[Как указать профиль доступа для клиентов VPN?]

Из своего опыта при наличие двух каналов то лучше использовать не основной а два доп.профиля или

1. Основной остается для сервисов роутера

2. Для клиентов "белый" активен белый канал

3. Для клиентов "серый" активен серый канал

Клиент на сером профиле, далее подключается к SSTP серверу роутера и что в итоге видим

Серый
~ # ip ro show table 44
default dev nwg4  scope link 
...
172.16.130.29 dev sstp0  scope link 
192.168.130.0/24 dev br0  scope link 
...
~ # 

где наш клиент имеет 172.16.130.29, и для данного профиля "серого" имеем default маршрут на "серый" канал nwg4.

Примечание :

данный стат маршрут будет добавлен везде и в основной таблице и в других таблицах профилей

Основной
~ # ip ro
default dev ppp0  scope link 
...
172.16.130.29 dev sstp0  proto kernel  scope link  src 192.168.130.101 
192.168.130.0/24 dev br0  proto kernel  scope link  src 192.168.130.101 
...
~ # 

Белый
~ # ip ro show table 42
default dev nwg0  scope link 
...
172.16.130.29 dev sstp0  scope link 
192.168.130.0/24 dev br0  scope link 
192.168.130.101 dev nwg0  scope link 
...
~ # 

Но так как клиент находится в "сером" профиле то все его пакетики промаркированы "серой" меткой и идут на "серую" таблицу маршрутизации.

 

Смысл наличия SSTP для локальных клиентов ?

[ipset-dns для прошивочного ndnproxy]

В Entware есть - ipset-dns с командой запуска например

ipset-dns ipv4-youtube ipv6-youtube 39128 8.8.8.8

25521 root      1928 S    ipset-dns youtube youtube 39128 8.8.8.8

netstat -ntulp | grep dns
udp        0      0 127.0.0.1:39128         0.0.0.0:*                           25521/ipset-dns

где 
listening-port = 39128, но можно и 53  
upstream-dns-server = 8.8.8.8 но можно и например "dns_server = 127.0.0.1:40508 # https://dns.google/dns-query@dnsm" 

https://git.zx2c4.com/ipset-dns/about/

https://github.gitop.top/mschorsch/ipset-dns-rs

Возможно ли прикрутить к встроенному dns-proxy команду/опцию для запуска при которой будет создаваться ipset таблица для последующего ее использования (имеем список - aaaaa.com, aaa1.com, aaab.ru и т.д.). Далее на основание данных полученных на основание этого списка пере направление его на нужный интерфейс или для блокировки сайтов согласно данного списка.

т.е. в итоге страница настройки или тот же cli для dns-proxy (опция для запуска + список сайтов/доменов) и использование данного списка в сетевых правилах т.е. типа iptables .... --match-set ipv4-youtube .....

[CLI изменение профилей доступа устройств]

Если только конф файл

ip policy Policy0
...
!
ip policy Policy1
...
!
ip policy Policy2
...

ip hotspot
    ...
    host хх:Клиент1:68 permit
    host хх:Клиент2:fb schedule schedule0
    host 64:Клиент3:48 permit
    host 64:Клиент3:48 priority 3
    host хх:Клиент4:54 permit
    host хх:Клиент4:54 policy Policy1
    host 70:Клиент5:e2 permit
    host 70:Клиент5:e2 policy Policy0
    host 70:Клиент5:e2 priority 6
    ...

у каждого клиента которому нужен какой либо профиль указываете его Policy0 или 1 или 2 и т.д.

[Маршрутизация]

5 часов назад, Ygvuvgugu сказал:

По какой-то причине keenetic не раздает маршрут в локальную сеть.

Для эксперимента настроил все те же самые параметры на mikrotik, маршрут пришел.

Но хочется всё же оставить keenetic, поэтому просьба о помощи все еще актуальна...

Если взять https://help.keenetic.com/hc/ru/articles/360010131139-Пример-объединения-локальных-сетей-трех-роутеров-Keenetic-через-соединение-Wireguard-VPN

то при маске /24 на трех точках WG все работает и описана по ссылке, т.е. любой клиент лок.сети может получить доступ к клиенту другой лок.сети. Для того чтоб маршрут работал нужно прописать allow для данных сетей и у вас по конф скорей всего прописано :

- "allow-ips 192.168.5.0 255.255.255.0" при "ip route 192.168.5.0 255.255.255.0 Wireguard0 auto"

- "allow-ips 192.168.7.0 255.255.255.0" при "ip route 192.168.7.0 255.255.255.0 Wireguard0 auto"

но при сети "192.168.4.0/22" на Home интерфейсах роутеров Keenetic.

