux не сохраняются. Зато остался бы способ анализа состояния системы утилитами. Вывести тот же nft list ruleset, чтобы понять, где там затык произошел.
OpenWrt имеет что-то похожее на KeenDNS? Я могу накатить OpenWrt, "из коробки" получить уникальный домен третьего уровня и через него иметь удалённый доступ к роутеру, находящемуся за провайдерским NAT?
Очевидно, что OpenWrt - это некоммерческий проект, который не предоставляет никаких облачных сервисов на своей инфраструктуре. Поэтому сравнивать прошивку с сервисами довольно некорректно. Но если я правильно понял ваш use case, то можно штатными средствами (opkg, включая вэбморду LEDE) установить cloudflared и воспользоваться похожим сервисом Cloudflare Tunnel.
В реальности вы можете поставить тот же Entware в opkg и спокойно проанализировать состояние системы, никаких препятствий специально не чинится. Однако в стандартной поставке Keenetic OS не имеет никаких "обычных" userspace-компонентов, только свой собственный управляющий слой, потому и посмотреть без установки дополнительного userspace ничего не выйдет.
Да, OpenWRT поддерживает DDNS на Ваш выбор.
Но без белого ИП доступа не будет.
Насчет того, что "выполняет NAT для клиентов из локальной сети" - это настраивается командой ip nat Home, которая дословно означает: "делайте SNAT для любого трафика, выходящего отсюда". Это является настройкой по-умолчанию, поскольку в варианте "из коробки" типичный пользователь ожидает именно такого поведения.
Нет, не совсем так. И это боль. Не "делайте SNAT для любого трафика, выходящего отсюда" - а "делайте SNAT для любого трафика исходящего из подсети заданной на интерфейсе."
То есть для сети которая лежит где-то дальше за данным интерфейсом (и в эту сеть есть маршрут через этот интерфейс) - SNAT не будет.
UPD: вопрос был к @INSTEне знаю почему независимым комментом запостился а не в ветке:
Ой, а можно я влезу с парой вопросов/предложений, раз уж вы тут отвечаете 😉
Планируется ли 2fa для веб авторизации? Если кинетик доступен из интернета по static ip/keendns/… то выглядит логично иметь доп. слой защиты, а не просто пару логин/пароль. Тем более что делается то несложно с точки зрения кода.
Когда настраиваем доступ в интернет, то к примеру Wireless ISP может работать в режиме горячего резерва, включаясь автоматом по требованию. Хотелось бы иметь аналогичный функционал для впн: если основной впн сервер не лоступен, то подключаться к резервному. Амнезия(вариант VPN/WG, а не чистый WG) - это пример кейса, когда одновременно к двум впн серверам коннект нельзя держать - там внутри гвоздями прибита подсеть, включая скрипты в докер контейнерах и хардкод в коде приложения. А так мог бы девайс подключаться ко второму впн сервису, если первый недоступен, аналогично интернет подключениям.
Спасибо!
Вроде планы были, но я не product, и не я решаю.
Это уже возможно, просто в веб вынесено только для WISP и DSL: можно через interface standby настроить его так, чтобы этот самый интерфейс "гасился", пока активен более высокоприоритетный. В итоге поставив на один из VPN-ов эту команду и сделав этот интерфейс чуть ниже по ip global, вы получите ожидаемое.
Насчет того, что "выполняет NAT для клиентов из локальной сети" - это настраивается командой ip nat Home, которая дословно означает: "делайте SNAT для любого трафика, выходящего отсюда". Это
Получается вот какая загагулина. Если есть сеть Home и я хочу настроить так, чтобы через мой WAN интерфейс ходить с NAT'ом, а через WireGuard интерфейс ходить без NAT'а, то так не получается. То есть не возможен нормальный сетап, в котором клиенты роутера A будут ходить в интернет через VPN с роутером B и при этом клиента роутера A и роутера B смогут ходить в локальную сеть друг друга без NAT.
Это именно следствие того, что NAT в вашей идеологии - это атрибут iiface, а не oiface.
Добавлю ещё один нереализуемый простыми путями сценарий.
