vasek00

В наличие interface Wireguard3 description KN-WG security-level private ... wireguard peer Z8.....................TY= !73 ... connect ! wireguard peer y09....................CA= !505 ... connect ! up Сервер для доступа клиентов ip policy Policy0 description Cl permit global Wireguard0 ip policy Policy1 description In-2 permit global GigabitEthernet0/Vlan9 Вводим команду, а в ответ "no such command" (config)> ip policy interface Wireguard3 Policy0 Command::Base error[7405600]: no such command: Wireguard3. (config)> ip policy interface Wireguard3 Policy1 Command::Base error[7405600]: no such command: Wireguard3. (config)> (config)> ip policy Usage template: policy {name}

Логично так и было. Из ходя из ответа выше Частично уже есть - начиная с 4.2.A.11 клиенты VPN-серверов ходят в Интернет через политику, привязанную к сегменту, к которому привязан сам VPN-сервер. и из вашего ответа, тогда например еще один сегмент "Smart" вопрос как на нем поднять VPN? Если я правильно понял суть первого поста то имелось ввиду совсем другое - Вкратце - часто подключаюсь с телефона к впн-серверу на домашнем роутере. На самом роутере несколько исходящих инет-подключений, включая разные впн. По умолчанию подключение в инет идет по активному на данный момент каналу, а хотелось бы иметь возможность выбора для клиентов впн, через какой канал их выпускать. Это есть политика на роутере к которой привязан какой то канал например WG interface Wireguard0 description Cloud-wg security-level public ip address 10.10.132.101 255.255.255.255 ip policy Policy0 description Cloud permit global Wireguard0 Есть удаленный клиент смартфон который по WG или по любому VPN (у которого есть IP) попадает на роутер -> по умолчанию он попадет в основной профиль, т.к. WG сервер это лок. процесс. interface Wireguard3 description PKN-WG security-level public Мы хотим этого клиента смартфон завернуть в Policy0 и дать ему выход в интернет через Wireguard0. Так как он имеет IP, то делается просто (видимо на словах, в реале сложнее для включения ее в WEB настройку) - узнаем нужную таблицу для данной политики и потом добавляем клиента к этой таблице "ip rule add .... table 10". WG так же. В прошивке все есть, выполняется одна единственная команда, но ее только можно ввести через Entware скрипт.

Пример PPTP сервера или SSTP аналогичен. Или речь идет что то с применением "connect via" для интерфейса

А можно узнать как то эту команду для привязки политики сервера VPN можно использовать.

Я так и не увидел вашего второго варианта только "exec sh" (под admin). Я выше описал два варианта в одном под admin в другом под root. Если у вас все правильно установленно то включайте скрипт автозапуска /opt/etc/init.d и перезапускайте роутер.

Для начала покажите что у вас по самим файлам. Есть два варианта доступа к роутеру - "exec sh" и второй например по SSH (все что ниже проверил через SSH, потом просто запустил через "exec sh") Записывал файл на роутер через WEB самого роутера. Проверил на Viva версия 42A12 и сам файл https://github.com/Snawoot/opera-proxy/releases/tag/v1.2.5 opera-proxy.linux-mipsle В обоих вариантах все ОК. То что стоит сейчас на роутере

Еще бы узнать что вы конкретно сделали или что у вас получилось

Раз идет обсуждение то и обсуждаем. Да так и есть. Посмотрел на смартфоне и браузер при установленном "AdGuard Content Blocker" например по маркету правила ! Yandex.Market market.yandex.*###banner-streamer market.yandex.*##div[data-apiary-widget-name*="@marketfront/HeroBanner"] market.yandex.*##div[data-apiary-widget-id*="/headerPromo"] market.yandex.*##div[data-apiary-widget-name="@marketfront/CreativeBanner"] [$path=/^\/$|\/\?/]market.yandex.*##div[data-zone-data*="bannerUrl"]:not([data-zone-name="deals-banner"]) market.yandex.*##.mediaBanner market.yandex.*##.main > noindex:not([data-tid]) market.yandex.*##div[data-apiary-widget-id^="/content/cms/CmsPageLayout-"] div[data-apiary-widget-name="@marketfront/MediaCarousel"] !#if (adguard_app_android || adguard_app_ios) market.yandex.*##div[data-apiary-widget-id="/headBanner"] market.yandex.*##div[data-apiary-widget-id="/content/productMediaBanner"] ! sponsor items in Popular section market.yandex.*##ul[aria-labelledby="serp-main-title"] > li[data-schema="searchIncut"] !#endif прокатывают, в AGH нет.

