Коротко — у вас две главные задачи, и для каждой есть своя правильная схема:
- Если вы хотите просто расширить сеть (тот же DHCP, те же IP от Ростелекома) — подключайте вторую коробку как точку доступа (LAN→LAN), выключаете DHCP на OpenWrt и не используете WAN‑интерфейс.
- Если вы хотите, чтобы всё, что к TP‑Link подключено, шло через VPN — подключайте как роутер (LAN основного → WAN второго) и на втором настраиваете VPN‑клиент. Для VPN на старом N300 OpenVPN может не поместиться/быть медленным, WireGuard гораздо легче — но тоже требует места/модуля ядра. Если памяти не хватит, лучше использовать VPN на основном роутере или на отдельном устройстве (Raspberry Pi, USB‑модем/малая плата).
Дальше — как исправить текущую проблему (LAN→WAN, сеть появилась, но нет доступа в Интернет) и какие диагностические шаги выполнить.
1) Быстрая проверка состояния (подключитесь к OpenWrt, через SSH):
- Проверить, получил ли WAN‑интерфейс IP:
- ip addr show dev eth0.2 (замените eth0.2 на ваш WAN-интерфейс) или
- ubus call network.interface.wan status
- Проверить маршрут и шлюз:
- ip route
- Попытаться пингануть внешний IP (обойти DNS):
- ping -c 4 8.8.8.8
- Попытаться пингануть имя:
- ping -c 4 google.com
- Проверить DNS:
- cat /tmp/resolv.conf.auto
- Просмотреть системные логи на ошибки:
- logread | tail -n 100
- dmesg | tail -n 50
Если WAN не получил IP — значит проблема на физике/настройках DHCP со стороны основного роутера (проверьте на основном, разрешен ли DHCP, не включён ли MAC‑фильтр или привязка).
2) Частые причины «нет интернета» при LAN→WAN
- WAN интерфейс не настроен как DHCP‑клиент.
- На OpenWrt неправильно задан маршрут/нет шлюза.
- Брандмауэр OpenWrt блокирует выход (маскарадинг/NAT не включён для зоны wan).
- DNS не настроен / dnsmasq сломан (особенно если вы устанавливали zapret, он мог изменить DNS/iptables).
- Пакеты zapret или другие сторонние пакеты нарушили iptables/маршрутизацию или заняли место в файловой системе.
- Физическая проблема: кабель/порт/питание.
3) Быстрая проверка и исправление распространённых проблем
- Убедитесь, что WAN в LuCI (Network → Interfaces → wan) стоит как Protocol: DHCP client. Apply/Save.
- Посмотрите статус в LuCI: Network → Interfaces → WAN — есть ли IP и шлюз?
- В Network → Firewall в зоне wan включено ли Masquerading? (обычно включено по умолчанию)
- Перезапустите сети и firewall:
- /etc/init.d/network restart
- /etc/init.d/firewall restart
- /etc/init.d/dnsmasq restart
- Если suspect zapret: временно отключите/удалите его:
- opkg remove <имя_пакета_zapret> (или смотрите opkg list-installed | grep zapret)
- перезапустите сетевые службы
- Если вы хотите быстро вернуть конфигурацию сети/фаервола в дефолт:
- firstboot && reboot
(внимание: это сотрёт все настройки OpenWrt — используйте, если готовы заново настраивать)
4) Рекомендации по настройке VPN / по экономии места
- WireGuard: намного легче, быстрее и компактнее, чем OpenVPN. Пакеты:
- opkg update
- opkg install wireguard luci-proto-wireguard luci-app-wireguard (если памяти мало, поставьте только wireguard-tools и настраивайте через uci)
- Проверить свободное место: df -h и free -m
- OpenVPN на старых N300 часто не поместится или будет работать очень медленно.
- Если места явно не хватает — лучше волшебно не получится: либо ставьте VPN на основном роутере (если он поддерживает), либо используйте отдельное устройство (бюджетный Raspberry Pi Zero 2W/3/4, mini PC).
- Легкие альтернативы zapret: DNS‑блокировка через dnsmasq/host files или использование ipset + adblock пакетов (adblock, adblock‑lists), они обычно компактнее. Но если zapret модифицировал файлы конфигурации — лучше вернуть дефолт и настраивать понемногу.
5) Правильные схемы подключения (резюме)
- Если хотите VPN для всех устройств, подключённых к TP‑Link, и готовы рисковать с производительностью — LAN(Main) → WAN(TP‑Link), на TP‑Link включаете VPN‑клиент (WireGuard предпочтительно). Убедитесь в наличии места и модуля.
- Если хотите просто расширить Wi‑Fi (без VPN) — LAN→LAN, отключить DHCP на TP‑Link, настроить статический LAN IP в сетевом диапазоне основного (например, если основной 192.168.1.1, поставить 192.168.1.2).
- Если хотите, чтобы одновременно часть устройств шла через VPN, а часть — нет, это сложнее: нужен мультиWAN/маршрутизация по правилам (policy routing). Для этого OpenWrt + mwan3 либо iptables/iptables-mark/route‑tables. На малом роутере это может быть тяжело.
6) Что сделать прямо сейчас (пошагово для начинающего)
a) Если не принципиально, восстановите штатное состояние конфигурации:
- Зайдите в System → Backup/Flash Firmware → Perform reset или выполните через SSH:
- firstboot && reboot
b) Для режима «точка доступа» (простое расширение Wi‑Fi):
- Подключите кабель к LAN порту TP‑Link (не в WAN).
- В LuCI: Network → Interfaces → LAN → Set static IP в диапазоне основного роутера (например 192.168.1.2), сетмаска 255.255.255.0, Gateway поставить IP основного роутера 192.168.1.1.
- Отключите DHCP Server на TP‑Link (в Interfaces → LAN → DHCP Server → Disable).
- Выключите firewall на TP‑Link или оставьте по умолчанию (в AP‑режиме он бессмыслен).
- Настройте Wi‑Fi SSID/пароль и перезагрузите.
c) Для режима «роутер + VPN»:
- Подключите кабель в WAN.
- Убедитесь, что WAN настроен как DHCP client и получил IP.
- Установите WireGuard (если хватит места) и настройте подключение по инструкции провайдера/клиента.
- Включите Masquerading в Network → Firewall → wan.
- Проверьте, что после поднятия VPN-интерфейса трафик клиентов идет через него (можно смотреть ip route и wg show).
7) Если хотите — пришлите выводы этих команд (скопируйте сюда), и я подскажу конкретно:
- ubus call network.interface.wan status
- ip addr
- ip route
- cat /tmp/resolv.conf.auto
- logread | tail -n 200
- df -h
- opkg list-installed | grep -E 'wireguard|openvpn|zapret|adblock|dnsmasq'
Сделайте сначала базовую диагностику (пункты в разделе 1). Если хотите, напишите, хотите ли вы TP‑Link в режиме точки доступа или в режиме роутера с VPN — тогда дам пошаговую инструкцию под ваш выбор и помогу исправить текущую проблему без потери настроек.