vasek00

Учтите что Samsung принимает решение начать миграцию при уровнях на нем RSSI -75/-76. rssi-threshold -80 Это команда так сказать "отстрела" приводит к отключению (не видит текущей точки), а если есть рядом сигнал/маяки от других то ПОДКЛЮЧЕНИЕ к ним. Улучшить в таком случае это уменьшить сигнал 5GHz. В свое время проверял Band Steering, но приоритет ставил на 5GHz т.е. для обратного из зоны 2.4 в зону 5. Если хотите понять что и как то поставьте analiti там есть Handover как раз и будет все видно что и как и когда.

При схеме которая и без разницы в каком режиме Keenetic2 работает, ВАЖНО настроить/проверить маршрут по умолчанию на Keenetic2 он должен указывать на IP адрес Keenetic2 Интернет---Keenetic1[LAN]----[LAN]Keenetic2 На странице WEB Keenetic2 - по умолчанию и 0.0.0.0/0. ОБЯЗАТЕЛЬНО должен быть выбран интерфейс тот который Домашняя сеть, а не любой. Для работы DNS для локальных сервисов Keenetic2 так же указать IP адрес от Keenetic1. По конф файлу на Keenetic2 это две строчки (сам Keenetic2 например IP 192.168.1.2) ip name-server 192.168.1.1 ip name-server 192.168.1.1 "" on Home где Home это то "interface Bridge0" interface Bridge0 rename Home description HomeLan В итоге все устройства и клиенты в одном сегменте и Keenetic2 - просто switch. Интернет---Роутер[LAN]------[LAN]Keenetic1[LAN]----[LAN]Keenetic2 То на любом из Keenetic нужно проделать - маршрут по умолчанию и DNS указать на IP роутера. DHCP сервер тут по барабану где, но желательно один, настройки на нем для клиентов указать шлюзом/DNS естественно адрес того устройства на котором выход в интернет. Вариант можно поднять на Keebetic1 тогда в его настройках указать 192.168.1.1 и шлюзом и DNS.

подключение получается без доступа в интернет. - что значит без доступа ? Гадать, что у вас и как это к шаманам, если с selftest то это к ТП, если тут на форуме то нужно данных по более. Начните с того что берете ТД и подключаете ее к основному роутеру на прямую коротким кабелем и смотрите.

В данном случае - нет нечего такого сложного, если смог написать батник, то сможет и в конф поправить.

Это да. Но когда роутер настроен и работает, то правильней сохранить конф файл тек.настроек -> он файл всегда под рукой.

Быстрее удалить в конф файле нужный блок, где он можно посмотреть чуть выше. Да потом придется залить конф обратно.

А зачем НАБИВАТЬ в батник, если можно быстрее в конф файл ip policy Policy3 route 142.250.0.0 255.254.0.0 Wireguard0 auto reject или в основном ip route 142.250.0.0 255.254.0.0 Wireguard0 auto reject !yt1 копируете данную строку n-раз (или "route <> Wireguard0 auto reject") и потом НАБИВАЕТЕ сами маршруты сразу в конф файл.

Осмыслите еще раз порядок действий. Начните с сохранения selftest файла, поиска в нем ваших интерфейсов (относящихся к сегментам). B еще раз прочитать/посмотреть https://help.keenetic.com/hc/ru/articles/360001434079-Настройка-правил-межсетевого-экрана-из-командного-интерфейса но начните с и картинка. security-level, no-isolation не помогают. Видимо, есть какое-то ключевое условие, которое я не делаю, а оно нигде не описывается. Cразу вопрос что в итоге имеете или обратитесь тогда в ТП с приложенном файлом selftest.

На локальном ПК ( в сети так же несколько) берем готовый html (можно и в закладки) <!DOCTYPE html> <html> <head><meta charset="utf-8"><title>Keenetic</title></head> <body> <a href="https://ffffffffffffffffffffffb.keenetic.io/login?backUrl=%2Fdashboard" title="Переход на Giga1">Место1<br></a> <a href="https://dfffffffffffffffffffff9.keenetic.io/login?backUrl=%2Fdashboard" title="Переход на Giga2">Место2<br></a> <a href="https://7ffffffffffffffffffffff6.keenetic.io/login?backUrl=%2Fdashboard" title="Переход на Giga3">Место3<br></a> </body> </html> и без разницы где он хоть локально, хоть не локально.

Ну я так и подозревал. Еще вопрос, а если вообще нет интернета то гости не придут?

Как раз жестко

А не проще гостей не пускать в сеть. Есть же у них свой 4G/5G или я неверное не догоняю сегодня эта фишка такая "приходят гости и с 4G/5G обязательно должны переключится на гостевой Wifi" они же в гости пришли, а не в интернете тусоваться.

