Клиент sstp keenetic что это
Как устроен VPN через SSTP
Нашёл буквально несколько упоминаний о SSTP на Хабре, в связи с чем хочу рассказать про устройство этого протокола. Secure Socket Tunneling Protocol (SSTP) – протокол VPN от Microsoft, основанный на SSL и включённый в состав их ОС начиная с Windows 2008 и Windows Vista SP1. Соединение проходит с помощью HTTPS по 443 порту. Для шифрования используется SSL, для аутентификации — SSL и PPP. Подробнее про устройство — под катом.
Серверная часть протокола включена в ОС Windows Server 2008, 2008 R2, 2012, 2012 R2. Далее рассказывается про текущую (и, кажется, единственную) версию — 1.0.
В основном используется для подключения типа узел-узел или узел-сеть. По умолчанию для соединения используется 443 порт, но можно настроить и на другие порты.
Условная схема пакета с данными
Условно стек протоколов при передаче данных выглядит так (показаны только заголовки, относящиеся к VPN, без подлежащих уровней): 
Структура собственно SSTP пакета:
Флаг C = 0 если пакет с данными, и C = 1, если пакет управляющий.
Немного слов об используемой криптографии
Порядок установления соединения
1. Клиентом устанавливается TCP соединение на 443-ий порт SSTP сервера.
2. Проходит установление SSL/TLS соединения поверх TCP соединения. Клиент проверяет сертификат сервера.
3. Проходит HTTPS приветствие.
4. Начинается установление SSTP соединения. Все SSTP пакеты идут внутри HTTPS. Клиент посылает запрос на установление соединения (Call Connect Request message). В этом сообщении передаётся номер протокола, который будет использоваться внутри SSTP; в текущей версии стандарта это всегда PPP.
5. Сервер проверяет запрос и, если всё ОК, отвечает на него подтверждением (Call Connect Acknowledge message), в котором сообщает 32-битное случайное число (ClientNonce), используемое в следующем ответе клиента для защиты от повторения, а так же список хэш-функций для подписи следующего ответа (SHA1 и/или SHA256).
6. Происходит PPP авторизация. Все пакеты PPP вложены в SSTP пакеты и, соответственно, зашифрованы SSL.
7. Клиент посылает Call Connected message, в которое включаются ClientNonce и Хэш сертификата сервера (ClientCertificateHash), полученного при установлении SSL соединения.
Это сообщение подписывается с помощью указанной сервером хэш-функции (точнее HMAC на её основе) и ключа, полученного в процессе PPP авторизации. Таким образом осуществляется cryptographic binding. Если для авторизации в PPP используется протокол, не поддерживающий генерацию ключей для MPPE (PAP или CHAP), то HMAC вычисляется с использованием ключа, равного нулю; т. е. фактически cryptographic binding не производится и описанная выше атака человек посередине возможна.
8. Сервер проверяет Call Connected message, на этом SSTP считается установленным.
9. Заканчивается установление параметров PPP.
Всё, соединение установлено. Дальше стороны обмениваются пакетами с данными.
Обрыв соединения
Что бы отличить простой канала от разрыва связи стороны «пингуют» друг друга. Если в течение 60 секунд обмена пакетами не было, посылается Echo Request (управляющий пакет протокола SSTP). Если в течение следующих 60 секунд нет ответа, соединение разрывается.
Завершение соединения
Завершение соединения происходит без особых нюансов, стороны обмениваются SSTP-сообщениями об окончании соединения и через несколько секунд рвут соединение.
7 сетевых функций роутеров Keenetic Giga (KN-1010) и Keenetic Omni (KN-1410) для малого офиса
Если работа вашего бизнеса тесно связана с интернетом, вам нужна VPN-сеть между офисами, нужно настроить публичную Wi-Fi в соответствии с требованиями ФЗ, а IT-администратор предлагает купить Cisco, не торопитесь — сегодня мы рассмотрим 7 важнейших и полезных сетевых функций, которые можно получить в интернет-роутерах, продающихся в розницу от 2350 рублей.
Конечно, речь идет далеко не о первом попавшемся интернет-маршрутизаторе, который дал вам в аренду провайдер. Мы поговорим о серии Keenetic (бывший Zyxel, а ныне — отдельная компания). Как и многие современные производители сетевых устройств, Keenetic вкладывает силы в разработку собственного софта (читай — прошивки), добавляя те функции, про которые домашний пользователь может и не думать, но при подключении небольшого магазинчика или интернет-кафе, их наличие — настоящая находка для сисадмина, ведь здесь все настраивается в простом и понятном Web-интерфейсе, и в отличии от столь популярных Mikrotik-ов, вам никогда не придется вводить какие-то команды или вручную править конфиги: зашли в Web-интерфейс, нажали кнопку — вот и вся настройка.
1. Два (три, четыре) интернет-канала с автоматическим переключением
Вообще, Keenetic поддерживает больше двух интернет-провайдеров, если есть желание — вы можете настроить их хоть четыре штуки, и роутер будет переключаться между ними, если у провайдера упала связь или просто закончились деньги на балансе. Заметьте — физический обрыв провода совсем не обязателен для того, чтобы роутер понял, что интернета нет и включил резерв.
Настройка двух интернет-провайдеров производится инстинктивно: в разделе «проводное подключение» выбираете основного провайдера, а затем добавляете еще одного по принципу «один провайдер на один сетевой порт». Новый провайдер по умолчанию считается резервным, а чтобы отслеживать работу основного канала, используется метод доступности портов в таких ресурсах, как Facebook или Google. Но для собственной сети куда важнее, чтобы были доступны свои сервисы в удаленных филиалах, потому что не редка ситуация, когда Google и Facebook работает, а «Хабаровск» — нет. Поэтому выбираем метод проверки связи — обычный Ping (ICMP-эхо) на наш IP-адрес. Если пинг не проходит в течение 10 секунд (время и частота настраиваются), роутер считает, что провайдер сломался, и переключается на резервный.
