vasek00

Какую цель преследуете?

Ошибка Но после этого заработало на обоих провайдерах.

По пробовал на другом провайдере и фишка

Вот что получилось

подключить LAN <-> LAN

Keenetic1[WG]-------[WG]Keenetic2 На Keenetic1 два канала интернет, на Keenetic2 наличие белого IP. На Keenetic2 поднимаем сервер WG, далее на Keenetic1 на любом профиле или на основном по каналам - WG (клиент) ниже инет1 ниже инте2 т.е. после перезапуска роутера имеем инет1 ниже инет2, поднимается WG на инет1 и становится default - канал WG между Keenetic1 и Keenetic2. Пропадает Инет1, WG будет работать на Инет2, при появление Инет1 WG будет работать через Инет1 (на последних прошивках будет переподключение WG автоматом). В итоге между двумя роутерами будет канал WG для клиентов по барабану.

Для начала 43х, но она вряд ли отличается от 42х по данному вопросу DHCP. Добавляю через WEB в настройку DNS сервер 8.8.8.8 для сегмента Home в итоге получаю конф файл и вывод команды (или можно в selftest файле) Убираю через WEB в настройку DNS сервера 8.8.8.8 для сегмента Home и опять смотрим selftest файл. Где и на что и как обратить внимание я указал.

Учтите что Samsung принимает решение начать миграцию при уровнях на нем RSSI -75/-76. rssi-threshold -80 Это команда так сказать "отстрела" приводит к отключению (не видит текущей точки), а если есть рядом сигнал/маяки от других то ПОДКЛЮЧЕНИЕ к ним. Улучшить в таком случае это уменьшить сигнал 5GHz. В свое время проверял Band Steering, но приоритет ставил на 5GHz т.е. для обратного из зоны 2.4 в зону 5. Если хотите понять что и как то поставьте analiti там есть Handover как раз и будет все видно что и как и когда.

При схеме которая и без разницы в каком режиме Keenetic2 работает, ВАЖНО настроить/проверить маршрут по умолчанию на Keenetic2 он должен указывать на IP адрес Keenetic2 Интернет---Keenetic1[LAN]----[LAN]Keenetic2 На странице WEB Keenetic2 - по умолчанию и 0.0.0.0/0. ОБЯЗАТЕЛЬНО должен быть выбран интерфейс тот который Домашняя сеть, а не любой. Для работы DNS для локальных сервисов Keenetic2 так же указать IP адрес от Keenetic1. По конф файлу на Keenetic2 это две строчки (сам Keenetic2 например IP 192.168.1.2) ip name-server 192.168.1.1 ip name-server 192.168.1.1 "" on Home где Home это то "interface Bridge0" interface Bridge0 rename Home description HomeLan В итоге все устройства и клиенты в одном сегменте и Keenetic2 - просто switch. Интернет---Роутер[LAN]------[LAN]Keenetic1[LAN]----[LAN]Keenetic2 То на любом из Keenetic нужно проделать - маршрут по умолчанию и DNS указать на IP роутера. DHCP сервер тут по барабану где, но желательно один, настройки на нем для клиентов указать шлюзом/DNS естественно адрес того устройства на котором выход в интернет. Вариант можно поднять на Keebetic1 тогда в его настройках указать 192.168.1.1 и шлюзом и DNS.

подключение получается без доступа в интернет. - что значит без доступа ? Гадать, что у вас и как это к шаманам, если с selftest то это к ТП, если тут на форуме то нужно данных по более. Начните с того что берете ТД и подключаете ее к основному роутеру на прямую коротким кабелем и смотрите.

В данном случае - нет нечего такого сложного, если смог написать батник, то сможет и в конф поправить.

Это да. Но когда роутер настроен и работает, то правильней сохранить конф файл тек.настроек -> он файл всегда под рукой.

Быстрее удалить в конф файле нужный блок, где он можно посмотреть чуть выше. Да потом придется залить конф обратно.

А зачем НАБИВАТЬ в батник, если можно быстрее в конф файл ip policy Policy3 route 142.250.0.0 255.254.0.0 Wireguard0 auto reject или в основном ip route 142.250.0.0 255.254.0.0 Wireguard0 auto reject !yt1 копируете данную строку n-раз (или "route <> Wireguard0 auto reject") и потом НАБИВАЕТЕ сами маршруты сразу в конф файл.

Осмыслите еще раз порядок действий. Начните с сохранения selftest файла, поиска в нем ваших интерфейсов (относящихся к сегментам). B еще раз прочитать/посмотреть https://help.keenetic.com/hc/ru/articles/360001434079-Настройка-правил-межсетевого-экрана-из-командного-интерфейса но начните с и картинка. security-level, no-isolation не помогают. Видимо, есть какое-то ключевое условие, которое я не делаю, а оно нигде не описывается. Cразу вопрос что в итоге имеете или обратитесь тогда в ТП с приложенном файлом selftest.

На локальном ПК ( в сети так же несколько) берем готовый html (можно и в закладки) <!DOCTYPE html> <html> <head><meta charset="utf-8"><title>Keenetic</title></head> <body> <a href="https://ffffffffffffffffffffffb.keenetic.io/login?backUrl=%2Fdashboard" title="Переход на Giga1">Место1<br></a> <a href="https://dfffffffffffffffffffff9.keenetic.io/login?backUrl=%2Fdashboard" title="Переход на Giga2">Место2<br></a> <a href="https://7ffffffffffffffffffffff6.keenetic.io/login?backUrl=%2Fdashboard" title="Переход на Giga3">Место3<br></a> </body> </html> и без разницы где он хоть локально, хоть не локально.