Мне понравилась простота настройки MESH WiFi на кинетиках(да и работа сети больше по душе пришлась чем реализация через капсмана, и антенны внешние есть в отличие от большей части микротиков), а учитывая что стоимость заметно ниже чем у того что у меня стояло(пара Edimax), то решил для расширения покрытия(дача) перейти на кинетиков. И наткнулся на такой момент что контроллером может быть только кинетик в режиме "роутер", но в этом режиме интернет ему нужен на WAN порту, и на внутренней сети есть лишь dhcp сервер, тогда как мне больше подошёл бы "клиент". Без интернета на WAN оно нормально ни управлялось, ни обновлялось(не помню версия прошивки какая была, сейчас для обновлений кажется можно указать маршрут через локалку + дополнительный ДНС сервер для резолвинга).
Но роутером он мне был не нужен, у меня им работает микротиковская тарелка(хотя летом добавил себе резерв на другом операторе через кинетика со встроенным модемом - больше пары мегабит не выдаёт из-за слабого сигнала, но для рдп более менее, и получить доступ к другим сетевым устройствам позволяет). Пришлось на микротике выделять дополнительную подсеть для внешнего порта кинетика, и соединять пачкордом WAN<->LAN(ну и по мелочи на кинетике и микротике что-то донастраивал по части маршрутов кажется, сходу не вспомню). В результате всё работает(не считая подсчёта трафика, но оно не нужно было), но минус два порта, котрые я бы нашёл куда задействовать, если бы можно было WAN задействовать для локалки.
С другой стороны, для более менее стандартных режимов он настраивается достаточно просто - т.е. он более(чем микротики, например) ориентирован на "домашних" пользователей по сложности настройки, плюс плюшки расширенные, но в реализованные для применения в более менее стандартных сценариях. А вот если нужен существенный шаг в сторону от заложенных сценариев, то это или проблематично, или нереализуемо. Я бы сказал что кинетик по идеологии это противоположность микротикам, в которых можно творить очень многое, но для этого требуется заметно больше понимания.
P.S. Ни то, ни другое, я бы идеальным не назвал, ибо определённые претензии есть к обоим. Но у меня "в хозяйстве" 3-4 микротика и 6 разных кинетиков(свичи не считаю), уживаются мирно - каждый справляется с тем для чего поставлен был. Т.е. в целом я доволен устройствами обоих производителей.
https://help.keenetic.com/hc/ru/articles/360014436120 -- вот это никак не помогло бы?
Да, видел эту статью, мне ссылку на неё саппорт прислылал(к одному из плюсов кинетиков хотелось бы отнести работающую техподдержку, по крайней мере по моим обращениям был полный ответ). Не помню что тогда в такой схеме не устроило, возможно не работал доступ через облако(через приложение на смартфоне). А по содержимому статьи не определю, т.к. с мая 2023 она уже была обновлена. Вероятно сейчас мой сценарий уже может быть реализован +/- штатно(не исключено что моё обращение было не единственным, и функционал доработали). Разве что DHCP-клиента на LAN так и не появилось :). Но т.к. сейчас у меня и так "всё работает", то трогать уже не буду(разве что помрёт "контроллер" и надо будет настраивать новый).
Для более менее стандартных сценариев подойдут железки и подешевле и потупее. Я вот за что люблю OpenWrt - это гибкость, которой я могу его в бараний рог согнуть под свою задачу.
Для более менее стандартных сценариев я предпочитаю распространённые варианты с хорошей поддержкой(особенно если устройство предназначено не для меня. а для "пожилого родственника" и т.п.). Я имею ввиду "аппаратно-программные комплексы", а не купить железку и перепрошивать её под *WRT. Так же я имею ввиду хорошую документацию от производителя. А ещё, желательно, долгую поддержку обновлений.
Кинетик и Микротик этому соответствуют, со своими нюансами. Более дешёвые решения - врядли. Ну и не забываем что в контексте задачи устройство живёт далеко, и в руках низкоквалифицированного настройщика. В этом смысле кинетик для случаев покрываемых их интерфейсом(посылать неопытного пользователя в консоль - искать себе приключений по удалённой настройке голосом) явно в выигрыше.
P.S. *WRT пробовал несколько раз, от безысходности, но мне оно совсем не зашло почему-то. И на микротике, и на кинетике приходилось переучиваться на их логику построения интерфейса(после разных трикомов, зухелей и длинков было очень неудобно ориентироваться). Когда тоже самое потребовалось ещё и для *WRT, видимо сработал стоппер("ну сколько можно?!") :). Так что для готовых устройств остановился на этих двух производителях. Для "х86" где-то остался pfSence(исторически - "работает, не тронь"), а где-то воткнул CHR(от микротиков, по требованиям влезет на самую дешёвую VPS-ку наверное без напряга :)). Мои задачи это закрывает. А та дополнительная гибкость что даёт вам *WRT видимо мне просто не требовалась до сих пор.
