vasek00

При схеме которая и без разницы в каком режиме Keenetic2 работает, ВАЖНО настроить/проверить маршрут по умолчанию на Keenetic2 он должен указывать на IP адрес Keenetic2 Интернет---Keenetic1[LAN]----[LAN]Keenetic2 На странице WEB Keenetic2 - по умолчанию и 0.0.0.0/0. ОБЯЗАТЕЛЬНО должен быть выбран интерфейс тот который Домашняя сеть, а не любой. Для работы DNS для локальных сервисов Keenetic2 так же указать IP адрес от Keenetic1. По конф файлу на Keenetic2 это две строчки (сам Keenetic2 например IP 192.168.1.2) ip name-server 192.168.1.1 ip name-server 192.168.1.1 "" on Home где Home это то "interface Bridge0" interface Bridge0 rename Home description HomeLan В итоге все устройства и клиенты в одном сегменте и Keenetic2 - просто switch. Интернет---Роутер[LAN]------[LAN]Keenetic1[LAN]----[LAN]Keenetic2 То на любом из Keenetic нужно проделать - маршрут по умолчанию и DNS указать на IP роутера. DHCP сервер тут по барабану где, но желательно один, настройки на нем для клиентов указать шлюзом/DNS естественно адрес того устройства на котором выход в интернет. Вариант можно поднять на Keebetic1 тогда в его настройках указать 192.168.1.1 и шлюзом и DNS.

подключение получается без доступа в интернет. - что значит без доступа ? Гадать, что у вас и как это к шаманам, если с selftest то это к ТП, если тут на форуме то нужно данных по более. Начните с того что берете ТД и подключаете ее к основному роутеру на прямую коротким кабелем и смотрите.

В данном случае - нет нечего такого сложного, если смог написать батник, то сможет и в конф поправить.

Это да. Но когда роутер настроен и работает, то правильней сохранить конф файл тек.настроек -> он файл всегда под рукой.

Быстрее удалить в конф файле нужный блок, где он можно посмотреть чуть выше. Да потом придется залить конф обратно.

А зачем НАБИВАТЬ в батник, если можно быстрее в конф файл ip policy Policy3 route 142.250.0.0 255.254.0.0 Wireguard0 auto reject или в основном ip route 142.250.0.0 255.254.0.0 Wireguard0 auto reject !yt1 копируете данную строку n-раз (или "route <> Wireguard0 auto reject") и потом НАБИВАЕТЕ сами маршруты сразу в конф файл.

Осмыслите еще раз порядок действий. Начните с сохранения selftest файла, поиска в нем ваших интерфейсов (относящихся к сегментам). B еще раз прочитать/посмотреть https://help.keenetic.com/hc/ru/articles/360001434079-Настройка-правил-межсетевого-экрана-из-командного-интерфейса но начните с и картинка. security-level, no-isolation не помогают. Видимо, есть какое-то ключевое условие, которое я не делаю, а оно нигде не описывается. Cразу вопрос что в итоге имеете или обратитесь тогда в ТП с приложенном файлом selftest.

На локальном ПК ( в сети так же несколько) берем готовый html (можно и в закладки) <!DOCTYPE html> <html> <head><meta charset="utf-8"><title>Keenetic</title></head> <body> <a href="https://ffffffffffffffffffffffb.keenetic.io/login?backUrl=%2Fdashboard" title="Переход на Giga1">Место1<br></a> <a href="https://dfffffffffffffffffffff9.keenetic.io/login?backUrl=%2Fdashboard" title="Переход на Giga2">Место2<br></a> <a href="https://7ffffffffffffffffffffff6.keenetic.io/login?backUrl=%2Fdashboard" title="Переход на Giga3">Место3<br></a> </body> </html> и без разницы где он хоть локально, хоть не локально.

Ну я так и подозревал. Еще вопрос, а если вообще нет интернета то гости не придут?

Как раз жестко

А не проще гостей не пускать в сеть. Есть же у них свой 4G/5G или я неверное не догоняю сегодня эта фишка такая "приходят гости и с 4G/5G обязательно должны переключится на гостевой Wifi" они же в гости пришли, а не в интернете тусоваться.

Как и написано выше, можно по .io (достаточно посмотреть в selftest файл роутера), если смотреть не хочется то https://rmm.netcraze.ru/sites регистрация устройств (хоть в mesh хоть не в mesh, хоть ТД) - выбор устройства и в правом углу надпись "Веб интерфейс" если навести мышку то в левом низу будет видна ссылка, если на жать то попадаете на нужный/выбранный роутер - где в браузере будет так же ссылка ( https://7........6.keenetic.io )

При настройке WG вы делали правила firewall для данного интерфейса - либо ip или TCP+UDP, не пробовали добавить icmp.

https://help.keenetic.com/hc/ru/articles/360001434079-Настройка-правил-межсетевого-экрана-из-командного-интерфейса

Подправил под 4.3. Вариант когда клиент в своем профиле. Получим первое упоминание для блока его правил по MAC и прибавим +1 iptables -t mangle -L --line-numbers | awk '/E8:_MAC_CLIENTA_:74/ {print $1; exit}' получил номер первого упоминнаия -> +1 = 58 iptables -t mangle -I _NDM_HOTSPOT_PRERT 58 -m mac --mac-source E8:_MAC_CLIENTA_:74 -m dscp --dscp 0x3f -j MARK --set-xmark 0xffffaab/0xffffffff В итоге, нужное правило dcp = 63 или 0x3f (профиль для него 0хffffaab), чтоб оно было после основного правила для профиля (0хffffaaa). Данный раздел ниже это весь блок для данного клиента, что у него и куда. 57 MARK all -- anywhere anywhere MAC E8:_MAC_CLIENTA_:74 MARK set 0xffffaaa 58 MARK all -- anywhere anywhere MAC E8:_MAC_CLIENTA_:74 DSCP match 0x3f MARK set 0xffffaab 59 CONNMARK all -- anywhere anywhere MAC E8:_MAC_CLIENTA_:74 CONNMARK save 60 RETURN all -- anywhere anywhere MAC E8:_MAC_CLIENTA_:74 Фишка так и осталась, но уже только при передаче по основному профилю и в момент приема на другом проф. Это уже на LAN клиенте.