Как на основе роутера создать домашний центр развлечений?

14 сентября 2020, 11:09 | Обзор | Сетевое оборудование

Почти половина текущих моделей роутеров Keenetic оборудована портами USB, которые могут быть использованы для подключения внешних накопителей, принтеров и МФУ, сотовых модемов, фирменных модулей расширения. В этой статье рассмотрим возможности по работе с дисками на примере роутера Keenetic Ultra, в котором есть один порт USB 3.0 и один порт USB 2.0. Из актуальной линейки аналогичные возможности имеет только Keenetic Giga и все описанное далее можно полностью применить к этой модели. Другие устройства могут похвастаться только портами версии 2.0, что скажется на скорости доступа, однако программные возможности у всех моделей одинаковы. Кроме того, надо учитывать, что из них только Keenetic Viva имеет гигабитные проводные порты, так что фактически с точки зрения скорости есть три группы: две топовые модели с гигабитной сетью и USB 3.0, одна модель среднего уровня с гигабитной сетью и USB 2.0, остальные устройства с сетью 100 Мбит/с и USB 2.0. При этом последние могут иметь двухдиапазонный радиоблок, который при работе с быстрыми клиентами и 802.11ac может обеспечить более эффективное использование возможностей USB 2.0. В любом случае, если требуется высокая скорость работы с файлами и большой объем хранилища – лучше выбрать одну из двух топовых моделей. Остальные варианты будет менее производительны в данной задаче. Впрочем, и здесь, как будет показано далее, не все однозначно.

Возможности и настройки

Прошивка роутеров Keenetic имеет модульную структуру и для работы с внешними дисками может потребоваться добавление некоторых пакетов. В частности, в них вынесены некоторые файловые системы, серверы (протоколы) и дополнительные сервисы. На топовых роутерах установлен чип флешпамяти достаточно большой емкости, так что проблем с добавлением модулей не будет. Но на более доступных устройствах не стоит ставить сразу все галочки – места может и не хватить.

На момент подготовки статьи была доступна релизная версия прошивки 3.4.12. О ней и пойдет далее речь. Ограничений на максимальный объем дисков со стороны программного обеспечения нет. При этом допускается иметь на диске несколько разделов, а список поддерживаемых файловых систем включает в себя NTFS, FAT32, ext2/3/4 и HFS+. Ожидается также появление поддержки exFAT (уже есть в текущей beta-версии прошивки). При необходимости можно использовать подключение и через хабы, не забывая, что в этом случае желательно иметь внешнее питание у хаба и/или дисков. В общем случае можно «на лету» подключать и отключать накопители, предусмотрена опция безопасного извлечения через Web-интерфейс или нажатием кнопки на корпусе роутера. При этом система «запоминает» ранее подключенные диски и их настройки, а настройки прав доступа записаны на сами диски. Кроме того, в зависимости от исполнения внешнего диска, поддерживается режим сна при отсутствии активности.

Наиболее распространенным протоколом сетевого доступа к файлам в локальных сетях для операционных систем Microsoft является SMB. Большинство других ОС, включая Linux и macOS, также могут работать с ним. При желании, можно настроить работу по этому протоколу и через Интернет, но по многим причинам это очень не рекомендуется делать (как минимум без VPN). Он оперирует такими понятиями как сервер, общая папка, аккаунт пользователя и права доступа. В роутере реализован сервер с поддержкой версий протокола от 1 до 3 включительно. Кроме того, роутер может выступать в роли мастер-браузера сети, так что будет работать сетевое обнаружение и доступ по имени хоста.

В настройках протокола Keenetic можно указать сетевое имя роутера (сервера), имя рабочей группы (в большинстве случаев нет смысла его изменять), а также настроить общие папки. По умолчанию, для каждого раздела каждого подключенного накопителя будет создан отдельный сетевой ресурс. В качестве имени будет выступать имя тома, но пользователь может изменить его по своему усмотрению.

Сначала необходимо разрешить использование сервиса для нужных пользователей, а потом для каждого общего ресурса указать права доступа (напомним, что в роутерах Keenetic можно создать несколько аккаунтов для разных пользователей и предоставить им права на файлы и сервисы). Удобно сделать их совпадающими с аккаунтами Windows, так что б не пришлось при подключении к серверу вводить пароль. Но возможен и полный анонимный доступ «всем все можно». При установленном компоненте «Контроль доступа к папкам» возможно гибкое указание прав доступа для папок верхнего уровня (разделов) – можно выбирать для каждого пользователя из «нет доступа», «только чтение» и «чтение и запись».

Кроме того, есть возможность создать новые общие ресурсы, в роли которых будут выступать поддиректории накопителя. Это может быть полезно в случае использования диска с одним разделом, на котором необходимо разместить контент разного типа или с разными правами доступа. При этом основной ресурс также остается в доступе по сети (права продолжают работать в его директориях), что не очень удобно. Возможно, стоило предусмотреть его скрытие или отключение.

