keenet07

Да не факт. Небольшие жертвы ради чего-то полезного вполне допустимы.

Да, это планировал проверить. Но это всёравно не выход. Отдельные сегменты как-то в негативном плане влияют на работу других wifi устройств в сети, если бы не было лишних сегментов. Дробят эфирное время? Упадет максимальная скорость, отзывчивость? Ухудшатся какие-то другие характеристики WiFi сети?

Есть Смарт ТВ на Android TV 11. Подключен к роутеру по WPA3 в смешанном режиме WPA2/WPA3 (оба протокола нужны). Зарегистрирован на устройстве, имеет статический IP. На ТВ выбран режим реального MAC устройства.На момент настройки всё работает, интернет на устройстве есть. Стоит перезагрузить ТВ и он больше не может соединиться. На ТВ пароль сохранен. На роутере ошибка SAE key exchange fail, verify error и отказ соединения. Помогает только одновременная перезагрузка и ТВ и роутера. Тогда корректно создается связка ключей и подключается нормально. Почему может изменяться SAE ключ и почему не происходит согласования с роутером? В чем может быть причина? Можно ли это поправить со стороны прошивки роутера? Или это вопросы к прошивке ТВ, она к слову последняя. Какие пути решения? Есть другой Смарт ТВ на Google TV, там такой ошибки не возникает, всегда работает и подключается.

И всё. Ничего про компоненты. Может хоть статья по данному функционалу затрагивает этот момент? Тогда нужна ссылка на неё.

Никогда не пользовался им. Интересно есть там предупреждение, что изменение компонентов станет не доступно в этом режиме. А то уже становится критично. )

В Мониторе трафика, если создать отдельную вкладку для устройства, то в легенде мы видим квадратики одного цвета для Приема и Передачи трафика, тогда как на самом графике они имеют разные цвета.

Подмените версию браузера с помощью расширения. У вас же браузер на Chrome?

Если для устройства или сегмента выбран Системный профиль в котором включен Транзит запросов, то наверное должно.

Дома, навряд ли. Точно WIFI не выключен программно с кнопки? Пробовали зажать и подержать?

Или радио сгорело. У меня такой валяется без WIFI

Можно. Нужно подублировать скрипты под каждый список и VPN. Сами настройки можно в одном конфиге прописать. Распакуйте пакет установки и разберетесь что к чему там.

https://forum.keenetic.com/discover/

Попробуйте запутать систему через перенаправление портов. Адреса сделайте левые и порты не стандартные.

Либо вы что-то упустили, либо какой-то баг появился. Отключаете контентный фильтр. Забиваете в соседней вкладке системные DNS. Ставите там в активном профиле ДНС галочку Транзит трафика. И обязательно перезагружаете устройство. Без перезагрузки транзит не применяется. Потому что задача контентного фильтра пропустить все запросы через себя и не дать воспользоваться обходными путями. Т.е. добиться своей задачи - фильтрации DNS запросов. Если вам этого не требуется, зачем активировать контентный фильтр?

В том что контентный фильтр перехватывает и не пропускает запросы на всякие левые DNS. В этом его функция. Если нужно чтоб всё проходило настройте системные DOH/DOT и поставьте галочку Транзит трафика.

Сама конструкция in/out думаю да. Не проверял применительно к VLAN. Если вы это на правиле для входящих пишите, то получается разрешить входящие с 10.133 на 3.18 Главное не запутаться в виланах и направлениях. permit ip 192.168.3.18 255.255.255.255 192.168.10.133 255.255.255.255 разрешить входяшие с 3.18 на 10.133 Одно запрещающее на IN другое на OUT (со стороны сервера). Чтоб соединение закрылось с обеих сторон. По идее. Но я всю эту конструкцию не проверял.

4.3.1. В боковом меню Анализатор трафика приложений сделали в две строки. )

Она игнорируется потому-что вы оба списка на входящие соединения (in) повесили и система обрабатывает первое. А должно быть: ip access-group _WEBADMIN_ISP in ip access-group _WEBADMIN_L2TP0 out Тогда и первая и вторая строки и соответственно и вкладки в интерфейсе будут работать.

ваше правило «разрешить TCP-соединения с любого источника на хост 192.168.5.3 порт 3389» на интерфейсе WAN. Для чего оно в этой вкладке для исходящего в интернет трафика? Вам нужно правило "запретить TCP-соединения с 192.168.5.3 на любой внешний, либо какой-то конкретный внешний". Это будет зеркальным правилом для вашего основного с помощью которого вы входящие на RDP запрещаете. Я надеюсь проброс порта то для соединения снаружи на вас RDP сервер сделан?

у кого? кто куда подключается? 192.168.5.3 это что?

Что касается самого правила, вам в любом случае придётся сначала выяснить IP адрес активного клиента RDP чтоб создать это зеркальное правило запрещающее со стороны сервера отправлять по порту RDP исходящие пакеты на адрес клиента. И делать это вручную в интерфейсе каждый раз, ну такое себе... А если создать правило на "любой" ip-адрес по порту RDP и включать его когда нужно экстренно выкинуть клиента с RDP (конечно на ряду со всеми прочими необходимыми для этого действиями). То наверное это вариант. главное не забыть что такое правило полностью запретит вам подключаться к любому RDP с WAN интерфейса. Ну и домашней сети тоже.

Куда вы там подключаться собрались? Как настроен VPN вообще роли не играет. Ну введите там что-нибудь произвольное. Включать его в интерфейсе подключений вам не нужно, от слова совсем. Просто создали и забудьте о нем. А лучше назовите его как-то понятно типа WAN out чтоб не путаться. Всё правила которые вы будете добавлять в эту вкладку "для VPN" будут применяться как для самого VPN, так и для исходящих на WAN (то что вам и требуется), если вы сделаете всё так как написано в том сообщении. Третий раз это повторять не буду. Возьмите да проверьте. Создайте правило блокировки для какого-то сайта по IP и попробуйте на него зайти.

Создается вкладка и access-list для VPN. А мы просто берем и второй строчкой прописываем в блоке WAN (интерфейсе) конфига этот самый access-list с параметром out, как показано в примере. И всё. Теперь всё правила которые создаются в этой вкладке применяются для исходящих на WAN интерфейсе и к VPN для входящих, но т.к. VPN у нас фейковый, чисто для создания структуры, роли это не играет. Внимательно почитайте, что там написано и разберитесь.

Если вы про мою ссылку, то описан способ выноса в веб-интерфейс в меню Межсетевой экран вкладки которая позволит создавать там правила для исходящих соединений на WAN. VPN там используется только для того чтоб создать в веб эту вкладку. Вам это нужно было для быстрого и удобного создания зеркального правила вместе с основным запрещающим входящие. (чтоб выбрать никнейм напишите @ и сразу начинайте писать никнейм как есть. @Bolt)