По собственному опыту могу сказать следующее: если ваша работа связана с интернетом, то два провайдера — это Must Have! Особенно, если они какие-то местечковые и непонятные, ведь обрыв связи на 3-4 дня — это, к сожалению, обычное дело.
2. VPN-сервер L2TP/IPSec
Еще 6-7 лет назад VPN-шлюз со скоростью 30 Мбит/с представлял собой шумную железяку в стальном корпусе для монтирования в стойку и продавался по цене около 800$. Сегодня 100-мегабитный Keenetic Omni всего за 40$ позволяет создавать VPN-тоннели PPTP, L2TP/IPsec, IPSec, OpenVPN и даже SSTP на скорости до 30 Мбит/с, а более дорогая модель Keenetic GIga обещает в IPSec до 300 Мбит/с. Давайте это проверим и протестируем скорость VPN-соединения, создаваемого этими роутерами.
Как видно, L2TP/IPSec даже на младшем Keenetic Omni выдает почти 30 Мбит/с, то есть действительно аппаратно ускоряется, как заявляют в Keenetic, хотя при этом загрузка процессора роутера составляет 100% и Web-интерфейс еле открывается. Много это или мало? Для работы 2-3 сотрудников с электронными документами и для мониторинга сетевых устройств, этого более чем достаточно, но для коллектива из 10-15 человек уже будет мало.
Совсем другое дело — Keenetic Giga, чей двухъядерный процессор аппаратно ускоряет чистый IPsec до теоретических 400 Мбит/с. Здесь скорости будет достаточно для того, чтобы работать по RDP в разрешении 1920×1080, подключать удаленные базы данных, синхронизировать резервные копии небольших серверов и перекачивать FullHD медиафайлы или 4K со сжатием. Говоря проще, скорее вы упретесь в медленный тариф интернет-провайдера, чем в возможности VPN-сервера Keenetic Giga. Да и загрузка процессора у Keenetic Giga даже в этом тесте не превышает 48%, так что все остальные сервисы продолжают работать как часы.
Помимо PPTP и L2TP/IPsec, во всех кинетиках есть чистый (site-to-site) IPsec, виртуальный сервер IPsec Xauth PSK (нативно поддерживается в iOS и Android), и даже OpenVPN. Кроме того, нас заинтересовал сравнительно редкий и свежий вариант SSTP, но прежде, чем о нем рассказывать, рассмотрим фирменный облачный сервис KeenDNS.
3. Подключение к web-устройствам за серым IP-адресом через облако KeenDNS
Ваш провайдер выдает вам «серый» IP-адрес вида 10.9.2.x и вы никак не можете со смартфона во время командировки зайти на сервер видеонаблюдения и посмотреть, закрыта ли дверь в офисе? Для этих целей Keenetic сделала свое облако KeenDNS, позволяющее открывать все web-интерфейсы ваших устройств, не настраивая NAT-ы, не думая о том, почему у вас серый IP, и даже не сталкиваясь с нехваткой портов, если у вас несколько устройств имеют доступ по одному 443-му порту (настроить NAT в таких случаях сможет не каждый). Все очень просто: мы включаем в роутере KeenDNS, и нам выдается адрес вида hwp.keenetic.pro. Всё! Никаких регистраций и подтверждений по E-mail! Никаких социальных профилей и лицензионных соглашений! Вбиваем hwp.keenetic.pro в адресную строку и получаем доступ к панели управления самим роутером — начало положено!
Дальше, каждое из зарегистрированных домашних устройств мы можем вынести в это же облако со своим адресом вида nas.hwp.keenetic.pro, и вводя этот адрес в строке браузера, мы будем сразу попадать на web-интерфейс нашего девайса.
Все это работает по защищенному HTTPS протоколу с автоматическим получением и обновлением сертификата через сервис Let’s Encrypt (не надо никому платить за сертификат или заморачиваться с самоподписанными). Правда, если ваше устройство в домашней сети доступно только по 80-му порту и адресу http:// без «S» на конце, то и работа с ним через облако KeenDNS будет происходить по протоколу HTTP, что небезопасно.
Мы протестировали работу KeenDNS, выделив роутеру серый адрес домашней подсети и подключив к нему наш самосборный NAS по HTTP-соединению. Как вы можете видеть на скриншотах, все заработало как надо. Более того, второй, третий и четвертый NAS, а также IP-камеры, работающие по 80-му порту, тоже могут быть добавлены в этот сервис, что многократно упростит доступ извне, через интернет.
4. VPN через облако по протоколу SSTP
Если кислород перекрыли, провайдер-жмот не дает белый IP-адрес, VPN-порты и GRE закрыли, все на свете позаблокировали, то есть один шанс обойти все ограничения и получить доступ ко всем устройствам в сети удаленно, по всем портам и протоколам — использовать VPN через облако KeenDNS по протоколу SSTP. Дело в том, что SSTP работает на том же порту (443), что и защищенное HTTPS-соединение для доступа к веб-сайтам. Если запретить 443-й порт, то перестанут работать не только Yandex и Google, но и гордость российского интернета, портал «Госуслуги», так что этот протокол в нашей стране выглядит более надежным, чем PPTP или L2TP/IPsec. Windows 7/8/10/2016 уже имеет встроенную поддержку SSTP, что позволит легко работать из дома с офисной сетью.
В Keenetic встроенный SSTP-сервер намертво привязан к облачному сервису KeenDNS, о котором мы говорили выше, и при его включении ваш VPN-сервер будет иметь адрес вида hwp.keenetic.pro. При “сером” адресе через облако Keenetic проходит и весь трафик SSTP. Это хорошо тем, что имея под рукой VPN-клиент, вы можете из любой точки мира получить доступ к любому устройству в вашей сети, находящемуся за «серым» IP-адресом, даже если у вас для доступа в интернет используется модем Билайн, МТС или Мегафон. Серый IP — не проблема: мы видим все web-интерфейсы умных устройств, мы видим сетевые папки и принтеры нашей организации, но…
…но мы видим это не очень быстро. Наши тесты показали, что скорость SSTP через KeenDNS может достигать 15 Мбит/с, но может и проседать до 5 Мбит/с. Этого хватит разве что для обмена сообщениями и хождения электронной почты. Разные там интернет-вещи могут общаться на такой скорости, но сотрудники быстро начнут возмущаться.
