r13

Видимо тем что у ТС не влезают все его vlan'ы в текущем вебе а создать несколько логических подключений на один физический порт веб не позволяет

https://www.opennet.ru/docs/RUS/LARTC/x348.html Вам пункт про раздельный доступ. Для упрощения можно сделать настройки только для не основного кананала, а остальные клиенты через default route ходить будут.

VLANы вам не помогут, пока только при наличии entware такое можно настроить.

@Dmitry Tumashev Надо еще маршруты на клиенте смотреть, возможно что он только о роутере за vpn и знает. А все остальное в обход vpn гонит.

Пару?!

@ndm @Le ecureuil Может предусмотрим сабж чтоб наружу ssh с таким красноречивым именем пользователя не выставлять наружу? PS а доступ по ключам вместо паролей будет?

Если не используете пинг чек то без разницы, в отдельный vlan выделять не обязательно.

было такое поведение но воспроизводилось не всегда. В последнее время не смотрел как там дела .

Так же как и все остальное, посмотрите в компонентах доступных к обновлению в прошивке

Поставить новый веб, в нем L2TP/IPSec настраивается также как и прочие VPN Настройки в ручную есть в теме по L2TP/IPSec

Для OpenVPN тоже все есть, только решается стандартными для OpenVPN средствами. Читайте местную ветку и мануалы по OpenVPN

К стати о птичках... @Padavan В show associations еще нет информации о активных MU-MIMO и BF? @eralde @Dmitry Tishkin В старом интерфейсе было включение MU-MIMO и BF, а в новом не нашел, еще не сделаны?

Кажись нашел: ipset`ы+ip6tables c модулем TPROXY. Вечером попробую.

Путь никакой не надо прописывать, оставьте пустой.

У меня l2tp/ipsec стабильнее работает, особенно на яблочной продукции. К стати @Le ecureuil Сообщения от l2tp/ipsec сервера l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 659/2, tunnel Ns/Nr: 821/13, tunnel reception window size: 16 bytes) На крайних драфтах имеют место быть если что. Свежий self-test нужен?

Коллеги, а подобное решение можно как то скрестить с IPv6? Описанное в статье отрабатывает, добавляется в ipset, но при наличии ipv6 у ресурса пакеты уходят по ipv6 адресу, а не заворачиваются на ipv4 proxy. Как то можно подавлять резолв ipv6 для хостов из списка? Или еще какое-то решение?

@Le ecureuil Привет, добавьте пожалуйста Хук wan.d для IPv6 Сейчас У меня IPv6 от провайдера динамический, хотелось бы отслеживать изменения предоставленного адреса.

Надо смотреть сколько он занимает со всеми своими зависимостями, а то может так оказаться что ничего кроме него в прошивку не войдет

Хм. Тогда предположу что благодаря врожденной однопортовости этого интерфейса все эти моды не нужны, а достаточно создать интерфейсы вида?! GigabitEthernet1/Vlan10 Кстати говоря все в общем то просто, поменять в вебморде настройки на использование vlan на интерфейсе ISP и посмотреть какие изменения это вызовет в конфиге, тогда станет ясно как правильно (сейчас под рукой нужного девайса нет, проверить не на чем). @Le ecureuil @ndm Как работать с Vlan`ми на GigabitEthernet1 интерфейсе?

Надо на порту GigabitEthernet1/0 а не на GigabitEthernet1 Значит должно быть как на гига2 только заменить GigabitEthernet0 на GigabitEthernet1 где требуется

Не, надо выполнить в cli что-то вроде этого: interface GigabitEthernet1/0 switchport mode trunk switchport trunk vlan 10 switchport trunk vlan 16 switchport trunk vlan 901 switchport trunk vlan 300 exit Interface GigabitEthernet1/Vlan10 exit Interface GigabitEthernet1/Vlan16 exit Interface GigabitEthernet1/Vlan300 exit Interface GigabitEthernet1/Vlan901 exit А дальше уже новые интерфейсы скорее всего можно будет в вебе настроить, или продолжить в cli ЗЫ также на интерфейсе GigabitEthernet1/0 надо будет хвосты от access mode почистить.

По идее по аналогии с https://help.keenetic.net/hc/ru/articles/213967729-Настройка-доступа-к-Интернету-и-IPTV-когда-провайдер-предоставляет-обе-услуги-с-тегированным-трафиком-VLAN- Создать несколько требуемых интерфейсов. Но не знаю насколько статья актуальна. Если через веб не получится, нужно будет смотреть в сторону cli

Так никтож не заставляет на них сидеть. Выбирите на которой все работает, и успокойтесь. Работает - не трож.

В изначальной композиции например на zte некуда посылать, есть только cdrom. Его извлечение меняет композицию на рабочую. Да и для at команд нужен com порт, а он обычно есть в ras и ndis, а у cdc отсутсвует за не надобностью в том числе и в рабочей композиции.

Или роутер, и то окружение что вызвало ошибку, если этот функционал важен.