MercuryV

ценой потери возможности видеть клиентов в логе

Только гостевая точка доступа останется в эфире, а для пользователей будет выглядеть как "нет интернета".

Можно, например, через curl #!/bin/sh CURL_BIN="/opt/bin/curl -m 600 -k -i -X GET" API_TOKEN="" CHAT_ID="" ROUTER_NAME=$(/opt/bin/uname -n) MSG="<b>$ROUTER_NAME</b>: $@" MSG2=${MSG// /%20} infomsg=$($CURL_BIN "https://api.telegram.org/bot$API_TOKEN/sendMessage?chat_id=$CHAT_ID&parse_mode=HTML&text=$MSG2" 2>&1)

Когда transmission сильно занят, так бывает и на более мощных устройствах.

Про "надежную альтернативу" и "идеальный канал связи" вы выдаете желаемое за действительное.

Можно использовать нужные DNS серверы для определенного домена (рабочего). Посмотрите справку. Детали не подскажу, пользуюсь своим DNS сервером, а не комплектным из прошивки.

Проверьте по IP адресу, а не по имени. А потом решайте проблему с DNS.

я смотрю так # iptables -S | grep work

Пока vpn интерфейс не упал, если выполнить iptables -w -I FORWARD -s 192.168.1.220 -i br0 -o work -j ACCEPT доступ появится с .220 ? зря, лучше почините окружение теоретически можно добавить в конфиг параметр persistent = ... но как именно оно будет работать зависит в том числе и от настроек сервера, так что только пробовать именно при разрыве сложно, так как интерфейс не управляется прошивкой, никакого события с хуком не возникнет можно при помощи cron выполнять стартовый скрипт с нужной частотой, но это костыль я полную автоматику на этот случай себе делать не стал, отваливается редко.

можно не обращать внимания не подскажу проверьте, что установлен пакет iptables проверьте, что в скрипте указано верное название сетевого интерфейса выполните команду iptables вручную в консоли (прошивка может не сразу дёрнуть скрипт)

Имхо, перебор. Внешний канал узкий очень?

А зачем понадобилось буфер предзагрузки занулять?

Можно создать профиль доступа в интернет, где будет только нужный VPN туннель, и назначить его устройству. См. https://help.keenetic.com/hc/ru/articles/360000521799-Приоритеты-подключений

Разве что собрать себе прошивку с бинарником нужного прокси https://github.com/keenetic/keenetic-sdk А в Entware прокси-серверы на любой вкус: 3proxy, polipo, privoxy, tinyproxy, ziproxy, dante (sockd), srelay и ещё несколько специализированных.

Эт вы так от Entware отказались?

А для роутеров без USB доступен компонент "Поддержка открытых пакетов" ? Или я не так понял?

А версия прошивки какая? Так-то модули давно завезли

Добавил.

Посмотрел на KN-1010, модуль есть. Пакет расширения Xtables-addons для Netfilter установлен в компонентах прошивки?

возможно

В этом корень зла. На help.keenetic.com есть упоминания о том, что не гоже так.

Да так и работает. Модемы не одинаковые случаем? (модель)

Скрипт для автозагрузки - /opt/etc/init.d/S11openfortivpn #!/bin/sh ENABLED=yes PROCS=openfortivpn ARGS="" PREARGS="" DESC=$PROCS PATH=/opt/sbin:/opt/bin:/opt/usr/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin . /opt/etc/init.d/rc.func Скрипт для форвардинга - /opt/etc/ndm/netfilter.d/111-openfortivpn.sh #!/bin/sh INTERFACE="work" [ "$type" == "ip6tables" ] && exit 0 [ "$table" != "filter" ] && exit 0 [ -z "$(iptables -S | grep $INTERFACE)" ] || exit 0 iptables -w -I FORWARD -s 192.168.XX.YY -i br0 -o $INTERFACE -j ACCEPT exit 0 Здесь я разрешаю соединения с конкретного компьютера домашнего сегмента через интерфейс work. Чтобы имя интерфейса было именно таким, в конфиг openfortivpn добавлен параметр pppd-ifname = work

"Только 80" выставить нельзя.

Да. Затем установить пакет iptables и добавить скрипт в каталог /opt/etc/ndm/netfilter.d Пример