KeeneticOS 3.5
KeeneticOS 3.5.6
12/12/2020
Улучшения
Обновлена библиотека OpenSSL до версии 1.1.1i (исправлена уязвимость CVE-2020-1971).
Исправления
Исправлено разрешение имени KeenDNS из локальной сети. Теперь клиенты домашней сети могут корректно разрешать доменное имя Keenetic, забронированного с помощью службы KeenDNS. [NDMS-1250]
KeeneticOS 3.5.4
26/11/2020
Новое
Отсутствуют изменения для Keenetic City (KN-1510).
Улучшения
Несколько лет назад кнопка сброса была определена для выполнения двух функций: долгое нажатие в течение 10 секунд для возврата устройства к заводским настройкам и быстрое нажатие для перезапуска устройства. Этот дуализм привел к ряду проблем для пользователей Keenetic, поскольку они не могли визуально различить эти два случая. С этого момента кнопка «Сброс» предназначена исключительно для возврата к заводским настройкам по умолчанию. [NDMS-1141]
Исправления
Исправлено отображение МАС-адреса интерфейса для PPPoE-подключений на стартовой странице Системный монитор. [NDW-1583]
Исправлено отображение параметров подключения ретрансляторов на странице Wi‑Fi-системы. [NDMS-1154]
Улучшен учет трафика для незарегистрированных хостов. [NDMS-1093]
Знак стрелки в автоматически созданных описаниях UPnP правил переадресации теперь отображается правильно. [NDW-1501]
KeeneticOS 3.5.2
21/10/2020
Исправления
Улучшена производительность компонента Ограничение скорости Интернета для клиентов (Шейпер трафика). [NDMS-1090]
Улучшен алгоритм сканирования эфира и выбора наилучшего пути Ретранслятором для беспроводного транспортного bakhaul-соединения. Это изменение обеспечивает лучшую стабильность и производительность соединений между узлами Mesh Wi‑Fi-системы. [NDMS-1120]
Восстановлена настройка правил переадресации портов в веб-интерфейсе. Правило для комбинации протоколов TCP и UDP теперь может быть корректно добавлено на странице Переадресация. [NDW-1436]
Контроллер Mesh Wi‑Fi-системы теперь не показывает статический IP-адрес по умолчанию
192.168.1.3
для Ретранслятора из списка Ретрансляторы, входящие в Wi‑Fi-систему после получения нового адреса по DHCP. [NDMS-1097]
KeeneticOS 3.5.1
15/10/2020
Новое
Для удобства работы с большим числом правил межсетевого экрана добавлено поле 'Описание'. [NDMS-939, NDW-1302]
Системный компонент Сенсор NetFlow теперь позволяет устанавливать версии flow-записей, посылаемых к flow-коллекторам. В частности, поддерживаются NetFlow версии 5, 9 и 10 (IPFIX). Настройка доступна только из интерфейса командной строки. [NDMS-631]
ip flow-export version {version}
Существенно обновлен и усилен компонент системы IPsec VPN. IPsec-соединения теперь поддерживают:
алгоритм шифрования AES-CTR;
алгоритмы комбинированного и AEAD-режима шифрования AES-CCM, AES-GCM и CHACHA20-POLY1305;
новые группы elliptic-curve Diffie–Hellman, включающие
ECP 192/256/384/521
иx25519/x448
.
[WEB-4059]
Как отдельное новое приложение добавлен VPN-сервер IKEv2. IKEv2 расшифровывается как Internet Key Exchange, version 2 (этот VPN-протокол называют также IKEv2/IPsec, но поскольку IKEv2 никогда не используется без шифрования IPsec, то сокращают обычно до IKEv2). IKEv2 — один из самых современных и безопасных протоколов, с высокой скоростью и VPN-клиентами, которые есть на всех настольных и мобильных платформах. [NDW-1208]
Более гибкая работа через KeenDNS: Для веб-приложений KeenDNS теперь может быть представлен не IP-адрес роутера Keenetic, а реальный IP-адрес удаленного клиента.
