vasek00

Это просто маршрут для 8.8.8.8 который звернут на WG. Перехват трафика если мне не изменяет память работает когда включен фильтр. Сам использую такую же схему по приоритетам и клиентам, но в настройках WG стоит адрес роутера 192.168.1.1 и на клиентах так же адрес DNS 192.168.1.1. Ремарка в место встроенного DNS стоит AdGuardHome на 192.168.1.1:53 но думаю роли не играет кто весит на 53 в данном случае.

Что скажет тогда разработчик о наличие/отсутствии ?

Странно для KN1910 в KN1011/KN1010 в KN2710 имеется в KN3810/KN3710 в KN2410 в KN2510

Вы о чем. Данный вид подключения это тот же P-t-P или Point to Point или точка-точка, создается туннель. Клиент получил IP с маской 32 sstp0 Link encap:Point-to-Point Protocol inet addr:192.168.1.1 P-t-P:172.16.130.29 Mask:255.255.255.255 Далее в настройках этому клиенту разрешается доступ к лок.сети роутера и соответственно правила маршрутизации (были выше). Имхо это глюк какой-то. Получается, что гостям, подключенным по wifi и кабелем доступен только гостевой туалет, а гости, подключенные через VPN ходят в хозяйский туалет, хотя им чётко указали, что они гости ) Так как любой новый сегмент это новый сетевой интерфейс в данном случае bridge в который добавляются доп. интерфейсы роутера wifi и LAN, и он имеет private, есть настройка "Доступ к приложениям домашней сети" и https://help.keenetic.com/hc/ru/articles/360001434079 1.LAN порт 5 в новом сегменте interface GigabitEthernet0/4 rename 5 switchport mode access switchport access vlan 3 up interface Bridge1 description "\xd0\xa1\xd0\xb5\xd0\xb3\xd0\xbc\xd0\xb5\xd0\xbd\xd1\x82 2" include GigabitEthernet0/Vlan3 security-level private ip address 192.168.2.1 255.255.255.0 ip dhcp client dns-routes ip dhcp client name-servers up ip policy Policy2 description Anti permit global Wireguard4 ... ip nat Bridge1 ip hotspot ... policy Bridge1 Policy2 ... Попробую с данной аналогией возможные разрешения 1. "гостевой" туалет 2. еще разрешен и "хозяйский" туалет 3. хотите что-то еще для гостей помимо туалета отдельную выход на море нет проблем "policy Bridge1 Policy2" Я только не понял зачем гости которые еще не приехали хотят воспользоваться "через VPN ходят в хозяйский туалет, хотя им чётко указали, что они гости" 😀

Сервис SSTP это локальный сервис роутера который использует основной, данный клиент не какого отношения к зарег.клиентам уже не имеет. Если только переворачивать профили (или менять местами каналы для основного и тасовать клиентов по профилям), т.е. в основном имеете по приоритетам серый потом белый, но тогда все лок.сервисы пойдут тогда по серому каналу и так же SSTP клиенты. Или только с помощью ПО самого клиента например VPN Client Pro https://help.keenetic.com/hc/ru/articles/360001381259 поковыряться в настройках данного клиента, а точнее в его маршрутизации но именно через ПО клиента.

WEB->Сетевые правила->Контроль доступа Wifi

Из своего опыта при наличие двух каналов то лучше использовать не основной а два доп.профиля или 1. Основной остается для сервисов роутера 2. Для клиентов "белый" активен белый канал 3. Для клиентов "серый" активен серый канал Клиент на сером профиле, далее подключается к SSTP серверу роутера и что в итоге видим Серый ~ # ip ro show table 44 default dev nwg4 scope link ... 172.16.130.29 dev sstp0 scope link 192.168.130.0/24 dev br0 scope link ... ~ # где наш клиент имеет 172.16.130.29, и для данного профиля "серого" имеем default маршрут на "серый" канал nwg4. Примечание : данный стат маршрут будет добавлен везде и в основной таблице и в других таблицах профилей Основной ~ # ip ro default dev ppp0 scope link ... 172.16.130.29 dev sstp0 proto kernel scope link src 192.168.130.101 192.168.130.0/24 dev br0 proto kernel scope link src 192.168.130.101 ... ~ # Белый ~ # ip ro show table 42 default dev nwg0 scope link ... 172.16.130.29 dev sstp0 scope link 192.168.130.0/24 dev br0 scope link 192.168.130.101 dev nwg0 scope link ... ~ # Но так как клиент находится в "сером" профиле то все его пакетики промаркированы "серой" меткой и идут на "серую" таблицу маршрутизации. Смысл наличия SSTP для локальных клиентов ?

