Leshiyart

Для l2tp/ipsec нужно создать сегмент сети, указать для него политику доступа, а в настройках сервера доступ к это у сегменту. Для ike2 crypto map VirtualIPServerIKE2 virtual-ip interface BridgeX (где X номер бриджа сегмента)

для разных типов впн команды будут отличаться, в каких то это прям в вебе можно сменить указав к какому сегменту он принадлежит (и назначив этому сегменту по умолчанию нужную политику)

это и есть интерфейс впн сервера wireguard вот тот что выше из активных на данный момент, по тому пути и пойдет

всех клиентов этого впн пустит по заданной политике доступа

Все получилось, спасибо. из нюансов надо дополнительно активировать скачанный профиль. второй нюанс в сеть начало пускать минут через 10, а трафик пошел минут через 15, но зто скорее всего от оператора зависит

хотелось обсудить возможность создание выделенного порта на ретрансляторе под резервное подключение WAN. хоть это далеко не распространённый сценарий но периодически встречается в запросах пользователей в ТГ канале. не хватает только переноса сегмента сети без галки IPV4 на ретранслятор, все остальное как я вижу готово. (даже работает если поставить dhcp на сам бридж. с ожидаемым спецэффектом что адреса получают и ретранслятор и основной роутер)

всегда так было если домен свой, у keendns сертификат wildcard, там да, работает без добавления субдоменов

Тут пишется имя пользователя (хотя на ios всегда было забито keendns имя) - и само keendns имя давно пора сменить на зоны от netcraze

диск по новой убрал/поставил в разделе opkg?

ненадо никакого opkg, просто папка install в корне диска

То есть завтра? Отлично 🤫

Да, согласен, так определенно будет лучше.

пробуйте как выше писали на KN-3810 выключаем в домашнем сегменте nat/dhcp, делаем interface Bridge0 include UsbQmi0 (или другой инетрфес в зависимости что за модем. ожидается что после этого ультра получит адресацию с самого модема

Можно на клиенте сделать dns запись чтоб ваш домен внутри тоннеля ссылался на внутренний йп, тогда откроется по https

Зачем внутри своего туннеля уже шифрованного https, ходите по хттп

Вопрос: Возможно ли к однодиапазонному контроллеру Keenetic (имеет поддержку только сети Wi-Fi 2.4 ГГц) подключить по Wi-Fi в качестве ретранслятора двухдиапазонную модель Keenetic? Будет ли при таком подключении на ретрансляторе работать сеть Wi-Fi 5 ГГц? Или на ретрансляторе будет работать только сеть в 2.4 ГГц? Ответ: Да, такое подключение поддерживается. Подключение между главным роутером и ретранслятором будет происходить в диапазоне 2.4 ГГц. В данном случае на ретрансляторе будут работать сети в обоих диапазонах (2.4 и 5 ГГц). Вопрос: Возможно ли при использовании двухдиапазонных моделей ретранслятора и главного роутера для соединения в Mesh Wi-Fi использовать диапазон 2.4 ГГц, а не 5 ГГц? Ответ: Нет. При использовании двухдиапазонной модели в качестве ретранслятора (City, Air, Speedster, Sprinter, Buddy 5/5S/6) при его захвате в Mesh Wi-Fi-систему беспроводное соединение между роутерами (backhaul-соединение) будет работать только в диапазоне 5 ГГц (на данный момент это текущее ограничение дизайна Wi-Fi-системы). Если необходимо, чтобы ретранслятор работал исключительно в диапазоне 2.4 ГГц, используйте однодиапазонную модель роутера. https://help.keenetic.com/hc/ru/articles/360016127780-Часто-задаваемые-вопросы-по-Mesh-Wi-Fi-системе-Keenetic

Все там подключится, ограничение это искусственное

это убрать

ходить по доменному имени

Ну да, проблема же не массовая, каждый второй в чате пишет - а почему перестало работать….

надо сделать no opkg dns-override

так генерируют его сервисы, знать не знающие что для кина там должно быть 3-3600..... так же условно для warp клиента это поле может быть 0 (для его штатного клиента)

можно чуть пояснить, для чего это делать? ведь при этом ни одно соединение на кине не заработает без этого параметра, это особенность именно кина, почему значение не адаптировать до условно тех же 15 с?