[Keenetic Hopper + Radius Server на entware]

В 16.03.2026 в 23:19, PEHCIIOHEP сказал:

А дальше MESH чисто на кенетиках идёт

Я вот это имел ввиду, раз уж основной микрот, то удобнее и точки использовать одного бренда, и capsman в качестве централизованного управления ими.
У меня пока дублирование, есть сеть на кинетиках, и сеть на микротах. Вот жду, может в кинетиках всё-таки реализуют accounting, а то очень неудобно без него, а смешанный зоопарк делать не хочу.

[Keenetic Hopper + Radius Server на entware]

В 11.03.2026 в 21:56, PEHCIIOHEP сказал:

Microtik HEX S , и парочку Orbitter 6

Интересный выбор. Микрот в качестве radius сервера выступает, или основным роутером тоже?

[FreeRADIUS3]

@TheBB , возможно обновить пакет до актуальной на данный момент версии 3.2.8? 
Сейчас для aarch64 версия 3.2.7:

Спойлер

~ # radiusd -v
radiusd: FreeRADIUS Version 3.2.7, for host aarch64-openwrt-linux-gnu, built on Jun  1 2025 at 14:50:09
FreeRADIUS Version 3.2.7
Copyright (C) 1999-2023 The FreeRADIUS server project and contributors

 

 

[Keenetic Hopper + Radius Server на entware]

В 11.12.2025 в 19:14, PEHCIIOHEP сказал:

Авторизация по логину и паролю для каждого отдельного пользователя+лимиты трафика и скорости.

Немного поздно, наверное, но отвечу, т.к. тоже столкнулся с похожей задачей (но без старлинка).
Авторизацию по клиентам сделать можно посредством wpa2/wpa3 enterprise и, уже упомянутого выше, freeradius3 в Entware, а вот с аккаунтингом (подсчётом трафика клиентов) и дальнейшими действий на его основе, пока не получится, т.к. в wpa2/wpa3 enterprise на Keenetic/Netcraze не реализован accounting, и точка доступа не отправляет Accounting-Request.
Создал тему в "Развитие", но никто за неё не проголосовал, видимо очень специфичная задача.
https://forum.keenetic.ru/topic/27705-accounting-%D0%B2-wpa2wpa3-enterprise/

[Accounting в WPA2/WPA3 Enterprise]

Здравствуйте.
Для наиболее эффективного использования WPA Enterprise с Radius и mysql не хватает поддержки accounting.
Сейчас роутер KN-1811 (ОС 5.0.4) не отправляет Accounting-Request в Radius. Хотелось бы увидеть реализацию Accounting в WPA Enterprise.

[IPv6: делегировать префикс нижестоящему маршрутизатору]

В 20.02.2026 в 07:23, flashtr0n сказал:

А полноценный /64 префикс не раздать

Про L2TP не скажу, не было необходимости, а вот сегментам сети и нижестоящим роутерам прекрасно делегируются префиксы.
На скрине /62 делегируется нижестоящим роутерам, /64 разным сегментам сети.

Спойлер

 

[Встроенный RADIUS сервер]

Для реализации WPA2/3 Enterprise хотелось бы, чтобы в Keenetic (Netcraze) была возможность использовать встроенный "прошивочный" RADIUS сервер (ходят слухи, что он там есть), а не только внешний, как сейчас. Либо, если это невозможно, то как отдельный компонент, чтобы можно было "из коробки" настроить EAP-TLS, EAP-PEAP не прибегая к установке Entware и доступного в нём freeradius3.

[Потерялся модуль xt_owner.ko]

1 минуту назад, jinndi сказал:

должно без него работать, если только в скрипте не заложено что его отсутвие является ошибкой

Спасибо, убрал проверку на наличие модуля и скрипт запустился.