ip http proxy {name} x-real-ip
Для борьбы с буферизацией и уменьшения сетевых задержек в модуле управления трафиком включено активное управление очередью. [NDMS-707]
Расширение возможностей интерфейса: Теперь можно интегрировать Web-интерфейс Keenetic в интерфейс другой системы (например, системы "умного дома"), используя опцию
iFrame
. По соображениям безопасности эта опция по умолчанию отключена. Её включение выполняется через команду в CLI.iFrame
— это встроенный фрейм, используемый на веб-странице для загрузки в неё другого HTML-документа.ip http x-frame-options {x-frame-options}
Для однодиапазонных моделей, выступающих в качестве контроллера Wi‑Fi-системы, включена возможность захватывать двухдиапазонные ретрансляторы на транспортной сети 2,4 ГГц. [NDMS-819]
Реализован новый механизм QoS (Quality of Service), основанный на классе обслуживания потока пакетов. QoS позволяет устанавливать разные приоритеты для разных приложений, устройств или потоков данных, чтобы гарантировать определенный уровень производительности. [NDMS-722]
Команда CLI для назначения классов обслуживания зарегистрированным устройствам реализована в соответствии с новым механизмом QoS. Трафик от устройств с классом обслуживания 1 обрабатывается с наивысшим приоритетом. Если класс обслуживания не установлен (по умолчанию), трафик обрабатывается с приоритетом между классом 5 и классом 6. [NDMS-771]:
ip hotspot host {mac} service-class {1-6}
Доступен новый VPN-клиент IKEv1 IPsec. Перейдите к разделу VPN-подключения в меню Другие подключения для его настройки. [NDW-1025]
Список языков Веб-интерфейса добавлен к системным компонентам. Теперь можно установить только необходимые языки и удалить все ненужные, чтобы сэкономить флэш-память для других приложений. [NDW-1046]
Настройки раздела Удаленное управление в веб-интерфейсе контроллера Wi‑Fi-системы будут применяться ко всем ретрансляторам системы. [NDW-1006]
Реализован новый раздел Разрешенные для подключения диапазоны Wi‑Fi. Эта настройка позволяет ограничить подключение двухдиапазонного клиента Wi‑Fi только к определенным беспроводным диапазонам: 2,4 или 5 ГГц. Настройка работает как для автономного устройства, так и для Wi‑Fi-системы с несколькими узлами. [NDW-987]
Новый VPN-клиент IPsec IKEv2 теперь доступен как системный компонент в категории Сетевые функции KeeneticOS. Этот тип VPN очень популярен среди поставщиков услуг VPN, таких как NordVPN и SecureVPN. [NDMS-625, NDW-949]
Добавлен VPN-сервер IPsec IKEv2 Virtual-IP, использующий сертификат Let's Encrypt®. [NDMS-703]
crypto virtual-ip-server-ikev2
Добавлен новый системный компонент Шлюз прикладного уровня (ALG) для ESP. Этот компонент предоставляет настраиваемые фильтры обхода NAT при трансляции адресов для протокола ESP. Это функция проброса IPsec-протокола, которая помогает передавать ESP-пакеты IPsec-соединения через роутер Keenetic. [NDMS-683]
ip esp alg enable
Реализован новый режим быстрого перехода WPA3-PSK Fast Transition (FT-SAE). [NDMS-670, NDW-929]
Реализовано отдельное хранилище-кеш ключей Pairwise Master Key (PMK) для Fast Transition и WPA3.
