constgen

Вопрос немного касается роутера другого бренда - TP-Link. Но давайте выясним так ли это. Имеем контроллер Keenetic. К нему подключён TP-Link в режиме "ретранслятор". Он же WiFI клиент. DHCP от Keenetic. Соединение с Keenetic сделано только по радиочастоте 5ГГц Радио модуль 2.4ГГц на TP-Link полностью выключен Далее к TP-Link по проводу подключён телевизор. Это скорее всего не имеет отношения к проблеме ниже. Но он отрабатывает корректно. Телевизор подключает свой IP в сегменте и получает интернет НО в Keenetic в списке клиентов происходит что-то странное. Помимо Телевизора и самого Роутера TP-Link есть ещё третий неизвестный клиент, у которого MAC очень сильно похож на TP-Link интерфейс. На скриншоте я подсветил его поиском для наглядности Поэтому вопрос, что это за неизвестный интерфейс? У него нет соединения и сегмента. К тому же он появляется, только если включить TP-Link Я посмотрел больше деталей в CLI Это нормальный интерфейс WiFi 5ГГц TP-Link station: mac: 5a:a6:e6:e1:4e:2b ap: WifiMaster1/AccessPoint0 psm: no authenticated: yes txrate: 867 uptime: 6333 txbytes: 414665 rxbytes: 471907 ht: 80 mode: 11ac gi: 400 rssi: -57 mcs: 9 txss: 2 ebf: yes dl-mu: no security: wpa2-psk А это странный неизвестный интерфейс station: mac: 5a:a6:e6:e1:4e:29 ap: WifiMaster1/AccessPoint0 psm: no authenticated: yes txrate: 6 uptime: 6341 txbytes: 855 rxbytes: 451 ht: 20 mode: 11a gi: 800 rssi: -58 mcs: 0 txss: 1 ebf: yes dl-mu: no security: wpa2-psk

Триггеры, которые вы ищите делаются в Entware в этой папке /opt/etc/ndm/neighbour.d/ . Создаёте в ней свой файл, например 10_clients_presense.sh . Устанавливаете ему права на исполнение. В нём можете написать свой скрипт, который дёрнет подготовленные вами хуки на сервере или умном хабе. Больше справки здесь Opkg Component · ndmsystems/packages Wiki

Слишком много кликов. Обва варианта кажутся неудобными. Надо оставить подключение сворачиваемым как сейчас, а график по высоте уменьшить на 25-35%, чтобы меньше места занимал по вертикали. Параметры подключения уже переделаны на более компактный вид. Это по идее достаточно. Каждый клик отдаляет нас от конечной цели

В роутере Keenetic Hero KN-1011 на уровне железа имеется bluetooth. Очень хотелось бы знать для чего он. Можно ли получить к нему доступ хотя бы из Entware

Я понимаю. Но там есть какой-то побочный эффект - открывается не только наружу но и во внутрь.

Пока ждём официального ответа, могу сказать что я где-то на 4PDA вычитал что это ожидаемое поведение, если роутер открыт для доступа извне (из Интернета). Что именно это за настройка я так и не разобрался. То ли это с KeenDNS связано, то ли с вкладкой "Пользователи и доступ". Но там сказали что правильным будет в фаерволле закрыть маршрут на `192.168.1.1` в настройках каждого сегмента локальной сети. Я так и сделал. На скриншоте я закрыл не только к роутеру но и к 192.168.1.[1-16], т.к. к Mesh ретрансляторам оказалось тоже доступ есть. А у меня первые 10 адресов для таких сервисных вещей выделены.

Меня тоже интересует, что делает эта галочка на самом низком уровне. Потому как хочется её отключить для сегмента для безопасности, но вернуть это только для некоторых клиентов как-то через правила межсетевого экрана. Например для трансляции на Chromecast. Описывал эту проблему в другой теме. Но мне не ответили.

