t800

Например потому, что мне на уровне entware желательно иметь один сетевой интерфейс, соответствующий wireguard-туннелю. А не несколько потенциальных, чтобы не городить потом соответствующую логику

Прочитал, спасибо Стало понятно почему оно так работает, а вот легче не стало. Хороший вариант решения с прозрачным выбором пира был бы.

Спасибо за ответ. Такая логика предусмотрена спецификацией протокола?

У меня есть настроенный рабочий туннель Wireguard, через который клиенты кинетика исправно ходят в интернет. В силу нестабильности VPS, было решено поднять еще одну, в другом регионе, но возник вопрос как организовать резервирование. Первый вариант - на уровне политик: создать новую, два туннеля, и так далее. Второй, который мне показался проще, это добавить пир в существующее подключение. Создал, прописал Allowed Ips так же, как на первом пире - 0.0.0.0/0, и весь трафик пошёл через новый пир. ОК, я его отключил на VPS, чтобы посмотреть отработает ли фоллбэк в том или ином виде. Не отработал. Трафик в первый пир не пошёл. Появились вопросы: 1. Почему после создания нового пира трафик пошёл именно и только через него? 2. Почему после его отключения, трафик не пошёл через старый пир? Спасибо Upd.: перевключение туннеля не помогает. Похоже, что новый пир имеет абсолютный приоритет, и, даже если старый пир живой, то кинетик его игнорирует, не взирая на то, что отключение нового пира зафиксировано (индикация серая). В конфигурации как на скрине счётчик растёт только на пире Holland (новом). Помогает только удаление пира из туннеля и рестарт туннеля Версия прошивки - 4.3.5 и 4.3.4

Сегодня вот такая ситуация возникла. Стал лагать ютуб (при включённом на роутере VPN). Подключился посмотреть, оказалось, что впн в порядке (я его еще и перевключил): Но при этом в приоритетах подключений ВПН канал неактивен, и трафик заруливается в Ростелеком. Победить удалось традиционно - рестартом. Но диагностику снял. @Le ecureuil обратите внимание, пожалуйста.

Внутри бриджа трафик всегда нетегированный? То есть, если мне нужно два (и так далее) VLAN пропустить через радиоканал, нужно создавать бриджи по числу вланов?

В настоящее время для того, чтобы настроить работу с конкретным ресурсом в VPN или наоборот - сделать исключение, чтобы обращение шло через стандартный канал (не VPN), приходится создавать статические маршруты, указывая для хоста или подсети соответствующий целевой интерфейс. Но количество подсетей может быть довольно большим. Для яндекса, например, это десятки подсеток. Получается, что для одного ресурса приходится создавать много статических маршрутов и единственный способ как-то разобраться в большой таблице - это комментарии. Что крайне неудобно. Предлагаю доработать этот функционал таким образом, чтобы запись в таблице маршрутизации привязывалась не к подсети, а ссылалась на таблицу с подсетями/хостами. Таким образом, при редактировании подсетей пользователь не будет менять запись в таблице маршрутизации, он будет корректировать связанную с ней таблицу подсетей/хостов. Я вижу это как отдельную вкладку, на которой создаётся именованная таблица подсетей/хостов. После того как таблица создана, в неё вносятся подсети/хосты. Далее таблица будет видна в выпадающем списке при создании нового пользовательского маршрута (так же как интерфейсы выбираются).

У меня пока тоже всё ок, но я далёк от оптимизма, потому что проблема явно плавающая и никакой логики её проявления мне пока уловить не удалось

Я почему спросил: когда системный профиль применяется я вижу как сервера ростелекома, так и cloudflare почему-то. По крайней мере, так определяет ipleak.net

А какие DNS у вас в системном профиле?

@evgn имейте в виду, что я не просто перешел с канала разработчика на предварительный или основной. Мне пришлось переустановить ОС из стандартного образа, потом я уже откорректировал список компонентов и загрузил бэкап конфигурации. Я не исключаю того, что проблема повторится, потому что очень похоже, что это может зависеть от конфигурации или состояния маршрутизатора. Тем более, что никаких изменений в прошивку как бы и не вносилось, если судить по release notes

На 4.0.5 проблема НЕ наблюдается @admin @Le ecureuil Я никакой обратной связи не получаю от вашей команды. То, что я пишу сюда результаты тестов - это вообще нужно кому-нибудь? В официальной поддержке мне сказали, что новый NDM у вас не регистрировался по этой проблеме, хотелось бы понимать, что это вообще кому-нибудь нужно

Складывается ощущение, что работа DNS, DOH, DOT сильно зависит от модели рутера.

В 13 альфе явно не работает коннект с DOH/DOT серверами. Вообще что-то сильно сломано было с DNS, рутер писал "нет доступа в интернет", не мог ни обновить компоненты, ни прошивку с любого канала вытянуть.

Выяснилось, что не проходила команда Up из web-интерфейса, ну и конфигурация погибла при откате.

Селф-теста пока нет и не будет, мне надо оперативно восстановить интернет, откат на 4.0.4 не помог pppoe фатально не включается. Так качественно альфы мне ещё ни разу не ломали сеть

Версия нормально установилась, но насмерть убила интенет: сначала роутер писал, что соединение установлено, но без выхода в интернет, после перезагрузки пишет да pppoe «выключено». Включить не удалось

Upd. Протестировал на Giga (KN-1010) - проблема не наблюдается, профили отрабатывают корректно. Возможно отличается список установленных компонентов и на 1011 проблема проявляется, но на 1010 - нет

В данный момент воспроизводится 100% - по факту выбрать можно или "по-умолчанию", или любой другой профиль, во втором случае для всех профилей один и тот же сервер используется

@evgn @Le ecureuil проблема продолжает воспроизводиться, но я не могу понять сценарий. В какой-то момент роутер попросту перестает менять профиль, застревая на безопасном (семейном) профиле то ли adguard, то ли еще каком-то. Наблюдаю на Giga (KN-1011). Диагностику вставил скрытым сообщением

Судя по всему, да. Все тесты в моих сценариях успешны

Протестировал на KN-1010 - всё нормально, DNS используется согласно профилю, смена происходит практически мгновенно. Сегодня вечером еще раз повторю на KN-1011, в такой же конфигурации (тестировал на телефоне). Ощущение такое, что от устройства как-то зависит, применится профиль или нет

@Le ecureuil По журналу диагностики видно, что профиль присваивается, но по тестам упорно используется Adguard DNS. Тест был не единственный, профили пробовал разные. Один или два раза тест показал корректный DNS, но закономерности никакой я не уловил. Если нужно провести тест по какой-то конкретной методике - дайте знать, я выполню и пришлю логи. Селфтест - ниже в скрытом сообщении

@vst Добрый день! Есть новости по NDM-2928? Спасибо

@vst @hellonow Не удалось локализовать проблему?