Реализована новая команда интерфейса командной строки (CLI) для привязки двухдиапазонных клиентов Wi‑Fi к диапазону 2,4 или 5 ГГц. [NDMS-506]
interface {Bridge} mac band {mac} (0|1)
— разрешить{mac}
ассоциации к 2.4 ГГц (0
) или 5 ГГц (1
) и игнорировать подключения к другим диапазонам
Поддержка службы контентной фильтрации Cloudflare DNS реализована в интерфейсе командной строки (CLI). Используется три уровня защиты:
standard
,malware
,family
. [NDMS-617]cloudflare-dns check-availability
cloudflare-dns assign {mac} (standard | malware | family)
cloudflare-dns enable
show cloudflare-dns availability
show cloudflare-dns profiles
Реализовано рандомизированное имя для HTTP session cookie. Это расширяет возможности одновременного доступа к веб-интерфейсу клиентских сетевых устройств через Переадресацию портов. [NDMS-596]
Улучшения
Обновлена библиотека OpenSSL до версии 1.1.1h
Улучшена внутренняя логика компонента Прокси-служба IGMP для сценария, когда несколько мультикастовых клиентов подключаются к LAN-порту устройства через один дополнительный Ethernet-коммутатор или несколько последовательных коммутаторов Ethernet. [NDMS-981]
Для Wi‑Fi-сетей добавлен новый режим безопасности WPA2 + WPA3 Enterprise. Режимы WPA Enterprise используются в распределенных сетях и требуют наличия сервера аутентификации RADIUS. [NDW-1299]
Расширена настройка: В настройках Правило переадресации портов добавлено значение TCP/UDP в поле "Протокол". [NDW-1241, NDMS-909]
Значительно повышен уровень безопасности доступа из Интернета к веб-приложениям, запущенным в домашней сети через зарегистрированное доменное имя KeenDNS. Если ваше приложение работает по протоколу HTTPS, теперь вы сможете выбрать этот протокол в настройках конфигурации и Разрешить доступ из Интернета к нему независимо от разрешения на удаленный доступ к Web-интерфейсу самого Keenetic, который настраивается на странице Управление > Пользователи и доступ > Удаленный доступ. [NDMS-927, NDMS-215, NDW-1242, NDW-1237]
ip http proxy {name} security-level (public | private)
ip http proxy {name} upstream (http | https) (‹mac› | ‹ip› | ‹fqdn›) [‹port›]
В разделе Сетевые правила > Маршрутизация теперь можно добавлять описания на экране Параметры статического маршрута. Поле Описание добавлено в форму параметров статического маршрута и в таблицу Пользовательские маршруты. Кроме того, для большего удобства, вы можете отсортировать таблицу, щелкнув по любому заголовку столбца, включая Описание. [NDMS-911, NDW-1231]
Улучшение эффективности алгоритмов безопасности: Алгоритмы шифрования IPsec AES-CTR, AES-CCM и AES-GCM теперь частично аппаратно ускоряются на устройствах, оснащенных криптографическим движком AES Crypto Engine.
Улучшена работа функции ограничения скорости: Когда правило ограничения трафика применяется к хосту вашей сети или сегменту сети, оно начинает работать практически мгновенно. Максимальная скорость доступа в Интернет может быть задана независимо для входящего и исходящего направления. [NDMS-898]
В KeenDNS появилась возможность включить доступ из Интернета к веб-приложениям, запущенным в вашей сети и работающим по протоколу HTTPS. В настройку добавлена опция
https
. [NDMS-215]ip http proxy {name} upstream (http | https) ({mac} | {ip} | {fqdn}) [{port}]
Системный компонент WireGuard® VPN обновлен до версии 1.0.20200623. WireGuard® — это простой, но в то же время быстрый и современный VPN, использующий самые современные алгоритмы криптографии.