Цитата

192.168.5.0/22 - удаленный сегмент, куда хочу иметь доступ (далее - удаленная сеть)
Роутер keenetic, 
шлюз 192.168.5.1/22, 
Конец WG - 172.16.1.3

192.168.7.0/22 - локальный сегмент, откуда доступ тестируется (далее - локальная сеть)
Роутер keenetic.
Шлюз 192.168.7.1
Конец WG - 172.16.1.2

 

Возможно попробовать в направление

https://help.keenetic.com/hc/ru/articles/213969389-Описание-работы-с-межсетевым-экраном-для-версий-NDMS-2-11-и-более-ранних-

есть диаграмма на которой показано взаимодействие интерфейсов между собой. По default настройкам ПО в наличие 

interface Bridge0
    rename Home
    description HomeLan
    security-level private

interface Wireguard2
    description E
    security-level public

 

Цитата

Между интерфейсами private и из private в protected устанавливать соединение запрещено по умолчанию, но при необходимости, доступ можно разрешить. Данная настройка зависит от установки параметра isolate-private. Если вам нужно разрешить соединения между интерфейсами типа private или между private и protected (т.е. не изолировать доступ), для этого выполните команду no isolate-private

Из интерфейсов типа public запрещено устанавливать соединения на любые интерфейсы, в том числе на другие интерфейсы типа public, а также на само устройство.

Интерфейсам типа protected разрешено устанавливать соединения только в интерфейсы public. По умолчанию доступ запрещён к устройствам интерфейсов private и других protected, а также к управлению устройством.

С помощью команды security-level public|private|protected можно управлять уровнями доступа на интерфейсах интернет-центра.

 

Вы не рассматривали вопрос по переходу с WG на IPIP/EoIP.

[Маршрутизация]

Цитата

Сети соединены по WireGuard, 172.16.1.0/24, где 172.16.1.1 - сервер WG, поднятый на mikrotik. Сервер расположен вне указанных сетей (в локации №3).

....на устройствах в домашней сети, где 192.168.7.1 - роутер в домашней сети. Но на ТВ приставках такого не сделаешь.

....Маршруты с роутера, который является клиентом WG, и с которым проблема

Подозреваю что все таки проблема не на данном роутере Keenetic.

А можно полную вашу схеме кто где и куда хочет, а то есть упоминания в маршрутах про 192.168.4.х, 192.168.5.х, 192.168.7.х ?

 

 

WG туннель это точка-точка или проще P-t-P т.е. с маской 255.255.255.255

nwg0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.10.12.1  P-t-P:10.10.12.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP  MTU:1280  Metric:1
          RX packets:19214084 errors:0 dropped:20 overruns:0 frame:0
          TX packets:14788308 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:50 
          RX bytes:24040669766 (22.3 GiB)  TX bytes:1595499128 (1.4 GiB)

nwg2      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.16.13.1  P-t-P:10.16.13.1  Mask:255.255.255.0
          UP POINTOPOINT RUNNING NOARP  MTU:1420  Metric:1
          RX packets:35 errors:0 dropped:0 overruns:0 frame:0
          TX packets:148 errors:0 dropped:1 overruns:0 carrier:0
          collisions:0 txqueuelen:50 
          RX bytes:3864 (3.7 KiB)  TX bytes:12936 (12.6 KiB)

nwg4      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.2.0.2  P-t-P:10.2.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP  MTU:1280  Metric:1
          RX packets:2945658 errors:0 dropped:4 overruns:0 frame:0
          TX packets:1102060 errors:0 dropped:9 overruns:0 carrier:0
          collisions:0 txqueuelen:50 
          RX bytes:3771878564 (3.5 GiB)  TX bytes:123705384 (117.9 MiB)

но если мы речь ведем про nwg2 то в данном случае на нем три пира -> mask 255.255.255.0

[Маршрутизация]

1 час назад, Ygvuvgugu сказал:

Разрешенные сети прописаны корректно. Также пробовал 0.0.0.0/0 в качестве разрешенной сети, результат такой же (неудачный).

Перезагрузка всех участников процесса, и переподключение WG, не помогла...

На обоих концах туннеля где адреса стоят 172.16.1.0/24 замените на реальные у которых маска /32, т.е. что там у вас будет конкретно 172.16.1.1/32 а на другой стороне так же 172.16.1.Х/32

Для сравнения так же "show ip route"

Ваш туннель
destination": "172.16.1.0/24",     <== тоннель WG
            "gateway": "0.0.0.0",
            "interface": "Wireguard0",
            "metric": 0,
            "proto": "kernel",
            "floating": false
"destination": "192.168.5.0/24",	<== маршрут, которым не могут воспользоваться устройства в локальной сети
            "gateway": "0.0.0.0",
            "interface": "Wireguard0",
            "metric": 0,
            "proto": "boot",
            "floating": false
        
        
        