Т.е. по вашему никак и AGH может только DNS может. Посмотрите внимательнеее скрин и фильтры котрые можно использовать, например Фильтр счетчиков и системы аналитики = https://raw.githubusercontent.com/AdguardTeam/FiltersRegistry/master/filters/filter_3_Spyware/filter.txt Фильтр мобильной рекламы = https://raw.githubusercontent.com/AdguardTeam/FiltersRegistry/master/filters/filter_11_Mobile/filter.txt RU Adlist = https://easylist-downloads.adblockplus.org/advblock.txt Update and rework the rules for Yandex site = https://raw.githubusercontent.com/AdguardTeam/AdguardFilters/master/CyrillicFilters/RussianFilter/sections/general_extensions.txt и так далее

Как показал выше при использование uBlock Origin на самом верхнем скрине ya.ru все чисто.

Может подглядеть у uBlock Origin Или какой-нибудь фильтр от него взять или просто в AGH добавить свои пользовательские правила

Сомнения по поводу Samsung A73 - еще раз проверяю, как ни странно, но и с ним все в порядке на ax 1х1/80. Подключен к buddy 6 - ax 1х1/80 на линке 600. Линк между buddy 6 и 1811 = 1729 в обе стороны. В итоге пока не определенность - нужно наблюдать, чтоб поймать то что было в самом первом посту с данным клиентом. При данном подключение линк buddy 6 и 1811 упал до 72-144 1х1/80 и не смог восстановиться до снятия теста iperf3.

Тест с клиентом Intel AC 9560 (2x2/160) проблем не выявил. [iperf3 -c .... -R -P30 -t 2400]--Wifi--[B6]--Wifi--[KN1811]--LAN--[iperf3 -s] [iperf3 -c .... -R -P30 -t 2400]--Wifi--[B6]--Wifi--[KN1811]--LAN--[iperf3 -s] В обе стороны

Повторил тест с клиентом Samsung A34 который ac 2х2/80 так же подключенный к buddy 6. WPA3 как на линке B6<->1811 так и на линке клиент<->B6. [iperf3 -c .... -R -P30 -t 2400]--Wifi--[B6]--Wifi--[KN1811]--LAN--[iperf3 -s] Клиент показал на прием 380-400Мбит, если поменять прием на передачу на нем то получаем 200-300Мбит. Линк между buddy 6 и 1811 со стороны роутера 1921 а со стороны buddy 6 1441. Cам клиент на buddy 6 линк показал 867. Следущий планшет Samsung A7 (T505) ac 1х1/80 так же подключенный к buddy 6. WPA3 как на линке B6<->1811 так и на линке клиент<->B6. При том же тесте iperf3 получил на прием стабильно ~250Мбит, на передачу 200-230Мбит. Линк между buddy 6 и 1811 со стороны роутера 1921 а со стороны buddy 6 1441. Cам клиент на buddy 6 линк показал 433. Из трех клиентов странно повел себя Sasung A73 ax 1х1/80. Повторил тест с Samsung A73 он хитрый при подключение к ax, т.е. подключение первичное как ас клиента но потом любое перключение (переход между ТД в wifi системе) по wifi переведет его в ах. Сам тест повторил для него когда он в режиме ас и получил результата как и выше клиентов Samsung ac 1х1/80. iperf3 получил на прием стабильно ~300Мбит, на передачу 210-230Мбит. Линк между buddy 6 и 1811, клиент показал линк с buddy 6 равен 433.

