gaaronk

exFAT не поддерживает права доступа

Ну вот вам надо создать ipset для российских сетей в файлик /opt/etc/ipset/ipset.conf сначала строка сreate russia hash:net family inet hashsize 1024 maxelem 1048576 потом 13 тыс ваших add russia <адрес> и потом в примере вместо 192.168.21.1 используйте дефолт вашего VPN

Что то типа такого в файле /opt/etc/iproute2/rt_tables 200 russia в /opt/etc/ipset/ipset.conf create russia hash:net family inet hashsize 1024 maxelem 1048576 в /opt/etc/iptables.raw *raw :PREROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :SET-MARK - [0:0] :VPN-MARK - [0:0] -A PREROUTING -i br0 -m state --state NEW -j VPN-MARK -A PREROUTING -i br0 -m connmark --mark 0x777 -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff -A SET-MARK -j CONNMARK --set-xmark 0x777/0xffffffff -A VPN-MARK -d 192.168.0.0/16 -j RETURN -A VPN-MARK -d 10.0.0.0/8 -j RETURN -A VPN-MARK -m set --match-set russia dst -g SET-MARK COMMIT делаете скрипт, и делаете его исполняемым /opt/etc/init.d/S01system PATH=/opt/bin:/opt/sbin:/sbin:/bin:/usr/sbin:/usr/bin [ "$1" != "start" ] && exit 0 # iproute2 ip rule | grep -q russia if [ $? -ne 0 ]; then ip rule add pref 200 from 192.168.0.0/16 fwmark 0x777 lookup russia fi # ipset if [ -f /opt/etc/ipset/ipset.conf ]; then /opt/sbin/ipset -X /opt/sbin/ipset restore < /opt/etc/ipset/ipset.conf fi insmod /lib/modules/$(uname -r)/iptable_raw.ko /opt/sbin/iptables -L -n -t raw | grep -q "VPN-MARK" if [ $? -ne 0 ]; then /opt/sbin/iptables-restore -T raw < /opt/etc/iptables.raw fi ip route default via 192.168.21.1 table russia exit 0 Ну и пакеты поставить все необходимые. Итого для каждой новой сессии для первого пакета мы смотрим в ipset, и на весь connection вешаем метку (и не гоним через ipset каждый пакет!) Согласно метки ищем маршрут в таблице russia А в этой таблице дефолт указан на ваш 192.168.21.1 А как уж наполнять ipset - динамически или один раз статически - сами решайте. В примере он пустой

Entware + маркировка пакетов по базе geoip или ipset с вашими сетями, а далее отдельная таблица маршрутизации и ip rule что бы маркированные пакеты в нее совало. Вот та таком ipset - Number of entries: 151258 никаких тормозов нет

А можно наряду с delta, stable, beta и т.д. сделать канал oldstable? Что бы можно было бы менять набор компонентов на предыдущей стабильной ветке? То есть для 4.0.х oldstable - 3.9.8

А зачем вот этот wget и все остальное? Можно же просто ndmc -c show log once

Это врядли уберут. На эту логику с уровнями много что завязано.

Было бы хорошо иметь костыль в виде команды ip network-private <CIDR>

На pfsense сделайте что то воде - если выходим через wg туннель и назначение НЕ РАВНО 192.168.0.0/16 - маскарад. будет и интернет и контроль доступа А в Б

Шесть лет прошло, а проблемы все те жи…

NAT а кинетике всегда был кривой как турецкая сабля. Причем это сделано специально. Что бы у обычного домашнего пользователя не было проблем с утечкой серых адресов или что где то забыли маршрут прописать. Ну вот такое оно.

Это потому что кинетик смотрит принадлежит ли src интерфейс или сеть уровню private. А ваша сеть 192.168.1.0/24 не соответствует адресации ни на одном приватном интерфейсе. Значит она public. А раз public - делаем DNAT. А указать уровень для сети, не интерфейса - нельзя. Такая логика. SOHO железка же. Без всей этой сложной маршрутизации и т.д.

Да. Я вспомнил что есть у кинетика такое поведение. Даже обсуждал это тут на форуме. Сейчас с телефона и не найду уже. Типа тут так принято. На пфсенс надо все что не идет в сторону 192.168/16 делать snat/masquerade в адрес на wg интерфейсе. А с кинетика эту строку убрать

надо посмотреть настройки iptables. или через entware или через self-test

Попробуйте настроить в CLI no isolate-private interface Wireguard0 security-level private

Через CLI vlan это все настроить можно. Но любое изменение настроек wan через web-ui приводит к тому то все настройки vlan сбрасываются и локалка с этого порта пропадает.

Есть же openconnect в entware.

Так как с этим vlan уже есть сегмент - прописать не дает, говорит "этот номер уже используется"

А вот такой вопрос Есть порт на котором настроен switchport mode trunk switchport trunk vlan 20 При добавлении нового WAN порта с vlan 90 на этот интерфейс - любое изменение настроек этого WAN через web-ui не добавляет switchport trunk vlan 90 к существующему vlan, а заменяет его. Как сделать что бы настройка WAN с vlan не затирала существующие vlan в транке?

Надо задать opkg initrc /opt/etc/init.d/rc.unslung

ПО 3.9.2 При задании для Site-to-Site IPSec туннеля длинной 96 символов он корректно задается и отображается в web-ui А в cli или сохраняемом конфиге crypto engine hardware ! ERROR: command "crypto ike key": not enough arguments !Command::Argument::Password ERROR[268304478]: out of memory [0xcffe005e]. crypto ike proposal test2 Через CLI длиннее чем 70 символов не задать. Как быть?

Понятно. Кинетик использует routed-based vpn с vti И маршруты прописывает не strongswan, а обвязка. Видимо да, не умеют и надо писать руками.

Вот это " маршруты прописанные руками (через впн на внешку) с кинетика убрал" Что было прописано? скриншот или вывод show ip route ? В свойствах VPN клиента стоит "Использовать для выхода в интернет" ?

Тут такое дело. Strongswan (а в кинетике он) получает от удаленного сервера сети. для этих сетей вставляет IPSec SA в ядро. Не знаю как в кинетике, а в shell их можно посмотреть через ip x p ip x s Далее по идее клиенту не нужны маршруты. Он отправляет трафик по маршруту по умолчанию (в сторону интернет), ядро видит что трафик попадает под критерий IPSec SA, и уже само их шифрует, туннелирует и тд. А какие маршруты вы пишите? И странно что в выводе пустая секция SA keys:

А еще можно вывод show ip route show ip route table 248