entware geo split routing для Keenetic с Entware (GeoIP + домены) [.ipk пакеты]

[0xkee]

4 hours ago, cryoPanda said:

В listen.conf адрес корректный:

listen 192.168.10.1:8080;

 

А вот при проверке доступа через curl выдает 403:

curl -s -o /dev/null -w '%{http_code}' http://127.0.0.1:80/

403

У Вас похоже, ситуация следующая:
- выключен доступ к веб снаружи
- прошивка оставляет только доступ из LAN
- прошивка не считает 127.0.0.1 роутера ланом (что в целом правильно)

Если это так, попробуйте, пожалуйста:
 

**Решение — изменить upstream на LAN IP:**

Сначала проверяем что stock httpd доступен с LAN IP:

```sh
curl -s -o /dev/null -w '%{http_code}' http://192.168.10.1:80/
```

Если ответ 200 (или 401 — значит просит авторизацию, это нормально), исправляем upstream:

```sh
# Открыть конфиг nginx-webui
vi /opt/keenetic-entware-extras/webui/config/nginx.conf
```

Найти строку:
```nginx
upstream keenetic_ui {
    server 127.0.0.1:80;
    keepalive 4;
}
```

Заменить на:
```nginx
upstream keenetic_ui {
    server 192.168.10.1:80;
    keepalive 4;
}
```

Перезапустить:
```sh
/opt/etc/init.d/S80nginx-webui restart
```

**Проверка:**

```sh
# Должно вернуть 200 или 302 (перенаправление на login)
curl -s -o /dev/null -w '%{http_code}' http://192.168.10.1:8080/auth
```

После этого зайти в браузере на `http://192.168.10.1:8080/` — должна появиться стандартная форма логина Keenetic. Учётные данные те же, что для штатного WebUI.

> **Примечание:** `listen.conf` у вас правильный (`listen 192.168.10.1:8080;`), менять его не нужно. Проблема была только в upstream (куда проксируется auth).

***

Если так, то ситуация повторяемая, нужен патч...

[0xkee]

22 minutes ago, cryoPanda said:

Ещё обнаружил по логам, что похоже cron мешает и снова запускает указанные сервисы. Там тоже что-то нужно модифицировать?

Да, это ошибка. 

Делаю патч...

**Проблема:** `smartdns-redirect/scripts/watchdog.sh` (cron */5) видит «iptables rules missing» после ручного `stop` → восстанавливает правила + рестартует SmartDNS через ≤5 мин. geo-split `refresh` безвреден (заполняет таблицы, но не ставит ip rules). NDM hooks тоже могут восстановить.

[cryoPanda]

13 минут назад, 0xkee сказал:

У Вас похоже, ситуация следующая:
- выключен доступ к веб снаружи
- прошивка оставляет только доступ из LAN
- прошивка не считает 127.0.0.1 роутера ланом (что в целом правильно)

Если это так, попробуйте, пожалуйста:
 

**Решение — изменить upstream на LAN IP:**

Сначала проверяем что stock httpd доступен с LAN IP:

```sh
curl -s -o /dev/null -w '%{http_code}' http://192.168.10.1:80/
```

Если ответ 200 (или 401 — значит просит авторизацию, это нормально), исправляем upstream:

```sh
# Открыть конфиг nginx-webui
vi /opt/keenetic-entware-extras/webui/config/nginx.conf
```

Найти строку:
```nginx
upstream keenetic_ui {
    server 127.0.0.1:80;
    keepalive 4;
}
```

Заменить на:
```nginx
upstream keenetic_ui {
    server 192.168.10.1:80;
    keepalive 4;
}
```

Перезапустить:
```sh
/opt/etc/init.d/S80nginx-webui restart
```

**Проверка:**

```sh
# Должно вернуть 200 или 302 (перенаправление на login)
curl -s -o /dev/null -w '%{http_code}' http://192.168.10.1:8080/auth
```

После этого зайти в браузере на `http://192.168.10.1:8080/` — должна появиться стандартная форма логина Keenetic. Учётные данные те же, что для штатного WebUI.

> **Примечание:** `listen.conf` у вас правильный (`listen 192.168.10.1:8080;`), менять его не нужно. Проблема была только в upstream (куда проксируется auth).

***

Если так, то ситуация повторяемая, нужен патч...

 

После смены upstream вебка заработала. Спасибо!

11 минут назад, 0xkee сказал:

Да, это ошибка. 

Делаю патч...

**Проблема:** `smartdns-redirect/scripts/watchdog.sh` (cron */5) видит «iptables rules missing» после ручного `stop` → восстанавливает правила + рестартует SmartDNS через ≤5 мин. geo-split `refresh` безвреден (заполняет таблицы, но не ставит ip rules). NDM hooks тоже могут восстановить.

Хорошо, тогда буду ждать патч!

[0xkee]

4 hours ago, cryoPanda said:

Хорошо, тогда буду ждать патч!

Готово.
 

