[ipset-dns для выборочного роутинга]

А зачем вы всякую ерунду туда вводите?

Статический маршрут до сети позволяет настроить правило маршрутизации трафика для диапазона IP адресов заданных маской подсети через выбранный интерфейс. Как вам выше показали. С DNS это не связано. К примеру вы нашли где-то/выяснили на каких IP адресах хостится определенный сайт или несколько и хотите чтобы трафик на них шёл через выбранный VPN. 

Не нужно никакой адрес шлюза указывать. Достаточно интерфейса.

Это будет работать когда ваш VPN подключен.

[Отключить NAT на одном интерфейсе]

так не работает?

no ip nat wan

И прописать статический маршрут.

[4.2 Alpha 1. нет интернета]

Вот и у меня сегмент Домашняя сеть находился в политике Без доступа в интернет (Незарегистрированные клиенты в сегментах). С введением этой новой функции все зарегистрированные устройства в Домашней сети так же потеряли доступ в интернет. Понятно, что не хватает дополнительной проверки на наличие уже зарегистрированных хостов, чтобы исключить их из этого правила для всего сегмента. Ну не в ручную же это делать каждый раз.

 

Убираем Домашнюю сеть из политики Без доступа в интернет и он появляется на устройствах. Переносим обратно и снова пропадает доступ на всех зарегистрированных устройствах сегмента, а не только на тех которые не зарегистрированы.

 

Если это фича, то какое у неё назначение? И как сделать Без доступа в интернет для незарегистрированных для сегмента (Домашняя сеть), чтоб при этом  зарегистрированные имели доступ в интернет.

[как сделать динамический ip адрес?]

В 03.04.2024 в 05:33, FFFFFDDDS сказал:

на роутере у меня статический айпи адрес, но, некоторые сервера в cs:source блокируют подключения с одного айпи адреса (подключаются 2 компьютера к одному серверу для матча по сети).

Как вариант выходите одним из компьютеров через мобильный интернет телефона, если есть уверенный прием. Другого простого варианта я не вижу.

[как сделать динамический ip адрес?]

13 минуты назад, FFFFFDDDS сказал:

если ты про впн сервер и ftp сервак, то такой "огород" для файлового хранилища и безлимитного интернета у оператора. у YOTA тариф с безлимитом на впн, что позволяет безлимитно сосать интернет через определённыые впн протоколы, которые прописаны у оператора. сккорость идеальная, так как YOTA работает на вышках мегафона. в колледже (тобеж в закрытом помещении) скорость тоже нормальная

Нет, не про это. В любом случае это не решает вашей проблемы, т.к. не удовлетворяет первому условию, т.к. ваш внешний IP всё-равно останется статическим.

[как сделать динамический ip адрес?]

1 минуту назад, Migel сказал:

Выше он сам написал что у него честный купленный адрес. Объясните пожалуйста мне дураку для чего ему DDNS.

Ему нужно отказаться от статического адреса для того чтобы заходить на какие=то игровые сервера с разных IP. Если он отказывается от статики, и переходит на динамический реальный, то для доступа на его FTP можно использовать DDNS.

[как сделать динамический ip адрес?]

1 минуту назад, FFFFFDDDS сказал:

у меня мтс, поэтому надо готовится к худшему...... если он не белым будет то как быть, чтобы впн сервер и ftp сервер работали?

Ну вообще сейчас есть такие технологии для организации сервера даже на сером адресе, но зачем вам городить огород.

[как сделать динамический ip адрес?]

Только что, FFFFFDDDS сказал:

а где найти бесплатный впн сервак чтобы пинга не скачила? у меня прикручен впн от aeza на протоколе wireguard, но он турецкий, и включаеется через ssh buttons на телефоне

 

Вам бы найти VPN  в вашем городе. Чтоб не терять в скорости и пинге.

[как сделать динамический ip адрес?]

Только что, FFFFFDDDS сказал:

у меня статический белый ip за деньги. брал для домашнего впн сервера чтобы иметь доступ в локальную сеть извне и для ftp сервера

Значит вам нужно узнать у провайдера при отказе от статического белого адреса станет ли он динамическим белым или всё будет работать через NAT.

[как сделать динамический ip адрес?]

Бывает такое. Провайдер может выдавать любой реальный IP адрес из своего пула. А за деньги можно сделать один из них статическим.

Но чаще всё работает просто через NAT.

[3.9.0-4.2 Alpha 2: не вкл/выкл Транзит запросов на системном профиле без ручной перезагрузки интерфейса]

Версия 4.2 Alpha 2

Думал с выходом страницы Интернет-фильтры в новом веб-интерфейсе что-то поменяется. Но пока без изменений.

Всё так же для применения настройки требуется либо перезагрузить роутер, либо Ethernet интерфейс. Напомню, у меня IPoE. 

[Плитка Приложения и меню Приложения]

Версия 4.2 Alpha 1

Исправлено.

[4.2 Alpha 1. нет интернета]

4 часа назад, Andr S сказал:

Проблема решилась включением доступа в интернет для незарегистрированных устройств, хотя все устройства зарегистрированы

Действительно, перенос "Домашняя сеть" из "Без доступа в интернет" в "Политика по умолчанию" в Приоритетах подключений помогло. Интернет появился.

Хотя тоже, все целевые устройства были зарегистрированы.

На 4.2 Alpha 2 ошибка всё ещё присутствует. Ждем исправлений. 

