Прелесть OpenWrt в том, что если вы знакомы с администрированием Linux, то учиться чему-то новому практически не нужно. С кинетиком как раз получается такая шляпа, что хоть там и линукс под капотом, логику разработчиков их модуля управления нужно узнавать и приучиваться к ней.
KeeneticOS основана на OpenWrt, но именно, что "основана". Там под капотом уже очень много различий.
О чем мы ломаем копья с этим OpenWrt? О том, что я написал, что "KeeneticOS является чем-то вроде брендированного OpenWrt".
По итогу одни пишут тут, что вообще никакого отношения не имеет. Вы пишите, что всё-таки основана на OpenWrt. Но в сущности: какая разница? Даже если это совсем не так, основной посыл статьи был в том, что этот самый keenetic shell отрезает возможности использования нижележащего Linux на 100%. Я бы согласился с тем, что сосуществование двух механизмов управления (через кинетиковский шел и, скажем, posix shell в имплементации какого-нить busybox) чрезвычайно сложно подружить. Но можно было бы написать большими буквами, что все изменения настроек через утилиты Linux не сохраняются. Зато остался бы способ анализа состояния системы утилитами. Вывести тот же nft list ruleset, чтобы понять, где там затык произошел.
OpenWrt имеет что-то похожее на KeenDNS? Я могу накатить OpenWrt, "из коробки" получить уникальный домен третьего уровня и через него иметь удалённый доступ к роутеру, находящемуся за провайдерским NAT?
Очевидно, что OpenWrt - это некоммерческий проект, который не предоставляет никаких облачных сервисов на своей инфраструктуре. Поэтому сравнивать прошивку с сервисами довольно некорректно. Но если я правильно понял ваш use case, то можно штатными средствами (opkg, включая вэбморду LEDE) установить cloudflared и воспользоваться похожим сервисом Cloudflare Tunnel.
Есть официальный способ запустить Linux-окружение, но это именно интерфейс для расширения пользователями, а сама система на него не полагается. Именно про этот интерфейс расширения скорее всего вы слышали в контексте "пересборки OpenWRT",
Про маску так и не стало понятнее, если честно, слишком много вариантов. Но если вы придете в техподдержку и пришлете self-test, то с удовольствием посмотрим, что же там "не срабатывает".
Роутеры настроены, доступа у меня больше к ним нет, да их химичить в обратную сторону ради багрепорта мне не дадут скорее всего. Других кинетиков, на которых можно воспроизвести баг и сделать self-test у меня нет.
Сейчас есть похожий механизм для получения значений по-умолчанию, но он сделан далеко не для всех команд и нужен только чтобы веб-интерфейс на странице смог вывести значения "по-умолчанию".
Сдаётся мне, что поэтому же и настройка NAT у вас не вынесена в вэбморду. Хотя казалось бы: чего проще добавить одну галочку в настройки интерфейса. Lede справляется силами вэбморды с этой же задачей, к слову.
Линукс там через entware и это далеко не полноценный интерфейс. Entware можно поставить на внутреннюю память на старшие модели, но это мучение. Так, что USB must have. И вы должны были это учитывать при покупке.
Задача, под которую я эти железки сосватал моему френду, вообще не подразумевает необходимости в opkg. Так что не очень понимаю, кому и что я там должен. Если бы штатная прошивка была бы на столько тупой, что даже эту простую задачу не могла бы решить без entware, то пост был бы по иному написан.
Redmi AC1200 я перепрошивал под openwrt и эта связка гораздо более вялая, чем keenetic, хотя и цена пониже.
Это, кстати, топовое решение на моём опыте. Штук 10 таких роутеров запилил на OpenWrt знакомым и родителям. Очень хорошая радиочасть, в меру мощный чип. Для нужд среднего домохозяйства с обходом блокировок и разделением трафика на трансграничный и внутренний - это прямо супер топ за свои деньги. Да, нет USB, но и не нужен он там, так как opkg ставит на внутренний флэш.