                                            
Мой
destination": "10.16.13.0/24", - туннель WG
            "gateway": "0.0.0.0",
            "interface": "Wireguard2",
            "metric": 0,
            "flags": "U",
            "rejecting": false,
            "proto": "kernel",
            "floating": false,
            "static": false
"destination": "192.168.1.0/24", - удаленная сеть
            "gateway": "0.0.0.0",
            "interface": "Wireguard2",
            "metric": 0,
            "flags": "U",
            "rejecting": false,
            "proto": "boot",
            "floating": false,
            "static": false

Мой конф

Скрытый текст

access-list _WEBADMIN_Wireguard2
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit description WG-e

interface Wireguard2
    description E
    security-level public
    ip address 10.16.13.1 255.255.255.0
    ip mtu 1420
    ip access-group _WEBADMIN_Wireguard2 in
    ip tcp adjust-mss pmtu
    wireguard listen-port хххх1
    wireguard peer fxrW0.........Q8xbxBo= !PKN
        endpoint 1хх.ххх.ххх.ххх:хххх1
        keepalive-interval 30
        allow-ips 10.16.13.1 255.255.255.255
        allow-ips 192.168.1.0 255.255.255.0
    !

ip route 192.168.1.0 255.255.255.0 Wireguard2 !E-Lan

Ну и аналогичный на сервере только со своими IP.

 

[Маршрутизация]

По мимо маршрутов есть еще настройка параметра разрешенные подсети

Если все это есть то перегрузите роутер или отключите WG и заново его включите на сервере и на клиенте.

[Маршрутизация]

51 минуту назад, Ygvuvgugu сказал:

Проблема на уровень ниже: устройства в локальной сети за клиентом WG не видят ничего, кроме сети WG. То есть маршрут, прописанный на роутере, они не получают. 

Как и написал выше и в добавок два роутера соединены по WG, клиенты лок.сети каждого роутера видят клиентов друг друга.

Клиент_1.201---Роутер(WG)-------(WG)Роутер----Клиент_13.2

На Клиенте_13.2

Трассировка маршрута к 192.168.1.201 с максимальным числом прыжков 30

  1    <1 мс    <1 мс    <1 мс  P-KN [192.168.13.1] 
  2    37 ms    37 ms    37 ms  10.16.13.1 
  3    50 ms    41 ms    42 ms  192.168.1.201 

Трассировка завершена.
                          

На клиенте WG роутере

~ # ip ro
default dev ppp0  scope link 
...
10.16.13.0/24 dev nwg2  proto kernel  scope link  src 10.16.13.1 
...
192.168.1.0/24 dev nwg2  scope link 
192.168.13.0/24 dev br0  proto kernel  scope link  src 192.168.13.1 
...

ngw2 туннель WG между роутерами

Все настройки через WEB, такие же как и в статье выше.

[Маршрутизация]

Кто мешает прописать маршруты на сервер WG поднятый на mikrotik и на клиенте WG

https://help.keenetic.com/hc/ru/articles/360012075879-Настройка-WireGuard-VPN-между-двумя-роутерами-Keenetic

[Медленная работа SMB при использовании Wireguard]

Весь вопрос только в том что :

1. Работа с USB нагрузка на проц

2. Работа Wireguard нагрузка на проц

Для 7621 проца 100Мбит Wireguard выливается в загрузку проца под 70% а его предел чуть более 150Мбит

С SMB или точнее TSMB как повезет зависит от того что используете в качестве носителя HDD/SDD

самый последний пост от 02.06.22 "Сравнение SAMBA4 с прошивочным 38B2 TSMB" там есть скрин для TSMB c SDD

 

[Падает интернет на ретрансляторе спидстер]

2 часа назад, WaRMacTep сказал:

Если по факту есть ультра к нему по кабелю подключен пк и спидстер как ретрянслятор вайфая, к спидстеру подключены 2 сервера, остальное типа телевизора, посудомойки и тп по вайфаю, как люди сказали выставил вручную в роутерах(обеих) гигабит для всех портов, но отпадание это не решило

Из данного теста.

Скрытый текст

host PC 04:d9:f5:f6:6b:f2
он же 192.168.1.100/04:d9:f5:f6:6b:f2 


host NVIDIA 70:85:c2:76:86:f3
        <port>2</port> NVIDIA
        <mac>70:85:c2:76:86:f3</mac>
        <vlan>1</vlan>

host hive5700xt 70:85:c2:49:76:bd
        <port>1</port> hive5700xt
        <mac>70:85:c2:49:76:bd</mac>
        <vlan>1</vlan>

