vasek00

4.1 в любой draft и даже в последней 4.1.2 не наблюдал. Есть два сегмента =основной и в нем клиенты, дополнительный и в нем свои клиенты. В настройках обоих сегмент присутствует раздел "Правила использования интернет-трафика" стоит "Без доступа в интернет". ip hotspot policy Home deny policy HomeSmart deny ... Клиентов в основном сегменте раскидываю по политикам для клиентов, повторюсь все работает. После перехода на 4.2 в которой Есть проблема на клиентах по выходу в интернет из своих политик, в WEB приходится перекидывать клиента/клиентов в любую политику потом возвращать их обратно и тогда может быть все заработает с первого раза. Но это пол беды, если в разделе "Политика доступа в интернет" выбираем какую-то созданную для смены канала (вниз или вверх или галку на другом) то МОЖЕТ нарушиться ранее настроенная политика на клиенте, т.е. он теряет выход в интернет. Стабильность ее появления или закономерность по действиям не нашел, но путем сохрания конф файл при разных действиях нашел ненужные строки в "ip hotspot" а именно с "conform". Для того что восстановить все (исправить от "conform") всех клиентов загоняю в политику по умолчанию, а потом через 30сек. перекидываю клиентов в нужную политику. Команду Не пробовал. Думаю решение проблемы так же можно с помощью "Правила использования интернет-трафика" поставить "Политика по умолчанию", но не пробовал. До 4.2. проблем с таким поведением не было.

Схема и испытуемый KN1011 и без всяких "kio-fuse" только "sshfs" [SSD-USB3]KN1811[LAN]---SSHFS---[LAN]KN1011[LAN]---SMB---[LAN]PS 1. На KN1011 ставим "opkg install sshfs" (libfuse3 (3.16.2-1) to root... fuse3-utils (3.16.2-1) to root...) 2. На KN1011 делаю монтирование диска от KN1811 "sshfs root@IP-1811:/tmp/mnt/f95...folder....901 /tmp/mnt/01.....70/98" 3. На 1011 - df видим примонтированный folder с 1811 в /tmp/mnt/01....70/98 Filesystem 1K-blocks Used Available Use% Mounted on /dev/root 23680 23680 0 100% / tmpfs 256960 8 256952 0% /dev ... root@IP-1811:/tmp/mnt/f9......01 9812592 1686374 7593738 18% /tmp/mnt/01....70/98 4. На PS Windows через SMB видим 1011/..../98 папку, копирую файл из нее, физически копирование файла с 1811 --> [sshfs-folder] --> 1011 --> SMB --> PS 5. Делаю копирование этого файла что и в п.4 "cp" на самом роутере 1011 из /tmp/mnt/01....70/98 в локал. /tmp/mnt/01.....70 1011 (физически с 1811 --> [sshfs-folder] 1011 --> 1011 в /tmp/mnt/01.....70)

Для начала вспомним что SFTP (Secure File Transfer Protocol) протокол передачи работающий поверх безопасного канала SSH т.е. шифрование KN1011 запись на HDD который на USB3 к роутеру, клиент LAN на Windows 11 c WinSCP (SFTP) и Проводник (SMB), сам проц роутера ниже, так же сервис TSMB/SMB работает в пространстве ядра в отличие от SSH.

Не показывайте значение в поле network-id Теперь перегрузите роутер и подождите мин2-3. Далее смотрим в логе в самом его конце [I] Mar 22 17:25:39 ndm: Network::Interface::EndpointTracker: "ZeroTier0": remote endpoint is "151.ZT.91". [I] Mar 22 17:25:39 ndm: Network::Interface::EndpointTracker: "ZeroTier0": connecting via "GigabitEthernet0/Vlan9" (GigabitEthernet0/Vlan9). [I] Mar 22 17:25:39 ndm: Network::Interface::EndpointTracker: "ZeroTier0": local endpoint is "10.10.10.10". [I] Mar 22 17:25:41 kernel: IPv6: ADDRCONF(NETDEV_CHANGE): zt_br0: link becomes ready [I] Mar 22 17:25:51 ndm: Network::Interface::Base: "ZeroTier0": "zt" changed "link" layer state "pending" to "running". [I] Mar 22 17:25:51 ndm: Network::Interface::Base: "ZeroTier0": "ip" changed "ipv4" layer state "disabled" to "running". [I] Mar 22 17:25:52 ndm: Network::Interface::Ip: "ZeroTier0": IP address is 10.14х.ххх.ххх/24. имеем - удаленную точку "remote endpoint is 151.ZTххххххх.91" где "151.ZTххххххх.91" IP адрес сервера ZT - какой то IP должен быть, не обязательно такой - c роутера его интерфейс "connecting via GigabitEthernet0/Vlan9" и адрес "local endpoint is 10.10.10.10", тут ваш IP на ISP - поднялся интерфейс zt_br0 и адрес "IP address is 10.14х.ххх.ххх/24" тут ваш IP в зависимости от настройки на https://my.zerotier.com/ Описание данного роутера должно появится на странице вашей сети в WEB zerotier. Если в логе этого нет, то поднимаемся выше по логу и смотрим, что там у вас с интерфейсом ZeroTier0 происходит.

