KorDen

..., в том числе self-hosted,...

А хотя чего бы и нет. Вполне себе прыжки между цепочками-таблицами netfilter. "ip policy Policy10 permit global Policy20" (астанавите меня кто-нибудь, а то мысли уже в netgraph улетели)

Покидайте устройство между профилями и посмотрите как меняется в конфиге блок ip hotspot. Так охота и тортик съесть и не потолстеть.

Нет. "Основной профиль" это на самом деле его отсутствие. Кажется, подобный разговор уже был, и эта фича может вполне пригодиться. Пример с выходом одного сегмента через VPN уже приводился. Каждый раз лезть в морду переключать профиль крайне неудобно во многих ситуациях, гораздо удобнее иметь две ТД или два VLAN (два LAN-порта) с разными параметрами. На мой взгляд, это ближе к реализации PBR по ACL, хотя даже в какой-то степени это уже VRF. Собственно говоря о вопросе "как должен выглядеть PBR по портам", который был в курилке - да просто матчить по ACL как с IPsec. Это одновременно решит и это предложение (матчить по SRC IP сегмента). Но пока в голове не укладывается, как правильнее матчить, чтобы это охватило разные варианты использования - если по принципу IPsec, то что делать с устройствами/сегментами с нестандартным полиси? Кто должен иметь приоритет? Если же в каждой строчке ACL указывать полиси, то тогда появляется второй уровень вложенности...

Это и есть отдельный reject-маршрут.

Уточню: ожидается например ввод в CLI ip route 192.168.5.0/24 reject ip route 192.168.5.0/24 IPIP0 auto Поведение аналогично через старый линуксовый route route add -net 192.168.5.0/24 dev ipip0 route add -net 192.168.5.0/24 reject

Но если хочется максимальной производительности, лишней фрагментации надо по максимуму избегать. Какая именно фрагментация поддерживается теперь аппаратно?

Ну подключите вы 4 LAN, а дальше оно все в бутылочное горлышко на 1 гбит/с уходит. Вы на WiFi до гигабита хотя бы дойдите.. на KN-1010 это явно невозможно.

Схема возможна. Смотреть security-level для интерфейсов VPN, isolate-private, маршруты, NAT, ACL.

Вариантов два.. Первый, правильный - поставить управляемый свич и разрулить вланами. Стоимость управляемых свичей (гигабитных) начинается где-то от 2к, дешевле пожалуй будет купить Keenetic Start по скидкам [насколько я понимаю, у вас Lite, т.е. сеть стомегабитная], и тогда вопрос вообще можно будет закрыть как угодно. Второй, экономный - попробовать пошаманить на L3. Если на PON-терминале можно отключить DHCP-сервер, можно попробовать повесить сегмент WAN алиасом на LAN и сделать маршурт туда.. Фиг знает, насколько вообще это будет работать... т.е. терминал 100.1, на кинетике статикой 100.2 и дефолтный маршрут на 100.1, но в этот же L2-сегмент кинетик выдает свой домашний сегмент... Еще приходят на ум мысли о MAC-based VLAN, но в кинетиках наверное такое не прокатит.. Так вам надо распилить сетку не там где кинетик ведь.

А при помощи виндовой Realtek Diagnostic Utility длину меряет чуть ли не любой реалтек, включая встроенные. Она же кстати позволяет создавать VLAN-сабинтерфейсы в винде.

При отсутствии заземления (или иногда еще хуже - заземление есть, но уравнивания потенциалов нет) этот самый экран может сыграть еще более злую шутку. Особенно если с обоих сторон будет по всем правилам обжат коннекторами с экраном и соприкасатаься с корпусом свича. Подобные проблемы можно наблюдать у операторов с КТВ по коаксиалу (DVB-C) в домах старой постройки, особенно с газовыми плитами. Разница потенциалов между экраном приходящего кабеля и экраном ТВ в половину сетевого напряжения - запросто. В итоге получаем постоянный уравнивающий ток. Тут смотришь как лепят нынешнюю электрику с TN-C-S на бумаге и ужасом на деле (алюминиевый СИП на столбе закручен в хиленькую латунную нулевую шинку и это типа повторное заземление на новой линии, и так далее и тому подобное) - и понимаешь, что чаще всего лучше просто принимать за данность, что заземления нет.

IMHO самая надежная грозозащита - Giga/Ultra, SFP-модуль, оптический патчкорд и медиаконвертер. Разве что через 220 как-то прошибет. Без покупки Giga/Ultra - просто пару медиаконвертеров в разрыв... Если скорости максимум сотка, и учитывая, что SFP-порт в кинетике крайне всеядный и спокойно поднимает стомегабитный линк на гигабитном SFP - можно на авито стомегабитных медиаконвертеров прикупить за копейки.

А вам оно точно-точно надо?

У Giga II все порты висят на одном свиче, и проц ничего, накатить 2.11/2.16 и юзать как управляемый свич с возможностью чего-нибудь полезное воткнуть в USB. Хотя интересно, как себя будет вести WiFi-система в случае "неопознанного" устройства в середине...

Сегменты - домашняя сеть

А... Я про текущую линейку - трубки 72x/73x, базы 75x/76x - там уже проприетарщина

Extra II конечно хит продаж, но в 2018 еще вполне продавалась. Гарантия 2 года, так что всё зависит от даты покупки (точнее, даты активации)

DP7xx строго их базы/трубки, без вариантов

Кинетиковский HTTPS прибит гвоздями к 443. Не знаю, может "ip http ssl no redirect" поможет, но в общем случае, если хочется свой вебсервер - https-морда и KeenDNS идет под снос

ip http no easy-access ip http port 1234

https://forum.keenetic.net/announcement/5-где-взять-тестовые-прошивки/

Обновитесь до 2.16 (components list draft), с той поры уже много воды утекло

o_O Если закинуть с обоих сторон DSL-подключение в бридж Home - по идее не должно быть проблем. Хотя в вашем случае от k/r/v толку будет мало по идее. Ведь это улучшайзеры для быстрого переключения, если нет больших зон перекрытия сигналом от разных точек. Напомню, что единую сеть дают в первую очередь одинаковые имя сети и пароль. а r/k/v нужны для наиболее шустрого переключения между точками поддерживающих эти протоколы устройств

Кинетики со встроенным DSL-модемом не поддерживает Plus DSL ни на каких прошивках. Поэтому практический вариант - ваш 4G III + Plus DSL в качестве сервера, и докупить Keenetic DSL KN-2010 в качестве клиента (можно найти по скидкам за ~2800). Ну или второй Plus DSL и совместимый кинетик с авито/по скидкам