OpenWrt 25.12

Мой опыт с wireguard показал ровно наоборот, что пердолинга там ОЧЕНЬ много.

Из консьюмерских роутеров есть только один производитель. Начинается на M, заканчивается на k. Остальное не роутеры, а хрень под перепрошивку)

Пердолинг будет, когда надо сделать, чтобы он не просто ставился, но и работал. Или при обновлении, да?

Да нет, даже после мажорного обновления недавно (4.x -> 5.x) ничего не сломалось ☺️

А в чем был пердолинг

Мой опыт с wireguard показал ровно наоборот, что пердолинга там ОЧЕНЬ много.

Это сейчас много, потому что он не заводится без обходилок. А раньше просто указываешь нужный пир на кадом клиенте, раскидываешь нужные ключи и пользуешься. Вообще никаких проблем. Я даже себе инструкцию небольшую сделал как правильно все нужные данные сгенерировать.

Как бы с обычного линукса нормально заработало. На кинетике оно не работает при загрузке конфига, никак.

Вот вопрос:

• На Микротике можно любое-любое ПО поставить?
• Любой клиент для организации виртуальных частных сетей?
• Даже модифицированные форки или AWG или различные модификации vless и пр.?
• А серверные части?

На OpenWrt можно устанавливать всё что угодно:

• Есть готовые пакеты.
• Можно собрать пакеты самому.
• Можно просто бинарники запихнуть (хотя бы того же самого coak: ck-server/ck-client), и бинарники будут работать.
• Можно докер запустить, или vm на худой конец.

OpenWrt позволяет делать всё что угодно. Любая роль сетевого оборудования может быть реализована на OpenWrt.

Микротик - это очень хороший роутер, но только роутер (и только).

Эти вы про тех безруких, которых несколько лет ломали на ровном месте все кому не лень?
И которые до сих пор не могут реализовать в своих проприетарных «прошивках» поддержку VTI, которая давным-давно есть в том самом ядре Linux на котором они их пилят? Ну-ну.

На микротах уже несколько лет как контейнеры завезли. Но, честно говоря, это лютое ненужно.

роутер, как роутер и средство доступности интернета

Т.е., вместо того чтобы отдельно использовать роутер, как роутер и отдельно взять модем, плюс не забыть про отдельный блок с wifi берем монолит всё-в-одном и используем. Так почему бы к нему типичную роль не добавить, которая нужна в этих ваших интернетах - синхронизация данных между разными локациями? Прям напрашивается.

Люблю этот дистр. Легенда. Если они ещё и простейшую графику к нему прикрутят, то будет бомба. Главное силы на ерунду не распылять.

как роутер и отдельно взять модем, плюс не забыть про отдельный блок с wifi

Не совсем понимаю про какой модем идёт речь. Я бы и рад был бы взять ещё хороший свич к нему, но тот, который я считаю хорошим стоит не менее 5к долларов.

Так почему бы к нему типичную роль не добавить, которая нужна в этих ваших интернетах

Вам я не запрещаю, что угодно делать со своей железкой. Просто я стараюсь не давать важным сетевым устройствам доп возможности, так я вижу безопасность. Чем меньше дел (а сейчас уже этих дел, хоть попой ешь), тем меньше точек уязвимости.

Из консьюмерских роутеров есть только один производитель. Начинается на M, заканчивается на k.

Ваш позитивный опыт с le muzhik ещё не означает, что это универсальное средство. Если вам помогло, просто порадуйтесь, а не советуйте всем.

Просто я стараюсь не давать важным сетевым устройствам доп возможности, так я вижу безопасность. Чем меньше дел (а сейчас уже этих дел, хоть попой ешь), тем меньше точек уязвимости

Сollapsed core cloud agnostik single purpose broadcast domain architecture, увожаю.

Все верно. Ибо манагер для доустановки недостающих пакетов. Самый вменяемый способ обновить - прошивка. Это ембед, дядя.

Я концептуально скорее согласен. Но это же не микроконтроллеры о 16 килобайтах. В том же пыльном opkg спокойно фиксировали системные пакеты и можно было безопасно закрывать уязвимости приложух без деструктивных операций типа перезаписи всего флеша на каждый чих:

#!/bin/sh
/bin/opkg update 
PACKAGES=$(/bin/opkg list-upgradable | awk '{print $1}')
if [ -z "$PACKAGES" ]; then
	exit 0
else
	/bin/opkg install $PACKAGES
fi

Если на современном технологическом уровне так больше нельзя делать, то я согласен — не нужно!

wg в кинетике штатный, кагбе. если имеется в виду awg 2.0, которого в прошивке (пока?) нет, то да, определённый пердолинг присутствует (в основном связанный с тем, что логика эвентов ndm, вызывающих entware-хуки, довольно неординарная). тем не менее, при желании всё настраивается.