[Потерялся модуль xt_owner.ko]

Приветствую всех!
KN-1811, версия ОС 5.0.4
Недавно обнаружил, что нет модуля xt_owner.ko
При запуске скрипта появилась ошибка:

Спойлер

Cannot find xt_owner.ko kernel module, aborting

~ # ls -l /lib/modules/$(uname -r)/xt_owner.ko
ls: /lib/modules/4.9-ndm-5/xt_owner.ko: No such file or directory
~ # find / | grep -n xt_owner.ko
~ #
~ # opkg list-installed | grep busybox
busybox - 1.37.0-4
~ # opkg list-installed | grep entware-release
entware-release - 2025.05-1
~ # opkg list-installed | grep opkg
opkg - 2024.10.16~38eccbb1-1

Модули ядра подсистемы Netfilter установлены:

Спойлер

Модуль всё-таки должен быть, или его убрали из пакета?

[Entware-3x. Проблемы с установкой, настройки...]

В 20.07.2024 в 15:42, Jokes сказал:

Правильно я понимаю, что поставить сейчас Entware на 1811 не возможно ? 

Вам сюда.

[Направление данных в описании "DL MU-MIMO" и "UL MU-MIMO"]

6 часов назад, Anna_ сказал:

@Albram, здравствуйте! Не могли бы Вы подсказать, чего не хватает по Вашему мнению? И о какой версии KeeneticOS и веб-интерфейса идёт речь? 

@Anna_, добрый день.
Версия KeeneticOS 4.1.7 (но тоже самое было и в предыдущих версиях 4.1.x, и в 4.0.x тоже).
Как уже написали, в обоих этих подсказках указано одно направление данных, от интернет-центра к клиентам, хотя на самом деле это не так, и UL MU-MIMO должно иметь направление от клиента к интернет-центру.

[Направление данных в описании "DL MU-MIMO" и "UL MU-MIMO"]

В подсказках к "DL MU-MIMO" и "UL MU-MIMO" указано одно направление от интернет-центра к клиентам.

Скрытый текст

Скрытый текст

 

[PPPTP over Wireguard]

В 08.04.2024 в 16:17, Le ecureuil сказал:

K PPTP подключается клиент из локалки, или тот же самый кинетик?

Тот же самый кинетик.
Ещё момент, если PPTP серверу присвоить адрес из подсети Wireguard интерфейса кинетика (например, интерфейс Wireguard 10.0.0.1, а PPTP сервер 10.0.0.2), то PPTP соединение устанавливается. Я так понимаю, устанавливается оно из-за отсутствия NAT на пути протокола GRE.

[PPPTP over Wireguard]

Приветствую всех.
На Keenetic Ultra (KN-1811 KeenOS 4.1.3) поднято Wireguard подключение к внешнему vds серверу, это подключение отмечено "использовать для выхода в Интернет", и оно работает. Нужно через этот wireguarg туннель подключиться к PPPTP серверу, находящемуся на другом внешнем vds сервере. Сейчас ppptp подключение не устанавливается. Подключение на tcp порт 1723 сервера ppptp проходит, но на gre пакеты ответа нет. Без wireguard, напрямую, ppptp подключение поднимается.
Т.к. доступа к ppptp серверу нет, то для проверки поднял ppptp сервер в локальной сети на другом роутере, результат тот-же: при подключении через провайдерское pppoe подключение соединение ppptp поднимается, при подключении через wireguard - нет, т.к. на ppptp сервер не приходят gre пакеты.
Лог подключения через wireguard выглядит так:

Скрытый текст

Апр 4 23:14:48 ndm
Network::Interface::PppTunnel: "PPTP0": interface state is changed, reconnecting.
Апр 4 23:14:48 ndm
Network::Interface::EndpointTracker: "PPTP0": remote endpoint is "95.xxx.xxx.xxx".
Апр 4 23:14:48 ndm
Network::Interface::EndpointTracker: "PPTP0": connecting via "Wireguard3" (Wireguard3).
Апр 4 23:14:48 ndm
Network::Interface::EndpointTracker: "PPTP0": local endpoint is "172.16.0.2".
Апр 4 23:14:48 ndm
Network::Interface::EndpointTracker: "PPTP0": added a host route to 95.xxx.xxx.xxx via Wireguard3 (Wireguard3).
Апр 4 23:14:48 ndm
Network::Interface::Ppp: "PPTP0": enabled connection via Wireguard3 interface.
Апр 4 23:14:50 pptp[15737]
Plugin pptp.so loaded.
Апр 4 23:14:50 pptp[15737]
PPTP plugin version 0.8.3 compiled against pppd 2.4.4-4
Апр 4 23:14:50 pptp[15737]
pppd 2.4.4-4 started by root, uid 0
Апр 4 23:14:51 ndm
Network::Interface::EndpointTracker: "PPTP0": added a host route to 95.xxx.xxx.xxx via Wireguard3 (Wireguard3).
Апр 4 23:14:51 pppd_PPTP0
IP: 95.xxx.xxx.xxx
Апр 4 23:14:51 pppd_PPTP0
local bind: 172.16.0.2
Апр 4 23:14:51 pppd_PPTP0
control connection
Апр 4 23:14:51 pppd_PPTP0
unix_sock
Апр 4 23:14:51 pppd_PPTP0
enable echo requests (30:3)
Апр 4 23:14:51 pppd_PPTP0
Sent control packet type is 1 'Start-Control-Connection-Request'
Апр 4 23:14:51 pppd_PPTP0
Received Start Control Connection Reply
Апр 4 23:14:51 pppd_PPTP0
Client connection established.
Апр 4 23:14:52 pppd_PPTP0
Sent control packet type is 7 'Outgoing-Call-Request'
Апр 4 23:14:52 ndm
Core::System::StartupConfig: configuration saved.
Апр 4 23:14:52 pppd_PPTP0
Received Outgoing Call Reply.
Апр 4 23:14:52 pppd_PPTP0
Outgoing call established (call ID 528, peer's call ID 837).
Апр 4 23:14:52 pppd_PPTP0
Using interface ppp1
Апр 4 23:14:52 pppd_PPTP0
Connect: ppp1 <--> pptp (95.xxx.xxx.xxx)

Апр 4 23:15:22 pppd_PPTP0
LCP: timeout sending Config-Requests
Апр 4 23:15:22 pppd_PPTP0
Connection terminated.
Апр 4 23:15:22 pppd_PPTP0
write: Bad file descriptor (9)
Апр 4 23:15:22 pppd_PPTP0
Closing connection (unhandled)
Апр 4 23:15:22 pppd_PPTP0
Sent control packet type is 12 'Call-Clear-Request'
Апр 4 23:15:22 pppd_PPTP0
Closing connection (call state)
Апр 4 23:15:22 pppd_PPTP0
Modem hangup
Апр 4 23:15:22 pppd_PPTP0
write: Bad file descriptor (9)
Апр 4 23:15:22 pppd_PPTP0
Exit.
Апр 4 23:15:22 ndm
Service: "PPTP0": unexpectedly stopped.

 

95.xxx.xxx.xxx - адрес PPPTP сервера
172.16.0.2 - адрес интерфейса Wireguard на кинетике

Захват пакетов во время попытки подключения выглядит так:

Скрытый текст

~ # tcpdump -i nwg4 host 95.xxx.xxx.xxx -n
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on nwg4, link-type RAW (Raw IP), snapshot length 262144 bytes
15:25:13.527084 IP 10.7.0.3.58141 > 95.xxx.xxx.xxx.1723: Flags [S], seq 2207739571, win 25680, options [mss 1284,sackOK,TS val 13133559 ecr 0,nop,wscale 6], length 0
15:25:13.612512 IP 95.xxx.xxx.xxx.1723 > 10.7.0.3.58141: Flags [S.], seq 2022080516, ack 2207739572, win 14480, options [mss 1460,sackOK,TS val 1293634611 ecr 13133559,nop,wscale 6], length 0
15:25:13.612622 IP 10.7.0.3.58141 > 95.xxx.xxx.xxx.1723: Flags [.], ack 1, win 402, options [nop,nop,TS val 13133580 ecr 1293634611], length 0
15:25:13.613411 IP 10.7.0.3.58141 > 95.xxx.xxx.xxx.1723: Flags [P.], seq 1:157, ack 1, win 402, options [nop,nop,TS val 13133580 ecr 1293634611], length 156: pptp CTRL_MSGTYPE=SCCRQ PROTO_VER(1.0) FRAME_CAP(AS) BEARER_CAP(DA) MAX_CHAN(65535) FIRM_REV(1) HOSTNAME(local) VENDOR(cananian)
15:25:13.698906 IP 95.xxx.xxx.xxx.1723 > 10.7.0.3.58141: Flags [.], ack 157, win 243, options [nop,nop,TS val 1293634620 ecr 13133580], length 0
15:25:13.703365 IP 95.xxx.xxx.xxx.1723 > 10.7.0.3.58141: Flags [P.], seq 1:157, ack 157, win 243, options [nop,nop,TS val 1293634621 ecr 13133580], length 156: pptp CTRL_MSGTYPE=SCCRP PROTO_VER(1.0) RESULT_CODE(1) ERR_CODE(0) FRAME_CAP() BEARER_CAP() MAX_CHAN(1) FIRM_REV(1) HOSTNAME(local) VENDOR(linux)
15:25:13.703443 IP 10.7.0.3.58141 > 95.xxx.xxx.xxx.1723: Flags [.], ack 157, win 418, options [nop,nop,TS val 13133603 ecr 1293634621], length 0
15:25:14.613619 IP 10.7.0.3.58141 > 95.xxx.xxx.xxx.1723: Flags [P.], seq 157:325, ack 157, win 418, options [nop,nop,TS val 13133830 ecr 1293634621], length 168: pptp CTRL_MSGTYPE=OCRQ CALL_ID(87) CALL_SER_NUM(0) MIN_BPS(2400) MAX_BPS(1000000000) BEARER_TYPE(Any) FRAME_TYPE(E) RECV_WIN(50) PROC_DELAY(0) PHONE_NO_LEN(0) PHONE_NO() SUB_ADDR()
15:25:14.698780 IP 95.xxx.xxx.xxx.1723 > 10.7.0.3.58141: Flags [P.], seq 157:189, ack 325, win 260, options [nop,nop,TS val 1293634720 ecr 13133830], length 32: pptp CTRL_MSGTYPE=OCRP CALL_ID(926) PEER_CALL_ID(87) RESULT_CODE(1) ERR_CODE(0) CAUSE_CODE(0) CONN_SPEED(1000000000) RECV_WIN(50) PROC_DELAY(0) PHY_CHAN_ID(0)
15:25:14.698906 IP 10.7.0.3.58141 > 95.xxx.xxx.xxx.1723: Flags [.], ack 189, win 418, options [nop,nop,TS val 13133852 ecr 1293634720], length 0
15:25:14.699820 IP 10.7.0.3 > 95.xxx.xxx.xxx: GREv1, call 926, seq 1, length 32: LCP, Conf-Request (0x01), id 1, length 18
15:25:17.700975 IP 10.7.0.3 > 95.xxx.xxx.xxx: GREv1, call 926, seq 2, length 32: LCP, Conf-Request (0x01), id 1, length 18
15:25:20.701981 IP 10.7.0.3 > 95.xxx.xxx.xxx: GREv1, call 926, seq 3, length 32: LCP, Conf-Request (0x01), id 1, length 18
15:25:23.703139 IP 10.7.0.3 > 95.xxx.xxx.xxx: GREv1, call 926, seq 4, length 32: LCP, Conf-Request (0x01), id 1, length 18
15:25:26.703369 IP 10.7.0.3 > 95.xxx.xxx.xxx: GREv1, call 926, seq 5, length 32: LCP, Conf-Request (0x01), id 1, length 18
15:25:29.704518 IP 10.7.0.3 > 95.xxx.xxx.xxx: GREv1, call 926, seq 6, length 32: LCP, Conf-Request (0x01), id 1, length 18
15:25:32.705658 IP 10.7.0.3 > 95.xxx.xxx.xxx: GREv1, call 926, seq 7, length 32: LCP, Conf-Request (0x01), id 1, length 18
15:25:35.706248 IP 10.7.0.3 > 95.xxx.xxx.xxx: GREv1, call 926, seq 8, length 32: LCP, Conf-Request (0x01), id 1, length 18
15:25:38.707388 IP 10.7.0.3 > 95.xxx.xxx.xxx: GREv1, call 926, seq 9, length 32: LCP, Conf-Request (0x01), id 1, length 18