[RWH]

После обновления на новые версии, возникает ошибка с запуском сервиса Geo-Split, при откате на стабильную версию проблем не наблюдаю

~ # kee-status -d
keenetic-entware-extras status:
  geo-split            FAIL
    geo-split status: ✗ Fail
      Mode:
        Geo zone:    RU
        Route in:    br0
        Route out:   auto (detect ISP)
        Active out:  — detached
    
      IP rules:
        iif br0 → table 1000 (domains) ✗
        iif br0 → table 1001 (subnets) ✗
    
      Routes:
        Domains:     0 routes in table 1000 ✗
        Subnets:     0 routes in table 1001 ✗
    
      Caches:
        Subnets:     cache 11m 48s old (max 7d 0h 0m) ✓
        Domains:     43 in cache, 13m 17s old (max 1h 0m 0s) ✓
    
      Domain sources: 103 domain(s) configured
    
      System:
        Uptime:      — (not running)
        Cron:        1 job(s) (shift 13m) ✓
        NDM hook:    /opt/etc/ndm/ifstatechanged.d/geo-split-hook ✓
        DL iface:    — (no history)
        DNS:         localhost:6153 (SmartDNS no-speed-check)
        Background:  idle
        Loader:      cidr-plain
        Version:     0.12.3

  smartdns-conf-ru-split Alive
    smartdns-conf-ru-split status: ✓ Alive
      Service:
        Mode:        split-DNS (enabled) ✓
        Process:     running (pid 13984 via pidfile, RSS 12124kB) ✓
        Ports:       127.0.0.1:6053 ✓
                     127.0.0.1:6153 ✓
                     192.168.1.1:6053 ✓
        Config:      /opt/etc/smartdns/smartdns.conf (10 servers, 10 rules) ✓
        Cache:       not found
    
      System:
        Uptime:      6m 51s ✓
        Version:     0.4.4
    
      DNS Tests:
        ya.ru:         77.88.44.242 (ru-group) ✓
        vk.com:        87.240.137.164 (ru-group (.com→ru)) ✓
        google.com:    142.251.1.138 (default-group) ✓
        github.com:    140.82.121.3 (default-group) ✓

  smartdns-redirect    Alive
    smartdns-redirect status: ✓ Alive
      Mode:
        Config:      /opt/keenetic-entware-extras/smartdns-redirect/config/defaults.conf
        Upstream:    127.0.0.1:6053 (smartdns)
        Interfaces:  br0
        IPv6:        no
    
      Rules:
        v4   udp    br0 → :6053 ✓
        v4   tcp    br0 → :6053 ✓
    
      Upstream probe:
        UDP :6053: listening (127.0.0.1:6053 192.168.1.1:6053) ✓
    
      System:
        Uptime:      6m 39s ✓
        Init:        /opt/etc/init.d/S39smartdns-redirect ✓
        NDM hook:    /opt/etc/ndm/netfilter.d/smartdns-redirect-hook ✓
        Version:     0.3.1

  webui                Alive
    nginx-webui status: ✓ Alive
      Service:
        Process:     running (pid 14535 via pidfile, RSS 3556kB) ✓
        Config:      /opt/keenetic-entware-extras/webui/scripts/../config/nginx.conf ✓
        Listen conf: /opt/keenetic-entware-extras/webui/scripts/../config/listen.conf ✓
        Lua module:  /opt/lib/nginx/modules/ngx_http_lua_module.so ✓
        Ports:       127.0.0.1:8080 ✓
                     192.168.1.1:8080 ✓
    
      HTTP:
        Static:      GET / → 200 ✓
        API:         GET /api/system/info → 200 ✓
    
      Upstream:
        Stock httpd: 192.168.1.1:80 → 200 ✓
    
      Logrotate:
        Binary:      /opt/sbin/logrotate ✓
        Config:      /opt/etc/logrotate.d/nginx-webui ✓
        Cron daily:  /opt/etc/cron.daily/logrotate ✓
    
      System:
        Uptime:      6m 26s ✓
        Version:     0.11.1

[RWH]

Проблема связана с новым пакетом geo-split_0.12.3_all.ipk, после отката на предыдущую версию geo-split_0.10.8_all.ipk все нормально работает (все остальные пакеты обновлены на новые версии).

В версии keenetic-entware-extras` 0.9.5 и 0.12.0 отсутствует скрипт диагностики который должен располагаться по ниже указанному вами пути

/opt/keenetic-entware-extras/scripts/bug-report.sh

[cryoPanda]

15 часов назад, 0xkee сказал:

Готово.
 

Доброго времени суток! Поставил последние версии пакетов, ошибок не наблюдается. Но всё также вмешивается cron с watchdog раз в 5 минут, прикладываю лог:

```

Июн 2 18:25:01

cron[14674]

(root) CMD (/opt/bin/run-parts /opt/etc/cron.5mins^I)

Июн 2 18:25:01

cron[14676]

(root) CMD (/opt/keenetic-entware-extras/smartdns-redirect/scripts/watchdog.sh >/dev/null 2>&1)

Июн 2 18:25:01

cron[14675]

(root) CMD (/opt/bin/run-parts /opt/etc/cron.1min^I)

Июн 2 18:25:01

watchdog

iptables rule missing, reloading via dns-redirect.sh

Июн 2 18:25:01

dns-redirect

added: -i br0 -p udp --dport 53 -> REDIRECT :6053

Июн 2 18:25:01

dns-redirect

added: -i br0 -p tcp --dport 53 -> REDIRECT :6053

Июн 2 18:25:01

watchdog

upstream :6053 not responding, restarting S38smartdns

Июн 2 18:25:01

root

Started smartdns from .

```

[0xkee]

1 hour ago, cryoPanda said:

Доброго времени суток! Поставил последние версии пакетов, ошибок не наблюдается. Но всё также вмешивается cron с watchdog раз в 5 минут, прикладываю лог:

 

Доброго времени суток! 

