vasek00

Идете в архив и смотрите что осталось от ранее http://bin.entware.net/mipselsf-k3.4/archive/ в итоге там сейчас для mipsle есть ваш релиз - qbittorrent_4.3.9-1_mipsel-3.4.ipk bin.entware.net/mipselsf-k3.4/archive/qbittorrent_4.3.9-1_mipsel-3.4.ipk скачиваете его, далее перекинуть на роутер, далее из этого места непосредственно куда перекинули можно установить, предварительно удалив что стояло.

Не знаю как на счет "костыль" не "костыль" но в базе ОБНОВЛЕННОЕ описание про то как сделать идет от "Обновлено 02/09/2021 14:19" https://help.keenetic.com/hc/ru/articles/360011129420-Обращение-к-сетевому-устройству-по-hostname Так же "Настройка DHCP option 15" c датой "Обновлено 04/02/2020 14:34" https://help.keenetic.com/hc/ru/articles/214471085

Это просто маршрут для 8.8.8.8 который звернут на WG. Перехват трафика если мне не изменяет память работает когда включен фильтр. Сам использую такую же схему по приоритетам и клиентам, но в настройках WG стоит адрес роутера 192.168.1.1 и на клиентах так же адрес DNS 192.168.1.1. Ремарка в место встроенного DNS стоит AdGuardHome на 192.168.1.1:53 но думаю роли не играет кто весит на 53 в данном случае.

Что скажет тогда разработчик о наличие/отсутствии ?

Странно для KN1910 в KN1011/KN1010 в KN2710 имеется в KN3810/KN3710 в KN2410 в KN2510

Вы о чем. Данный вид подключения это тот же P-t-P или Point to Point или точка-точка, создается туннель. Клиент получил IP с маской 32 sstp0 Link encap:Point-to-Point Protocol inet addr:192.168.1.1 P-t-P:172.16.130.29 Mask:255.255.255.255 Далее в настройках этому клиенту разрешается доступ к лок.сети роутера и соответственно правила маршрутизации (были выше). Имхо это глюк какой-то. Получается, что гостям, подключенным по wifi и кабелем доступен только гостевой туалет, а гости, подключенные через VPN ходят в хозяйский туалет, хотя им чётко указали, что они гости ) Так как любой новый сегмент это новый сетевой интерфейс в данном случае bridge в который добавляются доп. интерфейсы роутера wifi и LAN, и он имеет private, есть настройка "Доступ к приложениям домашней сети" и https://help.keenetic.com/hc/ru/articles/360001434079 1.LAN порт 5 в новом сегменте interface GigabitEthernet0/4 rename 5 switchport mode access switchport access vlan 3 up interface Bridge1 description "\xd0\xa1\xd0\xb5\xd0\xb3\xd0\xbc\xd0\xb5\xd0\xbd\xd1\x82 2" include GigabitEthernet0/Vlan3 security-level private ip address 192.168.2.1 255.255.255.0 ip dhcp client dns-routes ip dhcp client name-servers up ip policy Policy2 description Anti permit global Wireguard4 ... ip nat Bridge1 ip hotspot ... policy Bridge1 Policy2 ... Попробую с данной аналогией возможные разрешения 1. "гостевой" туалет 2. еще разрешен и "хозяйский" туалет 3. хотите что-то еще для гостей помимо туалета отдельную выход на море нет проблем "policy Bridge1 Policy2" Я только не понял зачем гости которые еще не приехали хотят воспользоваться "через VPN ходят в хозяйский туалет, хотя им чётко указали, что они гости" 😀

Сервис SSTP это локальный сервис роутера который использует основной, данный клиент не какого отношения к зарег.клиентам уже не имеет. Если только переворачивать профили (или менять местами каналы для основного и тасовать клиентов по профилям), т.е. в основном имеете по приоритетам серый потом белый, но тогда все лок.сервисы пойдут тогда по серому каналу и так же SSTP клиенты. Или только с помощью ПО самого клиента например VPN Client Pro https://help.keenetic.com/hc/ru/articles/360001381259 поковыряться в настройках данного клиента, а точнее в его маршрутизации но именно через ПО клиента.