В рамках наших постоянных усилий по повышению безопасности продуктов и услуг Keenetic обновлен цифровой сертификат подписи микропрограммного обеспечения на облачной инфраструктуре и устройствах Keenetic. Прежние сертификаты цифровой подписи будут отозваны. Предыдущие версии микропрограмм можно будет установить только через режим восстановления ПО по протоколу TFTP. [NDMS-828]
Оптимизирована операция чтения таблицы Ethernet MAC. Страница Список устройств загружается теперь намного быстрее, если к вашей сети подключено много устройств. [NDMS-488]
Доработана процедура услуги отзыва и продления SSL-сертификата службы KeenDNS. [NDMS-49]
В ситуации, когда в Контроле доступа Wi‑Fi используется режим блокировки Черный список, новые зарегистрированные устройства больше не будут автоматически добавляться в черный список. [NDW-1108]
Для оптимизации размера образа прошивки интернет-центра максимальное количество установленных языков в системе ограничено тремя. [NDW-1127]
STP (Spanning Tree Protocol) теперь отключен на контроллере Wi‑Fi-системы, если не было захвачено ни одного ретранслятора. [NDMS-693]
Добавлена поддержка символа двоеточия
:
в заголовках HTTP cookie. Это позволит поддерживать веб-интерфейсы сетевых устройств, не следующих спецификации RFC, которые доступны через настройку Переадресации портов. [NDMS-779]Добавлена новая логика компонента Шлюз прикладного уровня (ALG) для SIP для параметров
Media Description > Media Type: Application
. [NDMS-680]
Улучшен выбор и отмена выбора хостов в Мониторе трафика хостов. [NDW-991]
Настройка Доступ к веб-конфигуратору из меню Пользователи и доступ в разделе удаленного управления теперь передается с контроллера Wi‑Fi-системы на все ретрансляторы для улучшения контроля удаленного управления. [NDMS-727]
Служба контентной фильтрации Cloudflare DNS добавлена в Веб-интерфейс. Пользователь может выбрать на странице Интернет-фильтр в поле Фильтр > Cloudflare DNS и установить политику защиты для каждого зарегистрированного хоста, а также Профиль по умолчанию для незарегистрированных хостов. [NDW-971]
Реализована статистика подключений для IPsec Virtual-IP VPN-сервера, учитывающая трафик и время для каждого входящего VPN-подключения. [NDMS-685]
Улучшена совместимость VPN-сервера SSTP с приложением AnyVPN SSTP Connector. [NDMS-697]
Исправления
Исправлено добавление нового правила Межсетевого экрана в начало списка в веб-интерфейсе. [NDW-1413]
Исправлено отображение имен Профилей на странице Интернет-фильтр в веб-интерфейсе в соответствии с языковыми настройками. [NDW-1397]
Неприменимая опция Без IP-адреса удалена из дополнительных настроек VPN соединений в разделе Другие подключения в Веб интерфейсе. [NDW-1351]
В веб-конфигураторе исправлен список доступных Подключений для настроек Интернет-фильтр - Серверы DNS: теперь можно выбрать только интерфейсы
public
. [NDW-1352]
Исправлена фильтрация Ethernet-кадров без VLAN-тегов, полученных на WAN-порту в транковом режиме. Это блокирует утечку немаркированных данных от интернет-провайдера в домашнюю сеть. [NDMS-899]
Исправлена отмена ограничения на доступ к беспроводным диапазонам. Возвращение параметра Оба диапазона восстанавливает поведение по умолчанию. [NDMS-763, NDMS-866]
Исправлена обработка нескольких подписок на мультикаст-группу на разных Ethernet-портах для устройств, работающих в режиме Ретранслятор. [NDMS-1002]
Режимы безопасности WPA + WPA2 Enterprise/WPA2 Enterprise/WPA2 + WPA3 Enterprise теперь работают правильно для скрытых сетей (SSIDs). [NDMS-929]
Улучшена стабильность Системного монитора: Исправлена ошибка, которая иногда приводила к аварийному завершению работы экрана Системный монитор при не установленных системных компонентах Агент облачной службы Keenetic Cloud и KeenDNS. [NDW-1247]
Оптимизация сообщений системного журнала: После неудачной попытки установить SSL-сессию(и) во время инициализации SSTP VPN-соединения в системном лог-файле появлялась ошибка
do_page_fault() SIGSEGV
. Проблема, вызывавшая эту ошибку, исправлена. [NDMS-933]
Улучшение в вебе: Контекстные значки справки теперь выровнены в веб-интерфейсе. Нажатие по контекстному значку помощи показывает соответствующие статьи и инструкции из онлайн-руководства пользователя Keenetic. [NDW-1223]
Исправлена проблема снижения производительности IPsec, связанная с добавлением ESP ALG. [NDMS-897]
Устранена ошибка запуска Мастера начальной настройки после восстановления заводских установок. [NDW-1198]
Оптимизация списка устройств: Исправлено задвоение хостов в списке Зарегистрированные устройства. [NDMS-884]
Улучшен подсчёт трафика: Часть сетевого трафика в Монитор трафика хостов иногда считалась неправильно, как поступающая с незарегистрированных устройств. Монитор трафика хостов — полезный инструмент, используемый как домашними пользователями, так и пользователями малого бизнеса, который отслеживает потребление интернет-трафика устройствами в вашем доме или офисе. [NDMS-738, NDMS-737]
Устранены проблемы подключения Wi‑Fi-клиентов в смешанном режиме WPA2-PSK + WPA3-PSK. [NDMS-858]
Улучшена работа функции Wake-on-LAN для удаленного включения (из Интернета) устройств в локальной сети интернет-центра. [NDMS-844]
Улучшено подключение нового Keenetic в режиме ретранслятора к существующей Wi‑Fi-системе. [NDMS-857]
Исправлена работа светодиодных индикаторов при передаче пакетов через аппаратный ускоритель. Теперь индикаторы мигают правильно.
