Александр Рыжов

Для интерактивного софта или служб, не требующих хук-скриптов /opt/etc/ndm.d/* вполне норм.

Вероятно, в сбоях по питанию роутера. Можно оценить по аптайму. Лечить симптомы – так себе стратегия.

https://github.com/Entware/Entware/wiki/Compile-packages-from-sources

Имелось в виду "к этому бриджу"? Боюсь, прошивка будет конфигурировать их без оглядки на дополнительные интерфейсы. Вон, для iptables есть хуки в /opt/etc/ndm/netfilter.d для сохранения кастомных правил. Ничего подобного для L2-уровня нет, насколько знаю. Вероятно, так и должно быть. Скорее всего DHCP навешивается на бридж, а не на конкретный tap-интерфейс.

Обновляются с периодичностью, пропорциональной свободному времени у авторов. Сейчас это примерно раз в полгода, значительные баги по мере выявления. Большая часть пакетов синхронизируется с OpenWrt, уникальная часть обновляется по при появления новых релизов у авторов. Если не секрет, поделитесь подробностями по интересующему пакету.

Т.е. команды выполняются без ошибок, но результата нет? К примеру: interface OpkgTap0 up ! interface Bridge0 include OpkgTap0

Здесь одна идея: интегрировать tun\tap интерфейс, который вы поднимаете в Entware, в логику прошивки. Включать\отключать этот интерфейс средствами прошивки вы не сможете, однако сможете использовать его в правилах файервола или роутинга в т.ч. прямо в веб-интерфейсе. В Entware настраиваете свой любимый tunnel/vpn/mesh софт на использование интерфейса opkgtun0 (строчными, без прописных), в моём примере это tinc: ~ # cat /opt/etc/tinc/tinc.conf … Interface = opkgtun0 ~ # cat /opt/etc/tinc/hosts/keenetic Subnet = 192.168.254.3/32 В CLI роутера необходимо добавить описание интерфейса. Логика прошивки полагается только на эту часть: interface OpkgTun0 description Tinc security-level public ip address 192.168.254.3 255.255.255.255 ip global auto ip tcp adjust-mss pmtu up ! system configuration save Обратите внимание, что адрес и подсеть вы задаёте дважды: при настройке софта в Entware и в CLI роутера. Всё! Если сетевой интерфейс работоспособен, можете использовать его на страницах веб-интерфейса: Интернет → Приоритеты подключений, Сетевые правила → Межсетевой экран, Сетевые правила → Переадресация портов, Сетевые правила → Маршрутизация (включая Маршруты DNS), Начните с этого.

Простите за занудство, это не уведомление о входе по SSH. Это уведомление о начале (только) интерактивного сеанса (только) пользователя root. Причём не важно, начат ли сеанс по SSH или нет. Пришедший с правильным паролем по SSH бот при выполнении ssh login@host 'command' следов не оставит.

Отсюда: Я понимаю это так, что AGH сначала ответит записью из кэша и только потом попытается её обновить. Во избежание побочных эффектов, я бы включал оптимистичное кэширование только в особых случаях с тормозными или нестабильными апстим DNS-серверами.

Косяк в синтаксисе. В аргументах rsync должно быть root@192.168.1.1/tmp/…

Может возможно knockd для этих целей приспособить?

Это был косяк с хостингом пакетов. Проверьте, сейчас доступен.

Windows умеет раскрашивать разными DSCP-метками трафик разных приложений. Можно этим воспользоваться.

Быстрый — попытаться установить нужный модуль из архива, Правильный — переписать зависимый софт, Нереальный — призвать назад мейнтейнера.

Точно. Я исходил из того, что таблицы роутинга вряд ли станут меняться без изменения статусов интерфейсов.