hoaxisr

Начните, пожалуйста, читать написанное. Никто ко мне не ломится. Закрыл 443, ситуация не изменилась.

Когда соединение из вне, то роутер не источник, а назначение. То есть в первой колонке указывается IP источника. У меня ситуация иная - источник сам роутер со своим IP ломится на 3000+ адресов. Происходит это только на 5.0Бета0, на 4.3.6 такого поведения нет.

KN-1810

На 4.3.6 и 5.0Бета0 аналогичная проблема в режиме "транзит запросов запрещен" приводит к циклическому ребуту dns-proxy. При этом компонент "интернет фильтры" вообще не установлен на роутере.

Открыт только 443 для вебморды и два порта для L2TP. Белый IP есть, но доступ к KeenDNS в режиме через облако. Есть туннель pangolin к своей VPS, но там 2 соединения. Да и что могло такого изменится в 5.0, что количество соединений растет на два порядка почти.

Нет. Не использую.

При обновлении KN-1810 до 5.0Beta0 в разделе "Активные соединения" количество соединений становится равным более 3 000 штук. Источник роутер (Keenetic-xxxx LAN 192.168.1.1), открыть вкладку и посмотреть эти соединения не выходит, т.е. если нажать на раскрывающую кнопку просто происходит зависание морды. В 4.3.6 количество активных соединений с таким источником составляет не более 60-70 штук. Какая дополнительная информация может быть полезна?

В смысле совсем не сдох? А чем ему плохо при нагрузке то? Ну стоит себе, пашет. Ну нагрузка у него по попугаеметру из WebUI сколько там попугаев, и?

Я вам привел пример того как работают "сложные" сайты у которых далеко не один домен. Я думаю, что вам проще установить клиенты на каждом устройстве и включать их по мере необходимости. Потому что идея настроить все на роутере будет сложно выполнимой.

Вернитесь. Раз так проще. Если так работает это означает только одно - ваши маршруты не содержат всего необходимого. Где вы их взяли и почему решили, что они полные мне неизвестно. Более того приложение на ТВ и когда вы заходите через браузер на ПК или ещё где-то в интернете используются разные домены и соответственно IP.

Я думаю да. При загрузке что-то похоже выводится в лог.

Это разговор не имеет практического смысла. Что делал автор топика и где он, что "настроил" неизвестно, он просто наугад меняет все подряд настройки всего подряд и надеется получить результат, который ему необходим. Даже элементарный вопрос о том, а уверен ли автор в том, что его "настроенные маршруты" покрывают все домены необходимые для работы трубы имеет совершенно прогнозируемый ответ "нет". Как вам выше подсказали самый простой способ проверить работоспособность вашего туннеля это создать политику подключения, в ней поставить галку только у вашего туннеля, у остальных выключить, а потом перетащить в эту политику телевизор. Если так будет работать, то проблема только в ваших списках маршрутов. Да и в 2025 строить маршрутизацию по маршрутам до сервисов с CDN/большим количеством доменов это утопия. Ну и вообще, поставить клиент на самом ТВ и включайте когда он нужен и не мучайте себя

По хорошему, если вы хотите что-то собирать через SDK для своего роутера, то очень полезным будет иметь UART подключение к роутеру. Чтобы видеть загрузочные логи uboot и ядра, ну и для отладки не помешает точно, когда будут ошибки в прошивке и она не будет запускаться или уходить в цикл ребут, то понять где и почему это происходит без UART не выйдет.

Это скорее как направление для исследования. Вообще 20мб конечно мало, но некоторые полезные пакеты могут установлены. Скорее один за раз.

Crowdsec вырастает! :)) А если серьезно, отличная идея

Лучший способ это по умолчания дать возможность устанавливать в память роутера entware и отказаться от бесполезного dualboot'a в нем смысла ровно 0. Потому что во-первых там не сохраняется старый образ прошивки при обновлении, что просто и совершенно не ясно для чего он может быть полезен, т.к. для хранения start-up config в двух вариантах нужно явно меньше пространства. Вариант, при котором вдруг первый образ будет как-то нарушен ничтожен.

Честно говоря это третья ссылка по ключевым словам "dual boot"

Тут на форуме лежит инструкция как отказаться от дуалбута и использовать это место под хранилище. +50мб чего более чем.

Хм. Скорее всего вы делаете что-то не так. Если 80/443 в разделе переадресация портов у вас настроена на машину с вашим реверс прокси, то на роутере не нужны сертификаты. Они должны быть настроены на прокси куда идёт проброс. И там можно настроить и сертификаты для keendns доменов и ими тоже рулить. и в этом смысле кинетик не отличается от других роутеров, у него в такой настройке только одна задача, просто переадресовать все что пришло на порты 80/443 на настроенный вами узел, где вы это сами уже будете обрабатывать при помощи какого-то реверс прокси. Если вы не хотите так делать, то проще чем cloudflare tunnel нет наверное ничего.

Только обходными путями. Pangolin/cloudflare tunnel/tailscale и подобными. Или Проброс портов 80/443 куда вам нужно и перекинуть сервисы самого кинетика. А из вашего реверс прокси разруливать уже и своим и не "своим" доменом.

Вы на контроле посмотрите, там скорее будет при каждом действии в логах Propagating/topolgy changed и прочая, прочая

Я видимо не понимаю, как вы делите runtime информацию и конфиг, потому первое проистекает из второго, и не может существовать само по себе в моем понимании. Вот например банальная штука как узнать текущее состояние nat на интерфейсе, это runtime? Или конфиг? Простите, что отвлекаю, но просто хотелось бы понять критерий.

Смысл в этом вообще-то есть. Смотреть running-config для всего на свете явно менее удобно, чем командой получить список и делать с ним что необходимо. Подход отсутствия команды show для просмотра текущего состояния многих настроек прослеживается во многих вещах, и это крайне часто просто неудобно. Для примера - я хочу скриптом, а не руками забить несколько сотен доменных имен, перед этим необходимо проверить их наличие/отсутствие в другой группе, явно проще сделать show | grep и по результату уже действовать.

Имеете в виду, где настроить свои правила маршрутизации? WebUI сервиса доступен по адресу http://192.168.1.1:8080 (если вы не меняли IP роутера)

В общем случае да. Настраиваете соответствующий inbound, и подключаетесь клиентом используя этот вход. Если доступ нужен из вне, то нужен белый адрес и настройки firewall/port forwarding.