Обычный wg конфиг не заработал… Хотя на десктопе подхватился одним пинком.

Как бы с обычного линукса нормально заработало. На кинетике оно не работает при загрузке конфига, никак.

Я только с OpenWrt соединялся. До сих пор работает, ибо не блокируют на некоторые хосты. Можно из домашней сетки пинговать другую сеть даже ввиду того, что маршруты настроены.

Ну был мобильный роутер с 3G во времена когда это было модно)

Я сначала думал подпаяться на проц а потом глянул обем оперативки и так в столе он у меня и лежит.

На не самых дешманских моделях - да, можно. Контейнеры в лапки и вперёд. Поддерживай сам только это потом.

Микротик - это очень хороший роутер, но только роутер (и только).

А я где-то писал, что Mikrotik это хороший сервер?

Это хороший роутер с переносимой поддерживаемой единообразной конфигурацией, собранной в одном месте, а не размазанной тонким слоем по всей системе. Где можно просто запросить export и увидеть всё, что на нём настроено. И повторить это на другом устройстве. Как оно и должно быть на сетевых железках.

Любая роль сетевого оборудования может быть реализована на OpenWrt.

Любая. Но в поддержке это будет адом и работать будет так себе, всё на бедном ARM CPU вместо оффлоада на ASIC.

Но в поддержке это будет адом

Это же свободная прошивка.
Желающий сам прошивает свое устройство.
Сам устанавливает нужные ему пакеты.
Сам редактирует свои конфиги.
И ответственность тоже несет сам.

Впрочем как и любой свободный дистрибутив Линукс.

Сам себе оказываешь поддержку.
Ну еще можно на форуме вопрос задать… и самому себе ответить.

Если нужна поддержка, тогда да - микротик.
Микротик оказывает поддержку в России?

Речь не о поддержке производителя как таковой. А о поддержке инфраструктуры тобой - чтобы можно было спокойно обновлять оборудование, бэкапить конфиги. Чтобы можно было сходу разобраться, что на этом устройстве настроено и почему оно так работает. А не пытаться догадаться, что «вот где-то есть в глубине /etc текстовый файл, который ни в Luci, ни в uci не видно, удачи его найти». Это то, что отличает профессиональное оборудование от колхоза. Да, оно может делать меньше, чем OpenWRT, но то, что может - задокументировано и проверено.

Обновление OpenWRT это вообще цирк с конями и кучей методов (и ни одного нормального из них). И нет, упомянутый в новости ASU, где для обновления тебе надо пнуть их сервак, чтобы он собрал тебе образ это что угодно, только не нормальный.

Фальстарт на 3 дня - лучше бы подождали официального анонса.

Где можно просто запросить export и увидеть всё, что на нём настроено.

В OWRT есть сохранение настроек, например. Можно через архив, можно руками /etc/config сохранить. Благо, что есть универсальный интерфейс для настройки https://openwrt.org/docs/techref/uci и https://openwrt.org/docs/guide-user/base-system/uci

Архивация настроек тоже через uci настраивается. Можно, например, свои каталоги в архив добавить.

упомянутый в новости ASU, где для обновления тебе надо пнуть их сервак, чтобы он собрал тебе образ это что угодно, только не нормальный.

В чём проблема? Обновление RouterOS происходит почти так же, единственное отличие — образы собираются заранее.

Там штука в системных либах и прочих зависимостях при обновлении через манагер, что может привести к нежелательным результатам. С одной стороны, вроде да, так правильнее и все такое. С другой - почему не вести себя как обычный дистр и обновлять систему через apk. Хз, короче.

Полагаю, данный метод просто еще недоработан :)

В зависимости от сервера, который ещё и является отличной целью для атак https://habr.com/ru/news/865028/

Там штука в системных либах и прочих зависимостях при обновлении через манагер

Та же самая, что и во всех других дистрах. Но именно разработчки OpenWRT считают, что это проблема и не поддерживают даже обновления ядра через пакеты.

и обновлять систему через apk

Я только один раз столкнулся с ломанием системы при обновлении. Ну как ломание, сеть во время обновления падала, потому что какой-то связанный с рулением сетью пакет обновлялся и перезапускал демон. В итоге роутер переставал реагировать на внешние раздражители до рестарта по питанию. Пришлось собирать образ через imagebuilder и обновлять образом.