Вы, конечно, видели сорцы микротика и отвечаете, что там нет никакого "анального зонда", который при очередной проверке доступного обновления получит инструкцию "превратиться в овощ если внешний IP геолоцируется в подсанкционной стране"?
В душе не подозревал, что задача настройки NAT'а (пипец какая сложная) требует лазанья в текстовую консоль. В том же OpenWrt эта настройка вполне себе имеется на вебморде Lede. И вообще не вижу никаких проблем вынести её в вэбморду кинетика - всего-то галочку добавить в настройки интерфеса. Точнее одна проблема есть - если их модуль управления не умеет отдавать статус этого параметра, то и вэбморда не сможет отразить текущий статус.
Зато у них в интерфейсе есть загадочная галочка типа "через этот интерфейс можно ходить в интернет". К чему приводит её установка - вообще не понятно. Скорее всего будет добавлен default route, но что если таких интерфейсов несколько? Или опять расчет на то, что у 95% потребность только у одного интерфейса такую галочку ставить?
Не я сказал: но создай систему, которой сможет пользоваться только идиот, и только идиот захочет её воспользоваться.
Если вашу аналогию с машиной ввернуть, то получается, что когда вы покупаете машину, то вы уже глубоко в курсе того, сколько там предохранителей в щитке и за что каждый отвечает.
Хотя в реале скорее всего первое что вы будете делать, когда туда полезете - будете громко материться на тему как тяжело достаётся предохранитель из своего гнезда. =)
Для более менее стандартных сценариев подойдут железки и подешевле и потупее. Я вот за что люблю OpenWrt - это гибкость, которой я могу его в бараний рог согнуть под свою задачу.
Это не очень большая проблема, когда делаешь это для себя, у себя дома. Этот же кинетик был в паре тысяч километров от меня и заведовал им человек, бесконечно далекий от этих дел.
То, что вы считаете, что Keenetic OS является "кастрированным OpenWRT" или "другим Linux" - это исключительно ваше заблуждение. Вендор такого нигде не указывал.
Не заблуждение. Наличие OPKG разбивает этот домысел, ровно как и вызов команды more по паре файликов из /proc. Обещаний, что там чистый линукс или какой-то дистриб, конечно, не было, но делать вид и прикидываться, что я тут слеп и не вижу, что там под капотом, я не буду )
При разработке была взята ориентация на уже существовавших тогда "серьезных" вендоров, и CLI был выдержан в этом стиле.
Ориентация взята, но получилось не очень (ИМХО, разумеется) и главное не понятно зачем. Keenetic явно не делает продукты для бородатых дядей из махрового Ынтырпрайза с сертификатами Циски. А рядовому юзеру погружаться в этот стиль довольно странно. И повторяю вопрос заданный вскользь в посте. Как узнать текущее значение какого-нибудь параметра, который вы можете менять командой или её отрицанием через "no"? Как узнать командой текущий статус (вкл или выкл) NAT на интерфейсе? И вообще без привязки к этому злощастному нату: как узнать включен ли или выключен ssh? Как узнать текущее значение таймаута сессии ssh? Без всего этого управление устройством является write only.
Это является настройкой по-умолчанию, поскольку в варианте "из коробки" типичный пользователь ожидает именно такого поведения.
Я ничего не имею против настроек по умолчанию. Я (как уже упоминал выше) против того, чтобы нельзя было эти настройки как-то обозреть, кроме как скопом командой show running-config, что тоже не очевидно.
Насчет "показа статуса на интерфейсе": как минимум сама таблица показывается
Таблица может быть пустой, если нет текущих tracked соединений. Но это вовсе не означает, что NAT выключен. Кроме того, по таблице совершенно не понятно к какому интерфейсу относится настройка приведшая к попаданию конкретной строчки в эту таблицу. Так что наличие таблицы никак не заменяет указания статуса NAT на конкретном интерфейсе.
