Vlákno názorů k článku
CZ.NIC představil router Turris Omnia NG, má 10GbE porty a třípásmovou Wi-Fi od Jim - Jak je to dlouho, co tohle zařízení vyplo...

Vidíte, já mám podobně negativní zkušenost se Synology routerem (starší model - už nedohledám, už ho nemám). Přesto jsem na ně nezanevřel a občas to někomu doporučím.
Nicméně Turris Omnia mám radši - přijde mi, že tam mám nad věcmi větší kontrolu já, než výrobce.

> Nicméně Turris Omnia mám radši - přijde mi, že tam mám nad věcmi větší kontrolu já, než výrobce.

No a prave Turris OS je presne ten system, kde si vyrobca mysli, ze vie viac ako pouzivatel a v ramci updatu vypina sluzby co pouzivatel zapol a zapina tie, co pouzivatel vypol (dnsmasq, kresd). To, ze pouzivatel mohol mat na ten krok nejaky dovod ho absolutne nezaujima, ze to moze rozbit pouzivatelovi DNS nevadi, ved vyrobca to vie lepsie.

Takych incidentov, kde bolo treba hned zrana riesit zbytocny problem bolo viac. Turris isiel prec. Odvtedy je pokoj.

Btw, ten novy model uz vie rebootnut sam seba? Len sa tak pytam.

Já nevím, co jste s tím dělali. Mám ho doma a funguje už mnoho let bez ... potřeby něco řešit. Ano, pár aktualizací nebylo bezchybných, ale pokud dodržuji pár zásad používání, tak o něm nevím. Zatím se mi nic nevypnulo, restarty jsou v noci, kdy nic neběží když se něco rozbilo, tak většinou to bylo mojí vinou.

Ono je to totiž trochu i logické. Pokud chci používat automatiku (aktualizací) bez komplikací, tak musím pochopit, jak autoři zamýšleli pracovat se vším ostatním. Nemůžu očekávat, že budou schopni otestovat všechny možné usecase, které tam naseká každý, kdo si o sobě myslí, že je schopný admin, protože jako každá věc má své způsoby použití. Když nasekám ruční změny kde se dá, protože to přece jde, bez ohledu na integraci do systému, tak se to může rozbít. A nemám pocit, že by mne nastavená pravidla nějak omezovala v tom, co chci udělat. Ano, limitují mne v tom jkak to chci udělat. Ale to mne limituje každý systém. Například, nikdo se nevzteká, když mu ve Fedoře nefunguje /etc/network/in­terfaces z Debianu.

Uplne normalne som v luci vypol kresd a zapol dnsmasq. Neviem ako dnes, ale svojho casu Turris team dost tazko niesol, ako moze niekto nechciet tak cool vec ako je DNSSEC. To, ze s niektorymi ISP to nefungovalo akosi nebolo dolezite.

Zmena konfiguracie bola, ako keby som vo fedore urobil systemctl disable na jednu sluzbu a systemctl enable na inu; tiez by ma stvalo, keby bezny dnf update menil to, co je disabled a co ma byt enabled. Takze zase netreba fabulovat nieco o konfiguracii debianu vo fedore, ja z vas blbca tiez nerobim.

No a ta otazka k Moxu stale plati: uz sa vie rebootnut? Jeden Mox mam stale niekde v krabici, nech na nom skusam firmware aky chcem, ked bezi zopar dni, uz sa nerebootne. To znamena, ze akykolvek update skonci vytuhnutim a pouzivatel ho musi natvrdo odpojit od elektriky a znova pripojit. No dajte take nieco beznemu pouzivatelovi domov, nech ma nahodne rano nejaku neplanovanu cinnost.

Jen to muze byt bug, ktery se pritahne ze samotneho openwrt. Kdyz zapatrate, par takovych problemovych chovani kolem sluzeb i v samotnem openwrt dohledate.

OK, problém kresd versus dnsmasq jsem taky řešil nějakou dobu, ale vyřešil, už to velmi dlouho problém není. Nevím, jestli je to proto, že jsem to vyřešil, nebo proto, že to opravili. To fakt nevím... A ano, tato část problému je jen o vypnutí jedné služby, jak píšeš.

Ale to není vypnutý firewall, odemčená administrace a reboot během dne, ztráta konfigurace po upgrade a tak dále, co tu řešil někdo jiný. Ta poznámka o kompetentnosti admina je tak stále na místě, jen nejspíš ne na Tebe. Admin umí nastavit něco a dobrý admin to nastaví s ohledem na systém - Vezmi si to na příkladu toho dnsmasq. Admin by psal konfiguraci dnsmasq a vztekal se, že se mu přepisuje/nepou­žívá, protože OpenWRT má svoje hacky o kterých neví. „Vždyť dnsmasq se nastavuje takhle...“ Ale dobrý admin to umí nastavit i v tom OpenWRT.

S tím Moxem je to těžké. Mně se restartuje bez problému už od TurrisOS 6 z roku kolem 2022. Ale zdá se, že to není univerzální pravidlo. Ten SoC je prostě nějaký divný.

Nechápu proč mít na routeru automatické aktualizace, neplést s aktualizacema jako takovými.
Mám router Teltonika, který čas od času pár dnů po některé z aktualizacích začal haprovat až do stavu kdy se muselo resetovat nastavení.
Od té doby tomu dávám čas a jestli udělám upgrade firmwaru, tak na vyšší build který něco přidává. Ale to možná, někdy.
Pokud to klekne tak do toho nebuším kladivem. Pro takové případy mám rezervní a jednodušší router s Openwrt.
Taky mě zajímá odkud se bere v lidech jistota, že když dají za něco hodně peněz a je to nacpané spousta možnostma tak se to nerozsype. Není to právě naopak? Čím složitější hw tak je větší šanci že to klekne?