Если у вас провайдер предоставляет «белый» IP-адрес, то в настройках облака KeenDNS вы можете указать это, и тогда при соединении с SSTP-сервером, облако будет использоваться только для идентификации клиента, а трафик пойдет напрямую, что гораздо быстрее, как видно на графиках выше: до 23 Мбит/с на Giga KN-1010.
Я, конечно, надеюсь, что Keenetic ускорит свое облако, потому что при текущих скоростях эта фишка выглядит как крайняя мера, и её следует вынести в отдельный пункт меню с надписью «в случае необходимости — разбить стекло!». Но как показывает практика, именно за такие «крайние меры» люди очень часто выкладывают очень большие деньги. Особенно, если провайдер решил «в одностороннем порядке изменить условия договора» в понедельник с утра, и вся работа встала. Тут за 5 мегабит в секунду многое отдашь.
5. Авторизация Wi-Fi пользователей в соответствии с Постановлением Правительства №758 и №801
Пришло время включить нашу гостевую Wi-Fi сеть на роутере, и перед законом мы чисты. Наши клиенты будут авторизованы в самом лучшем виде, им можно задать ограничение скорости (по умолчанию 5 Мбит/с), чтобы больше тратили на бургеры и меньше смотрели в телефоны, им выделяется отдельный пул IP-адресов вида 10.1.30.x, чтобы они не лезли во внутреннюю сеть кафешки, им можно включить изоляцию сетевых устройств, чтобы они не взламывали смартфоны и ноутбуки других посетителей, и, кстати, целиком гостевую Wi-Fi сеть можно выключать по расписанию, что будет очень хорошим поводом выпроводить посетителей после закрытия заведения.
Как видите, с точки зрения законопослушного Wi-Fi для клиентов, у роутеров Keenetic все очень лаконично и просто. У меня на настройку авторизации через Captive Portal (а делал я это первый раз в жизни) ушло около 15 минут, включая регистрацию и съемку скриншотов для статьи.
6. Настройка работы устройств только через VPN
Снова про VPN: ничего не поделаешь, но виртуальная частная сеть — это хит текущего сезона, и рассмотрим еще один сценарий. Допустим, у вас установлен сервер 1C, и вам очень хочется, чтобы он выходил в интернет только через VPN. Для чего это может быть нужно? Ну во-первых, чтобы гарантировать интернет-соединение с американскими облачными хостингами типа Microsoft Azure или Amazon S3, куда можно складывать резервные копии, плюс к этому — дополнительная защита данных при передаче через интернет для сотрудников в других городах или на удаленке. В прошивке 2.12 Beta для роутеров Keenetic появилась функция приоритетов подключения, благодаря которой, любому физическому устройству в вашей сети можно ограничить доступ в интернет: как полностью отключить, так и направить весь трафик строго через VPN сервер.
Здесь все настраивается еще проще: во вкладке «другие подключения» создаем VPN туннель для выхода в интернет. Если вы купили платный VPN на европейских хостингах, параметры настройки вам дадут в личном кабинете сервиса. Затем лучше всего перейти в список устройств и дать имя нашему сверхсекретному серверу, чтобы не запутаться в MAC-адресах. Мы назовем его «Проектная документация», а также обеспечим беспрепятственный доступ в интернет смартфону с «телеграммом»! После этого во вкладке «Приоритеты подключений» выбираем наши устройства и привязываем их к профилю VPN. Все, теперь никакие войны с мессенджерами не повлияют на работу нашего сервера.
7. Сегментация сети
Сейчас, с распространением интернета вещей, все более остро встает вопрос безопасности даже маленьких домашних или офисных «сеточек». Что делать, если «умная» лампочка или телевизор будут взломаны хакерами? Что делать, если пароль от Wi-Fi будет скомпрометирован, и злоумышленнику станет доступна внутренняя сеть, через которую он сможет скачать скрытые от чужих глаз данные? Как посадить камеры наблюдения и их сервер вообще в отдельную сеть? Как расширить гостевую сеть с описанной выше функцией Captive Portal, через коммутатор на несколько точек доступа по этажам небольшого отеля? В роутерах серии Keenetic имеется современный ответ на эти вызовы: вы можете создать не только гостевые или прочие утилитарные Wi-Fi-сегменты, но и объединить их с проводными портами. Например, выделить один порт под отдельную сеть и подключить туда через коммутаторы или точки доступа любые устройства.
Эти устройства в гостевой сети смогут беспрепятственно выходить в интернет, но будут изолированы от других устройств в вашей основной сети, в том числе и друг от друга. Конечно, им можно включить доступ к панели управления роутером, но это не обязательно. Контроль осуществляется с использованием ограничений на физический порт или с помощью виртуальных сетей (VLAN).
Бонус: Подключение DECT-телефонов к роутеру
У нас на HWP последний DECT-аппарат был торжественно выброшен лет 10 назад, поэтому протестировать работу данной функции мы не можем, но настройка очень подробно описана в базе знаний Keenetic, и судя по отзывам в блогах и на форумах, у людей все работает.
Внешний вид Keenetic Omni и GIga
Большинство современных роутеров имеют скучный дизайн, и в Keenetic взгляд цепляется за две вещи. Первая — это огромные прямоугольные антенны, разобрав которые, видишь — это не проволочка, как многие любят, а довольно замысловатые крупные печатные антенны. В старшей Keenetic Giga используется антенная группа 2 MU-MIMO с двумя пространственными потоками и коэффициентом усиления — 5 дБи.