192.168.1.138 - присвоенный IP - Keenetic Speedster (NDMS 3.07.C.4.0-2): KN-3010


PC - 192.168.1.100/04:d9:f5:f6:6b:f2 - Home

interface GigabitEthernet0/0 - rename 1
interface GigabitEthernet0/1 - rename 2
interface GigabitEthernet0/2
interface GigabitEthernet0/3
    switchport access vlan 1
    switchport trunk vlan 2

interface GigabitEthernet0/Vlan1 и GigabitEthernet0/Vlan2

interface GigabitEthernet1/0 и GigabitEthernet1/Vlan2


interface Bridge0
    inherit GigabitEthernet0/Vlan1
    include AccessPoint
    include AccessPoint_5G
    include GigabitEthernet1

interface Bridge1
    rename Guest
    description "Guest network"
    include GigabitEthernet0/Vlan2
    include GuestWiFi
    include GuestWiFi_5G
    include GigabitEthernet1/Vlan2

В итоге port 1 - hive5700xt, port 2 - NVIDIA

Далее не понятки с

[I] Jun  7 03:34:04 ndhcpc: Bridge0: received ACK for 192.168.1.138 from 192.168.1.1 lease 25200 sec. 

[I] Jun  7 03:34:27 ndm: Network::Interface::Switch: "GigabitEthernet0/0": switch link up at port 1 (1000FD/AN). 
[I] Jun  7 03:34:27 ndhcpc: Bridge0: received ACK for 192.168.1.138 from 192.168.1.1 lease 25200 sec. 

[I] Jun  7 04:32:09 ndm: Network::Interface::Switch: "GigabitEthernet0/0": switch link down at port 1. 
[I] Jun  7 04:32:09 ndhcpc: Bridge0: received ACK for 192.168.1.138 from 192.168.1.1 lease 25200 sec. 

[I] Jun  7 04:32:32 ndhcpc: Bridge0: received ACK for 192.168.1.138 from 192.168.1.1 lease 25200 sec. 
[I] Jun  7 05:28:06 ndm: Network::Interface::Switch: "GigabitEthernet0/0": switch link down at port 1. 

[I] Jun  7 05:28:06 ndhcpc: Bridge0: received ACK for 192.168.1.138 from 192.168.1.1 lease 25200 sec. 
[I] Jun  7 05:28:28 ndm: Network::Interface::Switch: "GigabitEthernet0/0": switch link up at port 1 (1000FD/AN). 

[I] Jun  7 05:28:29 ndhcpc: Bridge0: received ACK for 192.168.1.138 from 192.168.1.1 lease 25200 sec. 

[I] Jun  7 08:18:38 ndm: Network::Interface::Switch: "GigabitEthernet0/0": switch link down at port 1. 
[I] Jun  7 08:18:38 ndhcpc: Bridge0: received ACK for 192.168.1.138 from 192.168.1.1 lease 25200 sec. 

[I] Jun  7 08:19:01 ndm: Network::Interface::Switch: "GigabitEthernet0/0": switch link up at port 1 (1000FD/AN). 
[I] Jun  7 08:19:01 ndhcpc: Bridge0: received ACK for 192.168.1.138 from 192.168.1.1 lease 25200 sec. 

В настройках на контроллере присвойте данному ретранслятору IP не из пула DHCP сервера, тогда записи про received ACK должны пропасть.

В итоге на данном порту GigabitEthernet0/0 весит hive5700xt. Чтоб убрать записи по

[I] Jun  7 08:18:41 kernel: br1: port 1(eth2.2) entered learning state
[I] Jun  7 08:18:41 kernel: br0: port 1(eth2.1) entered learning state
[I] Jun  7 08:18:44 kernel: br0: port 1(eth2.1) entered forwarding state
[I] Jun  7 08:18:44 kernel: br0: topology change detected, sending tcn bpdu
[I] Jun  7 08:18:44 kernel: br1: port 1(eth2.2) entered forwarding state
[I] Jun  7 08:18:44 kernel: br1: topology change detected, propagating

введите то что я написал выше role iseq для данного порта, возможно поможет.

 

[Падает интернет на ретрансляторе спидстер]

6 часов назад, WaRMacTep сказал:

br0   eth2.1 это интерфейсы Контролера меш системы на базе keenetic Ultra, а br1 eth2.2 интерфейсы ретранслятора на базе Keenetic Speedster по крайней мере я так понимаю

Можно конф из selftest увидеть. Кто подключен к LAN1 порту и есть ли еще подключенные LAN клиенты. По подробней не судьба описать нужно догадываться что и как, из того что имеем по данной схеме ?

[I] Jun  4 07:28:47 kernel: br0: topology change detected, sending tcn bpdu
[I] Jun  4 07:28:47 kernel: br1: topology change detected, propagating

это работа

Цитата

На каждом сегменте включен протокол STP, обеспечивающий выбор оптимальных связей между ретрансляторами.

https://help.keenetic.com/hc/ru/articles/360007279039-Mesh-Wi-Fi

Пример у клиента с ТВ

Цитата

К Гиге по проводу подключены РС, PS4, PS5 и телевизор Sony 49XE9005. Телевизор постоянно подключен в розетку, когда не пользуюсь находится в спящем режиме. Консоли из розеток выключаю после игры.