Возникла техническая сложность разделения запуска/останова и включения/выключения сервисов, 
штатный механизм Entware enable/disable фактически отсутствует (есть переменная ENABLED=yes|no внутри init-скрипта + файл rc.func), поэтому были внесены небольшие архитектурные изменения:

- теперь разделены start/stop и enable/disable,
start/stop оставлены для запуска при рестарте роутера как штатный механизм entware
- для permanent user disable используйте новые disable/enable (вебка сама знает, что использовать)
- при этом используйте пути типа:
/opt/keenetic-entware-extras/<пакет>/init.d/S##пакет enable/disable
- при этом в папке /opt/etc/init.d/ теперь находятся симлинки на реальные скрипты из пакетов, например

/opt/keenetic-entware-extras/scripts # ls -l /opt/etc/init.d/
-rwxr-xr-x    1 root     root           232 May 23  2025 S10cron
-rwxr-xr-x    1 root     root           194 Mar 16 12:22 S38smartdns
lrwxrwxrwx    1 root     root            74 Jun  1 22:43 S39smartdns-redirect -> /opt/keenetic-entware-extras/smartdns-redirect/init.d/S39smartdns-redirect
-rwxr-xr-x    1 root     root           749 Feb 13 16:54 S51dropbear
-rw-r--r--    1 root     root           518 Mar 16 12:22 S80nginx
lrwxrwxrwx    1 root     root            56 Jun  1 22:43 S80nginx-webui -> /opt/keenetic-entware-extras/webui/init.d/S80nginx-webui
lrwxrwxrwx    1 root     root            58 Jun  1 22:43 S99geo-split -> /opt/keenetic-entware-extras/geo-split/init.d/S99geo-split
-rw-r--r--    1 root     root          2842 May 24  2025 rc.func
-rwxr-xr-x    1 root     root           950 May 24  2025 rc.unslung
/opt/keenetic-entware-extras/scripts # 

при disable этот симлинк удаляется, при enable - добавляется
- cron, hooks, watchdog остаются, но проверяют наличие симлинка (как выше), и если его нет, сервис считается выключенным пользователем перманентно (до дальнейшего ручного включения пользователем), и в таком случае - скрипты тут же завершаются (ничего не делают)
- при обновлении пакетов сервисы автоматически переходят в режим enabled и запускаются всегда (соглашение - если они не нужны, то их и не обновляют...)

*** иишка ***
 

7. Нюанс для cryoPanda по поводу лога cron
Даже при disable, cron entry остаётся в /opt/etc/crontab — поэтому строки:

cron[xxx] (root) CMD (/opt/keenetic-entware-extras/smartdns-redirect/scripts/watchdog.sh)
будут появляться в syslog всегда (это cron логирует сам факт запуска job). Но watchdog тут же делает exit 0 на первой проверке is_service_enabled и ничего не трогает.

Если пользователю мешает даже видеть строки в syslog, можно добавить удаление cron-записи в disable и восстановление в enable

[0xkee]

5 hours ago, RWH said:

После обновления на новые версии, возникает ошибка с запуском сервиса Geo-Split, при откате на стабильную версию проблем не наблюдаю

Доброго дня!

Возможно не установлен пакет `coreutils-touch`
(BusyBox `touch` не поддерживает `-d @epoch`. Если `coreutils-touch` не установлен (новая зависимость), `update-domains.sh` падает с ошибкой.)
 

 

2 hours ago, RWH said:

В версии keenetic-entware-extras` 0.9.5 и 0.12.0 отсутствует скрипт диагностики который должен располагаться по ниже указанному вами пути

Добавлен в версию 0.12.1+
Если `coreutils-touch` не помогает, пожалуйста, пришлите вывод диагностики

[RWH]

1 час назад, 0xkee сказал:

Возможно не установлен пакет `coreutils-touch`
(BusyBox `touch` не поддерживает `-d @epoch`. Если `coreutils-touch` не установлен (новая зависимость), `update-domains.sh` падает с ошибкой.)

Пакет `coreutils-touch` был установлен в системе.

После обновления пакета "keenetic-entware-extras" до версии 0.12.1 все сервисы нормально стартовали и работают нормально. (приложен файл Статус CLI.txt)

Но при этом ошибка присутствует в веб интерфейсе

Прикладываю файл диагностики

Вывод диагностики.txt Статус CLI.txt

[0xkee]

1 hour ago, RWH said:

Но при этом ошибка присутствует в веб интерфейсе

Поправлено,
обновите, пожалуйста, geo-split + webui
рекомендуются новые версии всех пакетов

ps
по выхлопу диагностики, кстати, всё работает идеально...

Изменено 2 июня пользователем 0xkee
typo

[RWH]

21 минуту назад, 0xkee сказал:

Поправлено

@0xkee, Спасибо!
Подтверждаю, что все работает без ошибок. Установлены все последние версии пакетов.  

Вывод диагностики.txt

[cryoPanda]

В 02.06.2026 в 23:20, 0xkee сказал:

Доброго времени суток! 