но было бы очень хорошо, если бы вы показали пример того, что хотели бы увидеть на примере другого вендора, или сами подробно рассказали что там должно быть.
Без относительно NAT'а, а вообще касаемо любой настройки хорошо бы иметь что-то вроде get ip nat Home и получать в ответ enabled/disabled или конкретное значение параметра: get ip ssh session timeout - 60 seconds, например.
Насчет сложностей с более тонкой настройкой NAT - эта проблема известна, и происходит из давних времен, когда эта самая тонкая настройка было нужна очень малому количеству пользователей. Планируется сделать эту настройку более гибкой и очевидной, чем сейчас.
Как таковой проблемы с настройкой NAT тут не было. Проблема была в том, что он по всей видимости не работал будучи настроенным, а после того, как поменяли маску адреса интерфейса вдруг заработал. Не совсем понято зачем и для чего модуль управления смотрит на маску, принимая решение переопределить волю администратора. Но если он так делает, то не плохо бы об этом написать, например, в консоль.
Именно про этот интерфейс расширения скорее всего вы слышали в контексте "пересборки OpenWRT", но правдой здесь является то, что одним из поддерживаемых окружений является Entware, который и правда является частичной пересборкой репозитория OpenWRT
Повторяю - был взят конфиг для wireguard, который подготовил мой друг для резидента B, и в котором содержалась эта самая маска /32. С ней всё завелось, когда пиром был мой лэптоп.
Мне самому не нравится идея с маской /32, поэтому я стал причесывать конфигурацию и случайно наткнулся на то, что это помогло. Работа NAT не должна по идее зависеть от маски интерфейса.
Кроме того, любой PTP линк по своей природе является /32 и ничего - работает.
Так что конфиг кривоватый - да, но с подобными догматами не соглашусь.
На машинках с фронтальной загрузкой носки могут попадать в щель между барабаном и манжетой (возле люка). Оттуда им прямой путь в фильтр. Если туда долго не заглядывать, они там разлагаются и их части уносит в канализацию
Зачем вы смотрите на клаву, когда печатаете? Проблема в этом, а не в неумении выводить текущую раскладку на кнопки.
Юзаю Das Keyboard вообще без надписей. Использую три раскладки. На каждую своя комбинация. Когда начинаю писать на другом языке, просто нажимаю на всякий случай комбинацию этого языка и не заморачиваюсь напоминанием текущей раскладки. Модальность - зло.
Прелесть OpenWrt в том, что если вы знакомы с администрированием Linux, то учиться чему-то новому практически не нужно. С кинетиком как раз получается такая шляпа, что хоть там и линукс под капотом, логику разработчиков их модуля управления нужно узнавать и приучиваться к ней.
О чем мы ломаем копья с этим OpenWrt? О том, что я написал, что "KeeneticOS является чем-то вроде брендированного OpenWrt".
По итогу одни пишут тут, что вообще никакого отношения не имеет. Вы пишите, что всё-таки основана на OpenWrt. Но в сущности: какая разница? Даже если это совсем не так, основной посыл статьи был в том, что этот самый keenetic shell отрезает возможности использования нижележащего Linux на 100%. Я бы согласился с тем, что сосуществование двух механизмов управления (через кинетиковский шел и, скажем, posix shell в имплементации какого-нить busybox) чрезвычайно сложно подружить. Но можно было бы написать большими буквами, что все изменения настроек через утилиты Linux не сохраняются. Зато остался бы способ анализа состояния системы утилитами. Вывести тот же
nft list ruleset, чтобы понять, где там затык произошел.Очевидно, что OpenWrt - это некоммерческий проект, который не предоставляет никаких облачных сервисов на своей инфраструктуре. Поэтому сравнивать прошивку с сервисами довольно некорректно. Но если я правильно понял ваш use case, то можно штатными средствами (opkg, включая вэбморду LEDE) установить cloudflared и воспользоваться похожим сервисом Cloudflare Tunnel.