В Entware есть - ipset-dns с командой запуска например ipset-dns ipv4-youtube ipv6-youtube 39128 8.8.8.8 25521 root 1928 S ipset-dns youtube youtube 39128 8.8.8.8 netstat -ntulp | grep dns udp 0 0 127.0.0.1:39128 0.0.0.0:* 25521/ipset-dns где listening-port = 39128, но можно и 53 upstream-dns-server = 8.8.8.8 но можно и например "dns_server = 127.0.0.1:40508 # https://dns.google/dns-query@dnsm" https://git.zx2c4.com/ipset-dns/about/ https://github.gitop.top/mschorsch/ipset-dns-rs Возможно ли прикрутить к встроенному dns-proxy команду/опцию для запуска при которой будет создаваться ipset таблица для последующего ее использования (имеем список - aaaaa.com, aaa1.com, aaab.ru и т.д.). Далее на основание данных полученных на основание этого списка пере направление его на нужный интерфейс или для блокировки сайтов согласно данного списка. т.е. в итоге страница настройки или тот же cli для dns-proxy (опция для запуска + список сайтов/доменов) и использование данного списка в сетевых правилах т.е. типа iptables .... --match-set ipv4-youtube .....

Если только конф файл ip policy Policy0 ... ! ip policy Policy1 ... ! ip policy Policy2 ... ip hotspot ... host хх:Клиент1:68 permit host хх:Клиент2:fb schedule schedule0 host 64:Клиент3:48 permit host 64:Клиент3:48 priority 3 host хх:Клиент4:54 permit host хх:Клиент4:54 policy Policy1 host 70:Клиент5:e2 permit host 70:Клиент5:e2 policy Policy0 host 70:Клиент5:e2 priority 6 ... у каждого клиента которому нужен какой либо профиль указываете его Policy0 или 1 или 2 и т.д.

Если взять https://help.keenetic.com/hc/ru/articles/360010131139-Пример-объединения-локальных-сетей-трех-роутеров-Keenetic-через-соединение-Wireguard-VPN то при маске /24 на трех точках WG все работает и описана по ссылке, т.е. любой клиент лок.сети может получить доступ к клиенту другой лок.сети. Для того чтоб маршрут работал нужно прописать allow для данных сетей и у вас по конф скорей всего прописано : - "allow-ips 192.168.5.0 255.255.255.0" при "ip route 192.168.5.0 255.255.255.0 Wireguard0 auto" - "allow-ips 192.168.7.0 255.255.255.0" при "ip route 192.168.7.0 255.255.255.0 Wireguard0 auto" но при сети "192.168.4.0/22" на Home интерфейсах роутеров Keenetic. Возможно попробовать в направление https://help.keenetic.com/hc/ru/articles/213969389-Описание-работы-с-межсетевым-экраном-для-версий-NDMS-2-11-и-более-ранних- есть диаграмма на которой показано взаимодействие интерфейсов между собой. По default настройкам ПО в наличие interface Bridge0 rename Home description HomeLan security-level private interface Wireguard2 description E security-level public Вы не рассматривали вопрос по переходу с WG на IPIP/EoIP.