Возникла техническая сложность разделения запуска/останова и включения/выключения сервисов, 
штатный механизм Entware enable/disable фактически отсутствует (есть переменная ENABLED=yes|no внутри init-скрипта + файл rc.func), поэтому были внесены небольшие архитектурные изменения:

- теперь разделены start/stop и enable/disable,
start/stop оставлены для запуска при рестарте роутера как штатный механизм entware
- для permanent user disable используйте новые disable/enable (вебка сама знает, что использовать)
- при этом используйте пути типа:
/opt/keenetic-entware-extras/<пакет>/init.d/S##пакет enable/disable
- при этом в папке /opt/etc/init.d/ теперь находятся симлинки на реальные скрипты из пакетов, например

/opt/keenetic-entware-extras/scripts # ls -l /opt/etc/init.d/
-rwxr-xr-x    1 root     root           232 May 23  2025 S10cron
-rwxr-xr-x    1 root     root           194 Mar 16 12:22 S38smartdns
lrwxrwxrwx    1 root     root            74 Jun  1 22:43 S39smartdns-redirect -> /opt/keenetic-entware-extras/smartdns-redirect/init.d/S39smartdns-redirect
-rwxr-xr-x    1 root     root           749 Feb 13 16:54 S51dropbear
-rw-r--r--    1 root     root           518 Mar 16 12:22 S80nginx
lrwxrwxrwx    1 root     root            56 Jun  1 22:43 S80nginx-webui -> /opt/keenetic-entware-extras/webui/init.d/S80nginx-webui
lrwxrwxrwx    1 root     root            58 Jun  1 22:43 S99geo-split -> /opt/keenetic-entware-extras/geo-split/init.d/S99geo-split
-rw-r--r--    1 root     root          2842 May 24  2025 rc.func
-rwxr-xr-x    1 root     root           950 May 24  2025 rc.unslung
/opt/keenetic-entware-extras/scripts # 

при disable этот симлинк удаляется, при enable - добавляется
- cron, hooks, watchdog остаются, но проверяют наличие симлинка (как выше), и если его нет, сервис считается выключенным пользователем перманентно (до дальнейшего ручного включения пользователем), и в таком случае - скрипты тут же завершаются (ничего не делают)
- при обновлении пакетов сервисы автоматически переходят в режим enabled и запускаются всегда (соглашение - если они не нужны, то их и не обновляют...)

*** иишка ***
 

7. Нюанс для cryoPanda по поводу лога cron
Даже при disable, cron entry остаётся в /opt/etc/crontab — поэтому строки:

cron[xxx] (root) CMD (/opt/keenetic-entware-extras/smartdns-redirect/scripts/watchdog.sh)
будут появляться в syslog всегда (это cron логирует сам факт запуска job). Но watchdog тут же делает exit 0 на первой проверке is_service_enabled и ничего не трогает.

Если пользователю мешает даже видеть строки в syslog, можно добавить удаление cron-записи в disable и восстановление в enable

Спасибо за информацию! Появились ещё вопросы:

1) Можно ли поменять связку Google + Cloudflare? Если есть такая возможность, то в каких конфигурациях? Google использует ECS, таким образом выдается мой реальный IP

2) Есть ли возможность исключить хост из обработки geosite?

[0xkee]

6 hours ago, cryoPanda said:

Спасибо за информацию! Появились ещё вопросы:

1) Можно ли поменять связку Google + Cloudflare? Если есть такая возможность, то в каких конфигурациях? Google использует ECS, таким образом выдается мой реальный IP

2) Есть ли возможность исключить хост из обработки geosite?

По состоянию на сейчас, с последними версиями:

1. Google+Cloudflare — пока не конфигурируется через UI/config. ECS не передаётся — SmartDNS не отправляет подсеть клиента upstream. Google видит только IP роутера (или VPN). Если нужна приватность от Google — включите OTHER_DNS_INTERFACES → DNS пойдёт через VPN. Поддержка выбора альтернативных DNS (Quad9, Mullvad) в планах.
(Так же сам по себе ECS не так уж плох, он позволяет работать CDN и, например, отдавать Netflix с ближайшего сервера, то есть быстрее...)

2. Исключить хост — можно вручную: добавить nameserver /host.ru/default в конец zone-конфига. Более удобный механизм (файл исключений) пока не реализован — добавим.

Сделаны новые версии пакетов, добавлены настройки стран/союзов, сделан web ui на 95%, из ui можно настраивать основные опции, перезапускать сервисы. Прикрепляю в этом посте новые версии, потом обновлю 1й пост. Сначала нужно удалить smartdns-conf-ru-split - он переименован в smartdns-geo-conf, иначе новый не установиться (возможно, сохраните свои настройки, если есть).

По заданным вопросам можете прислать в личку use cases? Возможно, там есть что осмыслить дополнительно.
Например - "исключить хост" это весьма общее, например, если речь идёт про какой-то сайт, ya.ru, то это не 1 хост, а дюжина-две хостов (которые запрашиваются самим браузером при открытии сайта, счётчики, баннеры, экосистемная авторизация, разделяемые ресурсы и так далее), список которых в общем случае может меняться от запроса к запросу и далее в течении недели глобально. И в таком случае "исключить хост" не даст полного эффекта. То есть смотря на каком уровне исключать - если ip routing, то да, если это уже касается контента, то там всё сложнее...

keenetic-entware-extras_0.14.0_all.ipk geo-split_0.13.0_all.ipk geo-split-data_0.5.0_all.ipk smartdns-geo-conf_0.7.1_all.ipk smartdns-redirect_0.3.1_all.ipk webui_0.21.3_all.ipk

Изменено Вторник в 20:27 пользователем 0xkee

[s1lentt]

Приветствую, установил свежие версии пакетов.

