Я чего-то не понимаю, а при чём тут сертификаты минцифры?

Keenetic в очередной версии прошивки может добавить сертификат, выпущенный да хоть самой Keenetic, и отдать приватный ключ “кому надо”. Никакие сертификаты минцифры для этого абсолютно не нужны. Это можно было сделать хоть за годы до всей этой движухи со скрепными сертификатами.

Но даже в этом смысла нет. Если вы - “трёхбуквенный орган на букву Ф”, то вы просто забираете данные уже с серверов Keenetic, а чем там шифруется служебный трафик между роутером и сервером - кого это волнует? На стороне сервера уже всё расшифровано.

Ну, можно, конечно, пустить фантазию в полный раскардаш и представить, как пользователь устанавливает на своё клиентское устройство сертификаты минцифры. Затем коварная прошивка Keenetic по команде из Центра пускает трафик до условного Gmail в обход VPN, настроенного на роутере. А на ТСПУ осуществляется MitM с помощью сертификата на имя gmail.com, выданного Минцифрой. Но с такой фантазией надо писать фантастические романы. И, опять же, как только это будет уличено (а это будет, благодаря телеметрии, передаваемой браузерами), корневой сертификат летит в бан быстро и решительно. И чего вы (по условиям задачи, вы играете за трёхбуквенную контору) будете делать? Новый сертификат пользователей уговаривать ставить? И всё это ради скольки-то там процентов пользователей Keenetic?

Отличная теория заговора, но слишком сложная и монструозная, как и все теории заговора. Я сходу мог бы назвать гораздо более простой и надёжный способ MitM-ить весь TLS-трафик всех пользователей (делай раз - рубим все шифрованные тоннели; делай два - включаем MitM на весь трафик, как в Казахстане; делай три - как только сертификат улетает в бан в браузерах, сообщаем пользователям, чистую правду - их браузеры больше использовать невозможно, хотите посещать сайты - вот вам православный браузер, разработанный в России и безусловно доверяющий российским сертификатам).

И не говорите В последнее время в какую тему не зайду - везде одно и то же. Кругом слежка, кругом заговоры, страх деанонов, совпадения не совпадения и так далее. Не понимаю, что происходит (не сарказм).

Можно тогда еще одну версию подброшу (чего стоит опасаться)?
Где-то упоминалось, что они из своей справки (на сайте) убрали всю информацию о способах обхода. (Во исполнение закона, конечно же). Что им мешает сделать то же самое, но уже непосредственно на устройствах (заблокировать возможность использования VPN)? На мой взгляд - ничего. Как думаете, такое реально?

И сам их ответ: “Модернизация позволит устройствам Keenetic стабильно работать даже при частичных ограничениях интернета и в случае недоступности международных сервисов” - настораживает, конечно. То есть, это то, к чему они готовятся - к блокировкам, которые со временем станут массовыми.

Если ставить вопрос в духе “имеют ли они техническую возможность” - ну, конечно, имеют. Точно так же, как, например,я имею техническую возможность запостить здесь дикпик. Кто разрабатывает прошивку, тот и решает, что в ней будет. Вон, та же Mikrotik сколько лет не добавляла в свои прошивки поддержку OpenVPN UDP.

Будут ли они это делать - это совсем другой вопрос.

Во-первых, нигде в админке роутера нет ни слова про обход блокировок, а против VPN для соединения, скажем, двух офисов внутри страны (это, между прочим, то, для чего концепцуия VPN и придумалась изначально в бородатые годы, когда никаких блокировок в интернете ни в одной стране не было) ни надзорный орган, ни законодательство не возражают.

Во-вторых, с сайта и форума они всё убрали по совершенно понятно причине. По той же, по какой такие материалы на Хабре, Фопде и куче других ресурсов поудаляли или позакрывали за геоблокировкой. Правда, кинетики перепугались до такой степени, что и в неофициальном (ну, так он называется, хотя модерирует его их сотрудник, так что его неофициальность это такое себе) своём телеграм-чате эти темы тоже гасят. Это они зря. С другой стороны, это у меня канал с инструкциями по обходу блокировок на энтузиазме и если вдруг даже его загасят, я ничего не теряю, а у них таки бизнес.

В третьих, из уже прошитых устройств это никак не удалить без перепрошивки. У кого включено автообновление прошивки на роутере - ну, их выбор.

благодаря телеметрии, передаваемой браузерами, корневой сертификат летит в бан быстро и решительно

Только в троянских браузерах. Коих, правда, большинство.

их браузеры больше использовать невозможно

Большинство пользуются смартфонами, частенько айфонами. Там с этим несколько сложнее (поставить сертификат в систему). А яндекс браузер гугл может выпнуть из магазина из-за mitm. Придётся ставить из apk, это не очень-то удобно. Особенно на айфонах. Правда, Apple сотрудничает с властями, но mitm может не понравиться и ей. Ведь до такого не опускаются даже в Китае.

