Denis P

поиск ваш друк, тем аналогичных уже как минимум 3)

добавить дефолтный маршрут и хотя-бы один dns в раздел интернет фильтры

на 5A5 актуально

Есть, sing-box-go

по прежнему stp, эта команда как раз призвана убрать возможные конфликты с STP на свичах (но принцип работы она не меняет, только "заворачивает" bpdu фреймы), задавать её нужно ручками и перезахватывать экстендеры, сверху небольшая опечатка, правильная команда mws stp encapsulation

перепроверил, всё работает, в режиме инкогнито на FF и chrome, на всякий случай приведу как это должно выглядеть в итоге https://user:password@rci.example.keenetic.pro/rci/show/system

тут исправьте на https:// еще в статье ошибка, авторизация будет basic, а не digest

не нужно, без этого всё будет работать Единственный минус, в вебе этих маршрутов видно не будет, только через show run

решения я вам написал сразу же, укажите адрес через веб интерфейс в разделе "интернет фильтры" значения берутся оттуда если dns-override отключен в файле resolv.conf будет только с 127.0.0.1 - потому что на 53 порту работает штатный dns-proxy если включен - в файл попадут адреса с этой страницы и будут использованы для резолва

Он всегда будет перезаписываться системой, не зависимо от опции. На 4.3 и выше команда применяется на лету.

Вероятно на одном из них включен opkg dns-override

нет, этот файл полностью управляется ndms, по этому и перезаписывается со стороны ndms, хотите вы этого или нет.

А не надо руками его трогать, указывайте адреса в разделе "интернет фильтры"

у пользователя через которого выполняете exec sh должен быть отмечен optware в правах

Дело в том что это как раз решает задачу с адресом из новой подсети на вашем свиче без необходимости создания нового сегмента на роутере) Дополнительная информация тут, пусть вас не смущает заголовок, это применимо не только к WAN https://help.keenetic.ru/hc/ru/articles/360003766140-Несколько-IP-адресов-на-WAN-псевдоним-IP