Я вспомнил, где я про это слышал. https://github.com/keenetic/keenetic-sdk - тут написано: Keenetic SDK is based on the OpenWrt project (https://openwrt.org/). We recommend to read the OpenWrt build system manual (https://openwrt.org/docs/guide-developer/build-system/use-buildsystem) before following the next steps.
Я видимо не разобрался в том, что это за SDK и что оно к прошивке мало отношения имеет
Роутеры настроены, доступа у меня больше к ним нет, да их химичить в обратную сторону ради багрепорта мне не дадут скорее всего. Других кинетиков, на которых можно воспроизвести баг и сделать self-test у меня нет.
Сдаётся мне, что поэтому же и настройка NAT у вас не вынесена в вэбморду. Хотя казалось бы: чего проще добавить одну галочку в настройки интерфейса. Lede справляется силами вэбморды с этой же задачей, к слову.
Простота настройки чего? Типовой сетап настраивается на любом роутере без каких-либо трудностей. Какие нестандартные задачи приходилось решать?
Задача, под которую я эти железки сосватал моему френду, вообще не подразумевает необходимости в opkg. Так что не очень понимаю, кому и что я там должен. Если бы штатная прошивка была бы на столько тупой, что даже эту простую задачу не могла бы решить без entware, то пост был бы по иному написан.
Это, кстати, топовое решение на моём опыте. Штук 10 таких роутеров запилил на OpenWrt знакомым и родителям. Очень хорошая радиочасть, в меру мощный чип. Для нужд среднего домохозяйства с обходом блокировок и разделением трафика на трансграничный и внутренний - это прямо супер топ за свои деньги. Да, нет USB, но и не нужен он там, так как opkg ставит на внутренний флэш.
Вы, конечно, видели сорцы микротика и отвечаете, что там нет никакого "анального зонда", который при очередной проверке доступного обновления получит инструкцию "превратиться в овощ если внешний IP геолоцируется в подсанкционной стране"?
В душе не подозревал, что задача настройки NAT'а (пипец какая сложная) требует лазанья в текстовую консоль. В том же OpenWrt эта настройка вполне себе имеется на вебморде Lede. И вообще не вижу никаких проблем вынести её в вэбморду кинетика - всего-то галочку добавить в настройки интерфеса. Точнее одна проблема есть - если их модуль управления не умеет отдавать статус этого параметра, то и вэбморда не сможет отразить текущий статус.
Зато у них в интерфейсе есть загадочная галочка типа "через этот интерфейс можно ходить в интернет". К чему приводит её установка - вообще не понятно. Скорее всего будет добавлен default route, но что если таких интерфейсов несколько? Или опять расчет на то, что у 95% потребность только у одного интерфейса такую галочку ставить?
Не я сказал: но создай систему, которой сможет пользоваться только идиот, и только идиот захочет её воспользоваться.
Если вашу аналогию с машиной ввернуть, то получается, что когда вы покупаете машину, то вы уже глубоко в курсе того, сколько там предохранителей в щитке и за что каждый отвечает.
Хотя в реале скорее всего первое что вы будете делать, когда туда полезете - будете громко материться на тему как тяжело достаётся предохранитель из своего гнезда. =)
По параметрам и выбрали. И поставленную задачу выполнили. Никакой ошибки с выбором оборудования не произошло. Пост о кривизне процедуры конфигурации.
Вы полагаете, что мне нужно было лично купить и испробовать прежде чем советовать? А мне оно зачем?
У меня такое впечатление создалось из каментов от любителей кинетиков под моими постами и постами коллег по настройке не самых типичных сценариев.
Где гарантии, что не повториться история а-ля Meraki? Одна из двух этих стран, о которых речь в посте под санкциями.