Все сайты из зоны RU и из зарубежных зон,открываются через шлюз провайдера. Лог ниже:

Spoiler

/tmp/mnt/SCAN/tmp # /opt/keenetic-entware-extras/scripts/bug-report.sh

──────────────────────────────────────────────
  System
──────────────────────────────────────────────
Date: 2026-06-11 11:14:42 MSK

Firmware:
          release: 5.00.C.12.0-0
          sandbox: stable
            title: 5.0.12
             arch: mips
            model: Viva (KN-1913)
       hw_version: 13198000
            hw_id: KN-1913

Kernel: 4.9-ndm-5
Arch:   mips
FIB trie stats: available

──────────────────────────────────────────────
  Memory & disk
──────────────────────────────────────────────
Memory:
  Total: 254640 kB, Used: 132184 kB, Available: 122456 kB (51% used)

Disk (/opt):
  Size: 3.6G, Used: 146.2M, Avail: 3.3G (4% used)

──────────────────────────────────────────────
  Installed packages (related)
──────────────────────────────────────────────
aggregate - 1.6-3
bind-dig - 9.20.18-2
ca-certificates - 20250419-2
coreutils-touch - 9.9-2
cron - 4.1-7
curl - 8.15.0-2
geo-split - 0.13.0
geo-split-data - 0.5.0
ip-full - 4.4.0-11
iptables - 1.4.21-6
keenetic-entware-extras - 0.14.0
logrotate - 3.22.0-1
nginx-mod-lua - 1.26.3-3
nginx-mod-lua-resty-core - 1.26.3-3
nginx-mod-lua-resty-lrucache - 1.26.3-3
nginx-ssl - 1.26.3-3
smartdns - 46.1-1
smartdns-geo-conf - 0.7.1
smartdns-redirect - 0.3.1
webui - 0.21.3

──────────────────────────────────────────────
  Service state (enabled/disabled)
──────────────────────────────────────────────
  S99geo-split               ENABLED (symlink)
  S39smartdns-redirect       ENABLED (symlink)
  S80nginx-webui             ENABLED (symlink)

──────────────────────────────────────────────
  User configs (config.conf)
──────────────────────────────────────────────
  geo-split/config.conf        EXISTS (133 lines)
  smartdns-redirect/config.conf (defaults only)
  smartdns-geo-conf/config.conf EXISTS (48 lines)
  webui/config.conf            (defaults only)

──────────────────────────────────────────────
  geo-split config (effective)
──────────────────────────────────────────────
  ROUTE_OUT:             ngre0
  ROUTE_GW:              auto
  ROUTE_IN:              br0
  DOMAIN_ROUTE_TABLE:    1000
  SUBNET_ROUTE_TABLE:    1001
  DOWNLOAD_INTERFACES:   default *
  DOMAINS_UPDATE_INTERVAL: 3600s

──────────────────────────────────────────────
  Service status
──────────────────────────────────────────────
keenetic-entware-extras status:
  geo-split            Alive
    geo-split status: ✓ Alive
      Mode:
        Geo zone:    eas → [ru by kz am kg]
        Route in:    br0
        Route out:   ngre0
        Active out:  ngre0 (tables 1000,1001)
        Gateway:     — (dev-only, scope link)

      IP rules:
        iif br0 → table 1000 (domains) ✓
        iif br0 → table 1001 (subnets) ✓

      Routes:
        Domains:     177 routes in table 1000, filled 3m 38s ago ✓
        Subnets:     9274 routes in table 1001, filled 3m 33s ago ✓

      Caches:
        Subnets:     cache 51m 11s old (max 7d 0h 0m) ✓
        Domains:     177 in cache, 51m 16s old (max 1h 0m 0s) ✓

      Domain sources: 103 domain(s) configured

      System:
        Uptime:      3m 58s ✓
        Cron:        1 job(s) (shift 9m) ✓
        NDM hook:    /opt/etc/ndm/ifstatechanged.d/geo-split-hook ✓
        DL iface:    — (no history)
        DNS:         localhost:6153 (SmartDNS no-speed-check)
        Background:  idle
        Loader:      cidr-plain
        Version:     0.13.0

  smartdns-geo-conf    Alive
    smartdns-geo-conf status: ✓ Alive
      Service:
        Mode:        split-DNS (enabled) ✓
        Zone:        eas → [ru by kz am kg]
        Process:     running (pid 8665 via pidfile, RSS 9956kB) ✓
        Ports:       127.0.0.1:6053 ✓
                     127.0.0.1:6153 ✓
                     172.16.132.1:6053 ✓
        Config:      /opt/etc/smartdns/smartdns.conf (4 servers, 0 rules) ✓
        Cache:       not found

      System:
        Uptime:      25m 18s ✓
        Version:     0.7.1

      DNS Tests:
        ya.ru:         77.88.44.242 (ru-group) ✓
        onliner.by:    178.124.129.14 (by-group) ✓
        kaspi.kz:      194.187.245.10 (kz-group) ✓
        news.am:       8.6.112.0 (am-group) ✓
        akipress.kg:   212.42.122.2 (kg-group) ✓
        google.com:    142.251.38.78 (default-group) ✓

  smartdns-redirect    Alive
    smartdns-redirect status: ✓ Alive
      Mode:
        Config:      /opt/keenetic-entware-extras/smartdns-redirect/config/defaults.conf
        Upstream:    127.0.0.1:6053 (smartdns)
        Interfaces:  br0
        IPv6:        no

      Rules:
        v4   udp    br0 → :6053 ✓
        v4   tcp    br0 → :6053 ✓

      Upstream probe:
        UDP :6053: listening (127.0.0.1:6053 172.16.132.1:6053) ✓