Второй по распространенности протокол доступа к файлам – это FTP. Обычно он используется для обеспечения удаленного обмена файлами через Интернет, но бывают ситуации, когда с ним удобно работать по локальной сети. В настройках сервера (страница «Личное облако») предусмотрены изменение номера порта, разрешение доступа из Интернет, выбор домашнего каталога по умолчанию, включение анонимного доступа.

Что касается прав, то здесь можно дать разрешение пользователям работать с данным сервером, указать тип доступа к ресурсам верхнего уровня, поменять путь на домашнюю папку (при входе пользователя ему будет доступна только она). В частности, это позволяет ограничить доступ удаленных пользователей единственной папкой без возможности подняться на верхний уровень. Заметим, что при доступе по FTP работают и установленные как описано выше права на поддиректории. Например, пользователь должен иметь доступ к настроенной корневой папке (общей или персональной).

Базовый протокол FTP не защищен от перехвата – вся информация, включая файлы, имена и пароли пользователей, передается через Интернет в открытом виде, что явно небезопасно. Из нескольких возможных реализаций защищенных подключений, производитель выбрал протокол SFTP, который использует аналогичные SSH технологии для защиты файлов и данных аккаунтов. Его настройки в Keenetic полностью аналогичны описанным выше для FTP. В частности, можно изменить номер порта, разрешить доступ через Интернет, выбрать корневую папку. Права пользователей здесь также работают.

Еще одним протоколом доступа к файлам является WebDAV. Несмотря на то, что он появился достаточно давно и реализован во множестве операционных систем и программ, назвать его широко распространенным, пожалуй, нельзя. Одним из плюсов является его работа на базе https (реализация в Keenetic использует только этот протокол), который обычно «проходит везде» и является защищенным, а также возможность монтирования в ОС семейства Windows обычным способом «с буквой» для работы с документами без необходимости предварительной загрузки всего файла. Хотя, конечно, работа через Интернет даже на быстрых каналах в большинстве случаев не обеспечивает такого «пользовательского опыта», как работа с локальным диском, пусть даже самым медленным.

Настроек здесь меньше – порт изменить нельзя, можно выбрать домашний каталог и включить опцию игнорирования прав доступа пользователей.

Реализация WebDAV в Keenetic интересна еще и тем, что может обеспечить доступ к файлам через Интернет с серым адресом от провайдера при использовании сервиса KeenDNS. При этом также применяется защищенное подключение с сертификатом, но вот скорость будет зависеть не только от ваших Интернет-каналов, но и от текущей нагрузки на облачные сервера компании.

Последний вариант, который скорее относится к «на всякий экстренный случай», – это работа с файлами на накопителях прямо из Web-интерфейса роутера. Выбор операций здесь небольшой, но вполне достаточный – создание папки, загрузка и скачивание файла, установка прав доступа, удаление папки или файла.

Отметим также поддержку роутером протокола AFP, который применяется с продуктами Apple. Его использование также позволяет реализовать хранение на роутере резервных копий Time Machine. В данной статье этот вариант подробно не рассматривается.

Дополнительные сервисы

У многих подобных решений также присутствуют два дополнительных сервиса – система автономной загрузки файлов и сервер DLNA. Первый позволяет без участия компьютера загружать файлы роутером на подключенный к нему накопитель, а второй – раздавать медиаконтент на совместимые плееры, в роли которых обычно выступают «немного умные» телевизоры с подключением к локальной сети. Не обошла стороной эта тенденция и продукты Keenetic.

Для загрузки файлов здесь используется известная программа transmission, собранная под платформу роутера. После установки и включения модуля можно его настроить – выбрать порт подключения пиров, порт удаленного управления, разрешить управление через Интернет и конечно выбрать папку на накопителе для хранения файлов.

Дополнительно предусмотрен выбор пользователей, которым будет разрешено управлять загрузками. Все остальные настройки клиента осуществляются через его Web-интерфейс.

Поскольку загрузка файлов может создавать значительную нагрузку на устройство и мешать выполнению основной функции доступа клиентов к сети Интернет, в модуле жестко прописаны ограничения на максимальные скорости работы в зависимости от устройства – до 3 МБ/с для младших моделей до 15 МБ/с для старших.

Кроме Web-интерфейса, ссылка на который есть в интерфейсе роутера, можно использовать для удаленного управления и соответствующие утилиты для ПК и мобильных устройств.

Что касается производительности, то на десятке популярных (от сотен до тысяч пиров) задач большого объема (от 1 до 30 ГБ) на роутере Keenetic Ultra с жестким диском с файловой системой NTFS мы видели цифры на уровне 10 МБ/с при загрузке процессора роутера около 30%. Данная проверка проводилась на канале 200 Мбит/с с серым внешним адресом. Из настроек клиента – увеличение числа активных задач до 10 и пиров на задачу до 200. При этом можно было комфортно пользоваться доступом в Интернет, а тест сайта www.speedtest.net показывал более 100 Мбит/с и пинг 3 мс.

