r13

В прошивочном dhcp настраивается локальный домен и настраивается внесение всех подключаемых устройств в статические записи локального резолвера далее все обращения с устройств по имени например server отлично резовятся в связке dnscrypt-proxy + встроеный резолвер.

В нем можно настроить forward запросов для резова локальных доменов в данном случае на встроенный резолвер

@vasek00 мне надо чтобы и встроенный резолвер был доступен в том числе из dnscrypt-proxy

@Le ecureuil Не, не соскакивает. Нет на 10053 порту никакого резолвера. Так что просьба остается в силе. Или еще какую то хитрую команду надо ввести?

Спасибо, не знал, и в документации про соскакивает тоже нету. А точно соскакивает? Смотрю конфиг при этой настройке: rpc_only = on И никаких портов не прописано.

Еще дополню: Добавить возможность запускать прошивочный резолвер на нестандартном порту. Применение: Основная служба на 53 порту например dnscpypt из которого переход на прошивочный резолвер для разрешения имен локальных устройств. В этом случае нет необходимости настраивать трансляцию адресов для входящих dns запросов.

В новой видимо еще не сделали, а в старой показывается там где туннели, поэтому тоже не совсем корректно

Тогда точно селфтест разработчикам выкладывайте.

Проверить в конфиге есть ли crypto engine hardware или просто выполнить эту команду в cli

Все равно сильно меньше чем должно, проверьте точно ли включен аппаратный ускоритель. Ну или селфтест для разработчиков.

Проверяйте на экстре включено ли аппаратное шифрование, и какой шифр настроили? на экстре только aes аппаратно ускоряется

В настройке у вас указан параметр client-config-dir ccd А в ccd папке файлы с iroute есть? Если нет, то читайте как работает iroute и настраивайте далее. Через iroute openvpn сервер получает информацию за каким именно клиентом находится требуемая подсеть. ЗЫ в обратную сторону работает из-за nat на гиге.

@Le ecureuil А как кстати можно настроить OpenVPN через cli?

У кого он есть

Свою на вкладке файлы (firmware)

с обоих сторон private, на ультре соответственно ip nat IPIP

@KorDen Собрал стендик, к ультре цепляется старт по IPIP c настройкой ip global через IPIP Запускаю трассировщик из cli старта(на клиентах за стартом нет возможности проверить, их нет) В такой схеме все ок. Во всяком случае трасса до того же ip(74.125.205.102) c ультры такая же и хопы c 8-17 также не отвечают. Если трасса до другого ip гугла (172.217.20.174) то там не отвечает только 1 хоп, но так же паритет что с IPIP, что без. 1й хоп - конец туннеля на ультре далее идут ответы уже от интернет узлов:

Ладно завтра попробую сценарий с ip global

У меня в тестовом туннеле между 2мя напрямую соединенными по лан роутерами вроде все ок с трассировкой. А откуда у вас хопы в wan ? Вроде как независимо от того через сколько хопов идет туннель для трассировки весь туннель должен быть одним хопом?!

@KorDen я поавильно понимаю что у вас трассировка обрывается на первом же хопе (локальный роутер) и более ничего нет?

Чуток погоняют в бета канале и перенесут в релизный канал теже самые прошивки без изменений.

Так сторонний скрипт и тут пожалуйста благо и entware и инструкции лежат. Мой к примеру при изменениях на wan присылает сообщение в телеграм.

Потыкался к себе (2.11A5): Если по http идти, то неуспешные попытки войти не логгируются. Появляется только лог о бане ip Если по https идти, то неуспешные попытки логгируются, но бан не наступает. Так что для https пока не работает.

@KorDen Я сейчас на L2TP/IPSec переполз. Попробую воссоздать при случае.

Да именно так, канал wifi естественно будет определяться соседским wifi.