      System:
        Uptime:      5m 14s ✓
        Init:        /opt/etc/init.d/S39smartdns-redirect ✓
        NDM hook:    /opt/etc/ndm/netfilter.d/smartdns-redirect-hook ✓
        Version:     0.3.1

  webui                Alive
    nginx-webui status: ✓ Alive
      Service:
        Process:     running (pid 9084 via pidfile, RSS 1296kB) ✓
        Config:      /opt/keenetic-entware-extras/webui/scripts/../config/nginx.conf ✓
        Listen conf: /opt/keenetic-entware-extras/webui/scripts/../config/listen.conf ✓
        Lua module:  /opt/lib/nginx/modules/ngx_http_lua_module.so ✓
        Ports:       127.0.0.1:8080 ✓
                     172.16.132.1:8080 ✓

      HTTP:
        Static:      GET / → 200 ✓
        API:         GET /api/system/info → 200 ✓

      Upstream:
        Stock httpd: 172.16.132.1:80 → listening ✓

      Logrotate:
        Binary:      /opt/sbin/logrotate ✓
        Config:      /opt/etc/logrotate.d/nginx-webui ✓
        Cron daily:  /opt/etc/cron.daily/logrotate ✓

      System:
        Uptime:      24m 11s ✓
        Version:     0.21.3

──────────────────────────────────────────────
  DNS check
──────────────────────────────────────────────
SmartDNS direct (:6053):
  ya.ru:      77.88.44.242
  google.com: 142.251.38.78

System resolver (end-to-end):
  ya.ru:      77.88.55.242
  google.com: 74.125.205.139

/tmp/resolv.conf:
  nameserver 127.0.0.1
  options timeout:1 attempts:1 rotate

──────────────────────────────────────────────
  Connectivity
──────────────────────────────────────────────
  ya.ru (RU) → 302
  google.com (INT) → 301
  rutracker.org (blocked) → 000

WebUI upstream (stock httpd):
  172.16.132.1:80 → 200

──────────────────────────────────────────────
  Routes & rules
──────────────────────────────────────────────
ip rules (geo-split):
50:     from all iif br0 lookup 1000
51:     from all iif br0 lookup 1001

Route counts:
  table 1000 (domains):  177 routes
  table 1001 (subnets):  9274 routes

ISP detection (auto):
  Interface: eth3
  Gateway:   176.195.64.1

Route type in tables:
  table 1001: dev-only (scope link, no gateway)
  table 1000: dev-only (scope link, no gateway)

Sample routes (table 1000, first 3):
  3.174.113.35 dev ngre0  scope link
  3.174.113.66 dev ngre0  scope link
  3.174.113.68 dev ngre0  scope link

──────────────────────────────────────────────
  Netfilter (DNS redirect)
──────────────────────────────────────────────
iptables NAT (DNAT/REDIRECT :53):
1    REDIRECT   tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53 redir ports 6053
2    REDIRECT   udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53 redir ports 6053
3    _NDM_DNAT  all  --  0.0.0.0/0            0.0.0.0/0
4    _NDM_DNS_REDIRECT  all  --  0.0.0.0/0            0.0.0.0/0
6    _NDM_UPNP_REDIRECT_SYS  all  --  0.0.0.0/0            0.0.0.0/0            ndmmark match 0x0/0x8
7    _NDM_UPNP_REDIRECT_0  all  --  0.0.0.0/0            0.0.0.0/0            ndmmark match 0x0/0x8
8    _NDM_UPNP_REDIRECT_1  all  --  0.0.0.0/0            0.0.0.0/0            ndmmark match 0x0/0x8
9    _NDM_HTTP_DNAT_WAN_NDNS_  tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80
10   _NDM_HTTP_DNAT_EA_NDNS_  tcp  --  0.0.0.0/0            78.47.125.180        tcp dpt:443

──────────────────────────────────────────────
  Network interfaces (UP only, no IPs)
──────────────────────────────────────────────
lo               UNKNOWN
eth2             UP
eth3             UP
xfrms1@NONE      UNKNOWN
xfrms2@NONE      UNKNOWN
ra0              UP
ra7              UP
rai0             UP
rai7             UP
eth2.1@eth2      UP
eth2.3@eth2      UP
br0              UP
ra7.1@ra7        UP
rai7.1@rai7      UP
ppp0             UNKNOWN
ra7.2@ra7        UP
rai7.2@rai7      UP
ngre0@NONE       UNKNOWN

LAN assignments:
  lo               127.0.0.1/8
  br0              172.16.132.1/24
  br1              10.1.30.1/24

VPN/tunnel interfaces:
  tunl0@NONE       DOWN
  nwg0             DOWN

──────────────────────────────────────────────
  Logs (tail)
──────────────────────────────────────────────

──────────────────────────────────────────────
Bug report collected. Copy everything above and paste into the forum topic.
No passwords, WAN IPs, or private keys are included in this output.
If you see any info you consider private, replace it with *** before posting.
──────────────────────────────────────────────
 

Направьте,пожалуйста, на путь истинный.