Как и написано выше, можно по .io (достаточно посмотреть в selftest файл роутера), если смотреть не хочется то https://rmm.netcraze.ru/sites регистрация устройств (хоть в mesh хоть не в mesh, хоть ТД) - выбор устройства и в правом углу надпись "Веб интерфейс" если навести мышку то в левом низу будет видна ссылка, если на жать то попадаете на нужный/выбранный роутер - где в браузере будет так же ссылка ( https://7........6.keenetic.io )

При настройке WG вы делали правила firewall для данного интерфейса - либо ip или TCP+UDP, не пробовали добавить icmp.

https://help.keenetic.com/hc/ru/articles/360001434079-Настройка-правил-межсетевого-экрана-из-командного-интерфейса

Подправил под 4.3. Вариант когда клиент в своем профиле. Получим первое упоминание для блока его правил по MAC и прибавим +1 iptables -t mangle -L --line-numbers | awk '/E8:_MAC_CLIENTA_:74/ {print $1; exit}' получил номер первого упоминнаия -> +1 = 58 iptables -t mangle -I _NDM_HOTSPOT_PRERT 58 -m mac --mac-source E8:_MAC_CLIENTA_:74 -m dscp --dscp 0x3f -j MARK --set-xmark 0xffffaab/0xffffffff В итоге, нужное правило dcp = 63 или 0x3f (профиль для него 0хffffaab), чтоб оно было после основного правила для профиля (0хffffaaa). Данный раздел ниже это весь блок для данного клиента, что у него и куда. 57 MARK all -- anywhere anywhere MAC E8:_MAC_CLIENTA_:74 MARK set 0xffffaaa 58 MARK all -- anywhere anywhere MAC E8:_MAC_CLIENTA_:74 DSCP match 0x3f MARK set 0xffffaab 59 CONNMARK all -- anywhere anywhere MAC E8:_MAC_CLIENTA_:74 CONNMARK save 60 RETURN all -- anywhere anywhere MAC E8:_MAC_CLIENTA_:74 Фишка так и осталась, но уже только при передаче по основному профилю и в момент приема на другом проф. Это уже на LAN клиенте.

Проверил на 4.3 (чуток изменения) и вот такую картину получил #!/bin/sh [ "$table" != "mangle" ] && exit 0 if [ -z "$(iptables-save | grep 'dscp')" ]; then iptables -t mangle -I _NDM_HOTSPOT_PRERT -m mac --mac-source e0:клиент_ПК:e0 -j RETURN iptables -t mangle -I _NDM_HOTSPOT_PRERT -m mac --mac-source e0:клиент_ПК:e0 -j CONNMARK --save-mark --nfmask 0xffffffff --ctmask 0xffffffff iptables -t mangle -I _NDM_HOTSPOT_PRERT -m mac --mac-source e0:клиент_ПК:e0 -m dscp --dscp 0x3f -j MARK --set-xmark 0xffffaab/0xffffffff iptables -t mangle -I _NDM_HOTSPOT_PRERT -m mac --mac-source e0:клиент_ПК:e0 -j MARK --set-xmark 0xffffaaa/0xffffffff fi exit 0 Для dscp 0х3f сервиса клиента выбран канал Inet-2, сервис для проверки torrent на клиенте ПК по wifi и проф. aab. Все остальное с данного клиента в aaa (на данном профиле поднят только WG который на канале РТ). Итог все работает, но есть маленькая фишка, падение скорости на канале Inet-2 во время работы по другому.

На пороге 2025год и на сегодня в прошивки все есть для реализации - "Создание политики обслуживания клиента" или можно назвать по другому. В моем случае есть два канала хотелось бы завернуть приложение клиента на Windows через канал отличный от default канала клиента. На Windows клиенте ставим метку на нужный сервис/приложение, а роутер по этой метке отправляет пакетики в нужный нам канал Ранее делал так [ "$table" != "mangle" ] && exit 0 if [ -z "$(iptables-save | grep 'dscp')" ]; then iptables -t mangle -I _NDM_HOTSPOT_PRERT -i br0 -s 192.168.1.2/32 -j RETURN iptables -t mangle -I _NDM_HOTSPOT_PRERT -i br0 -s 192.168.1.2/32 -j CONNMARK --save-mark iptables -t mangle -I _NDM_HOTSPOT_PRERT -i br0 -s 192.168.1.2/32 -j MARK --set-mark 0xffffaaa iptables -t mangle -I _NDM_HOTSPOT_PRERT -i br0 -s 192.168.1.2/32 -m dscp --dscp 63 -j MARK --set-mark 0xffffaab fi т.е. политика1 "--set-mark 0xffffaaa" (будет основная) и политика2 для приложения на клиенте "--set-mark 0xffffaab" (будет вторая). Именно в такой последовательности, так как правила iptables будут сначала для "0xffffaab", а потом для "0xffffaaa". Сам клиент должен находится в основном профиле. Сейчас в 4.3 опять хотелось бы вернуться к этой "плюшке", но нужен USB порт и Entware. Не плохо бы иметь возможность реализации хотя бы через cli то было бы хорошо.