Пишут что проблема в телевизоре Sony, который в спящем режиме часто поднимает/бросаeт Ethernet подключение и в протоколе STP, введёном с прошивкой 3.4.1., который необходим для работы интернет-центра в составе Wi-Fi Mesh системы.

Можете попытаться решить вопрос для LAN1 это через cli

interface GigabitEthernet0/0 role iseg
system configuration save

Про

switch link up at port 1 (1000FD/AN)
switch link up at port 1 (10FD/AN). 

возможно работа авто согласования, например на ПК можно поставить скорость при включение сначала 10 или 100 и не использовать автопонижение.

Опять же это все из ходя из тех данных которые представлены.

[Падает интернет на ретрансляторе спидстер]

59 минут назад, WaRMacTep сказал:

никто ничего не подскадет?

[I] Jun  4 07:28:41 ndhcpc: Bridge0: received ACK for 192.168.1.138 from 192.168.1.1 lease 25200 sec. 
[I] Jun  4 07:28:44 kernel: br1: port 1(eth2.2) entered learning state
[I] Jun  4 07:28:44 kernel: br0: port 1(eth2.1) entered learning state
[I] Jun  4 07:28:47 kernel: br0: port 1(eth2.1) entered forwarding state
[I] Jun  4 07:28:47 kernel: br0: topology change detected, sending tcn bpdu
[I] Jun  4 07:28:47 kernel: br1: port 1(eth2.2) entered forwarding state
[I] Jun  4 07:28:47 kernel: br1: topology change detected, propagating
[I] Jun  4 07:28:49 ndm: Network::Interface::Switch: "GigabitEthernet0/0": switch link up at port 1 (1000FD/AN). 
[I] Jun  4 07:28:49 kernel: br0: port 1(eth2.1) entered blocking state
[I] Jun  4 07:28:49 kernel: br0: port 1(eth2.1) entered listening state
[I] Jun  4 07:28:49 kernel: br1: port 1(eth2.2) entered blocking state
[I] Jun  4 07:28:49 kernel: br1: port 1(eth2.2) entered listening state
[I] Jun  4 07:28:49 ndhcpc: Bridge0: received ACK for 192.168.1.138 from 192.168.1.1 lease 25200 sec. 
[I] Jun  4 07:28:52 kernel: br1: port 1(eth2.2) entered learning state
[I] Jun  4 07:28:52 kernel: br0: port 1(eth2.1) entered learning state
[I] Jun  4 07:28:55 kernel: br0: port 1(eth2.1) entered forwarding state
[I] Jun  4 07:28:55 kernel: br0: topology change detected, sending tcn bpdu
[I] Jun  4 07:28:55 kernel: br1: port 1(eth2.2) entered forwarding state
[I] Jun  4 07:28:55 kernel: br1: topology change detected, propagating
[I] Jun  4 07:34:37 ndm: Network::Interface::Switch: "GigabitEthernet0/0": switch link down at port 1. 
[I] Jun  4 07:34:37 kernel: br0: port 1(eth2.1) entered blocking state
[I] Jun  4 07:34:37 kernel: br0: port 1(eth2.1) entered listening state
[I] Jun  4 07:34:37 kernel: br1: port 1(eth2.2) entered blocking state
[I] Jun  4 07:34:37 kernel: br1: port 1(eth2.2) entered listening state
[I] Jun  4 07:34:38 ndhcpc: Bridge0: received ACK for 192.168.1.138 from 192.168.1.1 lease 25200 sec. 
[I] Jun  4 07:34:39 ndm: Network::Interface::Switch: "GigabitEthernet0/0": switch link up at port 1 (10FD/AN). 

Вопрос имеем в br0 (основной интерфейс роутера) сетевой интерфейс eth2.1 или проще говоря все LAN порты, далее в br1 (что-то настроенное) имеем интерфейс eth2.2 по умолчанию он обычно имеет отношение к WAN порту -> описанную схему или информацию по настройкам где и что.

[Пробуем КВАС]

8 часов назад, avn сказал:

Статистика. А без статистики он нафиг не нужен. Это чисто мое субъективное мнение, да красивое, но мне такое не нужно. 1 2 3

Ожидал другого, т.е. ваша фраза Я к тому, что у него много накладных расходов  имеет отношение только к набору ссылок.  Это то же самое как на форумах посты - у меня wifi плохо работает а у меня нормально или у меня 50ms в у меня 120ms страница открылась и т.д. чисто статистика.