Ну я так и подозревал. Еще вопрос, а если вообще нет интернета то гости не придут?

Как раз жестко

А не проще гостей не пускать в сеть. Есть же у них свой 4G/5G или я неверное не догоняю сегодня эта фишка такая "приходят гости и с 4G/5G обязательно должны переключится на гостевой Wifi" они же в гости пришли, а не в интернете тусоваться.

Как и написано выше, можно по .io (достаточно посмотреть в selftest файл роутера), если смотреть не хочется то https://rmm.netcraze.ru/sites регистрация устройств (хоть в mesh хоть не в mesh, хоть ТД) - выбор устройства и в правом углу надпись "Веб интерфейс" если навести мышку то в левом низу будет видна ссылка, если на жать то попадаете на нужный/выбранный роутер - где в браузере будет так же ссылка ( https://7........6.keenetic.io )

При настройке WG вы делали правила firewall для данного интерфейса - либо ip или TCP+UDP, не пробовали добавить icmp.

https://help.keenetic.com/hc/ru/articles/360001434079-Настройка-правил-межсетевого-экрана-из-командного-интерфейса

Подправил под 4.3. Вариант когда клиент в своем профиле. Получим первое упоминание для блока его правил по MAC и прибавим +1 iptables -t mangle -L --line-numbers | awk '/E8:_MAC_CLIENTA_:74/ {print $1; exit}' получил номер первого упоминнаия -> +1 = 58 iptables -t mangle -I _NDM_HOTSPOT_PRERT 58 -m mac --mac-source E8:_MAC_CLIENTA_:74 -m dscp --dscp 0x3f -j MARK --set-xmark 0xffffaab/0xffffffff В итоге, нужное правило dcp = 63 или 0x3f (профиль для него 0хffffaab), чтоб оно было после основного правила для профиля (0хffffaaa). Данный раздел ниже это весь блок для данного клиента, что у него и куда. 57 MARK all -- anywhere anywhere MAC E8:_MAC_CLIENTA_:74 MARK set 0xffffaaa 58 MARK all -- anywhere anywhere MAC E8:_MAC_CLIENTA_:74 DSCP match 0x3f MARK set 0xffffaab 59 CONNMARK all -- anywhere anywhere MAC E8:_MAC_CLIENTA_:74 CONNMARK save 60 RETURN all -- anywhere anywhere MAC E8:_MAC_CLIENTA_:74 Фишка так и осталась, но уже только при передаче по основному профилю и в момент приема на другом проф. Это уже на LAN клиенте.

Проверил на 4.3 (чуток изменения) и вот такую картину получил #!/bin/sh [ "$table" != "mangle" ] && exit 0 if [ -z "$(iptables-save | grep 'dscp')" ]; then iptables -t mangle -I _NDM_HOTSPOT_PRERT -m mac --mac-source e0:клиент_ПК:e0 -j RETURN iptables -t mangle -I _NDM_HOTSPOT_PRERT -m mac --mac-source e0:клиент_ПК:e0 -j CONNMARK --save-mark --nfmask 0xffffffff --ctmask 0xffffffff iptables -t mangle -I _NDM_HOTSPOT_PRERT -m mac --mac-source e0:клиент_ПК:e0 -m dscp --dscp 0x3f -j MARK --set-xmark 0xffffaab/0xffffffff iptables -t mangle -I _NDM_HOTSPOT_PRERT -m mac --mac-source e0:клиент_ПК:e0 -j MARK --set-xmark 0xffffaaa/0xffffffff fi exit 0 Для dscp 0х3f сервиса клиента выбран канал Inet-2, сервис для проверки torrent на клиенте ПК по wifi и проф. aab. Все остальное с данного клиента в aaa (на данном профиле поднят только WG который на канале РТ). Итог все работает, но есть маленькая фишка, падение скорости на канале Inet-2 во время работы по другому.

На пороге 2025год и на сегодня в прошивки все есть для реализации - "Создание политики обслуживания клиента" или можно назвать по другому. В моем случае есть два канала хотелось бы завернуть приложение клиента на Windows через канал отличный от default канала клиента. На Windows клиенте ставим метку на нужный сервис/приложение, а роутер по этой метке отправляет пакетики в нужный нам канал Ранее делал так [ "$table" != "mangle" ] && exit 0 if [ -z "$(iptables-save | grep 'dscp')" ]; then iptables -t mangle -I _NDM_HOTSPOT_PRERT -i br0 -s 192.168.1.2/32 -j RETURN iptables -t mangle -I _NDM_HOTSPOT_PRERT -i br0 -s 192.168.1.2/32 -j CONNMARK --save-mark iptables -t mangle -I _NDM_HOTSPOT_PRERT -i br0 -s 192.168.1.2/32 -j MARK --set-mark 0xffffaaa iptables -t mangle -I _NDM_HOTSPOT_PRERT -i br0 -s 192.168.1.2/32 -m dscp --dscp 63 -j MARK --set-mark 0xffffaab fi т.е. политика1 "--set-mark 0xffffaaa" (будет основная) и политика2 для приложения на клиенте "--set-mark 0xffffaab" (будет вторая). Именно в такой последовательности, так как правила iptables будут сначала для "0xffffaab", а потом для "0xffffaaa". Сам клиент должен находится в основном профиле. Сейчас в 4.3 опять хотелось бы вернуться к этой "плюшке", но нужен USB порт и Entware. Не плохо бы иметь возможность реализации хотя бы через cli то было бы хорошо.