Опытным путем выяснил, что IP "зависает" от другого соединения. При наличие нескольких каналов/интерфейсов то это перестройка маршрута, т.е. смена одного default (выход в интернет) на другой. На пальцах пров.1 (основной/интерфейс ppp0) и пров2 (резервный/интерфейс eth2.9). Вариант 1 когда на основном то имеем default на ppp0 (пров1) ~ # ip ro default dev ppp0 scope link 10.IP_пров2.0/24 dev eth2.9 proto kernel scope link src IP_от_Интерфейс_eth2.9 xxx.xxx.xxx.1 dev ppp0 proto kernel scope link src IP_от_Интерфейс_ppp0 ... Вариант 2 когда на другом провайдере то имеем смену default (тут просто смена в основной политики каналов/местами, второй выше первого) ~ # ip ro default via 10.IP_пров2.1 dev eth2.9 10.IP_пров2.0/24 dev eth2.9 proto kernel scope link src IP_от_Интерфейс_eth2.9 xxx.xxx.xxx.1 dev ppp0 proto kernel scope link src IP_от_Интерфейс_ppp0 ... Вариант 3 - настройка выбора интерфейса через параметр "ip global _ПРИОРИТЕТ_", т.е. чем цифра выше -> имеем приоритет на данном интерфейсе (в WEB чем выше позиция, ниже пров1 приоритетней) interface PPPoE0 ip global 65387 ***************** 65387 interface GigabitEthernet0/Vlan9 ip global 65382 ***************** 65382 Вы описываете свои действия так когда подключаюсь к WISP (основное соединение отключаю) когда отключаю WISP и включаю Ethernet после удаления WISP-соединения При таком действие - это тоже самое -> смена default с одного на другой интерфейс, вопрос только "баг" это или нет. Сделал подключение через телефон (WISP) в итоге ~ # ip ro default via 192.168.226.12 dev apcli0 ********************************************* def через телефон 10.IP_пров2.0/24 dev eth2.9 proto kernel scope link src IP_от_Интерфейс_eth2.9 xxx.xxx.xxx.1 dev ppp0 proto kernel scope link src IP_от_Интерфейс_ppp0 .... 192.168.226.0/24 dev apcli0 proto kernel scope link src 192.168.226.161 ********* телефон/сеть "host": "ndss.keenetic.ru", "wan-ip": "192.168.226.161", "sent-wan-ip": "192.168.226.161", Выключаю WISP (WEB роутера) и как итог переход на пров1 ~ # ip ro default dev ppp0 scope link 10.IP_пров2.0/24 dev eth2.9 proto kernel scope link src IP_от_Интерфейс_eth2.9 xxx.xxx.xxx.1 dev ppp0 proto kernel scope link src IP_от_Интерфейс_ppp0 ... "host": "ndss.keenetic.ru", "wan-ip": "IP_от_Интерфейс_ppp0", "sent-wan-ip": "IP_от_Интерфейс_ppp0", Все сработало как и надо. Маленькая ремарка - на ppp0 произошла смена IP это говорит о переподключение для данного канала, но во время второго теста проблем на возникло (переподключения не было). interface WifiMaster0/WifiStation0 description Aa73 dyndns nobind security-level public authentication wpa-psk ns3 *** encryption enable encryption wpa2 ip address dhcp ip dhcp client dns-routes ip global 65515 ********************************** приоритет по умолчанию встал такой ip name-servers ssid Aa73 standby no enable standby timeout 600 up От себя сейчас в 4.3 (draft канала) по настройкам данного подключения куча настроек

Роутер в основном режиме но подключен как ТД по LAN к другому/основному На основном Покажите ваши маршруты "show ip route", потом в конфиг файле посмотреть разделы "interface" (согласно вывода пред.команды) и поле найти "ip global _ПРИОРИТЕТ_" (где приоритет это набор цифр и чем он выше по отношению к другому интерфейсу он и главный, ip global - выход в интернет, если их много то смотрим приоритет). Почему может отправляться внутренний ip? Без понимания что и как у вас подключается к интернету тут можно только гадать, почему не вернулся на канал провайдера после пропажи или что-то переключили/настроили, может надо было перегрузить роутер и т.д.

Про его я понял Устройство действительно EU - через тех поддержку специально переводил в регион EU, чтобы пользоваться одним приложением Keenetic, т.к. имею устройство еще в Европе. В посте ответ был другому пользователю.

Не отклоняйтесь от темы данного поста. Ровно 2 недели назад впервые возникла проблема. Перестал работать KeenDNS и пропала связь с сервером обновлений. При этом интернет работает и на подключенных устройствах, и на Keenetic-е. Сервера NDSS пингуются. В тот раз решилось подключением через WISP к телефону. Сервера Keenetic увидел, я обновил его до последней версии и в течение 2 недель всё работало. Сегодня снова та же проблема. Подключаю через WISP к телефону - KeenDNS работает, обновления видно. Переключаю обратно на Ethernet - всё пропадает.

Не проясните как запросто ?

Почитать наверное где в базе знаний есть, а так я же показ конф файл ТД interface Bridge0 rename Home description HomeLan inherit GigabitEthernet0/Vlan1 include AccessPoint include AccessPoint_5G .... ip address 192.168.1.3 255.255.255.0 ip address dhcp ip dhcp client fallback static ip dhcp client dns-routes ip dhcp client name-servers interface Bridge0 - ip address 192.168.1.3 255.255.255.0 если проблема при "ip address dhcp/ip dhcp client fallback static"