[4.2 Alpha 1. нет интернета]

11 час назад, Le ecureuil сказал:

Лампочка "интернет"-то на устройстве горела?

Вот честно, не обратил внимания. Но сам Ethernet интерфейс несколько раз выключал и включал в меню.

Если будет время снова поэкспериментировать с этой прошивкой, сообщу.

В Приоритетах подключений у него зеленый кружочек точно горел.

[4.2 Alpha 1. Вкладка Интернет фильтры - Настройка DNS. Ошибки создания/удаления записей.]

4.2 Alpha 1

Если последовательно сверху-вниз удалять добавленные записи серверов в списке происходит ошибка "Что-то пошло не так".

Причина в том что записи в меню после удаления не корректно обновляются, либо сдвигаются и не соответствуют тому что отображается.

Удаляю самую верхнюю запись. Всё ОК. Удаляю следующую. Ошибка. Не удаляется. Удаляю то, что ниже. Всё ОК. 

А вот если обновлять страницу после каждого удаления, то всё удаляет корректно.

@eralde

 

[4.2 Alpha 1. нет интернета]

4.2 Alpha 1

После загрузки устройства полностью отсутствует интернет.

Исключил всё, что висело на OPKG, загрузившись без флэшки. (offtopic: на этой прошивке логе присутствовали ошибки с USB устройством с OPKG. Если кто подтверждает такие проблемы, сообщите отдельным репортом)

Исключил все вопросы по DOH/DOT удалив эти сервера и прописал обычные 1.1.1.1 и 8.8.8.8. Даже разрешил DNS провайдера.

Интернета на устройстве не было.

Теперь по конфигурации сети. Интернет по IPoE. По DHCP провайдера получаю корректные данные IP, шлюз, DNS.

Но при этом шлюз провайдера  не пингуется. Вот там и нужно смотреть.

Вернулся на 4.1.0 pre. Там всё работает.

 

Никаких ошибок в логе нет. selftest не могу предоставить.

У кого такая же проблема, накидайте пожалуйста в тему selftest, чтобы было с чем работать.

@Le ecureuil

[KeenDNS и Dahua]

А порт поменять на один из доступных?

[Меню Межсетевой экран. При повторном переходе запоминает не верное состояние правил в выбранной вкладке.]

В 29.08.2023 в 01:58, keenet07 сказал:

@eralde @Anna ZhelankinaВсё-таки, если возможно, сделайте пожалуйста чтоб меню запоминало последнюю открытую вкладку. 

Чаще всего приходится обращаться к какой-то одной конкретной вкладке, и она конечно же не первая в списке сортировки вкладок. Приходится каждый раз на неё переключаться.  Особенно неудобно когда при этом нужно переходить к любому другому пункту меню интерфейса, а потом возвращаться в межсетевой экран. И снова выбирать свою вкладку.

ps: Только чтоб глюк с обновлением вкладки не вернулся. )

 

Up.

[Настройка DoT/DoH]

6 часов назад, bnsott сказал:

Подскажите, при настроенном DoH (NextDNS, через компонент Прокси-сервер DNS-over-HTTPS) адреса добавленные через ip host (сторонние, не для DoH сервера) игнорируются?

Конечно. А в чем сомнения?

[Незарегистрированное устройство жрёт трафик.]

Отключите на время максимально все активные устройства и произведите захват пакетов на интерфейса. А потом посмотрите, что там за трафик.

https://support.keenetic.ru/eaeu/giga/kn-1010/ru/18478-network-packet-capture.html

[Незарегистрированное устройство жрёт трафик.]

Так не факт что это сработает. Устройства ведь и в списке незарегистрированных тоже нет. Но можно проверить.

Трафик то входящий или исходящий?

[ipset-dns для выборочного роутинга]

1 час назад, Сергей Грищенко сказал:

Видимо да, во всяком случае могу точно подтвердить, что мой метод сработал и помог решить проблему.

Либо, вы просто отчистили таблицу ip адресов, перезагрузив устройства и она собралась обратно со включенным VPN. Поэтому проблемы пока не наблюдается.

В любом случае с вашей модификацией неправильные Ip попадать в неё уже не должны.

[ipset-dns для выборочного роутинга]

53 минуты назад, Сергей Грищенко сказал:

Запрос ДНС идёт в ipset-dns. DNS прописан в /opt/etc/bypass.conf. Если делать обычный прямой конфиг wireguard клиент телефон -> wireguard сервер, то тогда да, ДНС будет внутри VPN. В случае с решением от ТС это так не работает, иначе роутеру не будут видны адреса и он не будет понимать какие нужно гнать под ВПН, а какие нет.

 

Домены для резолва прописаны в прошивочном окружении/интерфейсе. IPSET-DNS резолвит их прописанным в своем конфиге DNS. Который при подключенном VPN также маршрутизируется через него. Т.е. утечки быть не должно. Если только он не резолвит их ещё и тогда когда не поднят VPN (временно отключен или недоступен), т.е. через провайдера. Вот тогда в таблицу могут попасть не верные/перехваченные значения ip адресов для некоторых доменов. И соответственно ресурс открываться будет либо через раз, либо совсем не будет, в зависимости от количества этих адресов на одном домене.

[ipset-dns для выборочного роутинга]

А кто у вас его перехватывает? ДНС запросы ведь по умолчанию в этом решение идут внутри ВПН.

[Новый интерфейс]

Обновиться с канала разработчика. Только там этот интерфейс присутствует.