Вторая вещь, достойная внимания — это SFP-порт в модели Giga. Он запараллелен с WAN-портом роутера, и служит для подключения к интернету удаленных отдельностоящих объектов, куда дотянуться можно только оптоволокном. Сегодня оптоволокно стоит очень дешево, а гигабитные SFP трансиверы — вообще продаются за копейки, так что расстояния для быстрого интернета уже не имеют значения.
Keenetic Giga состоит из 2-ядерного процессора MediaTek MT7621AT, одного чипа ОЗУ DDR3 объемом 256 Мб и радиомодуля MediaTek MT7615DN. Слот SFP не имеет дополнительного охлаждения, поэтому дальнобойные трансиверы сюда лучше не ставить. Конструкция роутеров семейства Keenetic всегда была простая, и любоваться здесь особо нечем, но придраться можно только к установленным конденсаторам: в таком дорогом продукте хотелось бы видеть емкости как минимум фирмы Nippon, а здесь непонятно чьи.
Цена вопроса
За некоторыми исключениями, все рассматриваемые функции доступны вам в простейшем роутере Keenetic Omni за 2690 рублей в розницу, а Keenetic Giga стоит уже 7490 рублей, и в этом ценовом диапазоне конкурентов с такой простой настройкой у Keenetic-ов нет.
Заключение
Если ваш бизнес только встает на ноги, но вам уже нужно обеспечить работу 5-10 человек в офисе и на удаленке, и очень хочется, чтобы все работало через защищенные VPN-каналы, роутеры серии Keenetic дадут вам эти возможности.
Какой кинетик выбрать?
Михаил Дегтярёв (aka LIKE OFF)
12/07.2018
Keenetic и SSTP
Спросил Макс Грибков,
2 октября, 2018
Вопрос
Макс Грибков
Макс Грибков
Добрый день, коллеги!
Есть Кинетик Гига (1010), ПО всегда самое последнее, сегодня 2.13.C.0.0-1.
Кинетик подключен по PPtP к микротику, который в свою очередь имеет еще куча PPtP туннелей. Все сети замаршрутизированы. Компьютер из локальной сети Кинетика отлично видит все сети и все работает.
Включил на Кинете SSTP сервер. Зарегистрировался в облаке Кинетик. Получил адрес. Все отлично. На смарте использую рекомендованную SSTP VPN (куплена). Подключаюсь к Кинетику по облачному адресу. Отлично вижу со смарта локальную сеть кинетика, но НЕ вижу другие сети, которые по PPtP за кинетиком.
Меняю Кинетик на любой другой Микротик. Схема точно такая же: этот микротик подключается к удаленному микротику по PPtP. Вместо облака кинетик использую облако микротик. Внешний IP у меня белый, но не фиксированный. На микротике также настроен SSTP сервер. Подключаюсь приложением SSTP VPN и вуаля! Все сети видны без каких либо вопросов.
Изменено 2 октября, 2018 пользователем Макс Грибков
Проброс портов ZyXEL Keenetic за 5 минут
ШАГ 1: Вход в настройки роутера
Все настройки мы будем производить через обычный веб-интерфейс, доступ к которому можно получить из обычного браузера. Вы можете выполнять настройки с любого устройства, будь то компьютер, ноутбук, телефон или даже телевизор. Откройте браузер и введите один из предложенных адресов в адресной строке (или перейдите по ссылкам):
Далее вам нужно будет ввести свой логин и пароль. Комбинация по умолчанию — админ-админ. Всю информацию о входе в админку роутера можно посмотреть на этикетке внизу устройства.
Как открыть порты в роутере ZyXEL Keenetic? Мы также разберемся с этим, но прежде чем мы начнем, давайте правильно воспользуемся этим понятием. На маршрутизаторе они еще не открываются, а пересылают (перенаправляют или перенаправляют) порты. Самому маршрутизатору эти порты не нужны, но они используются конечными приложениями или даже устройствами в локальной сети. В этом плане Интернет-центр выступает своеобразным проливом, по которому проходит трафик. На финальном устройстве двери уже открыты. Например, на компьютере я тоже расскажу об этом ниже. Надеюсь, мы понимаем эту концепцию.
Шаг 3. Готовимся объединять туннели
Результат: Zyxel Keenetic и Android настроены, адрес 192.168.1.1 пингуется со страницы «Инструменты»
Шаг 3.0. На личной странице сайта, для туннеля, ведущего в Zyxel Keenetic, внесите изменения.
Поскольку этот туннель ведет к маршрутизатору, установите флажок «Настроить маршрут» и укажите, что «за вашим» маршрутизатором есть внутренняя сеть.
ВНИМАНИЕ! указывается сетевой адрес 192.168.1.0 с маской 255.255.255.0, а не адрес любого из устройств, которые он содержит.
Шаг 3.1. Установите подключение к vpnki от Zyxel Keenetic. Через 13 секунд после установления соединения дважды проверьте эхо-запросы, которые мы уже успешно выполнили на шагах 1.2 и 1.3.
Вы также можете нажать кнопку «Таблица маршрутов» на странице «Инструменты» и увидеть, что ваша внутренняя сеть (192.168.1.0/24) доступна через ваш адрес Kinetics 172.16.100.100
Шаг 3.2. Затем на странице «Инструменты» попробуйте пропинговать внутренний адрес роутера 192.168.1.1
Скорее всего, пинг будет успешным, однако, в зависимости от настроек вашего роутера, вы можете получить отрицательный результат.
В этом случае необходимо проверить правила прохождения пакетов icmp через маршрутизатор (правила межсетевого экрана) и его способность отвечать на эхо-запросы переходом по адресу 192.168.1.1
См. Изображение, в этом случае пример для интерфейса L2TP0, который использует протокол L2TP
Шаг 3.3. Теперь со страницы «Инструменты» попробуйте пропинговать ваш сервер до 192.168.1.33
Если пинг не проходит, имеет смысл дважды проверить правила брандмауэра на маршрутизаторе (предыдущий пункт), а также правила брандмауэра на сервере. Его можно настроить так, чтобы он не отвечал на пакеты icmp
Шаг 3.4. На смартфоне с Android внесите изменения, указав в настройках подключения два пути: к сети vpnki и к внутренней сети: 172.16.0.0/16 192.168.1.0/24
Этот шаг отражен в руководстве по настройке Android, и мы его ранее пропустили. Обратите внимание, что эта опция появилась в Android с версии 4.2
Шаг 3.5. Установите соединение с андроида на впнки. Через 13 секунд проверьте успешные эхо-запросы на шагах 2.2 и 2.3.