WEB->Сетевые правила->Контроль доступа Wifi

Из своего опыта при наличие двух каналов то лучше использовать не основной а два доп.профиля или 1. Основной остается для сервисов роутера 2. Для клиентов "белый" активен белый канал 3. Для клиентов "серый" активен серый канал Клиент на сером профиле, далее подключается к SSTP серверу роутера и что в итоге видим Серый ~ # ip ro show table 44 default dev nwg4 scope link ... 172.16.130.29 dev sstp0 scope link 192.168.130.0/24 dev br0 scope link ... ~ # где наш клиент имеет 172.16.130.29, и для данного профиля "серого" имеем default маршрут на "серый" канал nwg4. Примечание : данный стат маршрут будет добавлен везде и в основной таблице и в других таблицах профилей Основной ~ # ip ro default dev ppp0 scope link ... 172.16.130.29 dev sstp0 proto kernel scope link src 192.168.130.101 192.168.130.0/24 dev br0 proto kernel scope link src 192.168.130.101 ... ~ # Белый ~ # ip ro show table 42 default dev nwg0 scope link ... 172.16.130.29 dev sstp0 scope link 192.168.130.0/24 dev br0 scope link 192.168.130.101 dev nwg0 scope link ... ~ # Но так как клиент находится в "сером" профиле то все его пакетики промаркированы "серой" меткой и идут на "серую" таблицу маршрутизации. Смысл наличия SSTP для локальных клиентов ?

В Entware есть - ipset-dns с командой запуска например ipset-dns ipv4-youtube ipv6-youtube 39128 8.8.8.8 25521 root 1928 S ipset-dns youtube youtube 39128 8.8.8.8 netstat -ntulp | grep dns udp 0 0 127.0.0.1:39128 0.0.0.0:* 25521/ipset-dns где listening-port = 39128, но можно и 53 upstream-dns-server = 8.8.8.8 но можно и например "dns_server = 127.0.0.1:40508 # https://dns.google/dns-query@dnsm" https://git.zx2c4.com/ipset-dns/about/ https://github.gitop.top/mschorsch/ipset-dns-rs Возможно ли прикрутить к встроенному dns-proxy команду/опцию для запуска при которой будет создаваться ipset таблица для последующего ее использования (имеем список - aaaaa.com, aaa1.com, aaab.ru и т.д.). Далее на основание данных полученных на основание этого списка пере направление его на нужный интерфейс или для блокировки сайтов согласно данного списка. т.е. в итоге страница настройки или тот же cli для dns-proxy (опция для запуска + список сайтов/доменов) и использование данного списка в сетевых правилах т.е. типа iptables .... --match-set ipv4-youtube .....

Если только конф файл ip policy Policy0 ... ! ip policy Policy1 ... ! ip policy Policy2 ... ip hotspot ... host хх:Клиент1:68 permit host хх:Клиент2:fb schedule schedule0 host 64:Клиент3:48 permit host 64:Клиент3:48 priority 3 host хх:Клиент4:54 permit host хх:Клиент4:54 policy Policy1 host 70:Клиент5:e2 permit host 70:Клиент5:e2 policy Policy0 host 70:Клиент5:e2 priority 6 ... у каждого клиента которому нужен какой либо профиль указываете его Policy0 или 1 или 2 и т.д.

Если взять https://help.keenetic.com/hc/ru/articles/360010131139-Пример-объединения-локальных-сетей-трех-роутеров-Keenetic-через-соединение-Wireguard-VPN то при маске /24 на трех точках WG все работает и описана по ссылке, т.е. любой клиент лок.сети может получить доступ к клиенту другой лок.сети. Для того чтоб маршрут работал нужно прописать allow для данных сетей и у вас по конф скорей всего прописано : - "allow-ips 192.168.5.0 255.255.255.0" при "ip route 192.168.5.0 255.255.255.0 Wireguard0 auto" - "allow-ips 192.168.7.0 255.255.255.0" при "ip route 192.168.7.0 255.255.255.0 Wireguard0 auto" но при сети "192.168.4.0/22" на Home интерфейсах роутеров Keenetic. Возможно попробовать в направление https://help.keenetic.com/hc/ru/articles/213969389-Описание-работы-с-межсетевым-экраном-для-версий-NDMS-2-11-и-более-ранних- есть диаграмма на которой показано взаимодействие интерфейсов между собой. По default настройкам ПО в наличие interface Bridge0 rename Home description HomeLan security-level private interface Wireguard2 description E security-level public Вы не рассматривали вопрос по переходу с WG на IPIP/EoIP.