Возможно он применяется через минуту, т.к. это DFS. Надо проверить эту теорию. Если канал 40 и поменять его на 48, то должно переключаться сразу. Если это так, то это действительно был DFS в вашем случае

В 4.3 должна появиться настройка портов в настройках узлов Mesh Сети, если открыть на контроллере. https://support.keenetic.com/ua/giga/kn-1011/ru/9134-latest-preview-release.html#41539-что-нового-

Попробуйте на зарегистрированном клиенте поставить настройку политики доступа "по умолчанию сегмента" Тогда такие клиенты будут также как и не зарегистрированные по выбранной политики по умолчанию

Предположение, что на порт, который идёт к ретранслятор, не выбрана опция "Входит в сегмент с VLAN". На скриншоте Порт 1 с буквой "Т"

Короче поэкспериментировал я с командой ip policy Policy# standalone. И нашёл именно то, что я и искал в своём оригинальном вопросе. ip policy Policy# route команда даже и не понадобилась, да она и не работает ещё в моей версии прошивки. Поэтому опишу это здесь Изначально я хотел управлять роутингом через политики доступа примерно так: добавил интерфейс в политику - трафик через него идёт. Не добавил - не идёт. Оказалось именно так это себя ведёт с командой `standalone`. А именно мы не просто отказываемся от глобальных кастомных роутов. Мы всё таки можем получить роуты из глобально настроенных в ручную пользователем, но только если они используют интерфейсы которые включены в политику. Странно, что об этом нигде в документации не сказано. Это очень важное и полезное поведение. Таким образом Можно настроить роуты глобально руками для подсетей через тунель Wireguard. Они действительно будут работать всегда для всех устройств. Но мы переходим на пункт 2 Я перевёл абсолютно все политики в самостоятельный режим с помощью ip policy Policy# standalone . Это дало то, что теперь ни один глобально настроенный роут не применяется ни для одного устройства, кроме системного. Но его использует только роутер в моём случае. При этом некоторые роуты всё таки применяются в политиках, если там уже включены соответствующие интерфейсы Теперь Wireguard туннель нигде не доступен (кроме роутера). Можно выбрать именно ту политику в которой он должен быть доступен, добавив её в конец списка . Применить политику устройству или сегменту. Эти сегменты или устройства смогут заходить на удалённые подсети на другом конце туннеля. Роуты на его интерфейсе, созданные в ручную глобально, попадут только в политику. Если Wireguard интерфейс не видно в политиках, значит надо включить в его настройках галочку "Использовать для выхода в интернет" Если были другие роуты специально пущенные по другим VPN интерфейсам специально для обхода каких-то ограничений. Просто включаем эти VPN интерфейсы в политику в конец списка. Интернет через них ходить не будет. Но ваши роуты будут включены и применяться. Нужные сайты будут ходить через VPN Теперь всё работает более интуитивно понятно и можно управлять доступом в удалённую сеть более гибко через стандартные политики доступа роутера. При этом мы не сломали старое поведение и даже сделали его более настраивамым. Очень жду галочку "standalone mode" в UI политики.

Надеюсь когда нибудь `standalone` и `route` и до UI доеудут. Я в принципе проблему не вижу. Кажется уже понятно что `standalone` - это галочка в политике, по образу и подобию `multipath mode` `route` - есть 2 альтернативы как это сделать другая вкладка с отдельной таблицей для каждой политики в разделе Маршрутизации либо в той же общей таблице всех маршрутов, но добавить привязку к политике через новое поле в форме создания Но круче всего конечно было бы добавить в политику интерфейс, а в нём уже должны быть автоматически созданные маршруты до пиров. И больше никаких настроек. Для пользователя просто идеально. У меня мало опыта в настройке Wireguard туннелей. Есть вообще случаи когда маршруты выглядят НЕ так же как направление в сторону подсетей указанных в пирах?