Если все прошло хорошо, переходите к заключительному шагу.
Приоритеты подключений
Чем отличаются сети 3G от 4G: особенности, преимущества и недостатки
Начиная с версии 2.0, прошивка роутеров Zyxel поддерживает функцию приоритезации. По сравнению с первой версией можно по-разному комбинировать соединения.
Создаваемые соединения используют физические порты сетевого устройства или виртуальные интерфейсы. Каждому каналу связи, созданному на устройстве, назначается приоритет. Его значение изменяется вручную или остается неизменным: 
На скриншоте самый высокий приоритет отдается интерфейсу интернет-провайдера. Это настройка по умолчанию для доступа в Интернет через сетевой кабель.
Далее идет Yota: беспроводное соединение. Если первый вариант перестанет работать, роутер автоматически перейдет в указанный режим. Таким образом настраиваются резервные каналы связи и VPN-подключения.
Шаг 1. Подключение устройства №1 (Zyxel keenetic)
Результат: Устройство №1 подключено и пинг 172.16.0.1 успешен
Шаг 1.0. Получите логин и пароль для первого туннеля на личной странице сайта.
Запишите куда-нибудь данные, включая адрес, присвоенный устройству сетью VPNKI (например, в нашем случае 172.16.100.100)
Шаг 1.2. Через 13 секунд после установления соединения выполните команду ping address 172.16.0.1 на Zyxel sharp Адрес сервера в вашем случае будет такой же, как в примере — 172.16.0.1
Результат все равно должен быть успешным.
Шаг 1.3. Через 13 секунд после установления соединения пропингуйте адрес 172.16.100.100 со страницы «Инструменты» сайта».
Результат должен быть успешным, однако, если пинг не удался, вам необходимо:
— разрешить роутеру отвечать на пакеты протокола icmp (см ссылку) с той лишь разницей, что в настройках нужно выбрать не интернет-соединение — «Широкополосное соединение», а туннельное соединение PPTP / L2TP к сервису vpnki
Шаг 1.4. Результат успешный. Отключить соединение
Zyxel keenetic как настроить прокси
Индекс модели — КН-1810
Процессор — MediaTek MT7621AT (MIPS1004Kc) @ 880 МГц, 2 ядра
Оперативная память — Nanya NT5CC128M16IP-DI 256 МБ (DDR3-1600)
Флэш-память — Spansion S34ML01G200TF100 128 МБ (двойная загрузка, NAND)
2,4 + 5 ГГц Wi-Fi — Да
Класс Wi-Fi — 2x MediaTek MT7615N — 2x 4T4R 2,4 / 5 ГГц (800 + 1733 Мбит / с)
Антенны — 4x 5 дБи (FEM Skyworks SKY85303-11 (ePA / eLNA) 2,4 ГГц, FEM Skyworks SKY85717-21 (ePA / eLNA) 5 ГГц, фиксированная БД PIFA ext), AC2600 (ARM + Andes)
Порты — SFP: 1x GE (RTL8211FS combo GPHY), RJ45: 5x GE (10/100/1000)
Кнопка Wi-Fi / WPS ✔
Кнопка FN — Да, две кнопки
Порты USB: 1 порт USB 2.0, 1 порт USB 3.0
Связь 3G / 4G — через совместимый USB-модем
Подключение DSL ADSL2 + / VDSL2 через Keenetic Plus DSL
Поддержка телефонии — C Keenetic Plus DECT
Поддерживает модульную систему Wi-Fi ✔
2,4 ГГц — скорость сети Wi-Fi 800 Мбит / с
Скорость сети Wi-Fi 5 ГГц — 1733 Мбит / с
Гигабитная домашняя сеть
Для скоростей выше 100 Мбит / с ✔
Маршрутизация IPoE / PPPoE — до 1800 Мбит / с в полнодуплексном режиме
Маршрутизация L2TP / PPTP — до 800 Мбит / с
Чтение с USB-диска — 90 МБ / с (USB 3.0)
Функции и протоколы
IPoE
PPPoE
PPTP
L2TP
802.1x
ГАРДЕРОБ ✔
Несколько туннелей PPP ✔
PAP / CHAP / MS-CHAP / MS-CHAP v2 ✔
MPPE (Авто / 40/56/128) ✔
IEEE 802.1Q VLAN
Таблица маршрутов (DHCP / Вручную) ✔
Link Duo
IntelliQoS
DHCP (клиент / сервер) ✔
Двойной стек IPv6
NAT
IGMP
UPnP
Ручная переадресация портов ✔
Прохождение PPTP / L2TP ✔
Межсетевой экран SPI DoS
Контроль пинга ✔
Беспроводная сеть Wi-Fi
802.11k / r / v бесшовный роуминг ✔
MU-MIMO
Честность в эфире ✔
Формирование луча
Предварительно настроенная безопасность Wi-Fi
WEP, WPA-PSK
WPA2-PSK, WPA2-предприятие
WPA3-PSK, WPA3-предприятие, OWE
Мульти-SSID и гостевая сеть ✔
Контроль доступа MAC
Мультимедиа Wi-Fi (WMM) ✔
Мобильное приложение для Android и iOS
Клиент торрент-трансляции ✔
Файловый сервер
DLNA сервер
UDP в HTTP-прокси
FTP сервер
Сервер печати
Клиент / сервер IPSec VPN
PPTP VPN-сервер — 10 туннелей
Интернет-фильтр Яндекс.DNS ✔
SkyDNS Родительский контроль
Клиент динамического DNS
Физические характеристики и условия окружающей среды
Размеры устройства без антенны, Д x Ш x В — 214 мм x 154 мм x 33 мм
Масса устройства 488 г.