Подозреваю что все таки проблема не на данном роутере Keenetic. А можно полную вашу схеме кто где и куда хочет, а то есть упоминания в маршрутах про 192.168.4.х, 192.168.5.х, 192.168.7.х ? WG туннель это точка-точка или проще P-t-P т.е. с маской 255.255.255.255 nwg0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:10.10.12.1 P-t-P:10.10.12.1 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MTU:1280 Metric:1 RX packets:19214084 errors:0 dropped:20 overruns:0 frame:0 TX packets:14788308 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:50 RX bytes:24040669766 (22.3 GiB) TX bytes:1595499128 (1.4 GiB) nwg2 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:10.16.13.1 P-t-P:10.16.13.1 Mask:255.255.255.0 UP POINTOPOINT RUNNING NOARP MTU:1420 Metric:1 RX packets:35 errors:0 dropped:0 overruns:0 frame:0 TX packets:148 errors:0 dropped:1 overruns:0 carrier:0 collisions:0 txqueuelen:50 RX bytes:3864 (3.7 KiB) TX bytes:12936 (12.6 KiB) nwg4 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:10.2.0.2 P-t-P:10.2.0.2 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MTU:1280 Metric:1 RX packets:2945658 errors:0 dropped:4 overruns:0 frame:0 TX packets:1102060 errors:0 dropped:9 overruns:0 carrier:0 collisions:0 txqueuelen:50 RX bytes:3771878564 (3.5 GiB) TX bytes:123705384 (117.9 MiB) но если мы речь ведем про nwg2 то в данном случае на нем три пира -> mask 255.255.255.0

На обоих концах туннеля где адреса стоят 172.16.1.0/24 замените на реальные у которых маска /32, т.е. что там у вас будет конкретно 172.16.1.1/32 а на другой стороне так же 172.16.1.Х/32 Для сравнения так же "show ip route" Ваш туннель destination": "172.16.1.0/24", <== тоннель WG "gateway": "0.0.0.0", "interface": "Wireguard0", "metric": 0, "proto": "kernel", "floating": false "destination": "192.168.5.0/24", <== маршрут, которым не могут воспользоваться устройства в локальной сети "gateway": "0.0.0.0", "interface": "Wireguard0", "metric": 0, "proto": "boot", "floating": false Мой destination": "10.16.13.0/24", - туннель WG "gateway": "0.0.0.0", "interface": "Wireguard2", "metric": 0, "flags": "U", "rejecting": false, "proto": "kernel", "floating": false, "static": false "destination": "192.168.1.0/24", - удаленная сеть "gateway": "0.0.0.0", "interface": "Wireguard2", "metric": 0, "flags": "U", "rejecting": false, "proto": "boot", "floating": false, "static": false Мой конф

По мимо маршрутов есть еще настройка параметра разрешенные подсети Если все это есть то перегрузите роутер или отключите WG и заново его включите на сервере и на клиенте.

Как и написал выше и в добавок два роутера соединены по WG, клиенты лок.сети каждого роутера видят клиентов друг друга. Клиент_1.201---Роутер(WG)-------(WG)Роутер----Клиент_13.2 На Клиенте_13.2 Трассировка маршрута к 192.168.1.201 с максимальным числом прыжков 30 1 <1 мс <1 мс <1 мс P-KN [192.168.13.1] 2 37 ms 37 ms 37 ms 10.16.13.1 3 50 ms 41 ms 42 ms 192.168.1.201 Трассировка завершена. На клиенте WG роутере ~ # ip ro default dev ppp0 scope link ... 10.16.13.0/24 dev nwg2 proto kernel scope link src 10.16.13.1 ... 192.168.1.0/24 dev nwg2 scope link 192.168.13.0/24 dev br0 proto kernel scope link src 192.168.13.1 ... ngw2 туннель WG между роутерами Все настройки через WEB, такие же как и в статье выше.