Ну я позанудствую. Маска /32 в принципе нежизнеспособна.
В некоторых случаях жизнеспособна:
если это второй адрес на интерфейсе, на котором подсеть охватывает этот второй адрес (первый адрес - 10.0.0.1/24, второй - 10.0.0.2/32).
если это адрес на loopback.
если это адрес на p2p-интерфейсе (настоящем, а не Ethernet без свитча). В этом случае маска вообще ни на что не влияет.
Для "точка-точка" я всегда использовал маску /30 и адреса, которые в эту маску укладывались. "Нулевой" адрес внутри маски был адресом сети, а "максимальный" - широковещательным. Это, конечно, давно было, лет двадцать назад, но не вижу, с чего бы тут чему-то меняться.
Википедия утверждает, что маски /31 и /32 существуют и для "подсети" из двух компьютеров /31 еще как-то можно понять, то /32 вообще адрес в вакууме (подсеть из нуля адресов)
Повторяю - был взят конфиг для wireguard, который подготовил мой друг для резидента B, и в котором содержалась эта самая маска /32. С ней всё завелось, когда пиром был мой лэптоп.
Мне самому не нравится идея с маской /32, поэтому я стал причесывать конфигурацию и случайно наткнулся на то, что это помогло. Работа NAT не должна по идее зависеть от маски интерфейса.
Кроме того, любой PTP линк по своей природе является /32 и ничего - работает.
Так что конфиг кривоватый - да, но с подобными догматами не соглашусь.
На многие модели Keenetic можно поставить OPKG, и получится Linux (busybox), с пакетами, ком. строкой и т.п. Я так делал OpenVPN с динамической маршрутизацией.
Там когда ставишь OPKG нужно подрубить репозиторий и для этого, как я понял, нужна USB-флэшка, которую нужно воткнуть в роутер.
Вроде это не очень большая проблема. Ну и, кажется, в итоге можно все перенести на внутренний флэш самого кинетика, если его хватает. Но тут не уверен, давно делал.
Это не очень большая проблема, когда делаешь это для себя, у себя дома. Этот же кинетик был в паре тысяч километров от меня и заведовал им человек, бесконечно далекий от этих дел.
Там места впритык, и к тому же неизвестна его износостойкость. Лучше не жмотиться и подключить SSD в боксике, trim итоговая система делать умеет (правда почему-то иногда настройка слетает, раз в полгода заглядываю проверить).
OPKG разворачивается и на внутренней памяти. Ровно так же, как и на флешке, просто выбирается внутренний накопитель, а не флешка.
Единственный нюанс: у роутера должен быть USB-порт в любом случае, потому что компонент OPKG жёстко связан с компонентом, отвечающим за работу с флешками, а этот компонент недоступен на роутерах, у которых нет USB.
Ну и следует учитывать, что NAND-память штука нежная и если устанавливаемое ПО активно пишет какие-то логи, их стоит перенаправить в оперативку или отключить.
У keenetic действительно очень специфичная настройка. Не циско конечно, но подражали ей. И всё очень своеобразно сделано. Не скажу, что я прям в восторге, но всё, что хотел, я смог настроить по инструкциям на официальном сайте (wireguard завелся за NAT без проблем). Линукс там через entware и это далеко не полноценный интерфейс. Entware можно поставить на внутреннюю память на старшие модели, но это мучение. Так, что USB must have. И вы должны были это учитывать при покупке. Без entware никаких opkg вам не доступны.
За что я люблю keenetic? За то, что это лучшее решение по соотношению железо/возможности/цена. Redmi AC1200 я перепрошивал под openwrt и эта связка гораздо более вялая, чем keenetic, хотя и цена пониже.
Линукс там через entware и это далеко не полноценный интерфейс. Entware можно поставить на внутреннюю память на старшие модели, но это мучение. Так, что USB must have. И вы должны были это учитывать при покупке.
Задача, под которую я эти железки сосватал моему френду, вообще не подразумевает необходимости в opkg. Так что не очень понимаю, кому и что я там должен. Если бы штатная прошивка была бы на столько тупой, что даже эту простую задачу не могла бы решить без entware, то пост был бы по иному написан.
Redmi AC1200 я перепрошивал под openwrt и эта связка гораздо более вялая, чем keenetic, хотя и цена пониже.