Диапазон рабочих температур — 0-40 ° С
Влажность окружающего воздуха при эксплуатации — 20–95%
Напряжение питания — 100-240 В, 50/60 Гц
Диагностика и управление
Русский веб-конфигуратор ✔
Командная строка (CLI) через TELNET
Возможность управления по внешней сети ✔
Резервное копирование и восстановление конфигурации
Обновление программного обеспечения функции ✔
Журнал системных событий
Устройство
Адаптер питания ✔
Сетевой кабель
Инструкция по применению
Исходные данные
Итак, мы хотим получить доступ со смартфона к серверу, расположенному у вас дома. Для этого нам нужно соединить два туннеля. Один с роутера Keenetic, второй со смартфона Android. Конечно, вы можете подключить туннель к VPNKI прямо с сервера, но это более простая задача и мы рассмотрим ее в другой инструкции. Между тем вариант непростой.
Устройство n. 1 — домашний роутер Zyxel Keenetic.
«Позади» (как видно из Интернета) находится ваша домашняя сеть с внутренней адресацией.
Например, все устройства в домашней сети имеют адреса 192.168.1.1, 192.168.1.2, 192.168.1.3 и т.д. С маской 255.255.255.0
Таким образом, все устройства образуют единую сеть с адресом 192.168.1.0 с маской 255.255.255.0. Для тех, кто не знаком с терминологией, небольшое пояснение: есть адреса устройств, а также адрес самой сети, которая описывает все ваши устройства вместе. В этом примере адрес 192.168.1.0 с маской 255.255.255.0 описывает все ваши устройства.
Допустим, адрес 192.168.1.1 — это адрес вашего маршрутизатора в домашней сети, а 192.168.1.33 — это адрес сервера в домашней сети, к которому мы хотим получить доступ.
№ устройства 2 — это смартфон на базе Android (версии 4.2 и новее), подключенный через мобильную сеть по протоколу PPTP / L2TP.
Вам понадобится любая утилита на Android, реализующая тестовый функционал: команда ping. Например, мы используем утилиту Ping and DNS, установленную Google Play.
Доступ с правами root не требуется.
ШАГ 2: Проверка или включение UPnP (Universal Plug and Play)
Во-первых, давайте рассмотрим концепцию UPnP на примере. Как правило, по умолчанию все маршрутизаторы, включая ZyXEL Keenetic, запрещают входящие соединения из Интернета из-за работы межсетевого экрана. Это для безопасности локальной сети. Технология UPnP позволяет автоматически перенаправлять порт через маршрутизатор при запуске программ на компьютере, телефоне или даже телевизоре.
Например, вы запустили Торрент на своем компьютере. Этот порт автоматически перенаправляется на маршрутизатор. При закрытии программы порт и форвард закрываются. То же самое верно практически для любой программы, работающей с Интернетом. По умолчанию эта функция включена на вашем маршрутизаторе, но лучше сразу проверить ее. Фактически, UPnP постоянно отслеживает пересылку именно тех портов, которые необходимы приложениям для работы на компьютере, телефоне или другом устройстве, которое работает с Интернетом.
Прежде чем мы перейдем к делу, еще несколько слов. Иногда, даже когда UPnP включен, некоторые программы могут не работать. Или, может быть, вам нужно перенаправить порты для работы отдельного устройства, например, для выделенного сервера или для доступа к камере видеонаблюдения. В этом случае переадресацию необходимо выполнять вручную, как описано в 3-м шаге. В любом случае вам необходимо убедиться, что эта функция включена, поэтому не пропускайте этот шаг.
В меню выберите раздел «Общие настройки», а затем выберите «Редактировать набор компонентов». Убедитесь, что служба включена и установлена.
Как настроить прокси-сервер на роутере
Существует множество способов настройки доступа в Интернет с помощью прокси-сервера. Это и программные, и аппаратные решения.
Использование прокси-сервера для доступа к сети можно настроить отдельно для программы или приложения, веб-сайта, браузера, а также в операционной системе на различных устройствах: настольных компьютерах, планшетах, ноутбуках, смартфонах.
Один из наиболее эффективных способов настройки прокси-сервера — это настроить его с помощью маршрутизатора. В этой статье мы рассмотрим основные преимущества использования роутера для выхода в Интернет через прокси-сервер, а также механизм реализации этого решения (пошагово).
VPN-туннель IPSec
Keenetic 4G поколения III: многофункциональный интернет-центр
Некоторые модели Zyxel Keenetic поддерживают создание безопасного канала связи по протоколу IPsec. Как и в описанной выше ситуации, его сначала нужно установить на оборудование. Пройдем через веб-панель в «Система», далее — «Обновить»: 
Выбираем опцию «Показать компоненты». Мы отмечаем элемент IPsec, как показано на следующем снимке экрана: 
Операционная система предложит установить его в фичу, соглашаемся. По окончании процесса установки оборудование перезапустится. Затем откройте раздел «Интернет», вкладку PPPoE / VPN. Создайте новое соединение, сделайте следующие настройки: 
Завершаем процесс создания, нажав кнопку «Применить». Теперь подключение появится в списке доступных подключений. Он используется для создания безопасного канала связи IPsec. Эту технологию используют мобильные устройства, совместимые с Android или iOS.
ШАГ 3: Проброс портов
Сначала вам нужно выяснить, какой порт и протокол использует ваша программа или устройство. Список всех портов можно найти в файле PDF ниже.
Например, я настрою проброс портов для компьютера — для работы с удаленным рабочим столом из Windows. Для этого используется TCP-порт 3389.
Я покажу пример переадресации для подключения к FTP-серверу. То есть внутри локальной сети системный блок по-прежнему будет подключен к роутеру, на котором будет располагаться FTP. Это будет использовать порт 21 с протоколом TCP.
