keenet07

В Мониторе трафика, если создать отдельную вкладку для устройства, то в легенде мы видим квадратики одного цвета для Приема и Передачи трафика, тогда как на самом графике они имеют разные цвета.

Подмените версию браузера с помощью расширения. У вас же браузер на Chrome?

Если для устройства или сегмента выбран Системный профиль в котором включен Транзит запросов, то наверное должно.

Дома, навряд ли. Точно WIFI не выключен программно с кнопки? Пробовали зажать и подержать?

Или радио сгорело. У меня такой валяется без WIFI

Можно. Нужно подублировать скрипты под каждый список и VPN. Сами настройки можно в одном конфиге прописать. Распакуйте пакет установки и разберетесь что к чему там.

https://forum.keenetic.com/discover/

Попробуйте запутать систему через перенаправление портов. Адреса сделайте левые и порты не стандартные.

Либо вы что-то упустили, либо какой-то баг появился. Отключаете контентный фильтр. Забиваете в соседней вкладке системные DNS. Ставите там в активном профиле ДНС галочку Транзит трафика. И обязательно перезагружаете устройство. Без перезагрузки транзит не применяется. Потому что задача контентного фильтра пропустить все запросы через себя и не дать воспользоваться обходными путями. Т.е. добиться своей задачи - фильтрации DNS запросов. Если вам этого не требуется, зачем активировать контентный фильтр?

В том что контентный фильтр перехватывает и не пропускает запросы на всякие левые DNS. В этом его функция. Если нужно чтоб всё проходило настройте системные DOH/DOT и поставьте галочку Транзит трафика.

Сама конструкция in/out думаю да. Не проверял применительно к VLAN. Если вы это на правиле для входящих пишите, то получается разрешить входящие с 10.133 на 3.18 Главное не запутаться в виланах и направлениях. permit ip 192.168.3.18 255.255.255.255 192.168.10.133 255.255.255.255 разрешить входяшие с 3.18 на 10.133 Одно запрещающее на IN другое на OUT (со стороны сервера). Чтоб соединение закрылось с обеих сторон. По идее. Но я всю эту конструкцию не проверял.

4.3.1. В боковом меню Анализатор трафика приложений сделали в две строки. )

Она игнорируется потому-что вы оба списка на входящие соединения (in) повесили и система обрабатывает первое. А должно быть: ip access-group _WEBADMIN_ISP in ip access-group _WEBADMIN_L2TP0 out Тогда и первая и вторая строки и соответственно и вкладки в интерфейсе будут работать.

ваше правило «разрешить TCP-соединения с любого источника на хост 192.168.5.3 порт 3389» на интерфейсе WAN. Для чего оно в этой вкладке для исходящего в интернет трафика? Вам нужно правило "запретить TCP-соединения с 192.168.5.3 на любой внешний, либо какой-то конкретный внешний". Это будет зеркальным правилом для вашего основного с помощью которого вы входящие на RDP запрещаете. Я надеюсь проброс порта то для соединения снаружи на вас RDP сервер сделан?

у кого? кто куда подключается? 192.168.5.3 это что?

Что касается самого правила, вам в любом случае придётся сначала выяснить IP адрес активного клиента RDP чтоб создать это зеркальное правило запрещающее со стороны сервера отправлять по порту RDP исходящие пакеты на адрес клиента. И делать это вручную в интерфейсе каждый раз, ну такое себе... А если создать правило на "любой" ip-адрес по порту RDP и включать его когда нужно экстренно выкинуть клиента с RDP (конечно на ряду со всеми прочими необходимыми для этого действиями). То наверное это вариант. главное не забыть что такое правило полностью запретит вам подключаться к любому RDP с WAN интерфейса. Ну и домашней сети тоже.

Куда вы там подключаться собрались? Как настроен VPN вообще роли не играет. Ну введите там что-нибудь произвольное. Включать его в интерфейсе подключений вам не нужно, от слова совсем. Просто создали и забудьте о нем. А лучше назовите его как-то понятно типа WAN out чтоб не путаться. Всё правила которые вы будете добавлять в эту вкладку "для VPN" будут применяться как для самого VPN, так и для исходящих на WAN (то что вам и требуется), если вы сделаете всё так как написано в том сообщении. Третий раз это повторять не буду. Возьмите да проверьте. Создайте правило блокировки для какого-то сайта по IP и попробуйте на него зайти.

Создается вкладка и access-list для VPN. А мы просто берем и второй строчкой прописываем в блоке WAN (интерфейсе) конфига этот самый access-list с параметром out, как показано в примере. И всё. Теперь всё правила которые создаются в этой вкладке применяются для исходящих на WAN интерфейсе и к VPN для входящих, но т.к. VPN у нас фейковый, чисто для создания структуры, роли это не играет. Внимательно почитайте, что там написано и разберитесь.

Если вы про мою ссылку, то описан способ выноса в веб-интерфейс в меню Межсетевой экран вкладки которая позволит создавать там правила для исходящих соединений на WAN. VPN там используется только для того чтоб создать в веб эту вкладку. Вам это нужно было для быстрого и удобного создания зеркального правила вместе с основным запрещающим входящие. (чтоб выбрать никнейм напишите @ и сразу начинайте писать никнейм как есть. @Bolt)

Или перестало работать какое-то другое устройство. ) Что там по соответствию пулу?

Стандартный размер пула 40 адресов, на моем кинетике по крайней мере. (у меня конфиг старый, может что-то уже поменялось). Если у вас вдруг в какой-то момент может стать больше 40, включая незарегистрированные, это теоретически может вызвать какой-нибудь эффект. Проверьте. Эта настройка меняется в веб-интерфейсе.

Пул устройств какой для подсети стоит? И сколько их фактически?

Т.е. даже перезагрузка роутера не помогает? А после сброса сразу начинают все работать? Сколько раз проверялся этот сценарий?

Проблема отсутствия интернета на устройстве также может быть связана с разными настройками DNS на устройствах. Убедитесь что все они у вас работают именно с DNS роутера.