Сервер DLNA, построенный на базе программы miniDLNA, позволяет транслировать различные медиафайлы (видео, музыку, фотографии) на совместимые устройства. Обычно в роли последних выступают встроенные в телевизоры, ресиверы и другие устройства клиенты. С распространением потоковых сервисов и устройств со встроенным Android использование протокола DLNA теряет актуальность, но пока еще он остается востребованным в определенном сегменте, особенно если строго следить за используемыми форматами файлов. Основное неудобство работы с этим протоколом состоит в том, что многие встроенные в телевизоры клиенты реализованы «для галочки» и мало подходят под современные требования. И изменить это пользователь может только установкой дополнительного медиаплеера, который, в большинстве случаев, может прекрасно работать с USB диском на роутере по тому же SMB и не нужно будет связываться с DLNA.

В настройках модуля пользователь выбирает имя для сервера (их может быть в сети несколько, например на сетевом накопителе), сетевые сегменты в которых он будет доступен (можно разрешить доступ и гостям), папки на внешних дисках для индексации и тип файлов в них, папку для хранения базы сервера. Через консоль роутера можно изменить вариант сортировки медиафайлов, если используемый по умолчанию неудобен при просмотре с ваших клиентов. Индексация проходит в автоматическом режиме при изменении содержимого папок, но можно и запустить ее принудительно.

Список индексируемых форматов включает в себя фотографии в jpeg, аудиофайлы в mp3, aac, m4a, flac, видео в avi, mp4, mkv, m2ts и некоторые другие менее распространенные. Как-то особенно тестировать этот сервис смысла нет, поскольку, как мы говорили выше, результат преимущественно определяется используемым клиентом, а все они очень разные. Так что мы только попробовали доступ с ПК через плеер VLC.

Отметим, что компания рекомендует при активном использовании системы загрузки файлов и медиасервера настроить на подключенном накопителе раздел подкачки.

Еще один сервис, который, пожалуй, выходит за рамки интереса со стороны массового пользователя, – использование менеджера пакетов OPKG на базе каталога Entware, который содержит более 2500 пакетов. Здесь уже открываются практически безграничные возможности по добавлению новых функций (с учетом аппаратных ресурсов платформы).

Производительность

Тестирование проводилось с использованием в роли внешнего накопителя жесткого диска Seagate Mobile HDD на 1 ТБ и SSD Transcend на 480 ГБ с адаптерами для подключения к USB 3.0. Для файловой системы мы решили ограничиться NTFS, поскольку она наиболее распространена у домашних пользователей с Windows.

Для оценки скорости были выбраны два набора файлов – пять по 1 ГБ (сценарий «фильмы») и 200 по 5 МБ (сценарий «фотографии» или «музыка»). Для автоматизации тестов SMB и WebDAV применялась утилита robocopy, которая в параметрах принимает пути на папку с исходными файлами и целевую папку и выдает результат непосредственно скорости проведения операции. Для FTP и SFTP был взят известный клиент FileZilla, который был дополнительно настроен на пять одновременных загрузок. В данном случае измерялось время на проведение всех операций и по нему вычислялась скорость с учетом известного объема переданных файлов. Скорости накопителей при прямом подключении к компьютеру по USB приводятся на следующем графике.

Тестирование проводилось как в пределах локальной сети, так и через Интернет (WAN-порт в режиме IPoE). В первом случае наиболее удобно использовать протокол SMB (стандартный протокол для ОС Windows, также реализованный и на других операционных системах, включая Linux, macOS, Android). Три других варианта – FTP, SFP и WebDAV – более востребованы для удаленного доступа через Интернет. Но это конечно именно рекомендации и по факту все протоколы можно использовать и «внутри» и «снаружи». Вопрос в задачах и их особенностях. Например, внутри локальной сети FTP может быть интересен с точки зрения автоматизации различных операций, например, резервного копирования или синхронизации или работы с IP-камерами.

На первом графике приводятся результаты для протокола SMB. Как мы видим, при работе с файлами большого объема в локальной сети скорость чтения может превышать 100 МБ/с, а запись осуществляется на скорости в 60-70 МБ/с. Это вполне сравнимо с возможностями младших моделей сетевых накопителей от известных брендов. Но, конечно, напрямую данные реализации сравнивать не стоит – все-таки решаемые задачи у роутера и NAS существенно отличаются. Если файлы имеют меньший объем, то скорость работы с ними снижается. С SSD это не очень заметно, а вот жесткому диску приходится заметно труднее.

Что касается работы через порт WAN, то по скорости записи отличия незначительны, а вот чтение неожиданно оказывается раза в два медленнее. Впрочем, это все-таки искусственная ситуация. Для удаленного доступа лучше использовать другие протоколы.

FTP в целом похож по скорости работы на SMB, а на операциях записи даже иногда оказывается немного быстрее. Но серьезно рассматривать этот незащищенный от перехвата вариант мы бы не рекомендовали.