Помилуйте, сударь! Какая корпоративная среда? Тут две домохозяйки на коленке борщ сварили =)
Для более менее стандартных сценариев подойдут железки и подешевле и потупее. Я вот за что люблю OpenWrt - это гибкость, которой я могу его в бараний рог согнуть под свою задачу.
Это не очень большая проблема, когда делаешь это для себя, у себя дома. Этот же кинетик был в паре тысяч километров от меня и заведовал им человек, бесконечно далекий от этих дел.
Не заблуждение. Наличие OPKG разбивает этот домысел, ровно как и вызов команды more по паре файликов из /proc. Обещаний, что там чистый линукс или какой-то дистриб, конечно, не было, но делать вид и прикидываться, что я тут слеп и не вижу, что там под капотом, я не буду )
Ориентация взята, но получилось не очень (ИМХО, разумеется) и главное не понятно зачем. Keenetic явно не делает продукты для бородатых дядей из махрового Ынтырпрайза с сертификатами Циски. А рядовому юзеру погружаться в этот стиль довольно странно. И повторяю вопрос заданный вскользь в посте. Как узнать текущее значение какого-нибудь параметра, который вы можете менять командой или её отрицанием через "no"? Как узнать командой текущий статус (вкл или выкл) NAT на интерфейсе? И вообще без привязки к этому злощастному нату: как узнать включен ли или выключен ssh? Как узнать текущее значение таймаута сессии ssh? Без всего этого управление устройством является write only.
Я ничего не имею против настроек по умолчанию. Я (как уже упоминал выше) против того, чтобы нельзя было эти настройки как-то обозреть, кроме как скопом командой
show running-config, что тоже не очевидно.Таблица может быть пустой, если нет текущих tracked соединений. Но это вовсе не означает, что NAT выключен. Кроме того, по таблице совершенно не понятно к какому интерфейсу относится настройка приведшая к попаданию конкретной строчки в эту таблицу. Так что наличие таблицы никак не заменяет указания статуса NAT на конкретном интерфейсе.
Без относительно NAT'а, а вообще касаемо любой настройки хорошо бы иметь что-то вроде
get ip nat Homeи получать в ответ enabled/disabled или конкретное значение параметра:get ip ssh session timeout- 60 seconds, например.Как таковой проблемы с настройкой NAT тут не было. Проблема была в том, что он по всей видимости не работал будучи настроенным, а после того, как поменяли маску адреса интерфейса вдруг заработал. Не совсем понято зачем и для чего модуль управления смотрит на маску, принимая решение переопределить волю администратора. Но если он так делает, то не плохо бы об этом написать, например, в консоль.
Скорее всего да.
Там когда ставишь OPKG нужно подрубить репозиторий и для этого, как я понял, нужна USB-флэшка, которую нужно воткнуть в роутер.
Повторяю - был взят конфиг для wireguard, который подготовил мой друг для резидента B, и в котором содержалась эта самая маска /32. С ней всё завелось, когда пиром был мой лэптоп.
Мне самому не нравится идея с маской /32, поэтому я стал причесывать конфигурацию и случайно наткнулся на то, что это помогло. Работа NAT не должна по идее зависеть от маски интерфейса.
Кроме того, любой PTP линк по своей природе является /32 и ничего - работает.
Так что конфиг кривоватый - да, но с подобными догматами не соглашусь.
Нет. GL.Inet в этих краях не купить.
На машинках с фронтальной загрузкой носки могут попадать в щель между барабаном и манжетой (возле люка). Оттуда им прямой путь в фильтр. Если туда долго не заглядывать, они там разлагаются и их части уносит в канализацию
Зачем вы смотрите на клаву, когда печатаете? Проблема в этом, а не в неумении выводить текущую раскладку на кнопки.
Юзаю Das Keyboard вообще без надписей. Использую три раскладки. На каждую своя комбинация. Когда начинаю писать на другом языке, просто нажимаю на всякий случай комбинацию этого языка и не заморачиваюсь напоминанием текущей раскладки. Модальность - зло.