gaaronk

Поставить разные SSID для 2,4 и 5

Ну если параноите - сделайте интересы ZeroTier level public и пускайте внутри него wireguard

Так не работает. У кинетика вообще плохо с NAT'ом. Надо выключить nat на Home no ip nat Home и включить куда надо ip static Home <внешний интерфейс 1> ip static Home <внешний интерфейс 2>

А вы как я сделайте... system set net.ipv6.conf.all.forwarding 0 set net.ipv6.conf.all.disable_ipv6 1 set net.ipv6.conf.default.disable_ipv6 1 ... и нет никакого IPv6

Если к отдельному хосту в сегменте protected или ко всему сегменту целиком применить политику Без доступа в Интернет, то доступ блокируется к такому хосту из других protected интерфейсов (VPN туннелей). Например сегмент IoT переводим в Без интернет. И доступ в этот сегмент из доверенного Wireguard туннеля попадает. NAT везде выключен. В iptables это хорошо видно… Тем есть правила - из сегмента, в сегмент. Для IoT там будет DROP. А вот private туннельные интерфейсы в этой цепочке отсутствуют.

Скорее так. Вносим в конфиг. Сохраняемся. Ребутаем роутер. После загрузки бридж интерфейс уже есть. И запись в арп тоже есть. А процесс зеротир еще даже не запускался. Потом он стартует. И когда переходит в состояние up (сам зеротир) то арп запись из таблицы попадает.

Что еще заметил Команда ip arp на зеротире не работает правильно. При включении/ребуте статическая запись появляется, но потом видимо интерфейс меняет свой статус и все... все пропадает.

Добрый день! По быстрому проверил. Да, работает bind на интерфейс. Порт открывается. По сути слушается стандартный порт 41500. Так же ZT слушает дополнительный рандомный UDP порт, но это дело такое. Например # netstat -anp | i zero tcp 0 0 10.184.101.197:63916 0.0.0.0:* LISTEN 1116/zerotier-one tcp 0 0 10.184.101.197:41500 0.0.0.0:* LISTEN 1116/zerotier-one tcp 0 0 127.0.0.1:41500 0.0.0.0:* LISTEN 1116/zerotier-one tcp 0 0 ::1:41500 :::* LISTEN 1116/zerotier-one udp 0 0 10.184.101.197:63916 0.0.0.0:* 1116/zerotier-one udp 0 0 10.184.101.197:41500 0.0.0.0:* 1116/zerotier-one Если интерфейсу сделать down - из firewall порт не убирается. Но опять же это не no interface .... а просто down. Со сменой адреса на IP WAN интерфейсе отрабатывает корректно

я об этом

Пока зеротир использует все существующие в системе интерфейсы. Я писал об этом, обещали исправить.

Спасибо! Проверю и отпишусь.

@Le ecureuil И еще зеротир на старте слушает рандомный порт. Но этот порт не открывается на вход на WAN интерфейсах. И если другой узел стучится к нам напрямую - беда-печаль. Приходится задавать статичные secondaryPort и tertiaryPort и их прописывать в ACL руками на вход в WAN интерфейс...

Абсолютно не спасает interface ZeroTier0 security-level public ip dhcp client dns-routes ip access-group _WEBADMIN_ZeroTier0 in zerotier accept-addresses zerotier no accept-routes zerotier network-id ХХХХХХХХХХХ zerotier connect via PPPoE0 lldp disable up ! Слушает на всех IP на ВСЕХ интерфейсах посмотрел WG туннель через tcpdump -nvi nwg1 udp Зеротир туда гонит трафик.

@Le ecureuil не посмотрите?

Ну или если мы делаем zerotier connect via PPPoE0 то можно и так в в /var/run/ztrun-ZeroTier0/local.conf { "settings": { "bind": [ "<IP address>"] } } тут все параметры описаны

Ну и ezcfg0 туда по умолчанию

Хорошо бы на интерфейсах по аналогии с командой ipsec ignore использовать команду zerotier ignore И тогда linux имена интерфейсов добавлялись бы в /var/run/ztrun-ZeroTier0/local.conf (или другой номер интерфейса) в секцию { "settings": { "interfacePrefixBlacklist": ["ezcfg0", "ngre1"] } }

exFAT не поддерживает права доступа

Ну вот вам надо создать ipset для российских сетей в файлик /opt/etc/ipset/ipset.conf сначала строка сreate russia hash:net family inet hashsize 1024 maxelem 1048576 потом 13 тыс ваших add russia <адрес> и потом в примере вместо 192.168.21.1 используйте дефолт вашего VPN

Что то типа такого в файле /opt/etc/iproute2/rt_tables 200 russia в /opt/etc/ipset/ipset.conf create russia hash:net family inet hashsize 1024 maxelem 1048576 в /opt/etc/iptables.raw *raw :PREROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :SET-MARK - [0:0] :VPN-MARK - [0:0] -A PREROUTING -i br0 -m state --state NEW -j VPN-MARK -A PREROUTING -i br0 -m connmark --mark 0x777 -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff -A SET-MARK -j CONNMARK --set-xmark 0x777/0xffffffff -A VPN-MARK -d 192.168.0.0/16 -j RETURN -A VPN-MARK -d 10.0.0.0/8 -j RETURN -A VPN-MARK -m set --match-set russia dst -g SET-MARK COMMIT делаете скрипт, и делаете его исполняемым /opt/etc/init.d/S01system PATH=/opt/bin:/opt/sbin:/sbin:/bin:/usr/sbin:/usr/bin [ "$1" != "start" ] && exit 0 # iproute2 ip rule | grep -q russia if [ $? -ne 0 ]; then ip rule add pref 200 from 192.168.0.0/16 fwmark 0x777 lookup russia fi # ipset if [ -f /opt/etc/ipset/ipset.conf ]; then /opt/sbin/ipset -X /opt/sbin/ipset restore < /opt/etc/ipset/ipset.conf fi insmod /lib/modules/$(uname -r)/iptable_raw.ko /opt/sbin/iptables -L -n -t raw | grep -q "VPN-MARK" if [ $? -ne 0 ]; then /opt/sbin/iptables-restore -T raw < /opt/etc/iptables.raw fi ip route default via 192.168.21.1 table russia exit 0 Ну и пакеты поставить все необходимые. Итого для каждой новой сессии для первого пакета мы смотрим в ipset, и на весь connection вешаем метку (и не гоним через ipset каждый пакет!) Согласно метки ищем маршрут в таблице russia А в этой таблице дефолт указан на ваш 192.168.21.1 А как уж наполнять ipset - динамически или один раз статически - сами решайте. В примере он пустой

Entware + маркировка пакетов по базе geoip или ipset с вашими сетями, а далее отдельная таблица маршрутизации и ip rule что бы маркированные пакеты в нее совало. Вот та таком ipset - Number of entries: 151258 никаких тормозов нет

А можно наряду с delta, stable, beta и т.д. сделать канал oldstable? Что бы можно было бы менять набор компонентов на предыдущей стабильной ветке? То есть для 4.0.х oldstable - 3.9.8

А зачем вот этот wget и все остальное? Можно же просто ndmc -c show log once

Это врядли уберут. На эту логику с уровнями много что завязано.

Было бы хорошо иметь костыль в виде команды ip network-private <CIDR>