Кто мешает прописать маршруты на сервер WG поднятый на mikrotik и на клиенте WG https://help.keenetic.com/hc/ru/articles/360012075879-Настройка-WireGuard-VPN-между-двумя-роутерами-Keenetic

Весь вопрос только в том что : 1. Работа с USB нагрузка на проц 2. Работа Wireguard нагрузка на проц Для 7621 проца 100Мбит Wireguard выливается в загрузку проца под 70% а его предел чуть более 150Мбит С SMB или точнее TSMB как повезет зависит от того что используете в качестве носителя HDD/SDD самый последний пост от 02.06.22 "Сравнение SAMBA4 с прошивочным 38B2 TSMB" там есть скрин для TSMB c SDD

Из данного теста.

Можно конф из selftest увидеть. Кто подключен к LAN1 порту и есть ли еще подключенные LAN клиенты. По подробней не судьба описать нужно догадываться что и как, из того что имеем по данной схеме ? [I] Jun 4 07:28:47 kernel: br0: topology change detected, sending tcn bpdu [I] Jun 4 07:28:47 kernel: br1: topology change detected, propagating это работа Пример у клиента с ТВ Можете попытаться решить вопрос для LAN1 это через cli interface GigabitEthernet0/0 role iseg system configuration save Про switch link up at port 1 (1000FD/AN) switch link up at port 1 (10FD/AN). возможно работа авто согласования, например на ПК можно поставить скорость при включение сначала 10 или 100 и не использовать автопонижение. Опять же это все из ходя из тех данных которые представлены.

[I] Jun 4 07:28:41 ndhcpc: Bridge0: received ACK for 192.168.1.138 from 192.168.1.1 lease 25200 sec. [I] Jun 4 07:28:44 kernel: br1: port 1(eth2.2) entered learning state [I] Jun 4 07:28:44 kernel: br0: port 1(eth2.1) entered learning state [I] Jun 4 07:28:47 kernel: br0: port 1(eth2.1) entered forwarding state [I] Jun 4 07:28:47 kernel: br0: topology change detected, sending tcn bpdu [I] Jun 4 07:28:47 kernel: br1: port 1(eth2.2) entered forwarding state [I] Jun 4 07:28:47 kernel: br1: topology change detected, propagating [I] Jun 4 07:28:49 ndm: Network::Interface::Switch: "GigabitEthernet0/0": switch link up at port 1 (1000FD/AN). [I] Jun 4 07:28:49 kernel: br0: port 1(eth2.1) entered blocking state [I] Jun 4 07:28:49 kernel: br0: port 1(eth2.1) entered listening state [I] Jun 4 07:28:49 kernel: br1: port 1(eth2.2) entered blocking state [I] Jun 4 07:28:49 kernel: br1: port 1(eth2.2) entered listening state [I] Jun 4 07:28:49 ndhcpc: Bridge0: received ACK for 192.168.1.138 from 192.168.1.1 lease 25200 sec. [I] Jun 4 07:28:52 kernel: br1: port 1(eth2.2) entered learning state [I] Jun 4 07:28:52 kernel: br0: port 1(eth2.1) entered learning state [I] Jun 4 07:28:55 kernel: br0: port 1(eth2.1) entered forwarding state [I] Jun 4 07:28:55 kernel: br0: topology change detected, sending tcn bpdu [I] Jun 4 07:28:55 kernel: br1: port 1(eth2.2) entered forwarding state [I] Jun 4 07:28:55 kernel: br1: topology change detected, propagating [I] Jun 4 07:34:37 ndm: Network::Interface::Switch: "GigabitEthernet0/0": switch link down at port 1. [I] Jun 4 07:34:37 kernel: br0: port 1(eth2.1) entered blocking state [I] Jun 4 07:34:37 kernel: br0: port 1(eth2.1) entered listening state [I] Jun 4 07:34:37 kernel: br1: port 1(eth2.2) entered blocking state [I] Jun 4 07:34:37 kernel: br1: port 1(eth2.2) entered listening state [I] Jun 4 07:34:38 ndhcpc: Bridge0: received ACK for 192.168.1.138 from 192.168.1.1 lease 25200 sec. [I] Jun 4 07:34:39 ndm: Network::Interface::Switch: "GigabitEthernet0/0": switch link up at port 1 (10FD/AN). Вопрос имеем в br0 (основной интерфейс роутера) сетевой интерфейс eth2.1 или проще говоря все LAN порты, далее в br1 (что-то настроенное) имеем интерфейс eth2.2 по умолчанию он обычно имеет отношение к WAN порту -> описанную схему или информацию по настройкам где и что.