Для статистики при использование AdguardHome или DNSmasq - НЕ ЗАМЕТИЛ разницы в открытие страниц при том что оба на строены для проверки на 8.8.8.8 только один с кучей списков и фильтров а другой не с чем.

 

 

[Пробуем КВАС]

1 час назад, avn сказал:

Что за обычный режим? Я к тому, что у него много накладных расходов.

Обычный это тот для которого он предназначен. Много накладных это сколько грамов или 

Цитата

AGH тормоз ещё тот. Только для побаловаться. Dnsmasq в сто раз меньше и быстрее

Что в вашем понятие накладные расходы?

[Пробуем КВАС]

9 часов назад, avn сказал:

AGH тормоз ещё тот.

В обычном режиме не замечено.

[wireguard: клиенты должны друг друга видеть?]

18 минут назад, bzzztomas77 сказал:

день добрый,

есть кинетик, на котором включен сервер wiregauard (giga). есть еще один кинетик-клиент и linux-клиент. все прекрасно видят сервер (giga), а сервер видит всех. но клиент кинетик не видит linux-клиент. пробовал добавлять явный маршрут, чтобы трафик до linux-клиента отправлялся на сервер (giga) - не помогает. это вообще рабочая схема?

 

Вопрос только в том что вы имеете ввиду под пробовал добавлять явный маршрут, чтобы трафик до linux-клиента отправлялся на сервер (giga) - не помогает так как маршрут должен быть направлен именно в туннельный интерфейс

На клиенте WG роутер
10.16.10.0/24 dev nwg2  proto kernel  scope link  src 10.16.10.11 
192.168.1.0/24 dev nwg2  scope link 
192.168.10.0/24 dev br0  proto kernel  scope link  src 192.168.10.11 

а так же на клиенте в WG роутера должно быть разрешено "Разрешенные подсети" 192.168.1.0/24 для одной стороны и на другой стороне сервера WG так же "Разрешенные подсети" роутера клиента.

[SMB server: настройка mask]

20 минут назад, Alisher сказал:

Ещё раз спасибо за идею. Мне она даже частично подходит, поскольку при работе в Windows действительно пользуюсь Far Manager. Однако, до сих пор не соображу, чем конкретно вы пользуетесь в нём для подключения к SMB server на Keenetic. Сначала и вовсе говорили, что подключались по SFTP, затем упоминали работу по SMB, но не указали, какой плагин в Far для этого нужно (и нужно ли) установить. Ваши скриншоты излишне подробно описывают процесс настройки, но при этом не дают изначального контекста. Буду признателен, если опишете вкратце, как подключаетесь к папке в Far. Например, у меня в Far это фактически эквивалент выполнения команды вроде cd \\192.168.0.1\myfolder.

Для ваших задач SFTP (net box но подключение выбираем sftp) - для EXT раздела не чего более не надо, для NTFS раздела подстройка атрибутов.

Если пользоваться SMB (network или как вы написали cd \\192.168.0.1\myfolder ) так же в FAR то будет не то что вам надо и без разницы какой раздел.

Скрытый текст

 

[KN-1810 - WI-FI 5GHz в радиусе метра]

6 часов назад, kallisto сказал:

идеи закончились - firmware думал откатить - но старых версией найти немогу... подскажете?

ну и другие советы кроеме как выкинуть - приветствуются )

Не видел как выглядит лог у 7615 который не работает, но в вашем случае по selftest

5GHz
----------------------
interface WifiMaster1
    country-code RU
    compatibility AN+AC
    tx-burst
    rekey-interval 86400
    beamforming explicit
    downlink-mumimo
    up
!
interface WifiMaster1/AccessPoint0
    rename AccessPoint_5G
    description "5Ghz Wi-Fi access point"
    mac access-list type none
    security-level private
    wps
    authentication wpa-psk ns3 ***
    encryption enable
    encryption wpa2
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ssid Keenetic-8470
    wmm
    down


[I] Jan  1 03:00:13 kernel: 5GHz eLNA Gain: 12 -> 11
[I] Jan  1 03:00:14 ndm: Network::Interface::Radio: "WifiMaster1": the radio switch state is changed to off, software state is down. 
[I] Jan  1 03:00:14 ndm: Network::Interface::Repository: "WifiMaster1" interface created. 

Первое что - так это точка AccessPoint_5G -> down а не в "up"

Так же

Radio: "WifiMaster1": the radio switch state is changed to off, software state is down.

Делал выключение кнопкой Wifi но по selftest ни каких перестроек кнопок нет например

    button FN1 on click do WifiToggle

или не залипла ли кнопка Wifi на которой длинное нажатие - Вкл/выкл wifi.