Совпадений не бывает, потому что не бывает

В том-то и дело, что бывают совпадения. Очень странные, но совпадения. Тоже не раз был свидетелем и уже ничему не удивляюсь.
Оффтоп удалён.

А в итоге то кто сломал кран? ) Сорян за офтоп, не удержался…

А по теме - всегда надо задавать вопрос “зачем?”. Следить за каждым нет никакого смысла и это неэффективно. Если кому то митм и будут устраивать, то заранее известно кому, точечно.
На каждого Пашу и Наташу никто ни время, ни ресурсы тратить не будет.

Есть еще одна причина, по которой лично я отношусь ко всему этому с недоверием, чисто психологическая - это всеобщее вранье всех и вся. Лжет РКН по поводу замедления Ютуба (говоря, что это вина Гугл), лгут провайдеры (мой, например, прямо пишет на сайте, что “мы не знаем, почему Ютуб не работает, может, это серверы Гугл, может, это блокировки, но это точно не наше оборудование”). И во всем этом потоке лжи Кинетик белый и пушистый? Как-то не очень верится.

Это и главное.
Из-за полутора землекопов никто не будет городить сложную, описанную мной, схему. Ущерба сопутствующего и затрат больше, чем все эти пользователи “маргинальных” браузеров стоят, помноженные друг на друга (хотя, конечно, каждый пользователь “нетроянских браузеров” твердо уверен в своей великой ценности и огромной важности, а на самом деле, это просто вот такой у него “пунктик” - угорать-параноить, а другой человек угорает по какой-то иной теме, вот и вся разница).

На Android элементарно, а айфоны это меньше трети. Блокировку ютуба проглотили, а у него пользователей было поболее, чем владельцев айфонов, нерабочие айфоны тем более проглотят.

Вообще, все лгут, как говаривал один киношный врач. И даже я иногда это делаю (хотя, обычно, я, вместо того, чтобы прямо признавать или отрицать, показываю человеку, что его вопрос бессмысленный, например, “А это ты Сатоши Накамото?” - “Рассуди, если это не я, то я честно скажу “не я”, а если это я, то я совру, что это не я, ибо странно так долго скрываться, чтобы потом растрепать первому встречному, таким образом, ответ заранее известен, нет смысла спрашивать”).

Но есть, всё же разница между “явно лжёт” и “выглядит правдоподобно, но нет способа проверить”. В случае с ютубом ложь очевидна: если “коверканье” трафика (т.е. маршрут не меняется) восстанавливает работу сервиса, то причина явно не в перегруженных серверах. Это научный подход: если результат эксперимента противоречит гипотезе, то гипотеза очшибочна. Если кто-то настаивает на версии с серверами, то он обязан показать, каким образом эта гиипотеза с серверами объясняет наблюдаемые результаты.

В случае с Keenetic они предложили целых две разумные причины переезда инфраструктуры: действительно, есть законы, игнорирование которых грозит потерей одного из основных рынков (Keenetic это не ASUS, по всему миру у них присутствия нет: их рынок это СНГ, Турция и в какой-то степени Европа), и есть проблемы с доступом к Hetzner, на котором у них инфраструктура (например, ndss.keenetic.net, куда постоянно долбятся мои “пиратские” кинетики - в попытке это побороть я уже добрался до реверсинга и модификации системных библиотек и даже частично добился успеха, хотя, пока результаты можно описать как “минусы перевешивают плюсы”).

photo_2025-01-20_01-59-56847×433 79 KB

в попытке это побороть я уже добрался до реверсинга и модификации системных библиотек

Зачем юзать такие роутеры? Лучше поставить линукс на нетбук.

Затем, что роутер (сяомишный) у меня уже есть (и на KeeneticOS он работает стабильнее и лучше всего), а нетбука нет. Кроме того, мне совсем не мешают эти попытки, мне просто интересно от них избавиться, чтобы они не засоряли системный журнал, а заодно пореверсить что-то, отличное от x86. А вот пытаться из буханки хлеба слепить троллейбус - не интересно (то, что мне не интересно, я стараюсь не делать).

Мне тут накидали типа инсайдов, но я не знаю, кто источник (знаю, кто это кинул в личку мне, а вот кто кинул это тому, кто кинул мне - не знаю). Так что, относитесь к этому как к чьей-то фантазии, особенно к первой части, где фантазия очень бурная.

Часть один

Историческая справка: в KeeneticOS есть опциональный компонент DPI. Уже далеко не первый год. Занимается от классификацией и приоретизацией трафика, чтобы играм и всяким VOIP давать приоритет, а, скажем, файлообмену назначить приоритет пониже.

Screenshot 2025-01-21 at 02-57-46 Спальня – IntelliQoS my.keenetic.net_454×697 12.5 KB

Кстати, в вашей любимой OpenWrt такой опциональный компонент тоже есть. Теперь я буду при случае подкалывать оврт-шников тем, что у них DPI в роутере.