Ожидал другого, т.е. ваша фраза Я к тому, что у него много накладных расходов имеет отношение только к набору ссылок. Это то же самое как на форумах посты - у меня wifi плохо работает а у меня нормально или у меня 50ms в у меня 120ms страница открылась и т.д. чисто статистика. Для статистики при использование AdguardHome или DNSmasq - НЕ ЗАМЕТИЛ разницы в открытие страниц при том что оба на строены для проверки на 8.8.8.8 только один с кучей списков и фильтров а другой не с чем.

Обычный это тот для которого он предназначен. Много накладных это сколько грамов или Что в вашем понятие накладные расходы?

В обычном режиме не замечено.

Вопрос только в том что вы имеете ввиду под пробовал добавлять явный маршрут, чтобы трафик до linux-клиента отправлялся на сервер (giga) - не помогает так как маршрут должен быть направлен именно в туннельный интерфейс На клиенте WG роутер 10.16.10.0/24 dev nwg2 proto kernel scope link src 10.16.10.11 192.168.1.0/24 dev nwg2 scope link 192.168.10.0/24 dev br0 proto kernel scope link src 192.168.10.11 а так же на клиенте в WG роутера должно быть разрешено "Разрешенные подсети" 192.168.1.0/24 для одной стороны и на другой стороне сервера WG так же "Разрешенные подсети" роутера клиента.

Для ваших задач SFTP (net box но подключение выбираем sftp) - для EXT раздела не чего более не надо, для NTFS раздела подстройка атрибутов. Если пользоваться SMB (network или как вы написали cd \\192.168.0.1\myfolder ) так же в FAR то будет не то что вам надо и без разницы какой раздел.