 

Далее какие то телодвижения для 5GHz есть

[I] Jun  4 11:37:52 ndm: Network::Interface::Rtx::WifiMaster: "WifiMaster1": country code set to RU (Russian Federation). 
[I] Jun  4 11:37:52 ndm: Network::Interface::Rtx::WifiMaster: "WifiMaster1": PHY mode set. 
[I] Jun  4 11:37:52 ndm: Network::Interface::Rtx::WifiMaster: "WifiMaster1": TX burst enabled. 
[I] Jun  4 11:37:52 ndm: Network::Interface::Rtx::WifiMaster: "WifiMaster1": explicit beamforming enabled. 
[I] Jun  4 11:37:52 ndm: Network::Interface::Rtx::WifiMaster: "WifiMaster1": 11ac/ax downlink-mumimo enabled. 
[I] Jun  4 11:37:52 ndm: Network::Interface::Base: "WifiMaster1": interface is up. 
....
[I] Jun  4 11:37:52 ndm: Network::Interface::Base: "WifiMaster1/AccessPoint3": interface is down. 
[I] Jun  4 11:37:52 ndm: Network::Interface::Ip: "WifiMaster1/WifiStation0": security level set to "public". 
[I] Jun  4 11:37:52 ndm: Network::Interface::Rtx::WifiStation: "WifiMaster1/WifiStation0": wireless encryption disabled. 
[I] Jun  4 11:37:52 ndm: Dhcp::Client: WifiMaster1/WifiStation0 DHCP client DNS host routes are enabled. 
[I] Jun  4 11:37:52 ndm: Dhcp::Client: WifiMaster1/WifiStation0 DHCP name servers are enabled. 
[I] Jun  4 11:37:52 ndm: Network::Interface::Base: "WifiMaster1/WifiStation0": interface is down. 

и как итог последняя запись в "down"

Так же "Mws::Controller: generated EC key." не встречал такой не разу, но может как раз и связано что Wifi в down

[I] Jan  1 03:00:15 ndm: Mws::Controller: generated EC key. 

[I] Jun  4 11:38:05 kernel: ACS result: Primary Channel 9, Min Channel Busy = 0, BW = 20
[I] Jun  4 11:38:05 wmond: WifiMaster0/AccessPoint0: (MT7615) BSS(ra0) channel switched to 9. 
[I] Jun  4 11:38:06 ndm: Cifs::ServerTsmb: service started. 
[I] Jun  4 11:38:06 kernel: ACS result: Primary Channel 52, Min Channel Busy = 0, BW = 80
[I] Jun  4 11:38:06 wmond: WifiMaster1/Backhaul0: (MT7615) BSS(rai4) channel switched to 52. 

хотя Backhaul0 настроился на Channel 52

rai4:       0       0    0    0    0     0          0         0        0       0    0    0    0     0       0          0
rai4.1:       0       0    0    0    0     0          0         0   131479     979    0    0    0     0       0          0
rai4.2:       0       0    0    0    0     0          0         0    24990     595    0    0    0     0       0          0
ra4.2:       0       0    0    0    0     0          0         0    24990     595    0    0    0     0       0          0
rai0:       0       0    0    0    0     0          0         0        0       0    0    0    0     0       0          0

Некоторые не нулевые интерфейсы wifi

Есть не понятки по     <file name="ndm:wifi-configuration.dat">

Блок для 2.4
# The word of "Default" must not be removed
...
TxCmdMode=1
...
WirelessMode=9;9;9;9;9
Channel=0
TxRate=0
BasicRate=15
BeaconPeriod=100
DtimPeriod=1
TxPower=100
GreenAP=0
....


Блок для 5
# The word of "Default" must not be removed
Default
BssidNum=5
FastStartup=0
WHNAT=0
TxCmdMode=1
CountryRegionABand=36
CountryCode=RU
SSID1=0x4b65656e657469632d38343730
SSID2=0x
SSID3=0x
SSID4=0x
SSID5=0x3031313836373839663664383239336566656136646339303866663639343363
WirelessMode=14;14;14;14;14
Channel=0

 

Я бы по пробовал подправить конфиг до вида

interface WifiMaster1
    country-code RU
    compatibility N+AC
    channel 52
    channel width 160
    power 50
    rekey-interval 86400
    no band-steering
    beamforming explicit
    downlink-mumimo
    up
!
interface WifiMaster1/AccessPoint0
    rename AccessPoint_5G
    description "5Ghz Wi-Fi access point"
    mac access-list type none
    security-level private
    authentication wpa-psk ns3 ***
    encryption enable
    encryption wpa2
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ssid 11111111
    wmm
    up

и залить обратно.

Второе - через WEB изменить его режим работы с роутера на любой другой например Точка доступа/Ретранслятор (т.е. по LAN и раздача Wifi) перезапустить - полазить по WEB в настройках Wifi (можно и проверить) -> потом опять сменить режим работы на Роутер (Основной) и сделать настройки Wifi а не те которые по автомату именно на 5GHz.