А так там обычно часто luci со всеми кусками обновляется и самодобавленный софт типа aria2c и bind-dig, например. Иногда приходится руками через ssh перезапускать rpcd, потому что вебморда начинает сыпать ошибками. Такое тоже пару раз было.

почему не вести себя как обычный дистр и обновлять систему через apk. Хз, короче.

Полагаю, данный метод просто еще недоработан :)

Потому что это не обычный дистр

# mount | head -n1
/dev/root on /rom type squashfs (ro,relatime,errors=continue)

Там есть вариант с ext4. И многие именно так его и устанавливают - на одноплатники или виртуалки

Когда в winbox нажимаешь «Download&Install» обращения к серверу обновлений не происходит что ли?

который ещё и является отличной целью для атак https://habr.com/ru/news/865028/

TL;DR: Нашли уязвимость. Закрыли уязвимость.

Происходит просто запрос к http серверу. Никаких моих данных туда не передаётся, в отличие от ASU, который передаст параметры системы, которую некий хост должен собрать для меня.

Также я могу скачать эти пакеты с сайта. Один раз, для всего.

TL;DR: Нашли уязвимость. Закрыли уязвимость

И найдут ещё немало. Принимать извне параметры билдера это опасная дорожка.

И раздел под overlay, куда всё и пишется.

/dev/root on /rom type squashfs (ro,relatime,errors=continue)
/dev/ubi0_7 on /overlay type ubifs (rw,noatime,assert=read-only,ubi=0,vol=7)

отличие от ASU, который передаст параметры системы

Можно подробнее, какие именно параметры? Список пакетов, архитектура? А как микротики то же самое передают?

Я только один раз столкнулся с ломанием системы

пакет обновлялся и перезапускал демон

роутер переставал реагировать

Иногда приходится руками через ssh перезапускать rpcd

Такое тоже пару раз было

пару раз было

Только один раз, ок :)

Та же самая, что и во всех других дистрах

/dev/root on /rom type squashfs

во всех других дистрах

Ок.

Это вообще никак не мешает, кроме дублирования занимаемого места

Потому что это не обычный дистр

Да не может быть. И как именно это мешает ему обновляться как все?

rpcd на работу роутера как роутера не влияет.

Обычный wg конфиг

от wg-quick был, поди?

Да.

lua имеет из коробки корутины, что позволяет эффективно писать на коленке сложную асинхронную логику. Посмотрел ucode, там ничего подобного пока нет. Наверное, openwrt это просто не требуется.

Где можно просто запросить export и увидеть всё, что на нём настроено. И повторить это на другом устройстве.

Не забыв поудалять статически забитые MAC-адреса, если они присутствуют. А присутствовать они могут иногда даже если ты явно их не забивал - плавали, знаем.

Не пойми неправильно - я к Mikrotik-у очень хорошо отношусь, но он хорош(у знающего человека) дома или в мелком ынтерпрайзе.

Тиражировать один конфиг на кучу ОДИНАКОВЫХ по железу роутеров - как-то в разы проще на Keenetic/OpenWRT.

Вышла новая версия OpenWrt 25.12.1

Множественные исправления в работе разнообразных железок.
Закрытие пачки CVE (спустя пару недель после предыдущего релиза, Карл!).
В общем, версия 25.12.0 была, по сути, бетой.

Security fixes

OpenWrt components (Trail of Bits audit, February 2026):

CVE-2026-30871: Stack buffer overflow in umdns DNS PTR query handling (HIGH)
CVE-2026-30872: Stack buffer overflow in umdns IPv6 reverse DNS lookup (HIGH)
CVE-2026-30873: Memory leak in jsonpath when processing strings, labels, and regexp tokens (LOW)
CVE-2026-30874: Command execution via PATH environment variable filter bypass in procd (LOW)

LuCI:

CVE-2026-32721: Possible XSS attack via malicious SSID in LuCI WiFi scan modal (HIGH)

Additional hardening from the same Trail of Bits audit (no CVE assigned):

odhcpd: fix stack buffer overflow in DHCPv6 Identity Association logging
procd: fix out-of-bounds write in cgroup path building and cgroup rule application

Где такой впс взять?

джастхост(дот)ру

Сейчас самая дешевая vps стоит 79 рублей.
Включает в себя:

• цпу: 1 шт.
• озу: 512мб.
• диск нвме: 5гб.
• сеть: 10мб/с
• ipv4: 1шт.
• ipv6: 1шт.

По нынешнему курсу - меньше $1 в мес.

ссылку на тариф - можно?