Это, кстати, топовое решение на моём опыте. Штук 10 таких роутеров запилил на OpenWrt знакомым и родителям. Очень хорошая радиочасть, в меру мощный чип. Для нужд среднего домохозяйства с обходом блокировок и разделением трафика на трансграничный и внутренний - это прямо супер топ за свои деньги. Да, нет USB, но и не нужен он там, так как opkg ставит на внутренний флэш.
"За что вы любите Keenetic?" За простоту настройки для домашнего пользователя). Дома стоит Keenetic GIGA, уже пятый год. На работе были MikroTik. Нравилось их настраивать, копаться в них. Теперь и домой их хочу, но понимаю нафиг он дома не сдался).
Простота настройки чего? Типовой сетап настраивается на любом роутере без каких-либо трудностей. Какие нестандартные задачи приходилось решать?
Например, расширение покрытия.
В случае с Keenetic достаточно перевести второй роутер в режим ретранслятора, подключить к первому любым способом и в интерфейсе его "захватить". При этом все настройки автоматически распространяются с контроллера на ретранслятор.
В OpenWrt,,, ну, как минимум, если вы пожелаете поменять пароль администратора или настройки Wi-Fi, вам придётся бегать по всем ретрансляторам и руками всё менять.
Ещё можно вспомнить удобство мониторинга (мобильное приложение и уведомления в TG - как в OpenWrt это сделать без пердолинга? а никак, извольте писать скрипты и бота создавать) и удалённое управление через KeenDNS (причём, даже за NAT) - в OpenWrt такого в принципе нет (можно, конечно, поднять свой сервер в интернете, подцепить туда роутер через VPN или воспользоваться чем-то вроде TailScale, но в России всё это теперь работает далеко не везде).
Вы опять тут сравниваете прошивку и облачные сервисы. С KeenDNS я вам выше ответил. Преимущество OpenWrt в гибкости. Если завтра Keenetic обанкротится и все свои облачные сервисы свернет, то толку от этого KeenDNS будет 0 целых хрен десятых.
Что касается централизованного менеджмента меш сети - задача интересная, никогда ещё не приходилось таким заниматься, но думаю что какое-то решение существует в виде дополнительного пакета. Или, быть может, с использованием того же PAM.
Например, мне надо было при построении меш сети пробросить локальную сеть за wan порт, на кинетике через cli все настроилось. Какой роутер это позволит, кроме микротика или openwrt?
Внесу свои 5 копеек. Часто делаем связки для айтишных контор по похожему принципу. И поверьте, микротик это самое разумное решение из имеющихся, никто вам не мешает поставить микротик в другой стране, поднять wg и настроить его в своей стране через кинетик. Микротик через команды настраивается за 10 минут(не берём в расчет обновление до актуальной прошивки) Gui использую только глянуть сеансы). Со всеми правилами в файрвол и доступах для пользователей. На кинетике настройка занимает 15 минут из коробки(тоже не включая обновление). Так что не вижу тут проблемы. Просто вы банально думали, что кинетик прост в настройке из коробки). Вы часто упоминаете openwrt, видимо вы хорошо его изучили. Изучите микротик. И у вас исчезнет множество вопросов. Как я 15 лет назад люто ненавидел микротк, то так же его сейчас обожаю)) но не их вайфай систему внутри помещения) мосты - работают отлично. Есть на небольшие расстояние ~1 км видеонаблюдение стоит. Проблем нет)
За микротик в курсе - юзал его для многих задач, но во-первых: https://habr.com/ru/articles/868020/#comment_27691922
Во-вторых, я хорошо помню те времена, когда WG был уже буквально везде, а на микротике всё ждали и ждали стабильную 7-ю версию их RouterOS.
В-третьих, загрузить туда сторонний софт кажется нельзя. Если у моего друга возникнет необходимость поднять какой-нибудь XTLS-Reality, AmneziaWG или что-нибудь, что ещё не появилось, то с микротиком придётся пригорюниться.
Вам уже ответили про блокировки. С тем же успехом, чисто теоретически, могут и кинетики положить вам. Паранойя она такая...
Сторонний софт на новых прошивках можно вообще положить в контейнер, и тут открывается безграничное море возможностей даже без сторонних устройств.
А вообще, советую поизучать циску. Хотя бы для себя, хотя бы азы их cli. Очень много кто их берет за основу, так как они всеже законодатели моды в энтерпрайз сегменте.