По на всех 41A11. Контроллер 1811 (wifi система) и к нему buddy 6. Линк был на WPA3 и 2х2/160. 1. [iperf3 -c .... -R -P30 -t 2400]--LAN--[B6]--Wifi--[KN1811]--LAN--[iperf3 -s] Вопросов нет под 900Мбит на клиенте Buddy6, в любую сторону -R или без него. Один раз провал это случайность, далее там еще есть, но все ровно. На красном графике некоторые "провалы" это, по-видимому, параметр Airtime Fairness (на прием галки на нем нет) 2. Смартфон Samsung A73 1х1/80 c ax принудительно подключается к buddy 6 (настройки на клиенте смартфоне к кому подключатся) [iperf3 -c .... -R -P30 -t 2400]--Wifi--[B6]--Wifi--[KN1811]--LAN--[iperf3 -s] При данном подключение линк buddy 6 и 1811 упал до 72-144 1х1/80 и не смог восстановиться до снятия теста iperf3. За линком на buddy6 так не наблюдал, а видимо зря так как он так же ушел в 80. 3. На Buddy 6 принудительно ставлю полоса 80 [iperf3 -c .... -R -P30 -t 2400]--Wifi--[B6]--Wifi--[KN1811]--LAN--[iperf3 -s] Тут линк 288-360Мбит 1х1/80 или 432Мбит 2х2/80. После снятия теста iperf3 линк так же поднимается до первоначального значения, тут уж скрин делать не стал.

Так как данная команда interface WifiMaster1/AccessPoint0 ... rssi-threshold -70 up Будет использована для всех клиентов данного интерфейса, то уменьшается "зона охвата" для всех клиентов. Клиент, который не перемещается и сидит на данной АР при rssi=-71, а есть который перемещается для него лучше "отстрел от данной AP" при данном значение rssi=-70.

На роутере с 512МБ озу на 2710

Вы вон про что. Это WEB/cli или 192.168.1.1 сама команда interface Wireguard1 wireguard peer jD....rTQ= connect via ИМЯ_Интерфейса Лучше в WEB/cli так как после каждого ввода : 1 . "interface Wire"[нажать TAB] выбрать нужный 2. "interface Wireguard1"[нажать TAB] выбрать "wireguard" 3. "interface Wireguard1 wireguard"[нажать TAB] выбрать "peer" 4. "interface Wireguard1 wireguard peer jD....rTQ="[нажать TAB] выбрать "connect" 5. "interface Wireguard1 wireguard peer jD....rTQ= connect via" тут сначала "конец строки" 6. Добавить интерфейс например "PPPoE0" 7. естественно записать "system configuration save" Если после ввода команды по нажатию клавиши TAB не "вываливается" доп. список, то сначала нажать тогда пробел, а потом TAB Второй вариант добавить в сам конф файл interface Wireguard1 ... connect via PPPoE0 ...

WEB - Интернет - Другие подключения -

В моем варианте два роутера основным (один основной на нем интернет и что хотите, второй Ultra, оба подключены по LAN кабелю). Интернет---[WAN]voyager[LAN]------[LAN]Ultra Основной voyager 192.168.1.1 тогда Ultra например 192.168.1.100. В настройках DHCP сервера указать шлюз 192.168.1.1 и DNS 192.168.1.100, пул например 192.168.1.50-192.168.1.70 (или как у вас). Настройки wifi идентичные на обоих, рег.клиентов MAC-IP на обоих, DHCP сервер на основном или на Ultra по желанию (лучше на основном). На Ultra две основные команды в WEB роутера - "192.168.1.100/a" : ip name-server 192.168.1.1:53 "" on Home ip route default 192.168.1.1 Home system configuration save где "Home" это имя вашего домашнего сегмента из WEB (мои сети и wifi) у вас возможно другое. Первая говорит о DNS где его искать, вторая маршрут по умолчанию, третья записать это. Ну или IP какие у вас, эти для примера. После этого как все заработает, то делаете настройку VPN на voyager своего xkeen. Создаете политики если нужны, заводите туда клиентов (для этого и нужна рег. их MAC-IP). В данном случае Ultra является таким же клиентом для voyager как и любой смартфон/ноутбук/ТВ и т.д. Если оба ответа "Да", тогда мне надо объяснить на пальцах (или послать читать какой-нибудь мануал), каким образом настроить voyager, что бы он сначала "перенаправил" интернет в ultra, а потом получил его обратно, но уже от ultra, со всеми его правилами выхода в интернет. Это не ко мне, у меня все проще написано чуть выше. Опять повторяюсь у вас просто Настройки интернета нужно перекинуть на voyager, а настройки клиентов и wifi c Ultra продублировать на voyager. И в заключение на Ultra отключить WAN и прописать две команды которые выше (которые на данном этапе нужно просто для обновления ПО роутера, а так как он в основном режиме то можно и еще плюшки получить). Клиенту будет по барабану к какому роутеру он подключился voyager/Ultra так как у него адрес шлюза указывает на IP voyager, а он уже рулит voyager клиентами кого куда.