[KeenTaur]

Похожая ситуация. Экспериментировал и на прошлой неделе, и на днях. Сейчас так:

Спойлер

──────────────────────────────────────────────
  System
──────────────────────────────────────────────
Date: 2026-06-10 16:26:40 MSK

Firmware:
          release: 2.16.D.12.0-12
          sandbox: delta
             arch: mips
            model: Keenetic
       hw_version: 15620000-B
            hw_id: kng_rb

Kernel: 3.4.113
Arch:   mips
FIB trie stats: available

──────────────────────────────────────────────
  Memory & disk
──────────────────────────────────────────────
Memory:
MemTotal:         256052 kB
MemFree:          117568 kB
Buffers:           11432 kB
Cached:            66852 kB
SwapCached:            0 kB

Disk (/opt):
  Size: 3.9G, Used: 144.0M, Avail: 3.8G (4% used)

──────────────────────────────────────────────
  Installed packages (related)
──────────────────────────────────────────────
aggregate - 1.6-3
bind-dig - 9.20.18-2
ca-certificates - 20250419-2
coreutils-touch - 9.9-2
cron - 4.1-7
curl - 8.15.0-2
geo-split - 0.13.0
geo-split-data - 0.5.0
ip-full - 4.4.0-11
iptables - 1.4.21-6
keenetic-entware-extras - 0.14.0
logrotate - 3.22.0-1
nginx-mod-lua - 1.26.3-3
nginx-mod-lua-resty-core - 1.26.3-3
nginx-mod-lua-resty-lrucache - 1.26.3-3
nginx-ssl - 1.26.3-3
smartdns - 46.1-1
smartdns-geo-conf - 0.7.1
smartdns-redirect - 0.3.1

──────────────────────────────────────────────
  Service state (enabled/disabled)
──────────────────────────────────────────────
  S99geo-split               ENABLED (symlink)
  S39smartdns-redirect       ENABLED (symlink)
  S80nginx-webui             not installed

──────────────────────────────────────────────
  User configs (config.conf)
──────────────────────────────────────────────
  geo-split/config.conf        EXISTS (131 lines)
  smartdns-redirect/config.conf (defaults only)
  smartdns-geo-conf/config.conf EXISTS (48 lines)

──────────────────────────────────────────────
  geo-split config (effective)
──────────────────────────────────────────────
  ROUTE_OUT:             auto
  ROUTE_GW:              auto
  ROUTE_IN:              br0
  DOMAIN_ROUTE_TABLE:    1000
  SUBNET_ROUTE_TABLE:    1001
  DOWNLOAD_INTERFACES:   default *
  DOMAINS_UPDATE_INTERVAL: 3600s

──────────────────────────────────────────────
  Service status
──────────────────────────────────────────────
keenetic-entware-extras status:
  geo-split            Alive
    geo-split status: ✓ Alive
      Mode:
        Geo zone:    eas → [ru by kz am kg]
        Route in:    br0
        Route out:   auto (detect ISP)
        Active out:  eth2.2 (tables 1000,1001)
        Gateway:     192.168.0.1
    
      IP rules:
        iif br0 → table 1000 (domains) ✓
        iif br0 → table 1001 (subnets) ✓
    
      Routes:
        Domains:     183 routes in table 1000, filled 22m 20s ago ✓
        Subnets:     9274 routes in table 1001, filled 42m 24s ago ✓
    
      Caches:
        Subnets:     cache 1h 55m 51s old (max 7d 0h 0m) ✓
        Domains:     183 in cache, 22m 39s old (max 1h 0m 0s) ✓
    
      Domain sources: 103 domain(s) configured
    
      System:
        Uptime:      42m 24s ✓
        Cron:        1 job(s) (shift 4m) ✓
        NDM hook:    /opt/etc/ndm/ifstatechanged.d/geo-split-hook ✓
        DL iface:    — (no history)
        DNS:         localhost:6153 (SmartDNS no-speed-check)
        Background:  idle
        Loader:      cidr-plain
        Version:     0.13.0

  smartdns-geo-conf    Alive
    smartdns-geo-conf status: ✓ Alive
      Service:
        Mode:        split-DNS (enabled) ✓
        Zone:        eas → [ru by kz am kg]
        Other: awg0
        Process:     running (pid 599 via pidof, RSS 8468kB) ✓
        Ports:       10.5.33.1:6053 ✓
                     127.0.0.1:6053 ✓
                     127.0.0.1:6153 ✓
        Config:      /opt/etc/smartdns/smartdns.conf (4 servers, 0 rules) ✓
        Cache:       164.0K (/opt/var/cache/smartdns.cache) ✓
    
      System:
        Uptime:      49m 42s ✓
        Version:     0.7.1
    
      DNS Tests:
        ya.ru:         77.88.44.242 (ru-group) ✓
        onliner.by:    178.124.129.12 (by-group) ✓
        kaspi.kz:      194.187.245.10 (kz-group) ✓
        news.am:       8.47.69.0 (am-group) ✓
        akipress.kg:   212.42.122.2 (kg-group) ✓
        google.com:    216.58.198.174 (default-group) ✓

  smartdns-redirect    Alive
    smartdns-redirect status: ✓ Alive
      Mode:
        Config:      /opt/keenetic-entware-extras/smartdns-redirect/config/defaults.conf
        Upstream:    127.0.0.1:6053 (smartdns)
        Interfaces:  br0
        IPv6:        no
    
      Rules:
        v4   udp    br0 → :6053 ✓
        v4   tcp    br0 → :6053 ✓
    
      Upstream probe:
        UDP :6053: listening (10.5.33.1:6053 127.0.0.1:6053) ✓
    
      System:
        Uptime:      49m 44s ✓
        Init:        /opt/etc/init.d/S39smartdns-redirect ✓
        NDM hook:    /opt/etc/ndm/netfilter.d/smartdns-redirect-hook ✓
        Version:     0.3.1

──────────────────────────────────────────────
  DNS check
──────────────────────────────────────────────
SmartDNS direct (:6053):
  ya.ru:      77.88.44.242
  google.com: 216.58.198.174