Вы пошутили сейчас про кинетик и энтерпрайз, да? Ну ведь да же? )
Про то, что циска - законодатель моды в энтерпрайз сегменте? Нет, я абсолютно серьезно. Кинетик тут просто пытается смотреть в рот грандам, это же явно домашний и максимум soho сегмент.
Я просто к тому, что если 1С - законодатель моды в российском бухучете, то это не повод изучать 1С:Предприятие и этот русскоязычный бейсик для учета домашних финансов.
И к тому, что если вы пишете какой-нить аналог GNU Cash, то не нужно в него тянуть всю эту кухню.
Если ты обыватель, то вообще ничего знать не обязательно) можно нанять за деньги того, кто умеет и знает. А если профессионал - то неплохо бы знать основы.
Я не профессионал в роутерах циско и вообще в энтерпрайзном сетевом хозяйстве. Но я знаю линукс во всех потрохах, поэтому ИМХО любая местечковая попытка натянуть на линукс какую-то управлялку, выкинув весь родной инструментарий, приведёт (и приводит) к тому, что его возможности сильно ограничиваются.
И дело здесь не во мне, а в том, что выбор cisco ios shell для подражания в SOHO сегменте - это такая себе идея, каким бы стандартом циска не была бы энтерпрайзе.
Хороший пример как можно не идти по этому пути - это приведенный здесь в каментах неоднократно microtik. Это с точки зрения управления роутером, а не реализации самих железок - тут к микротам свои вопросы.
Не за что его любить. Чего только стоит невозможность установки Entware на модели без USB. Берешь такой роутер за 10 000₽ (!), а получаешь ровным счётом ничего. Максимально жлобская позиция, согласно которой нужно покупать устройства исключительно с USB, при этом не обязательно ставить Entware на USB — там доступна установка во внутреннюю память. Абсурд? Ещё какой! Здесь к месту упомянули про Redmi AC2100, в котором 128 Мб внутренней памяти, как и у моего текущего Кинетика, но при этом в OpenWRT на нем можно установить достаточно большое количество пакетов. Компании жалко выделить 50-60 Мб под Entware? Видимо, маркетологи Кинетика зря едят свой хлеб, искусственно урезая возможности моделей, отличающихся только наличием порта
Entware и во внутреннюю память можно поставить а в моделях от 10к один USB порт уже есть. А в новых обычно 512 мб памяти сейчас идет
Как раз не зря. Если успешно продают роутеры по сотке и дороже))
Тем не менее, все параметры доступны на сайте для всех моделей. Заранее можно узнать, поддерживает ли данная модель USB-диски и решить для себя, если это критичный критерий.
Не стоит думать, что это must have-фича для всех, статистика показывает, что реально пользуются opkg единицы процентов от пользователей (если не один процент), а значит модели без USB и opkg, но при этом мощные, чтобы справляться с большой сетью и VPN-трафиком, тоже востребованы.
Т. е. автор решил сделать крайне узкоспецифичную админскую задачу - организовать vpn-сервер на одном хосте, но выходить в интернет через vpn-клиент. При этом взял решение "для домохозяк", которое настроено по умолчанию на стандартный кейс "выходить в интернет через vpn-сервер".
И теперь жалуется что это не тривиально, и вообще keenetic отстой. Но если вам надо решать такие задачи - берите что-то другое, зачем брать то что нацелено на другой сегмент пользователей?
PS. Стандартный кейс для связывания двух keenetic - ikev2 site-to-site, настраивается очень просто. Далее для выхода в интернет через другой роутер, вроде останется только маршрутизацию поменять.
Обычно keenetic используют те, кому нафиг не нужен CLI. Там из коробки достаточно фич. У меня ещё не было таких задач, когда понадобился бы доступ к консоли. Хотя поднят VPN клиент, куча маршрутов для обхода блокировок и т.д. А то что синтаксис у Kennetic похож на Cisco, так это для меня приятное открытие.
Пожалуй просто отвечу на вопрос из заголовка.
За стабильную работу.
За длительную поддержку (5 лет обновлений прошивки, и не на словах).
За основной нужный функционал из коробки.
За то, что разработчики прислушиваются к просьбам на внедрение каких-либо новых вещей.
За opkg и Entware.
За то, что большая часть вопросов описана в базе знаний и документации, которая гуглится по ключевым словам.
За тех поддержку, где реально помогают.
