IgaX

@iggo у меня при рабочем intelliqos в этих полях были результаты dpi по устройству

и заодно дамп трафика с wan-а через захват пакетов (по поиску найдете) в момент подключения и не прохода авторизации.

Да клиенту обычно фиолетово какой у него, серый, белый, в горошек, ахтунг выше для всех применим - или это про Ваш wan? Проверьте порты записей своего МСЭ через тот же https://zyxel.ru/openport/ - если все ок и Вы точно сделали все по инструкции, то self-test для разрабов (подробности в шапке, в объявах) и м.б. W10?

то, что Вы обращаетесь на внешний ip wan (прямо или после резолвинга), еще ничего не значит (т.к. обращение к нему со стороны, например, домашнего сегмента и, например, через какой-нибудь туннель, - это две большие разницы), поэтому у Вас вполне возможно следующее:

а представьте ddos из мэджиков .. я бы все же через админку будил.

зря смущает, wol построен на броадкасте и оперирует на L2, поэтому и стат.ip ему до лампы, а работало, видимо, потому что в кэше arp сохранялась запись, в 2.08 над arp работали, поэтому и .. в общем: 1) шаг "1" важен в плане "Нужно выделить IP-адрес, не использующийся в сети"; 2) шаг "2" важен в том плане, что на этот "левый" ip идет форвард, который превращается в броадкаст L2: "ff:ff:ff:ff:ff:ff" в итоге мэджик работает как и предполагается. надеюсь, помог

уверены, что по инструкции: https://zyxel.ru/kb/3517/ ? .. по Вашим словам широкое вещание Вы как раз и не инициируете (см. ip arp). логи тут по выявлению бега мэджика по интерфейсам не помогут, а вот захват пакетов на разных интерфейсах вполне, правда, к соне надо хитро подступаться, но это пока не нужно.

если Вы уверены, что пакеты приходят, то по идее знаете что дальше если очень сильно, то можно попробовать проверить, чтобы версия прошивки была не ниже 2.08.A.8.0-0 (или ставьте beta-версию), после чего из внешней сети заходите на http://{router_ip|domain_name}/#web.tc , выбираете parse, используете команду ip hotspot wake {mac}

ну .. производительность разная бывает, принцип примерно один и тот же. фэйловер у нас уже есть, балансир в той или иной форме давно обсуждается: https://forum.keenetic.net/topic/124-маршрут-по-умолчанию-на-несколько-интерфейсов/?sortby=date основная загвоздка - это ресурсы/сервисы, которые держат авторизацию, в которой ip источника имеет значение, бо слететь может если стрелять из нескольких орудий. https://forum.keenetic.net/topic/124-маршрут-по-умолчанию-на-несколько-интерфейсов/?do=findComment&comment=11387 т.е. как мин соединения к одному ip:[порт/группа по протоколу] в большинстве случаев должны проходить через один и тот же интерфейс .. а качалки .. больше ресурсов потратишь, чтобы их выделить по dpi, хотя фз, а шифрованные так тем более забудьте, торренты по идее ок будут с разных пиров. другой момент - это выделить наиболее оптимальный интерфейс, в случае когда он без разницы: чтобы пакет дошел быстрее и не терялся, чем если бы это он сделал через другой интерфейс .. тут как бы тоже, знаете, задача не из легких на лету определять оптимальную дверь и простого ответа нет. и заодно учесть пожелания пользователя по примерному соотношению нагрузки по внешним интерфейсам (а чего у него там в голове, фз), по видам трафика или еще каким условиям. это в целом. у асуса, скорее всего, это все частично, но м.б. работают во всех направлениях. поэтому не переживайте, вопрос витает в воздухе, надеемся, что скоро и в наших краях

проще предположить, где фичи нет: http://event.asus.com/2013/nw/ASUSWRT/ т.к. по идее все что с asuswrt имеет на борту: https://www.asus.com/ru/support/faq/1011719/ https://www.asus.com/support/faq/1005714/

фича, имхо, полезнее чаще для клиента или в роутере в цепочке .. но да лан, рядом с пингом, места лишнего не займет, +1. p.s. и не проходите мимо dns по https и ваша соседка никогда не узнает, что вы смотрите ее профиль вконтактике