 

Здесь подключение через другой интерфейс Wireguard, с адресом 10.7.0.3, но результат тот же.


Как я понимаю, причина в том, что протокол GRE не может пройти через NAT. Но решить эту проблему пока не удалось.
Буду благодарен за советы.

[Настройка собственного домена и ssl сертификата для него.]

18 минут назад, Chubays сказал:

Так там тоже хрень какая-то!

Не было никакой хрени)))
Ввел имя, если свободно, то получает сертификат (не всегда моментально, но недолго). Вы может в настройках уже чего-то накрутили, что мешает получению.

P.S.: домен там, надеюсь, не свой вводите?)

[Настройка собственного домена и ssl сертификата для него.]

14 минуты назад, Chubays сказал:

Так я про возможности GUI самого кенетика, а большинство гуишных настроек завязаны на выданное имя кинднс и всему с этим связаное.

Зачем вы всё одну кучу сваливаете?:) У меня, например, у кинетика тоже есть зарегистрированное имя keendns, но я использую своё доменное имя.
Просто не трогайте keendns имя, если оно вам не нужно, и всё.

[Настройка собственного домена и ssl сертификата для него.]

1 минуту назад, Chubays сказал:

Так я в том числе про vpn сервер на кенетике!

Что бы подключаться извне к нему.

А в чем проблема в этом случае? У вас DNS запись есть, т.е., если в конфиге клиента сервер указан по имени, то имя отрезолвится в адрес, и пакеты пойдут на этот адрес (а там ваш кинетик).

[Настройка собственного домена и ssl сертификата для него.]

1 минуту назад, Chubays сказал:

Совершенно верно!!!

Тогда зачем вам эти пляски с DDNS, не понимаю.
У вас сервисы, к которым нужен доступ по доменному имени, за кинетиком находятся?

[Настройка собственного домена и ssl сертификата для него.]

9 минут назад, MDP сказал:

наверное бесплатное доменное имя?

Автор пишет: "У меня есть wildcard ssl сертификат на мой домен", т.е., если я правильно понимаю, доменное имя уже есть, и использовать планируется именно его.

[Настройка собственного домена и ssl сертификата для него.]

19 часов назад, Chubays сказал:

Сейчас я его прописал в разделе "Доменное имя" вкладке "DDNS" как сервис "другой". 

А зачем вам DDNS в этом случае?
У меня похожая картина, просто открыл нужные порты на нужные сервисы, а в этих сервисах настроены нужные сертификаты. И никаких DDNS.
Или вам доступ нужен только к веб интерфейсу кинетика, а не к сервисам, расположенным за кинетиком?

[Просмотр информации SMART (здоровья) подключенного жёсткого диска]

Только что, de_MAX сказал:

Вот спасибо! Действительно, теперь всё работает.

Пожалуйста. Но, если бы сначала прочитать всю тему, в ней пока не так много страниц, то это решение было описано давно, вот отсюда пару сообщений прочтите:

 

[Просмотр информации SMART (здоровья) подключенного жёсткого диска]

9 минут назад, de_MAX сказал:

Но как это в скрипт адаптировать?