Протокол SFTP обеспечивает хорошую защиту при передаче данных через Интернет, но и требует повышенных вычислительных ресурсов (процессор роутера во время его использования был занят на 100%). В результате даже самая мощная из текущей линейки решений Keenetic модель обеспечивает не более 8 МБ/с. И тут уже не важен ни объем файлов, ни тип накопителя. Все упирается в вычислительные ресурсы процессора роутера.

В отличие от FTP и SFTP, протокол WebDAV позволяет смонтировать удаленную общую папку, так что для пользователя она формально не будет отличаться от локального диска – можно будет непосредственно открывать с нее файлы в любых программах и записывать новые или отредактированные. Тогда как FTP и SFTP обычно требуют сначала скачать файл на локальный накопитель и только потом его открыть. Но все-таки реальное удобство определяется и отзывчивостью, которая связана со скоростью. И тут все еще более грустно, чем у SFTP – максимальные полученные значения не превышают 4 МБ/с. А при записи файлов небольшого размера на HDD они еще в два раза ниже. С другой стороны, если говорить о прямой работе с документами небольших размеров, это может быть не очень заметно.

Справедливости ради отметим, что скорость работы WebDAV в данном случае определяется и используемым клиентом – встроенным в Windows 10 модулем. При этом никакого простого контроля за параметрами подключения здесь, к сожалению, нет. Разработчики в качестве одного из сценариев предлагают удаленный доступ с мобильных устройств, например, для просмотра видео или резервного копирования фотографий. В частности, упомянутое в статье базы знаний приложение «Cx проводник» обеспечивает скорость более 6 МБ/с. Если же воспользоваться доступом с компьютера через браузер Mozilla FireFox (будет работать только скачивание), то скорость составить более 8 МБ/с.

Заключение

Практическое знакомство с сервисами работы с USB-накопителям в роутерах Keenetic произвело хорошее впечатление. Они существенно удобнее и интереснее по возможностям, чем реализации других производителей. В частности, поддерживается большинство современных файловых систем, гибко настраиваются пользователи и права, есть несколько распространенных протоколов, включая варианты защищенного удаленного доступа, можно работать с файлами прямо через Web-интерфейс роутера, а также через серый адрес от провайдера. При этом все заявленное действительно работает, а не сделано «для галочки», что, конечно, приятно.

В то же время, нельзя не заметить значительное отставание при сравнении с возможностями даже младших сетевых накопителей. По крайней мере, если говорить о моделях ведущих брендов. Похоже, что компания и в данном случае внимательно следит за своими потребителями, предлагая им именно то, чем они действительно будут пользоваться. Тогда как производители сетевых накопителей вынуждены конкурировать между собой, что приводит, в том числе, к появлению у них сотен дополнительных программных пакетов, разобраться с которыми не всем под силу.

Впрочем, здесь надо учитывать прежде всего основные решаемые устройствами задачи, а также доступные аппаратные ресурсы. С учетом этого, реализация сервисов в прошивках Keenetic позволяет реализовать множество интересных и полезных сценариев, включая резервное копирование, работу с общими документами, загрузку файлов, организацию медиабиблиотеки, трансляцию мультимедиа, хранение записей с видеокамер и так далее. Кстати, и пользователям сетевых накопителей подключение диска к роутеру может быть интересно, например для дополнительного резервного копирования.

Что касается скорости, то для локального доступа по SMB все выглядит очень неплохо – чтение осуществляется на уровне гигабитной сети (если устройство имеет гигабитные порты), запись в полтора раза медленнее. Близкие результаты и при работе по протоколу FTP. Однако если требуется обеспечить защищенный обмен данными, то здесь уже все заметно сложнее с точки зрения вычислительных ресурсов. В частности, для SFTP скорость топовой модели линейки не превышает 8 МБ/с. Правда с учетом массовых тарифных планов до 100 Мбит/с, это ограничение может быть не очень заметно.

Всех горячо приветствую! Такая дичь написана на других сайтах по данному вопросу, что мне пришлось основательно подготовиться и написать свою инструкцию. Даже на официальной странице поддержки Keenetic не описаны некоторые моменты, что может привести к внезапному возгласу: «А почему не работает?!». Сегодня я расскажу вам, как правильно настроить VPN-сервер на роутере ZyXEL Keenetic, а также как к нему подключиться с разных устройств.

Если вам не нужно настраивать VPN-сервер, а нужно подключиться к публичному, то просто смотрите главу «ШАГ 4…» – подглава «Роутер ZyXEL Keenetic». Там же я оставил ссылку на бесплатные публичные VPN.

Если же вы хотите настроить сервер, а также подключиться, то я описал 3 способа подключения: PPTP, L2TP/IPSec и WireGuard. Первые два настраиваются достаточно просто, но подключение там идет прямое, и вы можете приконнектиться к серверу как с Windows, Android, iOS или с отдельного роутера любой модели (TP-Link, ASUS, D-Link и т.д.)