Подозреваю что все таки проблема не на данном роутере Keenetic. А можно полную вашу схеме кто где и куда хочет, а то есть упоминания в маршрутах про 192.168.4.х, 192.168.5.х, 192.168.7.х ? WG туннель это точка-точка или проще P-t-P т.е. с маской 255.255.255.255 nwg0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:10.10.12.1 P-t-P:10.10.12.1 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MTU:1280 Metric:1 RX packets:19214084 errors:0 dropped:20 overruns:0 frame:0 TX packets:14788308 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:50 RX bytes:24040669766 (22.3 GiB) TX bytes:1595499128 (1.4 GiB) nwg2 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:10.16.13.1 P-t-P:10.16.13.1 Mask:255.255.255.0 UP POINTOPOINT RUNNING NOARP MTU:1420 Metric:1 RX packets:35 errors:0 dropped:0 overruns:0 frame:0 TX packets:148 errors:0 dropped:1 overruns:0 carrier:0 collisions:0 txqueuelen:50 RX bytes:3864 (3.7 KiB) TX bytes:12936 (12.6 KiB) nwg4 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:10.2.0.2 P-t-P:10.2.0.2 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MTU:1280 Metric:1 RX packets:2945658 errors:0 dropped:4 overruns:0 frame:0 TX packets:1102060 errors:0 dropped:9 overruns:0 carrier:0 collisions:0 txqueuelen:50 RX bytes:3771878564 (3.5 GiB) TX bytes:123705384 (117.9 MiB) но если мы речь ведем про nwg2 то в данном случае на нем три пира -> mask 255.255.255.0

На обоих концах туннеля где адреса стоят 172.16.1.0/24 замените на реальные у которых маска /32, т.е. что там у вас будет конкретно 172.16.1.1/32 а на другой стороне так же 172.16.1.Х/32 Для сравнения так же "show ip route" Ваш туннель destination": "172.16.1.0/24", <== тоннель WG "gateway": "0.0.0.0", "interface": "Wireguard0", "metric": 0, "proto": "kernel", "floating": false "destination": "192.168.5.0/24", <== маршрут, которым не могут воспользоваться устройства в локальной сети "gateway": "0.0.0.0", "interface": "Wireguard0", "metric": 0, "proto": "boot", "floating": false Мой destination": "10.16.13.0/24", - туннель WG "gateway": "0.0.0.0", "interface": "Wireguard2", "metric": 0, "flags": "U", "rejecting": false, "proto": "kernel", "floating": false, "static": false "destination": "192.168.1.0/24", - удаленная сеть "gateway": "0.0.0.0", "interface": "Wireguard2", "metric": 0, "flags": "U", "rejecting": false, "proto": "boot", "floating": false, "static": false Мой конф

По мимо маршрутов есть еще настройка параметра разрешенные подсети Если все это есть то перегрузите роутер или отключите WG и заново его включите на сервере и на клиенте.

Как и написал выше и в добавок два роутера соединены по WG, клиенты лок.сети каждого роутера видят клиентов друг друга. Клиент_1.201---Роутер(WG)-------(WG)Роутер----Клиент_13.2 На Клиенте_13.2 Трассировка маршрута к 192.168.1.201 с максимальным числом прыжков 30 1 <1 мс <1 мс <1 мс P-KN [192.168.13.1] 2 37 ms 37 ms 37 ms 10.16.13.1 3 50 ms 41 ms 42 ms 192.168.1.201 Трассировка завершена. На клиенте WG роутере ~ # ip ro default dev ppp0 scope link ... 10.16.13.0/24 dev nwg2 proto kernel scope link src 10.16.13.1 ... 192.168.1.0/24 dev nwg2 scope link 192.168.13.0/24 dev br0 proto kernel scope link src 192.168.13.1 ... ngw2 туннель WG между роутерами Все настройки через WEB, такие же как и в статье выше.

Кто мешает прописать маршруты на сервер WG поднятый на mikrotik и на клиенте WG https://help.keenetic.com/hc/ru/articles/360012075879-Настройка-WireGuard-VPN-между-двумя-роутерами-Keenetic

Весь вопрос только в том что : 1. Работа с USB нагрузка на проц 2. Работа Wireguard нагрузка на проц Для 7621 проца 100Мбит Wireguard выливается в загрузку проца под 70% а его предел чуть более 150Мбит С SMB или точнее TSMB как повезет зависит от того что используете в качестве носителя HDD/SDD самый последний пост от 02.06.22 "Сравнение SAMBA4 с прошивочным 38B2 TSMB" там есть скрин для TSMB c SDD

Из данного теста.

Можно конф из selftest увидеть. Кто подключен к LAN1 порту и есть ли еще подключенные LAN клиенты. По подробней не судьба описать нужно догадываться что и как, из того что имеем по данной схеме ? [I] Jun 4 07:28:47 kernel: br0: topology change detected, sending tcn bpdu [I] Jun 4 07:28:47 kernel: br1: topology change detected, propagating это работа Пример у клиента с ТВ Можете попытаться решить вопрос для LAN1 это через cli interface GigabitEthernet0/0 role iseg system configuration save Про switch link up at port 1 (1000FD/AN) switch link up at port 1 (10FD/AN). возможно работа авто согласования, например на ПК можно поставить скорость при включение сначала 10 или 100 и не использовать автопонижение. Опять же это все из ходя из тех данных которые представлены.