Скорее всего не установлен пакет smartmontools-drivedb
Попробуйте его установить:
opkg install smartmontools-drivedb

Потом проверьте вывод smartctl -a /dev/sda

[Просмотр информации SMART (здоровья) подключенного жёсткого диска]

1 час назад, de_MAX сказал:

При smartctl -a /dev/sda получаю такое:

А если так:
smartctl -a -d sat /dev/sda

[KN-1811 "bad udp cksum" на агрегированном интерфейсе]

Приветствую всех.
К портам 3 и 4 KN-1811 (версия ОС 4.0.5) подключен управляемый коммутатор TP-Link TL-SG105PE, на обоих сторонах включена агрегация, и в общем-то всё работает, до момента выключения и последующего включения питания. После включения и загрузки  TL-SG105PE не получает IP адрес от KN-1811. В логе роутера видно что он отвечает на запросы коммутатора, но коммутатор их игнорирует и шлёт повторные запросы к DHCP серверу.
 

Скрытый текст

А игнорирует он их из-за неверной контрольной суммы:

Скрытый текст

~ # tcpdump -vv -i br0 port 68
tcpdump: listening on br0, link-type EN10MB (Ethernet), snapshot length 262144 bytes
12:52:53.467072 IP (tos 0x0, ttl 64, id 32633, offset 0, flags [DF], proto UDP (17), length 309)
    use-application-dns.net.bootpc > 255.255.255.255.bootps: [udp sum ok] BOOTP/DHCP, Request from 34:60:f9:xx:xx:xx (oui Unknown), length 281, xid 0x1b7c, Flags [Broadcast] (0x8000)
          Client-Ethernet-Address 34:60:f9:xx:xx:xx (oui Unknown)
          Vendor-rfc1048 Extensions
            Magic Cookie 0x65855565
            DHCP-Message (53), length 1: Discover
            Parameter-Request (55), length 2:
              Subnet-Mask (1), Default-Gateway (3)
            Hostname (12), length 10: "TL-SG105PE"
            Vendor-Class (60), length 10: "TL-SG105PE"
            Client-ID (61), length 7: ether 34:60:f9:xx:xx:xx
12:52:53.467607 IP (tos 0x0, ttl 64, id 50150, offset 0, flags [DF], proto UDP (17), length 328)
    192.168.1.1.bootps > 255.255.255.255.bootpc: [bad udp cksum 0xc2ee -> 0x0637!] BOOTP/DHCP, Reply, length 300, xid 0x1b7c, Flags [Broadcast] (0x8000)
          Your-IP 192.168.1.133
          Client-Ethernet-Address 34:60:f9:xx:xx:xx (oui Unknown)
          Vendor-rfc1048 Extensions
            Magic Cookie 0x65855565
            DHCP-Message (53), length 1: Offer
            Server-ID (54), length 4: 192.168.1.1
            Lease-Time (51), length 4: 25200
            RN (58), length 4: 12600
            RB (59), length 4: 22050
            Subnet-Mask (1), length 4: 255.255.255.0
            Default-Gateway (3), length 4: 192.168.1.1
            Domain-Name-Server (6), length 4: 192.168.1.1

 

Видимо в агрегированном VLAN отключен подсчет контрольной суммы исходящих пакетов.
Но, если перезагрузить коммутатор, то он получит адрес и будет нормально работать. Но перезагружать его после отключения и включения не всегда есть возможность.
В мануале не нашел команд связанных с контрольной суммой пакетов.
Как решить проблему?

[Объединить сеть Микротика и Кинетика]

4 часа назад, Nikitiy сказал:

Необходимо сделать так, чтобы люди, которые пользуются вайфаем (mesh), настроенным через Кинетик могли пользоваться сервисами, которые висят в подсети Микротика (0.1 и 1.1) 

Можно прописать на кинетике, который является контроллером mesh, статический маршрут в подсеть микротика, и в firewall микротика разрешить пакеты из подсети кинетика.
У меня так работает, только в обратную сторону, микротик подключен в кинетик, который является контроллером mesh.