Le ecureuil

А где они задаются? Если через обычный ip route, то приоритет имеет object group.

Да, все как с обычными роутами.

Невозможно - KeeneticOS рассчитывает, что systemindex интерфейса никогда не изменится и что интерфейс создается в момент загрузки из конфига и его статус полностью под контролем KeeneticOS. Пересоздание под тем же именем меняет этот самый systemindex, потому он уже не тот же самый. Вы там можете по 5 раз в секунду пересоздавать этот интерфейс, будут слетать все маршруты и правила в netfilter, а как про должна KeeneticOS узнавать? Ну и все равно для того, чтобы запустить в Opkg нужно пересобирать, обычно нет никакой проблемы аккуратно запатчить.

Так уже сто лет как есть в виде команды > ip conntrack max-entries 32768

[I] Aug 21 19:24:50 - вот тут у вас кто-то опять удалил TUN-интерфейс в системе. Разбирайтесь с причинами.

Это все вследствие ошибок "отсутствия" интерфейса после того как usque его удалил. Давайте после того как persist перестанет трогаться перепроверим.

Вот эти два параметра таки мне непонятны: tx-rate=.1.3.6.1.4.1.14988.1.1.1.3.1.2.22 rx-rate=.1.3.6.1.4.1.14988.1.1.1.3.1.3.22 Какие у точки доступа могут быть txrate и rxrate? Эти значения индивидуальны для каждого клиента. Не можете показать рабочий пример с ними?

Спасибо за репорт, в следующем выпуске 5.0 будет исправлено. Это из-за того, что фильтры отдают DNS-ответы с нулевыми адресами (букально 0.0.0.0), а в IPset нельзя добавлять такие адреса.

В следующей версии 5.0 будет возможность задавать domain в exclude. Он будет менее приоритетным отнсительно include, то есть исключить будет можно только какой-то из поддоменов, который уже есть в include. Сделать наоборот, то есть исключить домен, а потом включить его поддомены - невозможно.

Это чисто вебная история, передал, спасибо за репорт. Система внутри умеет через запятую принимать несколько сетей.

Посмотрел - у вас usque считает себя самым умным и удаляет этот интерфейс из системы. Его нужно или пропатчить, или настроить чтобы он так не делал, иначе работать будет до первого переконнекта. https://github.com/songgao/water/blob/master/syscalls_linux.go#L82 вот тут нужно вообще убрать вызов TUNSETPERSIST

Спасибо за репорт, теперь будет просто информационное сообщение.

В следующей версии 5.0 будет, спасибо за репорт.

Спасибо за репорт, в 5.0.a.12 должно быть исправлено.

На mips такой возможности нет. На arm попробуйте в sysfs поискать.

Да, нужно вводить туда имя пользователя. Это поле по-правильному должно называться "EAP Identity" и совпадать с именем пользователя, но у разрабов андроида какой-то шум в голове видимо, вот и путают всех.

Попробуйте имя пользователя ввести еще раз. А вообще приложите-ка скрин экрана.

Ну и славно, что решилось.

Веб уже сейчас имеет правило "сам web + все wildcard на нем, которые не заняты proxy". Не забывайте, то часть людей ходит по domain.keenetic.link, часть по www.domain.keenetic.link, часть еще по неизвестным поддоменам. Ваша логика сломает такое поведение.

ip http proxy preserve-host

В самом распространенном сценарии IPsec работает по политикам, у него нет интерфейсов. В этом случае нельзя задавать traffic selectors 0.0.0.0, иначе все заклинит. Потому нужно включить именно интерфейсный режим. Создаем XFRM-интерфейс на клиенте, привязаваем его к crypto map, ставим traffic selectors 0.0.0.0/0 клиенте и затем используем XFRM0 просто как любой из WAN-интерфейсов - назначаем ему global например, адреса, прописать default route...

Покажите HAR-файл из Chrome.

Поправлено, спасибо за уточнение.

Будет, не успел еще, но пока не обещаю по срокам.

Заголовки вот такие: У нас на самом деле сложно сделать то, что вы хотите, поскольку в случае отсутствия proxy все редиректится в обычный веб. У вас показывает 403 только потому что запрещен доступ снаружи. Если же он разрешен, то вы будете видеть просто веб интерфейс.