Покажите конф файл иначе будем гадать.

Для начала проще - сохранить конф файл роутера (WEB/Общие настройки -> startup-config) в нем есть раздел ZT вот его и покажите + настройка межсетевого access-list. Поле local-id: хххххххххххх и network-id: ххххххххххххххх пометить крестиками. access-list _WEBADMIN_ZeroTier0 permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 permit description ZT-IP permit icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 permit description ZT-ICMP auto-delete interface ZeroTier0 description ИМЯ_для_WEB_роутера role inet security-level public ip dhcp client dns-routes ip access-group _WEBADMIN_ZeroTier0 in zerotier accept-addresses zerotier accept-routes zerotier network-id bxxxxxxxxxxxxxxx up ********************************** должен быть в UP т.е. включен, если down то не включен _WEBADMIN_ZeroTier0 - правила межсетевого экрана, настройка в WEB роутера. Настройка для ICMP не принципиальна, можно не создавать, только для IP протокола. удалит данные строки permit icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 permit description ZT-ICMP "role inet" выход в интернет, "security-level public" политика интерфейса по умолчанию. connect via ISP Не принципиально, по умолчанию будет выбран основной профиль (политика по умолчанию и его default маршрут, который самый верхний -> Приоритеты подключений - Политики доступа в интернет - Политика по умолчанию. Можно заставить ZT соединятся например через второго провайдера если он есть interface ZeroTier0 .... zerotier connect via GigabitEthernet0/Vlan9 up после via - "via GigabitEthernet0/Vlan9" это сетевой интерфейс на котором поднят второй провайдер если хотим на другом, а не на основном.

Иметь камеру которая может быть клиентом SMB/FTP. Или поиск по RTSP

Не поделитесь вашим опытом использования, что значит нормально (каков поток и какой канал) и какие настройки используете ?

Есть такие ТВ которые при роутер пишет что скорость 780 Мбит/с WPA2, 11ac 2x2 80 МГц а в реале схема на ТВ 1. Поток данных ----- wifi -------- [wifi-USB]---[USB]проц ТВ 2. Поток данных ----- LAN ----------[]проц ТВ Физически получают "затыки" по первой схеме и удачно работаю по второй, так как в первой схеме стоит "свисток wifi" + драйвера для него (вопрос качества их написания) от которых зависит загрузка проца, т.е. например потока 50Мбит по wifi уже может привести в ступор проц ТВ.

Если у вас 4.1. попробуйте вот такую команду, на своем примере (тут именно 120, для начала) была ip rule add from 172.16.130.29/32 table 12 стала ip rule add pref 120 from 172.16.130.29/32 table 12 или она же ip rule add from 172.16.130.29/32 table 12 pref 120 для удаления введенной - точно такая же только вместо "add" нужно "del"

Да

Вопрос а зачем использовать прошивочный DoT если в AGH можно сразу указать сервер DoT.

но пропал доступ к серверу Homeassistant В моем случае Клиент[SSTP]----Интернет----[SSTP]Keenetic1[LAN]------[LAN]Keenetic2 на обоих Keenetic Entware + SMB и сами WEB роутеров, Keenetic1 запущен AGH (его WEB) - проблем с доступом нет. В обоих вариантах подключения одинаково. Пользователю SSTP разрешено user U*****N password md5 *** password nt *** home SSD1: tag sstp tag vpn tag ipsec-xauth tag http tag opt tag sftp tag cifs tag printers tag http-proxy У вас в данном профиле какой стоит канал основной ? При этом стоит "isolate-private" что это написано ниже https://help.keenetic.com/hc/ru/articles/360001434079-Настройка-правил-межсетевого-экрана-из-командного-интерфейса

О чем идет речь?

На вскидку. Вариант 1. Так как все скрипты Entware запускаются через /opt/etc/init.d то можно создать скрип запуска с одной командой после некоторой задержки Вариант 2. Считаем что профиль готов к работе, а именно таблица маршрутизации для него после того как в нем будет установлен default маршрут в нем. Поверяем вариант2. 1. Без скрипта S102-SSTP. Клиент подключается по SSTP к роутеру. Speedtest на клиенте показывает IP от провайдера который в основном профиле/по умолчанию профиль. 2. Используем скрипт, перезапускаем роутер. Клиент подключается по SSTP к роутеру. Speedtest на клиенте показывает IP от WG который в профиле Policy2. Ремарка - по команде "ip ro show table 12" ip адреса клиента видно не будет, до тех пор пока он не появится/подключится к роутеру и будет висеть в данной таблице пока клиент не отключится. Если потом опять подключится то данный стат маршрут будет опять активен и он выйдет в интернет опять через нужный нам профиль Policy2.