[I] Jun 4 07:28:41 ndhcpc: Bridge0: received ACK for 192.168.1.138 from 192.168.1.1 lease 25200 sec. [I] Jun 4 07:28:44 kernel: br1: port 1(eth2.2) entered learning state [I] Jun 4 07:28:44 kernel: br0: port 1(eth2.1) entered learning state [I] Jun 4 07:28:47 kernel: br0: port 1(eth2.1) entered forwarding state [I] Jun 4 07:28:47 kernel: br0: topology change detected, sending tcn bpdu [I] Jun 4 07:28:47 kernel: br1: port 1(eth2.2) entered forwarding state [I] Jun 4 07:28:47 kernel: br1: topology change detected, propagating [I] Jun 4 07:28:49 ndm: Network::Interface::Switch: "GigabitEthernet0/0": switch link up at port 1 (1000FD/AN). [I] Jun 4 07:28:49 kernel: br0: port 1(eth2.1) entered blocking state [I] Jun 4 07:28:49 kernel: br0: port 1(eth2.1) entered listening state [I] Jun 4 07:28:49 kernel: br1: port 1(eth2.2) entered blocking state [I] Jun 4 07:28:49 kernel: br1: port 1(eth2.2) entered listening state [I] Jun 4 07:28:49 ndhcpc: Bridge0: received ACK for 192.168.1.138 from 192.168.1.1 lease 25200 sec. [I] Jun 4 07:28:52 kernel: br1: port 1(eth2.2) entered learning state [I] Jun 4 07:28:52 kernel: br0: port 1(eth2.1) entered learning state [I] Jun 4 07:28:55 kernel: br0: port 1(eth2.1) entered forwarding state [I] Jun 4 07:28:55 kernel: br0: topology change detected, sending tcn bpdu [I] Jun 4 07:28:55 kernel: br1: port 1(eth2.2) entered forwarding state [I] Jun 4 07:28:55 kernel: br1: topology change detected, propagating [I] Jun 4 07:34:37 ndm: Network::Interface::Switch: "GigabitEthernet0/0": switch link down at port 1. [I] Jun 4 07:34:37 kernel: br0: port 1(eth2.1) entered blocking state [I] Jun 4 07:34:37 kernel: br0: port 1(eth2.1) entered listening state [I] Jun 4 07:34:37 kernel: br1: port 1(eth2.2) entered blocking state [I] Jun 4 07:34:37 kernel: br1: port 1(eth2.2) entered listening state [I] Jun 4 07:34:38 ndhcpc: Bridge0: received ACK for 192.168.1.138 from 192.168.1.1 lease 25200 sec. [I] Jun 4 07:34:39 ndm: Network::Interface::Switch: "GigabitEthernet0/0": switch link up at port 1 (10FD/AN). Вопрос имеем в br0 (основной интерфейс роутера) сетевой интерфейс eth2.1 или проще говоря все LAN порты, далее в br1 (что-то настроенное) имеем интерфейс eth2.2 по умолчанию он обычно имеет отношение к WAN порту -> описанную схему или информацию по настройкам где и что.

Ожидал другого, т.е. ваша фраза Я к тому, что у него много накладных расходов имеет отношение только к набору ссылок. Это то же самое как на форумах посты - у меня wifi плохо работает а у меня нормально или у меня 50ms в у меня 120ms страница открылась и т.д. чисто статистика. Для статистики при использование AdguardHome или DNSmasq - НЕ ЗАМЕТИЛ разницы в открытие страниц при том что оба на строены для проверки на 8.8.8.8 только один с кучей списков и фильтров а другой не с чем.

Обычный это тот для которого он предназначен. Много накладных это сколько грамов или Что в вашем понятие накладные расходы?

В обычном режиме не замечено.

Вопрос только в том что вы имеете ввиду под пробовал добавлять явный маршрут, чтобы трафик до linux-клиента отправлялся на сервер (giga) - не помогает так как маршрут должен быть направлен именно в туннельный интерфейс На клиенте WG роутер 10.16.10.0/24 dev nwg2 proto kernel scope link src 10.16.10.11 192.168.1.0/24 dev nwg2 scope link 192.168.10.0/24 dev br0 proto kernel scope link src 192.168.10.11 а так же на клиенте в WG роутера должно быть разрешено "Разрешенные подсети" 192.168.1.0/24 для одной стороны и на другой стороне сервера WG так же "Разрешенные подсети" роутера клиента.