 

[Падает интернет на ретрансляторе спидстер]

32 минуты назад, WaRMacTep сказал:

кабель менял ничего не изменилось

Лог покажите, только не одной строчкой а по более.

[SMB server: настройка mask]

10 часов назад, Alisher сказал:

Похоже, пока предпочту оставить встроенный SMB server

Если очень нужно, то как и писал выше ваш вопрос решается FAR

Скрытый текст

Выбрать Copy и сделать настройки

А потом уже будет то что настроено

 

[Используем Samba вместо прошивочной службы]

Сравнение SAMBA4 с прошивочным 38B2 TSMB

Samba 4

~ # opkg list | grep samba
samba4-admin - 4.14.12-1 - installs: net smbcontrol profiles rpcclient dbwrap_tool eventlogadm ldbadd ldbdel ldbedit ldbmodify ldbrename ldbsearch tdbbackup tdbdump tdbrestore tdbtool  Administration tools collection
samba4-client - 4.14.12-1 - installs: cifsdd smbclient smbget  The smbclient program implements a simple ftp-like client for accessing SMB shares
samba4-libs - 4.14.12-1 - Samba 4.14.12 libs
samba4-server - 4.14.12-1 - installs: smbd (nmbd) smbpasswd pdbedit testparm (nmblookup) (smbcacls sharesec) (samba samba-tool ntlm_auth samba-gpupdate samba_dnsupdate samba_kcc samba_spnupdate samba_upgradedns samba_downgrade_db)  This provides the basic fileserver service and is the minimum needed to serve file shares. HINT: https://fitzcarraldoblog.wordpress.com/2016/10/17/a-correct-method-of-configuring-samba-for-browsing-smb-shares-in-a-home-network/
samba4-utils - 4.14.12-1 - installs: smbstatus smbtree mvxattr smbtar smbcquotas  Utilities collection
~ # 

ПК подключен по LAN к KN1810 с диском на USB3 SSD (NTFS)

~ # hdparm -tT /dev/sda

/dev/sda:
 Timing cached reads:   290 MB in  2.00 seconds = 144.80 MB/sec
 Timing buffered disk reads: 322 MB in  3.01 seconds = 107.03 MB/sec
~ # 

Запуск SAMBA 4 - копирование на SSD файла, потом чтение данного фала на SSD ПК. Второй тест чтение этого же файла на запущенном уже прошивочном TSMB так же на SSD ПК. В итоге имеем чтение на SAMBA не более 50MB и загрузка проца 58% (Utilization диска 33%) на TSMB же имеем максимум для LAN 1Gb 103MB и загрузка проца 37% (Utilization диска 72%).

Параметр The average I/O operation size (Average Completed I/O Operation Bandwidth disk_avsz_sda) равен SAMBA=504,5KiB/operation и TSMB=509,5KiB/operation

Скрытый текст

SAMBA

 

TSMB

 

[PTK 4-way handshake timeout на Giga KN-1011]

8 часов назад, fgsfds сказал:

И снова та же проблема, уже на другом KN-1011 (тоже 3.7.4)

Над этой проблемой работа ведется вообще, или уже можно рекомендовать знакомым избавляться от Keenetic и переходить на роутеры других производителей?

Для решения каких либо проблем

Цитата

Форум Keenetic Community поддерживается разработчиками ПО интернет-центров Keenetic (KeeneticOS). Мы активно принимаем участие в беседах на форуме, потому что лично хотим сделать наши устройства лучше, исправляя проблемы и недочеты, а также добавляя новые функции.

Подразумевается, что на нашем форуме пишут люди заинтересованные и технически подкованные, способные на минимальный анализ происходящего и готовые к нестандартным способам отладки. Если вы не ощущаете в себе сил и желания разбираться в проблеме досконально, помогать это делать нам и ждать результата — пожалуйста, не тратьте здесь время. Поручите это специальным людям — официальной поддержке help.keenetic.net.

Для справки 3.8 - данный форум, 3.7 - ТП но в любом случае нужна конкретика с полным описанием проблемы какой клиент где и как

[3.8 beta 2 ndnproxy on port 53]

3 часа назад, anian сказал:

Добрый день.
Я не могу запустити Adguard home при версии прошивки 3.8 beta 2
couldn't start forwarding DNS server: listening to udp socket: listen udp 0.0.0.0:53: bind: address already in use

Будет поправлено смотрим последнее сообщение

 

[AdGuardHome]

2 часа назад, anian сказал:

Может кто-то уже сталкивался

https://forum.keenetic.com/topic/14408-38-beta-2-ndnproxy-on-port-53/

Не могу стартонуть уже установленый AGH на версии 3.8 beta2 порт 53 занят

Баг в прошивке будет поправлен, последнее сообщение.

Опуститесь до 38B1 пока.