Nechápu proč mít na routeru automatické aktualizace
Důvod je stejný, jako všude jinde – když se objeví nějaká zejména bezpečnostní chyba, je potřeba ji mít záplatovanou dřív, než začne být masově zneužívána.

než začne být masově zneužívána
Což ale nemusí být nutně v první vlně automatické instalace, protože je také dobré vědět, že aktualizace není domršená víc, než původní systém. (Jako např. mazání home na jiném disku než C při aktualizaci Windows.)

Já jsem také o první vlně automatické aktualizace nic nepsal. Ale instalovat automaticky aktualizace třeba s dvoudenním odstupem je pořád automatická aktualizace, která docela slušně chrání před takovými útoky. Na rozdíl od aktualizace když mám čas, náladu a usoudím, že zrovna tuhle aktualizaci chci. Zrovna u Turrisu jsou ty možnosti kdy a jak se to má aktualizovat docela bohaté.

""Nechápu proč mít na routeru automatické aktualizace"
Důvod je stejný, jako všude jinde – když se objeví nějaká zejména bezpečnostní chyba, je potřeba ji mít záplatovanou dřív, než začne být masově zneužívána."

Smysl aktualizací chápu, to je triviální, ale nebylo to poprvé, kdy automatické aktualizace rozsypaly důležité systémy a způsobily škody za milióny. Podobně jako nezáplatované systémy někdo naboural a způsobil velkou škodu.
Rozumíme si kde je chyba?

Měl jsem na mysli případy, kdy router není potřeba aktualizovat tak často, třeba router na interní síti, který nemá přímý přistup na internet. A to může být případ právě tohoto Turrise, kdy uživatelé pod tlakem nákladné koupě si vytvoří představu že to zařízení musí být aktuální protože si to zaslouží (jak zařízení, tak uživatel). A pak pak se jim to rozsype s aktualizací, kterou nebylo potřeba dělat, protože changelog nikdo nečte.

7. 10. 2025, 08:34 editováno autorem komentáře

Smysl aktualizací chápu, to je triviální, ale nebylo to poprvé, kdy automatické aktualizace rozsypaly důležité systémy a způsobily škody za milióny. Podobně jako nezáplatované systémy někdo naboural a způsobil velkou škodu.
Je mnohem víc případů s mnohem většími dopady, kdy je problém v chybějící aktualizaci, než těch, kdy aktualizace způsobí problém.

Měl jsem na mysli případy, kdy router není potřeba aktualizovat tak často, třeba router na interní síti, který nemá přímý přistup na internet.
Pojem interní síť se používá špatně. Většina lidí pořád chápe pojem „interní síť“ v tom významu, který to mělo před třiceti lety, kdy byl „zlý nebezpečný Internet“ (tenkrát nás ani ve snu nenapadlo, že to může být tisíckrát horší); pak byla DMZ, kde byla obousměrná komunikace s internetem a byla snaha, aby tam bylo bezpečno, ale stejně to bylo radši oddělené; a pak byla interní síť, ze které se komunikovalo jenom ven a ta byla bezpečná.

No a interní síť je od té doby stále považována za bezpečnou – ale v drtivé většině SOHO sítí máte mobily návštěv, které jsou druhým koncem připojené k operátorovi; máte tam různé IoT, tiskárny, kde kdo tam má nějaké Windows 7 či 8.1… Takovou síť rozhodně není možné považovat za bezpečnou. Je to jen o malinko menší džungle, než internet tam venku.

Takže router v interní síti možná nebude napadnutelný v první vlně, kde se útočí přímo na veřejné adresy. A to ještě pokud na něj není nasměrován třeba portforwarding. Ale jakmile začnou napadená zařízení v síti hledat další síle útoku, je na ráně také.

A to může být případ právě tohoto Turrise, kdy uživatelé pod tlakem nákladné koupě si vytvoří představu že to zařízení musí být aktuální protože si to zaslouží (jak zařízení, tak uživatel).
To není pod tlakem nákladné koupě. To je prostě fakt, který platí pro všechna zařízení připojená v SOHO sítích – ta zařízení potřebují automatické aktualizace. To je to nejjednodušší, co se dá pro bezpečnost té sítě udělat.

A pak pak se jim to rozsype s aktualizací, kterou nebylo potřeba dělat, protože changelog nikdo nečte.
To je ale v pořádku, že ho nikdo nečte. V SOHO sítích k těm aktualizacím má docházet automaticky, není důvod ani znalosti posuzovat podle changelogu, zda je to potřeba. Stále platí, že je mnohem pravděpodobnější, že se to rozsype kvůli absenci aktualizací než kvůli tomu, že jsou zapnuté. Navíc podle changelogu stejně nepoznáte, jaké všechny to má bezpečnostní důsledky.

Pane Jirsák, vy jste dobrý pisálek, ale nechápete komunitu routeru Turris. To co jste napsal Vám sice hraje, ale neodpovídá situaci a zkušenostem uživatelů. Taky mám pocit, že jste hledačem pravdy, tj. jediného spravného řešení, které nebude fungovat ve firmě a v domácím prostředí dohromady.
Tak zkuste naslouchat lidem než tady začnete psát obecné žvásty.
Poroučím se.

8. 10. 2025, 12:33 editováno autorem komentáře