А вот WireGuard (Keenetic VPN) настраивается исключительно на новых маршрутизаторах – то есть у вас должно быть два роутера с последней прошивкой. В общем вы можете выбрать все варианты. На самом деле все делается просто, но в настройках есть много нюансов, о которых я подробно написал в статье. Некоторые сложности могут возникнуть с WireGuard. Именно поэтому я постарался описать все по шагам с картинками и пояснениями. Не торопитесь и читайте очень внимательно. В любом случае вы всегда можете обратиться ко мне в комментариях. Поехали!

Содержание

ШАГ 1: Вход в настройки роутера

Сначала вам нужно подключиться к локальной сети маршрутизатора – это можно сделать двумя способами:

• По кабелю, подключившись к локальному порту.
• По Wi-Fi.

Далее открываем браузер и вводим в адресную строку один из адресов:

• 192.168.1.1
• my.keenetic.net

Далее авторизовываемся.

Если у вас есть проблемы со входом, то читаем эту инструкцию.

ШАГ 2: Включение DDNS

Наш план достаточно простой. Наш роутер Keenetic будет выступать в качестве VPN сервера. Причем не важно, какой именно сервер мы будет настраивать – будь это PPTP, IPSec или новый WireGuard. Смысл в том, что мы должны иметь доступ к этому роутеру извне – то бишь из интернета. У роутера есть внешний IP адрес. Конечно, мы можем использовать его. Но как правило, современные провайдеры по умолчанию выдают два вида адрес:

• Белый динамический
• Серый

Нужно, чтобы ваш провайдер обязательно использовал белый IP адрес, в противном случае доступ к VPN-серверу будет недоступен. Про белые и серые IP, а также про то, как узнать какой адрес у вас – читаем эту инструкцию. На новых прошивках есть возможность подключаться и к серым IP, но при использовании KeenDNS (это облачный DDNS сервис, который работает напрямую, так и через облако, поэтому его можно использовать даже с серыми IP).

В общем на первом шаге мы подключим службу DDNS, если ваш IP не является статичным.

Более подробно про DDNS читаем тут.

Новая прошивка

1. Для начала нам нужно настроить DDNS, можно использовать стандартный и бесплатный KeenDNS от Keenetic. Переходим в раздел «Доменное имя» и вводим любое наименование, которое мы будем использовать для подключения. Далее нажимаем «Зарегистрировать».

1. Если имя свободное, то роутер сообщит об этом и предложит вам 3 поддоменных имени – выберите любое.

1. Если у вас серый IP, то вам нужно перейти в «Общие настройки» и включить «Keenetic Cloud».

1. Высветится вот такое окошко, подождите пока роутер получит SSL сертификаты. После этого вам нужно выбрать «Режим работы»:
   1. Через облако – если у вас серый IP.
   2. Прямой доступ – если IP белый.

Старая прошивка

Понятно дело, используя внешний IP адрес, но что, если он динамический или серый. Хочу расстроить пользователей с серыми IP, тут ничего не поделаешь и единственный выход – это искать провайдера с белым IP. Второй вариант – это купить более новый роутер Keenetic, на котором есть облачная служба KeenDNS – она позволит прокинуть подключение даже с серым IP. Для тех, у кого белый IP, нам в любом случае нужно настроить DDNS, так как скорее всего у вас он конечно же белый, но динамический адрес, а поэтому, когда он поменяется – соединение просто отвалится.

В разделе «Интернет» перейдите в «DDNS» и посмотрите в список «Используемых серверов». По умолчанию у нас есть Dyn, No-Ip и DNS-Master – это все сторонние сервисы. Что вам нужно сделать?– вам нужно зайти на официальные сайты этих сервисов, зарегистрироваться и создать DDNS. Далее переходим сюда и вводим данные DDNS.

ШАГ 3: Настройка сервера

Выберите один из вариантов подключения. Напомню, что для WireGuard у вас должно быть два роутера Кинетик с последней прошивкой.

VPN PPTP

При подключении по PPTP идет шифрование MPPE (Microsoft Point-to-Point Encryption).

Новая прошивка

1. Теперь нужно установить компонент VPN-сервера – переходим в «Общие настройки» -«Обновления и компоненты» – кликаем по кнопочке «Изменить набор компонентов» и устанавливаем «PPTP VPN-сервер».

1. Переходим в «Приложения» и включаем наш сервер.

1. Откроются настройки. Давайте пройдемся по пунктикам:
   1. Множественный вход – когда один и тот же логин и пароль используют несколько клиентов. Небезопасно, зато удобно.
   2. Только шифрование – не убираем эту галочку, иначе канал связи будет не зашифрован и данные могут перехватить.
   3. NAT для клиентов – использование интернета.
   4. Доступ к сети – ставим «Домашняя сеть», ведь именно к этой сети мы будем иметь доступ.
   5. Начальный IP-адрес – это начальный пул адресов для клиентов. Очень важно, чтобы клиентские адреса и адреса ваших локальных машин не пересекались, поэтому лучше установить другие настройки IP.
   6. Пул IP-адресов – максимальное число 10.
   7. Пользователи – тут вы можете использовать одного или создать несколько учетных записей.