Речь выше шла про то и не про какой он в списке интерфейс, первый WAN или не первый, или br0 второй или он последний - просто пример их расположение от IP.

Проверил WG на скорую руку в итоге как вы и хотите. WG Android использовал из Google Play (но он уже стоял ранее), настройка 30минут. Самсунг[WG] ---- wifi/4G --- Keenetic1 ------------- [WG]Keenetic2 Почему хочу IKEv2? Только он реализован во встроенном клиенте Самсунга, а это значит есть нормальная поддержка в "Режимы и сценарии" Самсунга. Тут да

Все просто не имеет значения WAN или TUN или PPP, а имеет значение default dev ppp0 scope link 10.10.xxх.0/24 dev eth2.9 ... 10.147.ххх.0/24 dev zt_br0 ... 104.21.ххх.ххх dev nwg4 ... 109.126.ххх.ххх dev ppp0 ... 185.107.ххх.ххх dev ppp0 ... 188.114.ххх.ххх dev ppp0 ... 192.168.100.0/24 via 10.147.ххх.ххх dev zt_br0 .... 192.168.130.0/24 dev br0 ... 192.168.150.0/24 dev br1 ... ...

А на PPPoE то же будет косяк/костыль, когда пустит вторично после некого тайм аута. Попробуйте другой вариант - на WG, на Keenetic2 поднимите сервер WG, на клиенте смартфоне так же WG. Далее попробовать п.1-4. На вскидку должно работать. А почему вы такой вариант используете, а не соедините два роутера Keenetic1 и Keenetic2. Клиент у вас будет висеть на Keenetic1 - то на wifi то на 4G но с Keenetic1.

Проверил данную схему и ваши п.1-4 - нет проблем но при таймауте 3минуты, между п.3 и п.4., галки множественный доступ нет.

Клиент смартфон при подключении к Keenetic получает ip из сегмента, т.е. 192.168.1.х или в моем случает 192.168.130.6. В моем все ваши проверки на одном роутере Самсунг - wifi - Keenetic Самсунг - 4G - Keenetic Соберу ваш вариант, проверю.

Один вопрос это что такое если вы подключены к роутеру по wifi. О каком переходе идет речь при пункте п.1. Если wifi отключен то имеем клиента ip от мобильного.

Галки на множественном доступе нет. Видимо у вас невозможно, пробовал два раза, теперь опишу чуток, в итоге на п.4 вопросов нет. 1. Смартфон подклен по wifi к роутеру 192.168.130.6 2. Включите в телефоне ikev2 - а в ответ тишина, так и весим на wifi, на IKEv2 проблема 3. Отключаю wifi на нем. 4. Включаю на телефоне ikev2 - все Ок. Если надо могу и тут лог приложить п.4. Мало того могу сказать, что если на п.2 в момент попыток подключения отключить wifi то wifi пропадает и также IKEv2 уходит в отключено. Так что к п.4 смартфон готов к подключению потому что wifi выключен.Это к вопросу т.к. в Кинетике, после пункта 3 остается висящее соединение нет ни какого висящего соединения после п.3 - ни wifi ни IKEv2.

После проведения 1-3 (не смотрел что там и как) далее по п.4 вопросов не возникло - все ОК. Объясните/опишите смысл в п.2 при включенном wifi п.1. Скажу сразу еще раз Samsung -> в разработчике - Не отключать мобильный интернет стоит в ОТКЛ.

1. Смартфоном 4G подключился к роутеру без множественного доступа, в WEB роутера включил/выключил wifi, вошел в раздел VPN-сервер IKEv2/IPsec добавил (сохранил) потом удалил пользователя и опять сохранил - проблем не нашел. 2. Вошел этим же клиентом по wifi и на странице VPN-сервер IKEv2/IPsec добавил (сохранил) потом удалил пользователя и опять сохранил, далее выключил VPN-сервер IKEv2/IPsec и опять включил VPN-сервер IKEv2/IPsec, включал/выключал множественный доступ - проблем не нашел. Далее подключился опять клиентом к роутеру через 4G IKEv2/IPsec, галки на множественном доступе нет. Если у вас есть проблемы в настройках WEB (включается или не включается тот или иной ползунок или параметр) то описывайте последовательность действий при которых у вас что-то не так. При выполнение того или иного действия можно наблюдать в selftest файле записи действий перед Core::System::StartupConfig: configuration saved.