Кинетиковский IntelliQoS основан на сторонней разработке R&S®PACE 2, именно эта контора создаёт новые сигнатуры, улучшает существующие и так далее.

В последней бета-версии KeeneticOS бинарник ntce-pace2 переименовали в ntced. Источник высказывает догадку, что это связано с переименованием российского ООО “Кинетик” в ООО “Неткрейз”. Якобы, чтобы не привлекать внимание европейской компании к факту, что они продают DPI “грязным русским”

Так что, если кто-то хочет подгадить компании, поднимайте шум в Европе, что, мол эти русские годами лицензируют ваши высокие технологии. В принципе, можно было вообще это не публиковать (высасывать из смены названия бинарника (!) целую теорию - это мощно), но потом опять будут говорить, что я на зарплате у Кинетика, администрации президента и монгольской разведкии разом, скрываю ПРАВДУ и ИСТИНУ.

Часть два

От того же источника подъехало ещё одно объяснение того, зачем Keenetic нужен развод россиян с европейцами (помимо проблем, описанных где-то в предыдущих постах этой темы) и вынос россиян в отдельный бренд. Обход санкций. Те, кто смотрят передачи Соловьёва по ТВ, знают, что санкции не работают. Они не работают настолько, что даже Китай понемногу начал их соблюдать с начала 2024 года, опасаясь вторичных санкций. Соблюдает не на 100%, но, всё же, заметно (видит бог, я бы не писал про санкции вообще, если бы это не требовалось для понимания контекста, так что вы уж постарайтесь не развести политсрач). Есть слушок, что Keenetic под этим соусом китайцы отказали в поставках свежих чипов MTK. Поэтому “токсичное русское ООО” будет как бы отдельно и с другим именем, а Keenetic формально полностью европейской компанией - “Какие россияне, уважаемый Ляо? Это какой-то “Неткрейз”, они не с нами, а мы “Кинетик”, дайте нам чипы”.

называть QoS dpi - это пять, я бы за такое модерства лишил=)

https://openwrt.org/docs/guide-user/network/traffic-shaping/packet.scheduler

firefox_BwwW2hTHDW935×75 11.1 KB

define Package/l7-protocols/description
l7-filter classifies packets based on patterns in application
layer data. This allows correct classification of P2P traffic that
uses unpredictable ports as well as standard protocols running on
non-standard ports.

Ой, “это другое”? А по описанию ну прямо вылитое “protocol and application classification engine”, как в кинетике. Но не путайте, тут свобода, а в кинетике клятый “Next-gen DPI engine”.

Слушай, а ловко ты это придумал, перескочив с qos на пакеты шейпинга трафика

кстати они полностью для любых моделей servicepass перестали давать? или только для некоторых особо популярных?
интересно что до проши 2.04 включительно, servicepass и не нужен чтоб компоненты полноценно работали. достаточно кашерного servicetag (не просто правильного но и небаненого с их стороны)

На сайте кинетик появился большой FAQ по поводу переименования и перехода на новую инфраструктуру Keenetic
Вкратце понял только, что если ваш кинетик куплен на территории Евразийского Экономического Союза, причём неважно в какой стране был куплен и в какой по факту используется, будь то РФ, Беларусь, Армения, Казахстан и тп, переход для вас обязателен. Если куплен в ЕС и используется в ЕС, тогда ничего делать не нужно, всё останется как было. Если не выполнить перенос, то с 1 марта все устройства на территории ЕАЭС продолжат работать, но в кастрированном виде. Мобильное приложение и удалённое управление станут недоступны.
Больше всего напрягают фразы, которые почти в каждом ответе звучат одинаково в разных словосочетаниях.

Хз даже, переходить или нет.

в mtd1 RU надо менять на не вполне понятно что.
а дальше 50на50 с российских ip будет или нет
но то что RU из mtd1 при обращению к серваку используется факт

именно так. и тут уж точно по ip и самой приложухе будут сечь

А почему тогда осталась статья по установке entware? Ну благодаря ей пользователь сможет развернуть entware и установить запрет, что своего рода тоже обход не ультимативное решение как впн, но доступ к заблокированным порталам не по IP даст

Потому что Роскомнадзор не требует удалять поддержку Entware.

А вот к тем, кто размещает инструкции по обходу блокировок, Роскомнадзор приходит с требованием их удалить, а за неудаление предусмотрена административная ответственность (и оборотные штрафы в случае рецидива).

Если вас интересует, почему Роскомнадзор не блокирует доступ к entware.net и, например, к прочим репозиториям дистрибутивов Linux, а также не требует удалить из дистрибутивов Linux поддержку репозиториев (Entware в Keenetic так-то не то, чтобы сильно отлиичается, скажем, от репозиториев Ubuntu - и там, и там есть возможность установить из родного или стороннего репозитория что-то эдаков) спросите об этом у Роскомнадзора.