Старая прошивка версии NDMS 2.11 и меньше

Возможность настроить VPN сервер появилась с выходом версии операционной системы NDMS V2.04.B2. Также по PPTP к одному серверу можно подключить до 10 клиентов.

1. Для начала нужно убедиться, что установлен компонент VPN-сервер. На главной нажмите по ссылке «Доступно» в разделе «Обновления».

1. Или вы можете перейти в раздел «Система», нажать по вкладке «Обновление» и далее ниже нажать «Показать компоненты».

1. Найдите VPN-сервер и выделите его.

1. Далее нажмите по кнопке «Обновить».

1. Теперь переходим в «Приложения» и открываем вкладку «Сервер VPN» (если такой вкладки нет, то вы не установили компонент). Включаем сервер. Ставим галочку «Одно подключение на пользователя». В строке «Доступ к сети» нужно указать наименование вашей локальной сети этого роутера – по умолчанию это «Home network». Ниже нужно указать начальный адрес пула – что это такое?Это пул адресов, который будут выдаваться клиентам подключенным к этому серверу. Нужно обязательно разделить разрешенный пул домашней сети «Home network» и пул адресов VPN сервера. На самом деле можно использовать одну подсеть, но разный пул. Например, для домашней сети пул будет 192.168.1.50-192.168.1.70. А здесь указать начальный пул 192.168.1.200. Или сделайте как я, просто указать другой начальный адрес 172.16.1 33 пула. И ниже указываем размер пула – так как максимальное число клиентов 10, то больше указывать не стоит. Для безопасности, вы можете указать меньшее число клиентов. «Транслировать адреса клиентов (NAT)» – эта галочка нужна для того, чтобы клиенты VPN-сервера могли выходить в интернет через этот роутер. Если вы хотите иметь только доступ к локальной сети, то уберите эту галочку.

1. Для удобства мы будем использовать учетную запись администратора, нажмите по ней.

1. Как видите в строке «Доступ разрешен» стоит значение «Нет» – это значит этот пользователь не может использоваться для VPN подключения. Давайте это исправим – нажимаем по этой учетке и включаем галочку «Разрешить доступ к VPN».

1. Admin пользователя можно использовать для нескольких подключений. Но если вам нужно несколько пользователей (для безопасности), то перейдите в раздел «Система» – «Пользователи» – нажмите по кнопке добавления.

1. Укажите логин, пароль клиента, а также не забудьте указать доступ к «VPN-серверу».

VPN-сервер L2TP/IPsec

1. Устанавливаем компонент: «Общие настройки» – «Обновления и компоненты» – «Изменить набор компонентов». Находим компонент «L2TP/IPsec VPN-сервер, ставим галочку и устанавливаем его, если он не установлен.

1. В приложениях включаем наш VPN.

1. Теперь вводим данные:
   1. Общий ключ IPsec – указываем любой ключ.
   2. Множественный вход – для того, чтобы использовать одну учетную запись на разных компах.
   3. NAT для клиента – чтобы подключенные клиенты имели доступ к интернету в этой сети.
   4. Доступ к сети – указываем «Домашняя сеть».
   5. Начальный IP-адрес – это адреса локальной сети, которые будут выдавать VPN клиентам. Они не должны совпадать с теми адресами, которые уже зарезервированы в вашей локальной сети. Поэтому лучше указать другой пул частных адресов.
   6. Пул IP-адресов – максимальное число поддерживаемых клиентов 10.

1. В поле «Пользователь» можно создать новых пользователей, которые и будут подключаться к VPN. Для теста можете использовать администратора (admin).

VPN WireGuard

WireGuard был добавлен в версии KeeneticOS 3.3 и работает только с новой прошивкой. Аналогично данная штуковина работает только между двумя роутерами Keenetic. Наше подключение еще можно назвать «Site-To-Site VPN». Если у вас у одного из роутера есть белый IP, то лучше использовать его в качестве сервера. По сути мы объединим две сети в одну виртуальную локальную сеть.

И еще очень важный момент, мы будем производить настройки одновременно на двух роутерах. То есть Web-интерфейс должен быть открыть сразу. Например, «Сервер» мы будем настраивать с компьютера, а «Клиент» с телефона. Но ничего страшного, если вы будете настраивать туннель между маршрутизаторами, которые находятся в разных точках мира.

1. «Общие настройки» – «Обновления и компоненты» – кликаем «Изменить набор компонентов» и устанавливаем наш компонент.

1. Переходим: «Другие подключения» – «WireGuard» – нажимаем по кнопке добавления.
2. В поле название нужно ввести английское наименование. Я в качестве примера введу на одном «WG-S» (Сервер), а на втором «WG-CL1» (Клиент). При этом оба окна должны быть открыты.
3. Нажимаем «Генерацию пары ключей».