Ну и за что не люблю - IMHO при таких ценах на свои устройства могли бы ставить приличнее процы и больше памяти. Хотя новая линейка с arm64 процессорами уже выглядит повеселее.
Вот это изобретение велосипеда 🤦♂️. У кинетика из коробки есть поддержка клиента/сервера SSTP и OpenConnect. Мало того, что эти протоколы не блокируют, как Wireguard, так они ещё и работают с серым айпишником через кинетиковский фирменный сервис DDNS - KeenDNS.
Кинетики в целом странные с точки зрения интерфейса, гораздо более странные, чем openwrt или ros. С последними я дружу намного больше, как раз таки после того, как много лет назад зухель сделал мой кинетик гига 1 старым через год после покупки. После этого я взял rb951g-2hnd, и под него спустя 10 лет есть обновления операционки (RouterOS). А когда мне требуется собрать производительное решение, то либо покупаю лицуху ros x86 или ставлю openwrt x86. Проигрываем в компактности и энергопотреблении, выигрываем в цене и производительности. Навскидку 1 ядро x86 3ггц вдвое производительное 4 ядер ARM 1ггц. Ну и море ОЗУ с дисковым пространством по сравнению с коробками. Вкусовщина, не настаиваю
Возможно, мой опыт не показателен, но у меня 2 Keenetic Ultra работают уже 3-год с прокинутым VPN (wg) между ними. У меня требования попроще, до покупки я нашёл инструкцию для того что мне надо, увидел что под настройку этого есть отдельная страница с описанием того как это настроить и сделал выбор. Для моих нужд "домохозяйки" мне более чем хватило, я рад тому что мне не пришлось долго ковыряться, что-то там перепрошивать и т.д. Всё завелось с пол пинка по подробной инструкции на офф сайте, при этом нет проблем с железом, соединение стабильное, прошивка регулярно обновляется. Для меня приоритетом в железе была стабильная работа WiFi, без сюрпризов на порядка 10 устройств на каждом роутере, и по этой части не заметил никаких проблем.
Я думаю вам бы многие были благодарны, если бы вы описали свою проблему поддержке Keenetic, возможно что при следующем обновлении они либо обновят инструкцию или прошивку. И тогда станет на одну проблему меньше.
Может быть поможет, справочник команд от кинетика - https://storage.googleapis.com/docs.help.keenetic.com/cli/3.9/ru/cli_manual_kn-3810_ru.pdf
Данный на примере модели Hopper, но есть на каждую (ссылки где то на форуме кинетика).
Как известно, если из-за рубежа открывать русские сайты, после 2022 года они многие не открываются. Если подключить какой-то ВПН с серверами в Москве, то на 98% сайтов войти можно, но входить на mos.ru, mosenergosbyt.ru, dns-shop.ru и др. все равно не выйдет. Они определяют ВПН и блокируют его.
Нужен был просто друг, который настроит на своем роутере VPN сервер.
Если нужен доступ только из Виндоус, то покупается статический ip адрес за 150р/мес и далее на кинетике настраивается ВПН сервер по любому из нескольких протоколов через интерфейс. Если нужен доступ ещё и с андроида, то настраивается openconnect сервер, работает через серверы кинетика, статический адрес покупать не нужно.
О, раз уж тут кинетик обсуждается. Может кто сталкивался с таким. У меня есть ноут, но он подключается к роутеру и не получает ip, из-за этого у него нет инета, типа подключен без интернета. Пробовал 2.4 и 5 ГГц сети. Я все настройки облазил, хз в чем дело. И на ноуте тоже пытался настраивать, сбрасывать, ничего не помогает. А потом я пришел в офис с ноутом, там тоже роутер кинетик, но другой модели и там также ноут подключается без интернета. Приходил в гости к другу у него роутер асус, и там все работает, ноут подключился к вайфаю и инет работает. Так что я выяснил, что проблема с роутерами кинетик. И так же, когда раздаю с телефона вайфай, ноут так же без проблем подключается к сети и все работает. Мне надоело уже дома юзать телефон как ретранслятор вай фай, чтобы на ноуте был инет.
Тут в отзывах пишут, что у них очень адекватная поддержка. В треде есть представитель, на сколько я понял - @INSTE. Вот и обратитесь с деталями к ним.
Напишите в официальную поддержку, там помогут.
Давай ты для начала лучше расскажешь, что это за страны А и Б?
За что вы любите Keenetic?