Не видел как выглядит лог у 7615 который не работает, но в вашем случае по selftest 5GHz ---------------------- interface WifiMaster1 country-code RU compatibility AN+AC tx-burst rekey-interval 86400 beamforming explicit downlink-mumimo up ! interface WifiMaster1/AccessPoint0 rename AccessPoint_5G description "5Ghz Wi-Fi access point" mac access-list type none security-level private wps authentication wpa-psk ns3 *** encryption enable encryption wpa2 ip dhcp client dns-routes ip dhcp client name-servers ssid Keenetic-8470 wmm down [I] Jan 1 03:00:13 kernel: 5GHz eLNA Gain: 12 -> 11 [I] Jan 1 03:00:14 ndm: Network::Interface::Radio: "WifiMaster1": the radio switch state is changed to off, software state is down. [I] Jan 1 03:00:14 ndm: Network::Interface::Repository: "WifiMaster1" interface created. Первое что - так это точка AccessPoint_5G -> down а не в "up" Так же Radio: "WifiMaster1": the radio switch state is changed to off, software state is down. Делал выключение кнопкой Wifi но по selftest ни каких перестроек кнопок нет например button FN1 on click do WifiToggle или не залипла ли кнопка Wifi на которой длинное нажатие - Вкл/выкл wifi. Далее какие то телодвижения для 5GHz есть [I] Jun 4 11:37:52 ndm: Network::Interface::Rtx::WifiMaster: "WifiMaster1": country code set to RU (Russian Federation). [I] Jun 4 11:37:52 ndm: Network::Interface::Rtx::WifiMaster: "WifiMaster1": PHY mode set. [I] Jun 4 11:37:52 ndm: Network::Interface::Rtx::WifiMaster: "WifiMaster1": TX burst enabled. [I] Jun 4 11:37:52 ndm: Network::Interface::Rtx::WifiMaster: "WifiMaster1": explicit beamforming enabled. [I] Jun 4 11:37:52 ndm: Network::Interface::Rtx::WifiMaster: "WifiMaster1": 11ac/ax downlink-mumimo enabled. [I] Jun 4 11:37:52 ndm: Network::Interface::Base: "WifiMaster1": interface is up. .... [I] Jun 4 11:37:52 ndm: Network::Interface::Base: "WifiMaster1/AccessPoint3": interface is down. [I] Jun 4 11:37:52 ndm: Network::Interface::Ip: "WifiMaster1/WifiStation0": security level set to "public". [I] Jun 4 11:37:52 ndm: Network::Interface::Rtx::WifiStation: "WifiMaster1/WifiStation0": wireless encryption disabled. [I] Jun 4 11:37:52 ndm: Dhcp::Client: WifiMaster1/WifiStation0 DHCP client DNS host routes are enabled. [I] Jun 4 11:37:52 ndm: Dhcp::Client: WifiMaster1/WifiStation0 DHCP name servers are enabled. [I] Jun 4 11:37:52 ndm: Network::Interface::Base: "WifiMaster1/WifiStation0": interface is down. и как итог последняя запись в "down" Так же "Mws::Controller: generated EC key." не встречал такой не разу, но может как раз и связано что Wifi в down [I] Jan 1 03:00:15 ndm: Mws::Controller: generated EC key. [I] Jun 4 11:38:05 kernel: ACS result: Primary Channel 9, Min Channel Busy = 0, BW = 20 [I] Jun 4 11:38:05 wmond: WifiMaster0/AccessPoint0: (MT7615) BSS(ra0) channel switched to 9. [I] Jun 4 11:38:06 ndm: Cifs::ServerTsmb: service started. [I] Jun 4 11:38:06 kernel: ACS result: Primary Channel 52, Min Channel Busy = 0, BW = 80 [I] Jun 4 11:38:06 wmond: WifiMaster1/Backhaul0: (MT7615) BSS(rai4) channel switched to 52. хотя Backhaul0 настроился на Channel 52 rai4: 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 rai4.1: 0 0 0 0 0 0 0 0 131479 979 0 0 0 0 0 0 rai4.2: 0 0 0 0 0 0 0 0 24990 595 0 0 0 0 0 0 ra4.2: 0 0 0 0 0 0 0 0 24990 595 0 0 0 0 0 0 rai0: 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 Некоторые не нулевые интерфейсы wifi Есть не понятки по <file name="ndm:wifi-configuration.dat"> Блок для 2.4 # The word of "Default" must not be removed ... TxCmdMode=1 ... WirelessMode=9;9;9;9;9 Channel=0 TxRate=0 BasicRate=15 BeaconPeriod=100 DtimPeriod=1 TxPower=100 GreenAP=0 .... Блок для 5 # The word of "Default" must not be removed Default BssidNum=5 FastStartup=0 WHNAT=0 TxCmdMode=1 CountryRegionABand=36 CountryCode=RU SSID1=0x4b65656e657469632d38343730 SSID2=0x SSID3=0x SSID4=0x SSID5=0x3031313836373839663664383239336566656136646339303866663639343363 WirelessMode=14;14;14;14;14 Channel=0 Я бы по пробовал подправить конфиг до вида interface WifiMaster1 country-code RU compatibility N+AC channel 52 channel width 160 power 50 rekey-interval 86400 no band-steering beamforming explicit downlink-mumimo up ! interface WifiMaster1/AccessPoint0 rename AccessPoint_5G description "5Ghz Wi-Fi access point" mac access-list type none security-level private authentication wpa-psk ns3 *** encryption enable encryption wpa2 ip dhcp client dns-routes ip dhcp client name-servers ssid 11111111 wmm up и залить обратно. Второе - через WEB изменить его режим работы с роутера на любой другой например Точка доступа/Ретранслятор (т.е. по LAN и раздача Wifi) перезапустить - полазить по WEB в настройках Wifi (можно и проверить) -> потом опять сменить режим работы на Роутер (Основной) и сделать настройки Wifi а не те которые по автомату именно на 5GHz.