groundzero

Отвечаю сам себе: так делать не надо, потому что сломается политика "No internet access" - доступ будет даже если она включена. Правильно это делается с помощью списка доступа. Это разрешит доступ из WAN (192.168.1.*) в 192.168.2.*: access-list MyList permit ip 192.168.1.0/24 192.168.2.0/24 interface ISP ip access-group MyList in Доступа со стороны WAN к самомУ роутеру по его адресу в WAN (192.168.1.2) по-прежнему не будет. Мне к тому моменту уже надоело ковыряться в этом говне, поэтому тупо добавил правило в iptables: iptables -I INPUT 1 -d 192.168.1.0/24 -j ACCEPT

KN-3811, KeeneticOS 5.0.8. На роутере установлен Unbound, слушает на интерфейсе 192.168.1.2, в cli сделал "opkg dns-override". В /etc/resolv.conf есть опция ротации: nameserver 192.168.1.2 nameserver 8.8.8.8 options timeout:1 attempts:1 rotate На 192.168.1.2 настроена блокировка определенных адресов/зон (возвращает 0.0.0.0 по классике). Из-за ротации блокировка не работает, потому что система обращается к вторичному серверу 8.8.8.8. Если удалить опцию из файла, т.е. в строке с опциями оставить только "options timeout:1 attempts:1", то ротация выключается, но при перезагрузке роутера файл пересоздается с включенной ротацией. Как ее отключить?

Первый раз в жизни сталкиваюсь с этим животным, так что терминолоия может отличаться от принятой здесь. Keenetic Hopper (KN-3811), KeeneticOS 4.3.6.3. 192.168.1.1 (ADSL модем) | | 192.168.1.3 (я) 192.168.1.2 (Hopper), 192.168.2.1 <-> wi-fi Нужна маршрутизация между 192.168.1.3 и 192.168.1.2 и 192.168.2.*. Все соединения 192.168.1.* по проводу. На Hopper на интерфейсе "ISP" (синий вход, WAN) адрес 192.168.1.2, а на интерфейсе Home Segment (не знаю настоящее имя, не нашел в show interface) адрес 192.168.2.1 и включен DHCP 192.168.2.(33-153) для вайфая для клиентов. 192.168.1.3 не может достучаться до 192.168.1.2 (и до 192.168.2.1) ни по ICMP (пинг), ни по HTTP/telnet - таймаут. 192.168.1.2 может достучаться до 192.168.1.3, т.е. маршрутизация все-таки есть, т.е. режет Hopper. Почитал хелп про уровни доступа (в основном, конечно, на картинку попялился) и родил следующее. В телнете делаю "interface ISP security-level private" - появляется маршрутизация от 192.168.1.2 к 192.168.1.3, но отваливается у вайфай сети 192.168.2.*. В телнете делаю "no isolate-private" - в 192.168.2.* тоже все маршрутизируется. Вопрос: как это сделать правильно, и что я уже сломал? И нет, KeenDNS не подойдет.