ПРИМЕЧАНИЕ! Если вам нужно открыть порт для протоколов TCP и UDP, вам нужно создать два правила.
Шаг 2. Подключение устройства №2 (Смартфон Android)
Результат: Устройство №2 подключено и пинг 172.16.0.1 успешен
Шаг 2.0. Получите еще один логин и пароль для второго туннеля на личной странице сайта.
Запишите куда-нибудь данные, включая адрес, присвоенный устройству (например, в нашем случае 172.16.200.200)
Шаг 2.1. Произведите настройки вашего Android согласно инструкциям сайта (кроме информации о маршрутах, пункт 5, второе изображение, оставьте это поле пустым, мы добавим эту информацию позже). Установить соединение
Шаг 2.2. Через 13 секунд после установления соединения пинг 172.16.0.1 на Android
Результат все равно должен быть успешным.
Шаг 2.3. Через 13 секунд после установления соединения проверьте связь с адресом 172.16.200.200 со страницы «Инструменты»
результат скорее всего будет неудачным, но ничего страшного. Просто ваш Android не отвечает на пинги. Вот мы и убедились в этом.
В дальнейшей работе это сильно мешать не будет.
Шаг 2.4. Результат успешный. Отключить соединение
Поздравляем, первые шаги вы сделали успешно!
Теперь немного посложнее…
UDP-прокси
Прокси-сервер UDP (udpxy) позволяет воспроизводить открытые каналы IPTV на плеере, который не принимает многоадресный поток UDP. Запрошенный игроком канал IPTV будет транслироваться на него через HTTP-соединение. Эта функция будет полезна для просмотра IPTV на мобильных устройствах, некоторых смарт-телевизорах и игровых приставках.
Для работы UDP-прокси необходимо сначала установить в Keenetic системный компонент UDP-HTTP Proxy (udpxy). Вы можете сделать это на странице «Общие настройки» в разделе «Обновления и компоненты», нажав «Изменить набор компонентов».
Затем перейдите на страницу приложений и щелкните ссылку UDP Proxy».
Появится окно UDP-прокси. Рекомендуется использовать настройки по умолчанию, в этом случае сервер udpxy будет работать в локальной сети на порту 4022, то есть все клиенты должны будут использовать этот номер порта TCP.
Важная заметка! По умолчанию поле «Подключиться через» настроено на автоматический выбор интерфейса для передачи запросов на получение видеопотока. Если IPTV не работает из-за настройки, укажите вручную интерфейс или соединение, через которое должна быть доступна услуга (чаще всего это соединение «Провайдер»).
Теперь вернитесь на страницу приложений. По умолчанию прокси UDP отключен. Чтобы включить, переведите переключатель в состояние «Включено.
Настройка плеера на Android-устройствах
Для просмотра IPTV необходимо установить специальное приложение. Одно из самых популярных — приложение IPTV, которое можно бесплатно скачать в Google Play. Программа позволяет загружать плейлист с каналами в формате m3u и воспроизводить его с помощью установленных на устройстве видеоплееров, таких как MX Video Player, Daroon Player, Vplayer и т.д.
После установки приложения нужно зайти в «Настройки».
В подменю «Список каналов» необходимо ввести адрес файла со списком воспроизведения, предоставленный провайдером. В нашем примере используется плейлист http://192.168.10.21:1111/list.m3u
Далее необходимо произвести «Настройки прокси», указав IP-адрес роутера и порт, на котором работает сервер. Введите прокси UDP для HTTP (Windows) в поле Тип прокси)».
На этом основные настройки программы завершены. Для удобства вы также можете выбрать конкретное приложение в разделе «Видеоплеер», с помощью которого вы будете просматривать видеоконтент.
Настройка плеера (IP-TV Player) на ПК с ОС Windows
Для просмотра видео на обычном ПК рекомендуем использовать программу IP-TV Player. После скачивания программы следуйте процедуре установки (Яндекс.Браузер устанавливать не обязательно).
После установки программного обеспечения запустите ридер и выберите значение «Пустой профиль» в качестве провайдера».
В главном окне программы выберите меню настроек (шестеренка в правом нижнем углу).
В окне «Настройки», которое появляется на вкладке «Общие», установите флажок «Все настройки», чтобы просмотреть дополнительные настройки.
Нас интересуют пункты «Адрес списка каналов (файл M3U)» и «Сетевой интерфейс».
В качестве адреса списка каналов мы используем адрес, предоставленный провайдером. В нашем примере используется плейлист http://192.168.10.21:1111/list.m3u
В качестве сетевого интерфейса мы указываем адрес и порт сервера, работающего на роутере, в нашем случае http://192.168.1.1:4022
После завершения этих настроек нужно нажать на кнопку «Обновить», где указан адрес плейлиста, и закрыть настройки.
В главном окне программы вы увидите список доступных каналов. Двойным щелчком по одному из них вы увидите изображение.
Настройка VLC Media Player на ПК с Windows
В VLC Media Player вы можете смотреть каналы, зная их многоадресные адреса. Например, мы знаем, что каналы провайдера имеют следующую адресацию:
uDP: //224.0.0.41: 1111
uDP: //224.0.0.42: 1111
uDP: //224.0.0.43: 1111
В интернет-центре с адресом 192.168.1.1 у нас есть UDP-прокси, работающий на порту 4022, в этом случае для приема видеоконтента необходимо отправить следующий http-запрос:
http://192.168.1.1:4022/udp/224.0.0.41:1111
http://192.168.1.1:4022/udp/224.0.0.42:1111
http://192.168.1.1:4022/udp/224.0.0.43:1111
В главном меню программы VLC перейдите в меню «Медиа> Открыть URL» и введите сетевой адрес.
После нажатия кнопки «Воспроизвести» вы увидите изображение текущего канала.