Вопрос чем волшебное слово режим ретранслятора будет отличатся от основного режима - только тем что упростили для пользователя первичную конфигурацию устройства. Что в нее входит на "пальцах" конфигурация интерфейсов и настройка default маршрута + настройка по wifi части. Ну если это все сделать ручками 10-15мин. трудно то тогда возможно будет проще использовать ретранслятор. Не подскажите что для вас значит - так как хочу настоящую бесшовность Если (был опыт по настройке ретранслятора от другого производителя, но дисконнект при переключении был слишком заметный) то не факт что виновато оборудование, а не сам ваш клиент и так же реально ли ваше прошлое оборудование поддерживало 802.11krv в полном объеме, а не частично. При использовании разного оборудования проблема только в реализации протокола IAPP у каждого вендор он может быть по своему между устройствами.

1. Берите любой на сколько денег не жалко и поднимайте на нем. 2. действительно ли будет бесшовность, если я просто настрою обе точки абсолютно одинаково и оба оставлю в режиме роутера? а куда она у вас должна деться? Читайте базу знаний Keenetic Wifi система и mesh (для чего) + учтите что у вас всего два роутера. ДВА РОУТЕРА СОЕДИНЯЮТЬСЯ ПОРТАМИ LAN в LAN.

При чем тут какие то махинации. Инет---Keenetic1[LAN]-----[LAN]Keenetic2------Клиент На Keenetic2 поднят VPN + default маршрут на Keenetic1. В итоге если хотим клиента отправить через Keenetic1 то прописываем ему шлюз IP Keenetic1, а если через VPN (Keenetic2) то шлюз IP Keenetic2. Так как Keenetic2 это основной режим то он доступен из вне по xxxxxx.keenetic.xxx - без каких либо проблем. Не чего протягивать не надо, так как у вас все уже все протянуто. и вообще не заморачиваться. Наверное так и сделаю. Странно как то назвать так настройка 5минут Keenetic, но видимо легких путей не ищем как всегда.

Если готовы прикупить еще один, то рассмотрите вариант - то любой 1Gb хоть новый, хоть на авито тут вопрос на сколько денег не жалко с учетом того будет ли какой VPN, если нет то можно из 1Gb по проще. Ставите на 1этаже при входе, далее с его LAN порта на 2 этаж в Ultra. Суть данного нового роутера просто принять интернет и раздать его на 1этаж все что рядом с ним и далее на 2этаж. Инет----[WAN]Keenetic[LAN]-----[LAN]Ultra Оба роутера в основном режиме, на Ultra можно поднимать wifi систему. Настройки на обоих идеальны в части домашней сети : 1. Рег. клиентов по MAC-IP 2. Настройки Wifi единичны, все плюшки включаете в частности 802.11krv, DHCP сервер на Ultra (в его настройках шлюз IP/DNS указать IP от Keenetic) 3. Управление клиентами по выходу в интернет будет на Keenetic. 4. KeenDNS будет работать на обоих и даже VPN можно будет поднять на Ultra. По второй части VPN есть вопрос по использованию, так как не получится создавать политики так как не будет WAN, но и тут решаемо. Для выхода в интернет любому клиенту нужен адрес шлюза, в данном случае если IP от Keenetic то через него, если IP от Ultra то через него точнее через его VPN, для стат клиентов вопросов нет в его настройках это указать, даже из вне можно получить доступ к Ultra. 5. Как сказал ранее wifi систему можно поднять и на Ultra.

В моем случае 42A9 Peak: 1. Включилось обновление и не выключается (ранее было выключено). Выкл его, переход на другую страницу потом обратно а он вкл. 2. Программа улучшения продукта включено и не выключается (ранее была выключена), аналогично как выше если выкл. в WEB, переход на другую потом возврат на нее и он опять вкл. 3. Для беспроводных прописался "beamforming explicit mu-mimo" 4. Для PPPoE включился ссp в 42A7 еще был "no ccp" Если их исправить в конф.файле, а потом залить на роутер и сохранить еще раз и проверить в WEB то все что описано выше п.1-4 опять так же установлено.