думаю по порядку (сверху-вниз) начиная с 0, т.е. визуально n-1

думаю, что это порядковый номер правила в указанном ACL

скажем, вариант в лоб для виндового клиента: 1) командная строка под админом; 2) чистка кэша: ipconfig /flushdns 3) запрос на гугл от гугла: nslookup google.com. 8.8.8.8 кэш на клиенте чистый, резолвинг на гугл-днс для гугл-домена, т.е. по паранойе должен придти 100% authoritative answer. .. но если видим, что даже после этого: "Не заслуживающий доверия ответ", то лично мне по бритве Оккама - это перехват/выдача из неизвестного мне кэша .. за свою сторону я почти уверен, поэтому .. вот такие пироги. *** для чистоты эксперимента можно посмотреть разницу (и сделать выводы): nslookup google.com. ns1.google.com. *** "Не заслуживающий доверия ответ" - а так это нормально, когда отвечает кэширующий relay, наверное, все же зря я нагнетаю, извините.

не уверен, мысленный эксперимент для домашнего пользователя с кэшированием на типичных клиентах не подтверждает .. а так да, для остальных - отдельный ns с dnssec и с доп.кэширующим при необходимости.

значит, мы зря пытаемся изменить мир к лучшему не знал, жму руку

я то справлюсь, вопрос не в фильтре, а в уверенности. в общем, если никого не волнует, например, тот же "Не заслуживающий доверия ответ"/"Non-authoritative answer" на тот же nslookup ya.ru 8.8.8.8 и другие вопросы приватности для конечного пользователя по галочке из коробки, то и пофиг, пусть страдают от глубокого фишинга, того же сбора статистики своей активности на базе запросов к dns итп. .. все правильно, колпак должен быть со всех сторон и с дырками, "чтобы всем было удобно". просто мысли вслух, без всего

ап, праздники .. сабж нужный, обычный пользователь просто не заметит подмену, а с этим можно не беспокоиться, если клиент не скомпрометирован (фича как массовая прививка)

согласен, а-ля Cisco NAT exemption и заодно Policy NAT (e.g.) было бы неплохо для гибкости

Не уверен как на 2.06, но в целом можно использовать traffic-shape rate для Bridge0 (если домашний сегмент на нем)

Я тут глянул немного, на первый взгляд следы ведут к it-grad.ru, hostkey.ru и Hetzner Online .. кстати, немного ругается на SOA-запись, но, видимо, так специально сделано. Прокачка туннелированного трафика для облачного режима, наверное, еще и с шифрованием .. скок выдерживает на 1U .. да и баланс исходящего/входящего трафика в распределенной системе выравнивать, я ведь правильно понимаю, что нам всем стоит сказать спасибо за то, что бесплатно HTTP открыт без лимитов, а больше требовать - это уже слишком, или я ошибаюсь и все возможно?

Можно и более геморройным способом. WifiGuestApToggle, по идее, точно с конкретным интерфейсом работает. Следовательно, пересобрать бриджи, на кнопку повесить гостевую и через любое место пинать нужный интерфейс на up.

так а кнопка что делает? а то WifiToggle в мануале особо не изобилует подробностями если выгружает wireless-драйвер, тогда, значит, надо загрузить его обратно.

а кнопка что делает? interface WifiMaster0 down? если да, то можно зайти а-ля: http://my.keenetic.net/#web.tc выбрать "parse", поле ниже станет меньше по высоте до одной строки; в этом поле можно привычно работать с командами cli; следовательно, вводим команду обратного действия для кнопки, например: interface WifiMaster0 up жмем "Send!", если логика верна, то все получится *** p.s. если в 2.07 нет #web.tc, то тогда м.б.: http://my.keenetic.net/test_command.html http://my.keenetic.net/test.html

видимо, холивар по журналированию и скрепы, что боги придумали exfat специально под флэш .. никто из мессий, правда, не приводит статистически достоверных данных в пользу теории о негативном влиянии алкоголя ntfs на продолжительность жизни.