1. В поле «Адрес» вписываем IP туннеля с bitmask указать можно любой пул из частного диапазона:

10.0.0.0 – 10.255.255.255 (маска 255.0.0.0 или /8)172.16.0.0 – 172.31.255.255 (маска 255.240.0.0 или /12)192.168.0.0 – 192.168.255.255 (маска 255.255.0.0 или /16)100.64.0.0 – 100.127.255.255 (маска 255.192.0.0 или /10)

1. Если коротко, то частные адреса – это те, которые используются только в локальной сети, и их нет в интернете. Я в качестве примера указал 172.16.82.1/24. Также указываем порт номер 16632, именно на него и будет идти подключение от клиента к серверу. Роутер сам автоматически его откроет, поэтому его пробрасывать не нужно. Кликаем по кнопке «Добавить».

1. Переходим на вкладку роутера-клиента (WG-CL1). Добавляем подключение, вводим название «WG-CL1», нажимаем «Генерация пары ключей» и тут же нажимаем «Сохранить публичный ключ в буфер обмена».
2. Теперь нужно вернуться в настройки сервера там откроется окошко «Настройка пира» вводим данные (При этом ни в коем случае не закрывайте настройки клиентского роутера):
   1. Имя пира – указываем точное наименование, какое вы указали в клиенте.
   2. Публичный ключ – вставляем из буфера, тот который мы получили от клиента. Если вы настраиваете роутеры в разных местах, то ключ можно отправить по почте или с помощью мессенджера.
   3. Разрешенные подсети – сюда нужно вписать пул локальных адресов нашего клиента. То есть те адреса, которые смогут иметь доступ к серверу. То есть нам нужно указать адрес туннеля, который будет прописан в клиенте. В сервере мы указали 172.16.82.1. На клиенте мы потом укажем адрес 172.16.82.2, значит здесь же его и указываем. И в качестве настройки маски пишем еще /32. И не забываем указать пул локальных адресов клиента – 192.168.100.0/24.
   4. Проверка активности – ставим 15 секунд.

1. Это еще не все, нужно настроить «Межсетевой экран» – переходим в этот раздел. Открываем вкладку нашего подключения и добавляем правило для того, чтобы доступ к клиенту и серверу был разрешен извне.

1. Устанавливаем настройки как на картинке ниже – просто все разрешаем.

1. Теперь нужно прописать статический маршрут для нашего туннеля – «Маршрутизация» – «Добавить маршрут»:
   1. Тип маршрута – маршрут до сети.
   2. Адрес сети назначения – указываем пул клиентского роутера.
   3. Маска подсети – 255.255.255.0
   4. Интерфейс – указываем наше созданное подключение WG-S.

1. Вернитесь обратно в то подключение, которое мы создали и нажмите по кнопке, чтобы сохранить ключ – мы его будем вводить в настройки клиентского роутера.

1. Переходим на вкладку настройки клиентского роутера, вводим название. В поле адрес вписываем адрес туннеля. На серверной машине мы указали 172.16.82.1, тут указываем 172.16.82.2. И не забываем указать /24. Добавляем пир.

1. Настраиваем теперь пир:
   1. Имя пира – указываем то, что на сервере.
   2. Публичный ключ – вставляем тот, который получили, также от сервера.
   3. Адрес и порт пира – вот тут указываем внешний IP или тот DDNS, который мы ранее создали. Я использую KeenDNS. После этого ставим двоеточие и указываем порт, которые мы используем на сервере. Например: keenetic.link:16632
   4. Разрешенные подсети – указываем подсеть туннеля сервера 172.16.82.1/32. Еще не забываем указать пул адресов локальных машин сервера. У меня это 192.168.22.0/24.
   5. Проверка активности – также ставим 15.

1. Теперь нужно настроить межсетевой экран. Добавляем правило.

1. Тут настройки такие же как на сервере.

1. Теперь добавляем статический маршрут как на сервере. Все настройки такие же кроме:
   1. Адрес сети назначения – указываем начальный адрес пула локальных устройств сервера.
   2. Интерфейс – тут указываем интерфейс WG-CL1, через который мы и подключаемся к туннелю.

1. Если вы все сделали верно, то на вкладке «Wireguard» на обоих устройствах в колонке «Пир» вы увидите зеленый кружок с название второго роутера.

ШАГ 4: Подключение к VPN

Роутер ZyXEL Keenetic

ПРИМЕЧАНИЕ! Если вы не настраивали VPN-сервер и хотите подключиться к публичному, то можете попробовать бесплатные ВПН от Японского университета – про него подробно написано тут. Там также есть конфигурация с настройками.

Проверьте, чтобы были установлены компонент «IPsec VPN», если вы настраивали L2TP/IPSec подключение. Если вы настраивали PPTP, то ничего делать не нужно, так как этот компонент уже установлен по умолчанию.

