Le ecureuil

На версии 2.11.D.10.0-4 нужно в профиль pingcheck добавить: > ping-check profile {profile} restart-interface Adsl0

Версия 2.11.D.10.0-4: OpenSSL: 1.1.1n (исправлена CVE-2022-0778) OpenVPN: исправлена поддержка множественных удаленных (remote) серверов (CVE-2022-0547) [NDM-2115] Pingcheck: добавлен выбор дополнительного интерфейса для перезапуска (сообщил @kvazar1996@mail.ru) Собрано в delta для KIII/KDSL/KLTE/KVOX.

@r3L4x прошу проверить в следующем выпуске 3.8.

Пока нет, прошу проверить в следующем выпуске 3.8.

Поддержки 2.16 в новом приложении больше не будет. Кто успел - смог добавить устройства, но новые уже не добавляются и в будущем будет все больше несовместимости.

Да, нужен.

Ох, и правда. В системе такой тип есть, но наружу вывести забыли. Добавлю.

Для PPPoE и PPTP нужно > interface PPPoE0/PPTP0 ipcp no name-servers

Впрочем если GeoIP верны, то у вас скорее всего переключился регион с RU на UA. В UA недоступен Yandex.DNS, поскольку он заблокирован. Русский язык можно вернуть через установку компонента с языком.

Покажите self-test.

Лучше покажите что у вас в ip name-server.

На IPoE? > no interface ISP ip dhcp client name-servers

Совсем тупой вариант, но в целом рабочий - это по вызову neighbour.d с action == update_dhcp получать из ndmq список dhcp-лизов через 'show ip dhcp bindings', засовывать в dnsmasq и слать ему сигнал на перечитывание конфига.

127.0.0.1:10053 вроде бы, для своих нужд внутренних.

@3-50 можете self-test на 3.8 приложить, снятый сразу после загрузки?

Его не будет в web. Все только из cli. Такой вариант вас устроит?

interface IPIPX mtu 1250

Для простоты считайте что настройка security-level - это такой автоматический фаервол для службы, который работает сразу на всех интерфейсах. Тогда будет в разы понятнее, почему службы и интерфейсы не разделяются как таковые.

Да, теперь из self-test я все понял. Вы сами разрешили эти соединения, задав в ACL: permit ip 192.168.1.0 255.255.255.0 0.0.0.0 0.0.0.0 Дословно это означает: "разрешить из 192.168.1.0/24 на любое назначение". Судя по всему, у вас в Wireguard0 проходят SSH запросы с источником 192.168.1.0/24 и назначением 10.0.0.2, что вполне подходит под условие и коннект разрешается. И да, ACL имеет высший приоритет, чем security-level, потому все, что явно разрешено или запрещено в ACL будет работать именно так. Если не нужен доступ по SSH, закройте его явно первым правилом в ACL: deny tcp 192.168.1.0 255.255.255.255 0.0.0.0 0.0.0.0 port eq 22

Какая у вас модель устройства и какая версия ПО? Где self-test?

Пока непонятно в чем баг, можете поразвернутее?

Пришлите туда пожалуйста. Пока вообще ничего непонятно из вашего описания, потому без технических подробностей не хочу обсуждать что там происходит.

self-test отправляли в поддержку с гига-1? Если да, то скажите номер в zendesk.

Разумеется, это было ожидаемо. В основном он для NAND-flash, там места везде с запасом.

Прямо сейчас проверил на Giga II, влезает следующий набор: base,usb,corewireless,ppe,lang-en,ntfs,cifs,qbt.