hoaxisr

ndmc -c interface OpkgTun0 должно быть ndmc -c "interface OpkgTun0"

О том я вам и писал выше. ВСЕ настроенные DNS на роутере будут использоваться роутером. Можете хоть часть из них запихивать в туннель, поведения "РЕЗОЛВ через туннель для доменнов, идущих через туннель" НЕТ. Стандрантными средствами это не достичь. То, что вы видете результат как раз блокировки от ТСПУ. Если вы посмотрите на других инструментах, которые у вас не блокируются ТСПУ, то вы обнаружите там и DNS через туннель и через провайдера. Разграничить это НЕЛЬЗЯ.

он "ничего не выдает" потому что у вас TCP 16-20k блок активен от РКН. При отсутствии этого блока на ТСПУ вы там будете видеть все DNS роутера. И через туннель и не через туннель.

Скорее "нет", чем "да". Политики определения гео расположения контректных сайтов/ресурсов может сильно отличаться и в том числе использовать службы геолокации на устройстве, собственные списки IP и относить их к разным странам по своим механизмам (т.е. реальный GeoIP условной Германии относит к РФ, если так настроены механизмы, что довольно часто делает крупный видео-хостинг). Могут быть проблемы с tmdb который использует GeoDNS блок и отдает нерелевантные IP для подсетей из РФ. Но это решается использованием адекватных DNS типа Quad9 или NextDNS через DoH/DoT. Вообще большой проблемы в этом нет. Решения, которые тут вам предлагают не работают потому что логика поведения роутера при разрешении доменных имен не настраивается. Она всегда одна и таже. Добится такого же поведения роутера как и конечных устройств при использовании программ типа wg tunnel или других, стандартными средствами пока невозможно.

НИКОГДА не входите в окружение Entware через команду "exec sh".

Роутер опрашивает все DNS сервера, которые для него настроены. Если вы один из них направите в туннель, то вероятность "утечек" DNS запросов через WAN интерфейс будет и весьма высокой. Что вы предлагаете не решает проблему запроса IP для домена через интерфейс через который будет установлено соединение. Штатными средствами на роутере эту задачу не решить.

Уверен на 1000%. Не начнет. Он покажет все DNS настроенные на роутере.

И это просто отправит контректный ДНС в этот интерфейс и все. Доверять этому можно 100%.

к сожалению в двух словах не получится. но sing-box, mihomo умеют самостоятельно рулить трафик и самостоятельно обращаться за разрешением доменных имен в IP на те DNS которые вы настроите, и через тот "путь" который в последующем будет использован для соединений. Вообще проблемы большой в том, что роутер этого не умеет -- нет. Используйте просто DNS-over-HTTPs или DNS-over-TLS в роутере, не используйте российских поставщиков и все будет отлично.

Неа. Средствами Кинетик нельзя. Можно сторонними приложениями в среде entware

Да. Обновление базы знаний было бы конечно весьма полезным мероприятием. И еще было бы круто, если бы там писали о последствиях и взаимосвязях действий которые пользователь выполняет в инструкции... Но просто не выполняйте вот эту инструкцию https://help.keenetic.com/hc/ru/articles/360000387189-Удаленный-доступ-через-SSH-к-командной-строке-Keenetic Выполните только вторую и тогда доступ к entware будет по SSH на 222 порту как и ожидается. Ну или не меняйте порт из первой инструкции.

я говорил лишь о конректной команде "exec sh" --- не стоит так входить в окружение entware.

Не делайте так. Можно получить совершенно непредсказуемое, точнее вполне предсказуемое -- неработоспособность ipk которые будет устанавливать в entware. Как выше сказали. 222 порт entware занимает только, если стандартный ssh сервер (как компонент КинетикОС) есть в системе и если он работает на 22 порту. В противном случае ssh entware будет слушать на 22.

Рекомендую автору поста прекратить задавать вопросы ИИ и думать, что это истина в последней истанции. В ваших копи-пастах от модельки только галлюцинации - там нет здорового чуть более, чем полностью.

1. в контексте Mihomo/Clash и прочих у них есть inbound типа mixed к которому можно настроить подключение из WebUI роутера - в разделе другие подключения. (нужен компонент Прокси клиент) и делайте потом что пожелаете. 2. Откуда вы это берете я не понимаю, но если в настройках клиентов (mihomo/clash и прочий умеющих в tun) указать не mixed/gvisor, а system, то вполне себе все поднимается и работает. 3. Это какое-то фееричное не понимание как устроена маршрутизация и как она настраивается в entware/OPKG. Вы подняли туннель каким-то клиентом, так настройте разрешающие правила для прохождения трафика и маскарадинг. И все работает. У тысяч людей работает, а для вас специально придумали какие-то ограничения? Нет, конечно.

Я рад, что у вас получилось реализовать задуманное и вы нашли подходящее под задачу решение!

если вы потратите больше времени на самообразование, а не на копи-пасту одного и того же в разных подветках форума, то вдруг придет понимание, что вы пишите мягко скажем не совсем корректные вещи.

в части создания флешки для entware подходит, а дальше можно сделать сильно проще, не нужно скачивать никакие файлы, можно просто установить opkg командой как описано тут в разделе "Установка entware" (https://kiarant.github.io)

Пока есть возможность использовать entware и ветку обновлений КинектикОС >5.0 то все будет "как раньше". Да, необходимо немного изучить вопрос и настроить все, но будет тот же самый AmneziaWG, но с новыми пакетами обсфускации.

может быть попробовать: ip link set vpn_opkgtun down ip link set vpn_opkgtun name opkgtun ip link set opkgtun up и если работает, то добавить это переименование в скрипт

Я думаю что в версии NDM > 5.0 вы можете использовать инструмент opkgtun для того, чтобы "сообщить" прошивке, что у вас есть в entware интерфейс. Поиск по форуму по opkgtun наведет вас на нужные команды и принцип настройки. Можете почитать тему amneziawg-go в entware и сделать аналогично.

Мсье, вы уже в одной теме по маршрутизации походили-похамили чего-то потребовали в духе, что вы заплатили за какой-то сервис и не получили результата, решили поставить другое ПО и опять в таком же духе что-то пришли. Может быть вам стоит начать читать документацию и попробовать разобраться для того чтобы получить какой-то результат. Намекну в прошлой тебе вам вполне доходчиво объяснили про DNS, вы не попытались понять. Начните с настройки своих устройств. Раз у вас не получается и не прилагаете никаких усилий, то единственным решением вашим проблем будет использовать ПО на оконечных устройствах.

Ну тогда все же белая статика наверное самый оптимальный вариант.

Судя по всему белый, но динамический. Плюс возможно какой-нибудь РТК с ограничениями по портам на входящий трафик.

Географическая близость не всегда означает близость по маршруту. Вполне может оказаться, что условная Москва или другой крупный центр будет по маршруту "ближе".