IGMP Proxy действительно есть в UI и только на контроллере. В ретрансляторах её в принципе нет. IGMP Snooping есть только в CLI. В UI этой натсройки нет. И как стало понятно на конроллере её нет, только на ретрансляторе. Подключиться по Telnet или SSH именно к ретранслятору. Команда для управления из этой справки

В разные дни по разному. Это же free сервер. На него со всего мира ломятся. Там может быть и перегрузка канала. Пробуйте в другое время

Что-то блокирует. У меня работает (config)> exec iperf3 -c speedtest.iway.ch -R Connecting to host speedtest.iway.ch, port 5201 Reverse mode, remote host speedtest.iway.ch is sending [ 5] local 78.26.234.71 port 55306 connected to 95.143.54.63 port 5201 [ ID] Interval Transfer Bitrate [ 5] 0.00-1.00 sec 30.0 MBytes 251 Mbits/sec [ 5] 1.00-2.00 sec 29.9 MBytes 251 Mbits/sec [ 5] 2.00-3.00 sec 25.8 MBytes 216 Mbits/sec ^C[ 5] 3.00-3.23 sec 6.12 MBytes 227 Mbits/sec - - - - - - - - - - - - - - - - - - - - - - - - - [ ID] Interval Transfer Bitrate [ 5] 0.00-3.23 sec 0.00 Bytes 0.00 bits/sec sender [ 5] 0.00-3.23 sec 91.8 MBytes 238 Mbits/sec receiver iperf3: interrupt - the client has terminated При этом я проверил. Пакеты идут через провайдера, не через VPN. Скорость показывает правильную - тариф 250 мбит

А так? exec iperf3 -c speedtest.iway.ch -R

У меня HDMI свисток Chromecast находится в дополнительном сегменте "Умный дом". Есть требование чтобы устройства из основного сегмента могли транслировать экран на этот Crhomecast. Ретрансляция mDNS включена. Но чтобы я в фаерволле не разрешал, приложения не хотят видеть Chromecast в сети. Но как только в сегменте "Умный дом" помечаю галочку Доступ к приложениям вашего устройства Keenetic , то сразу всё работает. Если после этого отключить её, то начатая трансляция будет продолжаться. Что означает что фаерволл настроен корректно и трафик может гулять между устройствами сегментов. Но Service Discovery не найдёт Chromecast. Проблему так же легко диагностировать через утилиту `dns-sd` Вот разрешение в Основной Сети А вот разрешение в Умном Доме чтобы протестировать теорию (которая не сработала) С целью безопасности мне не хотелось бы давать сегменту Умный Дом доступ в основную сеть. Но тогда не работает Chromecast. А вопрос конкретный: какое правило активирует галочка Доступ к приложениям вашего устройства Keenetic и как добиться того же самого правилами фаерволла? А я там уже подстрою для одного устройства.

Второй ответ это справка не по этой команде `ip policy Policy# route `. Вы показали как политику создавать. А вопрос был при добавлении "политического" роута с привязкой к интерфейсу, оно требует чтобы этот интерфейс был в этой же политике или он найдёт интерфейс и глобально?

А что по сути делает в интерфейсе "Использовать для выхода в интернет"? На что оно влияет? При использовании `ip policy Policy# route ` интерфейс должен быть в политике или работает и без этого? По идее добавление интерфейса в политику это и есть добавление каких-то роутов в таблицу политики? Дефолтных роутов 0.0.0.0 как я понимаю. Но лучше объясните, какие изменения оно вносит

Я хорошо ищу. В документации именно той версии на которой роутер - `4.2.6.3`.

А, я виноват что не вчитался описание. Команда доступна только на ретрансляторах. Короче работает. Вопрос решён

Интересно получается. В мануале Command Reference Guide есть упоминание про Snooping. Но в самом CLI - нету. Слева мануал, справа CLI

Нет таких команд В мануале Command Reference Guide тоже нет

В CLI есть толь IGMP Proxy. Вы возможно путаете. Связь с DLNA я думаю такая - оптимизация Snooping как-то режет мультикаст DLNA