СОВЕТ: Примечание. UDP-прокси не может работать без IP-адреса на интерфейсе. В Windows проблем не возникнет, поскольку Windows по-прежнему будет назначать адрес автоконфигурации (например, IP-адрес 169.254.xx). В интернет-центре вы можете зарегистрировать на интерфейсе подсеть для доступа к IPTV (например, 172.16.xx или 10.10.10.x), которая не перекрывает подсети интернет-центра и провайдера.
Шаг 4. Объединяем туннели
Результат: Смартфон на Android имеет доступ по http к домашнему серверу
Шаг 4.0. Мы считаем, что соединение с обоих устройств было успешно установлено. Через 13 секунд после установки всех подключений с Android выполните эхо-запрос на адрес роутера 172.16.100.100
Если все вышеперечисленные шаги прошли успешно, скорее всего, здесь все будет хорошо.
Шаг 4.1. С Android выполните эхо-запрос внутреннего адреса домашнего роутера 192.168.1.1
Шаг 4.2. С Android проверьте связь с вашим сервером на 192.168.1.33
Шаг 4.3. На Android подключитесь к веб-интерфейсу сервера.
Это соединение может не работать, даже если команды ping выполнены успешно.
Если это произошло, то имеет смысл:
2. VPN-сервер L2TP/IPSec
6-7 лет назад VPN-шлюз со скоростью 30 Мбит / с был шумной железкой в стальном корпусе для монтажа в стойку и продавался примерно за 800 долларов. Сегодня 100-мегабитный Keenetic Omni всего за 40 долларов позволяет создавать PPTP, L2TP / IPsec, IPSec, OpenVPN и даже SSTP VPN туннелируют со скоростью до 30 Мбит / с, а более дорогая модель Keenetic GIga обещает до 300 Мбит / с в IPSec. Давайте проверим это и проверим скорость VPN-соединения, созданного этими маршрутизаторами.
Есть некоторые нюансы в настройке PPTP по поводу кинетики, читайте инструкцию, написанную специально для этого. Но я советую вам не использовать PPTP, просто установите L2TP / IPSec, более надежный протокол, и он сразу заработает.
Как видите, L2TP / IPSec даже на младшем Keenetic Omni излучает почти 30 Мбит / с, то есть это действительно аппаратное ускорение, как заявили в Keenetic, хотя загрузка процессора роутера составляет 100%, а веб-интерфейс почти не открывается. Это много или мало? Для 2-3 сотрудников, которые будут работать с электронными документами и контролировать сетевые устройства, этого более чем достаточно, но для команды из 10-15 человек этого будет недостаточно.
Совсем другое дело — Keenetic Giga, у которого двухъядерный процессор аппаратного обеспечения ускоряет чистый IPsec до теоретических 400 Мбит / с. Здесь скорости хватит для работы по RDP в разрешении 1920×1080, подключения удаленных баз данных, синхронизации бэкапов небольших серверов и передачи медиафайлов FullHD или 4K со сжатием. Проще говоря, вы с большей вероятностью столкнетесь с медленной скоростью интернет-провайдера, чем с возможностями сервера Keenetic Giga VPN. Да и загрузка процессора Keenetic Giga в этом тесте также не превышает 48%, поэтому все остальные сервисы продолжают работать как часы.
В дополнение к PPTP и L2TP / IPsec вся кинетика имеет чистый IPsec (site-to-site), виртуальный сервер IPsec Xauth PSK (изначально поддерживается на iOS и Android) и даже OpenVPN. Также нас интересовала относительно редкая и свежая версия SSTP, но прежде чем говорить о ней, давайте взглянем на проприетарный облачный сервис KeenDNS.
ШАГ 4: Открытие портов на компьютере с ОС Windows
Если вы перенаправили порты для определенной программы или приложения, вы должны открыть их в Windows — подробные инструкции по этой теме доступны здесь.
Зачем настраивать прокси с помощью роутера
Есть несколько причин, по которым стоит настроить доступ в Интернет через прокси на роутере. Основные преимущества такого подхода следующие:
3. Подключение к web-устройствам за серым IP-адресом через облако KeenDNS
Ваш интернет-провайдер дает вам «серый» IP-адрес, например 10.9.2.x, и вы не можете получить доступ к серверу видеонаблюдения со своего смартфона во время командировки и посмотреть, закрыта ли дверь в офисе? Для этих целей Keenetic создал собственное облако KeenDNS, которое позволяет открывать все веб-интерфейсы ваших устройств без настройки NAT, не задумываясь о том, почему у вас серый IP-адрес, и даже не сталкиваясь с нехваткой портов, если доступ есть у нескольких устройств на порт 443a (в этих случаях не каждый может настроить NAT). Все очень просто: активируем KeenDNS в роутере и нам присваивается адрес в виде hwp.keenetic.pro. Все! Без регистрации и подтверждения по электронной почте! Никаких социальных профилей или лицензионных соглашений! Вбиваем hwp.keenetic.pro в адресную строку и получаем доступ к панели управления самого роутера — начало положено!
Также мы можем перенести каждое из зарегистрированных домашних устройств в одно и то же облако с нашим адресом модуля nas.hwp.keenetic.pro, и, введя этот адрес в строку браузера, мы сразу же перейдем к веб-интерфейсу нашего устройства.
Все это работает по защищенному протоколу HTTPS с автоматическим получением и обновлением сертификата через сервис Let’s Encrypt (не нужно никому платить за сертификат или беспокоиться о самоподписанных сертификатах). Однако, если ваше устройство в вашей домашней сети доступно только через порт 80 и http: // без буквы «S» в конце, работа с ним через облако KeenDNS будет осуществляться с использованием протокола HTTP, что небезопасно.
Мы протестировали KeenDNS, назначив маршрутизатору серый адрес домашней подсети и подключив к нему самосборный NAS через HTTP-соединение. Как видно на скриншотах, все заработало как надо. Кроме того, к этой услуге можно добавить второй, третий и четвертый NAS, в дополнение к IP-камерам, работающим через порт 80, что значительно упростит доступ извне через Интернет.