System resolver (end-to-end):
  ya.ru:        google.com: 
/tmp/resolv.conf:
  nameserver 127.0.0.1
  options timeout:1 attempts:1 rotate

──────────────────────────────────────────────
  Connectivity
──────────────────────────────────────────────
  ya.ru (RU) → 302
  google.com (INT) → 301
  rutracker.org (blocked) → 000

──────────────────────────────────────────────
  Routes & rules
──────────────────────────────────────────────
ip rules (geo-split):
50:    from all iif br0 lookup 1000 
51:    from all iif br0 lookup 1001 

Route counts:
  table 1000 (domains):  183 routes
  table 1001 (subnets):  9274 routes

ISP detection (auto):
  Interface: eth2.2
  Gateway:   192.168.0.1

Route type in tables:
  table 1001: via 192.168.0.1 (gateway mode)
  table 1000: via 192.168.0.1 (gateway mode)

Sample routes (table 1000, first 3):
  5.61.23.39 via 192.168.0.1 dev eth2.2 
  5.143.246.137 via 192.168.0.1 dev eth2.2 
  5.255.255.77 via 192.168.0.1 dev eth2.2 

──────────────────────────────────────────────
  Netfilter (DNS redirect)
──────────────────────────────────────────────
iptables NAT (DNAT/REDIRECT :53):
1    REDIRECT   tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53 redir ports 6053
2    REDIRECT   udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53 redir ports 6053
3    _NDM_DNAT  all  --  0.0.0.0/0            0.0.0.0/0           
4    _NDM_DNS_REDIRECT  all  --  0.0.0.0/0            0.0.0.0/0           
6    _NDM_UPNP_REDIRECT  all  --  0.0.0.0/0            0.0.0.0/0           

──────────────────────────────────────────────
  Network interfaces (UP only, no IPs)
──────────────────────────────────────────────
lo               UNKNOWN
dummy0           UNKNOWN
eth2             UNKNOWN
ra0              UP
eth2.1@eth2      UP
eth2.2@eth2      UP
eth2.3@eth2      UP
br0              UP
br1              UP
awg0             UNKNOWN

LAN assignments:
  lo               127.0.0.1/8
  br0              10.5.33.1/24
  br1              10.1.30.1/24

VPN/tunnel interfaces:
  tunl0            DOWN
  awg0             UNKNOWN

──────────────────────────────────────────────
  Logs (tail)
──────────────────────────────────────────────

──────────────────────────────────────────────
Bug report collected. Copy everything above and paste into the forum topic.
No passwords, WAN IPs, or private keys are included in this output.
If you see any info you consider private, replace it with *** before posting.
──────────────────────────────────────────────

Веб-интерфейс не установлен, поскольку ОС старая.

Туннель awg0 поднят. "curl  --interface awg0 http://myip.wtf/json" отрабатывает как положено.

Мне кажется, что понятнее было бы видеть два набора НаправлениеА-ИнтерфейсOutА/ШлюзА (auto|tun0|lte0) и НаправлениеБ-ИнтерфейсOutБ/ШлюзБ.

Не хватает разъяснений, что куда в каком режиме и что для этого должно выполняться в системе, а то кто такой этот потерпевший гео-трафик, куда его направлять...

Например как-то так:

Цитата

Типичные сценарии:
- **RU → ISP:** российские подсети идут напрямую через провайдера, остальной трафик — через VPN

...для чего в ОС по умолчанию весь трафик должен идти через туннель. Гео-трафиком будет являться RU-сегмент и исключения. В конфиге geo-split нужно указать провайдера в выходном интерфейсе гео-трафика, если автоматически этот интерфейс определился неверно; в конфиге smartdns-geo задать зону RU...

но может быть я и не прав

[0xkee]

13 hours ago, s1lentt said:

Приветствую, установил свежие версии пакетов.

Все сайты из зоны RU и из зарубежных зон,открываются через шлюз провайдера. Лог ниже:

Приветствую.

Запустите, пожалуйста, заново и проверьте:

Судя по вашему bug-report, все компоненты geo-split работают 
корректно: маршруты загружены (177 domain + 9274 subnet), ip rules на месте,
DNS-redirect активен.

Проблема скорее всего в самом GRE-туннеле ngre0. Пожалуйста, выполните 
на роутере:

1) ip -s link show ngre0
   → Покажет счётчики TX/RX. Если TX packets > 0, но RX = 0 — 
   пакеты уходят, но ответа нет (remote endpoint проблема).
   Если TX = 0 — пакеты вообще не отправляются.

2) ip route get 77.88.8.8 from 172.16.132.100 iif br0
   → Должно показать "dev ngre0 table 1001". Если показывает 
   "via 176.195.64.1 dev eth3" — маршрут не матчится.

3) iptables -t nat -L POSTROUTING -v -n | grep ngre
   → Проверяем, есть ли MASQUERADE для трафика через ngre0.
   Без NAT на выходе из туннеля ответные пакеты не вернутся.

4) Проверьте в веб-интерфейсе Keenetic: активно ли VPN-подключение,
   которое создаёт ngre0? (Другие маршруты → статус соединения)

Результаты этих команд помогут точно определить причину.

[0xkee]

8 hours ago, KeenTaur said:

Экспериментировал и на прошлой неделе, и на днях.

awg0 поднят... а трафик через него идёт (без geo-split)?
если идёт - то как это настроено: default на всё в awg0, или это это Connection Policies от кинетика?
выглядит как проблема настройки самого туннеля.
нужно больше информации...

по интерфейсу/cli - как Вы это видите?