Исправлен выбор языковых пакетов. Одновременно можно установить не более трех языков. [NDW-1147]
В веб-интерфейсе исправлены некоторые недочеты в форматировании. [NDW-1101, NDW-1094, NDW-1058]
Исправлена ситуация, когда Ретранслятор Wi‑Fi-системы не может установить backhaul-подключение к Контроллеру. [NDMS-804]
Cоединение Wireless ISP (WISP) теперь работает правильно, если используется Беспроводная транспортная сеть Wi‑Fi-системы. [NDMS-615]
Исправлен список VPN-подключений клиентов в режиме Множественный вход для VPN-сервера на странице Статистика подключений. Теперь все активные VPN-соединения видны. [NDW-1060]
Всплывающие подсказки над зарегистрированными устройствами В сети, Не в сети, Заблокировано возвращены на прежнее место на странице Список устройств. [NDW-1056]
Исправлена некорректная всплывающая подсказка Подключение WireGuard. Теперь отображается правильный статус подключения. [NDW-1055]
Исправлено форматирование страницы Доменное имя и позиция значка справки . [NDW-1057]
Стиль текста немного изменен, чтобы уместить его в доступное значение ширины поля в ниспадающем списке в Веб-интерфейсе. [NDW-1053]
Исправлен неправильный пустой список Ретрансляторов в Wi‑Fi-системе. Это происходило, когда один из Ретрансляторов находился в оффлайн режиме. [NDW-1044 ]
Исправлена оценка вложенности мостовых интерфейсов. В настоящее время порядок конфигурации
interface bridge[x]
интерфейсов обрабатываются правильно. [NDMS-765 ]
Исправлена ошибка в процессе сопряжения через Wi‑Fi Protected Setup (WPS) при использовании безопасности WPA2-PSK + WPA3-PSK. [NDMS-747]
Расписание доступа в Интернет для хоста теперь можно редактировать, даже если он заблокирован вручную в Веб-интерфейсе. [NDMS-753]
Исправлено форматирование всплывающей подсказки для списка VPN-подключения в меню Другие подключения. [NDW-1019 ]
Исправлен статус
undefined
Ретранслятора в Wi‑Fi-системе. [NDW-1015]Параметр Ограничение скорости и опция Асимметрично для незарегистрированных устройств теперь сохраняются корректно. [NDW-1020]
Исправлен неправильный расчет пула DHCP и назначение DHCP-сервера для вновь создаваемых сегментов. [NDW-1017]
Параметр Использовать NAT для страницы Сегмента теперь сохраняется правильно. [NDW-1018]
Перетаскивание соединений в Профиле доступа в Интернет теперь работает корректно. [NDW-758]
Настройки Разъемы сегмента и VLAN теперь правильно блокируются на ретрансляторах, подключенных к Wi‑Fi-системе. [NDW-989]
Исправлено выделение выбранного часового пояса. [# 3644]
Исправлено переполнение Pairwise Master Key (PMK-R1) мастер-ключа.
Изменено размещение кнопки Удалить расписание для лучшего форматирования. [NDW-963]
В Веб-интерфейсе исправлена неправильная проверка IP-подсети в разделе Параметры IP в настройках сегмента сети. [NDW-943]