r13

Также можно упростить инструкцию и вместо создания маршрутов скриптами использовать нативные политики keenos, которые уже являются таблицами маршрутизации. Просто создаем политику и включаем в нее требуемый vpn туннель. Далее с помощью команды cli show ip policy смотрим связанный с политикой номер таблицы маршрутизации: И используем эту таблицу в скрипте /opt/etc/init.d/S52ipset в таком случае скрипты /opt/etc/ndm/ifstatechanged.d/010-bypass-table.sh и /opt/etc/ndm/ifstatechanged.d/011-bypass6-table.sh вообще не нужны. Эту функцию будет выполнять сама KeenOS, ну и бонусом будет резервирование/агрегация каналов предоставляемая политиками.

Такс, подправил скрипт, сократив количество проверок, попробуйте с ним.

Да, этот кусок [ "$1" == "hook" ] || exit 0 не нужен. Зы, если все равно не создастся, отлавливать какое из условий скрипта не отрабатывает. Зы2 chmod +x для новых скриплов было выполнено?

Дополненная инструкция для поддержки ipv6. Требуется KeeneticOS 4.x+ и настроенный ipv6 на туннельном интерфейсе Дополнен скрипт /opt/etc/init.d/S52ipset, добавлены скрипты /opt/etc/ndm/netfilter.d/011-bypass6.sh и /opt/etc/ndm/ifstatechanged.d/011-bypass6-table.sh Скрипт с примером /opt/etc/AdGuardHome/ipset.conf дополнен ipset`ом bypass6 ЗЫ работоспособность скриптов проверил, но сейчас в локации без v6 так что полностью проверю через пару дней как буду дома(там аналогичная конструкция работает).

Вечером накидаю рыбу с дополнениями к базовой инструкции.

Да, с v6 тоже заработает если под него сконфигурить.

No, Inner v6 addressing is implemented currently. endpoints can be ipv4 only for now.

@vst Добрый день, как с этим поведением реализовать сценарий: default policy - макс приоритет у интерфейса без v6(например обычный провайдер без поддержки ipv6) policy0 - макс приоритет у интерфейса c v6(например vpn c поддержкой ipv6)

Да, надо дорабатывать статьи и , возможно подсказки в вебе.

Так в первом посте, а так же в тестовом примере и идет речь о том что при использовании политик работает безусловный перехват днс

Эта тема подтверждает что работает для политики по умолчанию, но с ньюансами...

Не, настройка в веб актуальна только для default политики, и для нее она действительно работает.

Днс для политик перехватывается всегда, @Le ecureuil говорил что так и задумано.

@eralde добры день, время от времени ловлю бан при авторизации из-за OPTIONS через chrome: [W] May 29 19:27:15 ndm: Core::Scgi::Auth: unsupported method "OPTIONS". [W] May 29 19:27:25 ndm: Core::Syslog: last message repeated 2 times. [I] May 29 19:27:25 ndm: Netfilter::Util::Conntrack: flushed 132 IPv4 connections for 192.168.50.160. [I] May 29 19:27:25 ndm: Netfilter::Util::BfdManager: "Http": ban remote host 192.168.50.160 for 15 minutes. Зависимость пока не понял, с чем это может быть связано? ЗЫ + селфтест

Да, но это касается клиентов сегмента, а не клиентов vpn сервера. Для впн сервера нет настроек через какую политику выходить

Это не настройка через что выходить, а к какому локальному сегменту(домашняя сеть например) есть доступ. То есть клиенты впн имеют доступ к сети prx_segment.

Он не сломан, как мне сказали это так и задумано. Настройка транзита относится только к политике по умолчанию. Для созданных политик запросы перехватываются всегда.

Значит у vpn соединения не стоит галка "использовать для выхода в интернет"

Ставьте 2.16 прошивку для начала.

В usb вариантах высоко-категорийных модемов не существует. Так что только конструктор.

Через пакет ser2net из opkg попробуйте

Да, это оно. В веб не реализовано.

Попробуйте через cli: no interface GigabitEthernet1/MapT0 system configuration save

Судя по логу map-t в действии

A MAP-T вам точно нужен?!