Александр Рыжов

Скачайте новый установочный архив. Детали есть здесь.

Для доп. софта с автозапуском единственный путь — пересобрать прошивку с помощью SDK, добавив всё необходимое. НО: a) SDK обновляют когда на это есть время, б) Для обновления прошивки придётся снова собирать свежую версию и заливать через recovery. Пункты на вашем скрине (и на других моделях без USB) как раз для этого, довольно специфичного случая.

В какой прошивке? В 5.0.8 на Ultra (NC-1812) такого пути нет. ЗЫ Я бы не стал хардкодить полный путь до модулей на случай смены релиза версии ядра. Сделал бы /lib/modules/$(uname -r)/xt_NFLOG.ko

Причина: Использовался устаревший установочный файл, в новом dropbear ключей ecdsa больше нет. Решение: Использовать актуальный файл https://bin.entware.net/aarch64-k3.10/installer/aarch64-installer.tar.gz

Для интерактивного софта или служб, не требующих хук-скриптов /opt/etc/ndm.d/* вполне норм.

Вероятно, в сбоях по питанию роутера. Можно оценить по аптайму. Лечить симптомы – так себе стратегия.

https://github.com/Entware/Entware/wiki/Compile-packages-from-sources

Имелось в виду "к этому бриджу"? Боюсь, прошивка будет конфигурировать их без оглядки на дополнительные интерфейсы. Вон, для iptables есть хуки в /opt/etc/ndm/netfilter.d для сохранения кастомных правил. Ничего подобного для L2-уровня нет, насколько знаю. Вероятно, так и должно быть. Скорее всего DHCP навешивается на бридж, а не на конкретный tap-интерфейс.

Обновляются с периодичностью, пропорциональной свободному времени у авторов. Сейчас это примерно раз в полгода, значительные баги по мере выявления. Большая часть пакетов синхронизируется с OpenWrt, уникальная часть обновляется по при появления новых релизов у авторов. Если не секрет, поделитесь подробностями по интересующему пакету.

Т.е. команды выполняются без ошибок, но результата нет? К примеру: interface OpkgTap0 up ! interface Bridge0 include OpkgTap0

Здесь одна идея: интегрировать tun\tap интерфейс, который вы поднимаете в Entware, в логику прошивки. Включать\отключать этот интерфейс средствами прошивки вы не сможете, однако сможете использовать его в правилах файервола или роутинга в т.ч. прямо в веб-интерфейсе. В Entware настраиваете свой любимый tunnel/vpn/mesh софт на использование интерфейса opkgtun0 (строчными, без прописных), в моём примере это tinc: ~ # cat /opt/etc/tinc/tinc.conf … Interface = opkgtun0 ~ # cat /opt/etc/tinc/hosts/keenetic Subnet = 192.168.254.3/32 В CLI роутера необходимо добавить описание интерфейса. Логика прошивки полагается только на эту часть: interface OpkgTun0 description Tinc security-level public ip address 192.168.254.3 255.255.255.255 ip global auto ip tcp adjust-mss pmtu up ! system configuration save Обратите внимание, что адрес и подсеть вы задаёте дважды: при настройке софта в Entware и в CLI роутера. Всё! Если сетевой интерфейс работоспособен, можете использовать его на страницах веб-интерфейса: Интернет → Приоритеты подключений, Сетевые правила → Межсетевой экран, Сетевые правила → Переадресация портов, Сетевые правила → Маршрутизация (включая Маршруты DNS), Начните с этого.

Простите за занудство, это не уведомление о входе по SSH. Это уведомление о начале (только) интерактивного сеанса (только) пользователя root. Причём не важно, начат ли сеанс по SSH или нет. Пришедший с правильным паролем по SSH бот при выполнении ssh login@host 'command' следов не оставит.

Отсюда: Я понимаю это так, что AGH сначала ответит записью из кэша и только потом попытается её обновить. Во избежание побочных эффектов, я бы включал оптимистичное кэширование только в особых случаях с тормозными или нестабильными апстим DNS-серверами.

Косяк в синтаксисе. В аргументах rsync должно быть root@192.168.1.1/tmp/…

Может возможно knockd для этих целей приспособить?