Переходим в раздел «Другие подключения» – «VPN-подключения», кликаем «Добавить подключение». Теперь вводим настройки:

• Имя подключения – указываем любое название.
• Тип (протокол) – PPTP.
• Адрес сервера – наш DDNS или ваш статический IP.
• Имя пользователя и пароль – указываем учетную запись, которую мы используем для VPN.
• У L2TP/IPsec нужно также указать секретный ключ, который мы создали.

Как только настройки будут введены, сохраните все и не забудьте включить само подключение.

Windows

Есть небольшая проблема в том, что Keenetic использует тип шифрования MPPE с ключом 40 бит – это связано с законодательством в РФ, Белоруссии и Казахстане. А на ОС Windows используется ключ 128 бит. Если вы прямо сейчас приступите к настройке, то подключение не произойдет. Но есть два выхода. Первый – мы изменим некоторые настройки в роутере. Второй – поменяем конфигурацию в Windows.

ВНИМАНИЕ! Выберите только один из двух вариантов.

Изменение настроек роутера

1. Нам нужно включить Telnet на Windows – для этого перейдите в «Панель управления». В Windows 10 нажмите на кнопки «Win» и «R» и введите команду:

control

1. «Программы и компоненты».

1. «Включение или отключение компонентов Windows».

1. Включаем «Клиент Telnet».

1. Запускаем командную строку через поиск.

1. Вводим команду для входа в роутер.

telnet 192.168.1.1

1. Далее введите пароль от админки роутера.

1. Вводим команды:

Изменение настроек в Windows

1. Заходим в редактор реестра – нажимаем по кнопке «Win» и «R» и вводим команду:

regedit

1. Копируем путь:

HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRasmanParameters

1. И вставляем его в верхнюю строку. Или вы можете по нему пройти самостоятельно.
2. Находим параметр «AllowPPTPWeakCrypto», открываем и меняем на 1.
3. Нажимаем «ОК».
4. Перезагружаем комп.

Теперь переходим к подключению.

Windows 10

1. «Пуск» – «Параметры».

1. «Сеть и Интернет».

1. В разделе «VPN» нажимаем по кнопке с плюсиком.

1. Заполняем данные:
   1. Имя подключения – вводим любое наименование, оно будет отображаться только у вас в винде.
   2. Имя или адрес сервера – указываем наш DDNS или IP.
   3. Тип VPN – «PPTP» или «L2TP/IPsec с общим ключом».
   4. Общий ключ (только для L2TP/IPsec) – указываем тот самый ключ.
   5. Тип данных для входа – «Имя пользователя и пароль».
   6. Ниже вводим логин и пароль от учетки, которую мы создали в роутере. Можно использовать для проверки пользователя admin.

1. Нажимаем «Сохранить». Далее нажимаем «Подключиться».

24

Windows 7

1. Кликаем ПКМ по подключению и заходим в центр управления.

1. Нажимаем «Настроить новое подключение…»

1. «Подключение к рабочему месту» – установите настройку «Нет, создать новое подключение». Идем далее и выбираем «Использовать мое подключение к Интернету (VPN)». Сначала вводим адрес роутера с VPN-сервера – это может быть DDNS или внешний IP. Имя указываем любое.

1. Вводим логин и пароль. Поставьте галочку «Запомнить этот пароль», чтобы его постоянно не вводить.

1. Теперь нам нужно установить тип PPTP – это конечно можно и не делать, но тогда подключение будет очень долгим, так как винда будет перебирать все возможные варианты. Для настройки нажимаем на «Win+R» и вводим команду:

ncpa.cpl

1. Кликаем ПКМ по нашему подключению и заходим в «Свойства».

1. На вкладке «Безопасность» установите тип VPN как PPTP или IPSec – смотря, какой тип сервера вы создавали в интернет-центре.

1. Там же перейдите в раздел «Сеть» и, выделив протокол TCPv4, перейдите в «Свойства» – «Дополнительно» – уберите галочку сверху.

Android

1. «Настройки».

1. «Сеть и интернет» – «Дополнительно» – «VPN».

1. Добавляем профиль.
   1. Название – вводим любое.
   2. Тип – указываем PPTP или L2TP/IPSec PSK.
   3. Адрес сервера – внешний IP или DDNS.
   4. Общий ключ IPsec – указываем наш ключик.
   5. И в самом низу вводим имя пользователя и пароль.

1. Подключаемся.

iOS

1. «Настройки» – «Основные» – «Добавить конфигурацию VPN».

1. Вводим:
   1. Тип – указываем L2TP или PPTP.
   2. Описание – вводим любое название.
   3. Сервер – DDNS или IP нашего роутера.
   4. Учетная запись – это логин.
   5. Пароль – это пароль.
   6. Общий ключ – нужен только для IPSec.

1. Подключаемся.

Используемые источники:

• https://www.ixbt.com/live/nw/rabota-s-usb-nakopitelyami-na-routerah-keenetic.html
• https://wifigid.ru/zyxel/vpn-2