Настройка VPN на роутере ZyXEL Keenetic: создание и подключение за 4 шага

Два (три, четыре) интернет-канала с автоматическим переключением

Вообще, Keenetic поддерживает больше двух интернет-провайдеров, если есть желание — вы можете настроить их хоть четыре штуки, и роутер будет переключаться между ними, если у провайдера упала связь или просто закончились деньги на балансе. Заметьте — физический обрыв провода совсем не обязателен для того, чтобы роутер понял, что интернета нет и включил резерв.

Настройка двух интернет-провайдеров производится инстинктивно: в разделе «проводное подключение» выбираете основного провайдера, а затем добавляете еще одного по принципу «один провайдер на один сетевой порт». Новый провайдер по умолчанию считается резервным, а чтобы отслеживать работу основного канала, используется метод доступности портов в таких ресурсах, как Facebook или Google. Но для собственной сети куда важнее, чтобы были доступны свои сервисы в удаленных филиалах, потому что не редка ситуация, когда Google и Facebook работает, а “Хабаровск” — нет. Поэтому выбираем метод проверки связи — обычный Ping (ICMP-эхо) на наш IP-адрес. Если пинг не проходит в течение 10 секунд (время и частота настраиваются), роутер считает, что провайдер сломался, и переключается на резервный.

По собственному опыту могу сказать следующее: если ваша работа связана с интернетом, то два провайдера — это Must Have! Особенно, если они какие-то местечковые и непонятные, ведь обрыв связи на 3-4 дня — это, к сожалению, обычное дело.

VPN через облако по протоколу SSTP

Если кислород перекрыли, провайдер-жмот не дает белый IP-адрес, VPN-порты и GRE закрыли, все на свете позаблокировали, то есть один шанс обойти все ограничения и получить доступ ко всем устройствам в сети удаленно, по всем портам и протоколам — использовать VPN через облако KeenDNS по протоколу SSTP. Дело в том, что SSTP работает на том же порту (443), что и защищенное HTTPS-соединение для доступа к веб-сайтам. Если запретить 443-й порт, то перестанут работать не только Yandex и Google, но и гордость российского интернета, портал «Госуслуги», так что этот протокол в нашей стране выглядит более надежным, чем PPTP или L2TP/IPsec. Windows 7/8/10/2016 уже имеет встроенную поддержку SSTP, что позволит легко работать из дома с офисной сетью.

В Keenetic встроенный SSTP-сервер намертво привязан к облачному сервису KeenDNS, о котором мы говорили выше, и при его включении ваш VPN-сервер будет иметь адрес вида hwp.keenetic.pro. При “сером” адресе через облако Keenetic проходит и весь трафик SSTP. Это хорошо тем, что имея под рукой VPN-клиент, вы можете из любой точки мира получить доступ к любому устройству в вашей сети, находящемуся за «серым» IP-адресом, даже если у вас для доступа в интернет используется модем Билайн, МТС или Мегафон. Серый IP — не проблема: мы видим все web-интерфейсы умных устройств, мы видим сетевые папки и принтеры нашей организации, но…

…но мы видим это не очень быстро. Наши тесты показали, что скорость SSTP через KeenDNS может достигать 15 Мбит/с, но может и проседать до 5 Мбит/с. Этого хватит разве что для обмена сообщениями и хождения электронной почты. Разные там интернет-вещи могут общаться на такой скорости, но сотрудники быстро начнут возмущаться.

Если у вас провайдер предоставляет “белый” IP-адрес, то в настройках облака KeenDNS вы можете указать это, и тогда при соединении с SSTP-сервером, облако будет использоваться только для идентификации клиента, а трафик пойдет напрямую, что гораздо быстрее, как видно на графиках выше: до 23 Мбит/с на Giga KN-1010.

Я, конечно, надеюсь, что Keenetic ускорит свое облако, потому что при текущих скоростях эта фишка выглядит как крайняя мера, и её следует вынести в отдельный пункт меню с надписью «в случае необходимости — разбить стекло!». Но как показывает практика, именно за такие «крайние меры» люди очень часто выкладывают очень большие деньги. Особенно, если провайдер решил «в одностороннем порядке изменить условия договора» в понедельник с утра, и вся работа встала. Тут за 5 мегабит в секунду многое отдашь.

Настройка работы устройств только через VPN

Снова про VPN: ничего не поделаешь, но виртуальная частная сеть — это хит текущего сезона, и рассмотрим еще один сценарий. Допустим, у вас установлен сервер 1C, и вам очень хочется, чтобы он выходил в интернет только через VPN. Для чего это может быть нужно? Ну во-первых, чтобы гарантировать интернет-соединение с американскими облачными хостингами типа Microsoft Azure или Amazon S3, куда можно складывать резервные копии, плюс к этому — дополнительная защита данных при передаче через интернет для сотрудников в других городах или на удаленке. В прошивке 2.12 Beta для роутеров Keenetic появилась функция приоритетов подключения, благодаря которой, любому физическому устройству в вашей сети можно ограничить доступ в интернет: как полностью отключить, так и направить весь трафик строго через VPN сервер.

Здесь все настраивается еще проще: во вкладке «другие подключения» создаем VPN туннель для выхода в интернет. Если вы купили платный VPN на европейских хостингах, параметры настройки вам дадут в личном кабинете сервиса. Затем лучше всего перейти в список устройств и дать имя нашему сверхсекретному серверу, чтобы не запутаться в MAC-адресах. Мы назовем его «Проектная документация», а также обеспечим беспрепятственный доступ в интернет смартфону с “телеграммом”! После этого во вкладке «Приоритеты подключений» выбираем наши устройства и привязываем их к профилю VPN. Все, теперь никакие войны с мессенджерами не повлияют на работу нашего сервера.

Бонус: Подключение DECT-телефонов к роутеру

Интернет-центры серии Keenetic можно использовать как базовые станции для беспроводных стационарных DECT-телефонов, подключенных к провайдеру IP-телефонии. Только представьте себе – вам не нужно покупать стационарные IP-телефоны, тянуть PoE кабель по всему офису, разговаривать по скрипящим пластиком трубкам дешевых китайских IP-аппаратов… Вы можете пойти в М-Видео, купить . В том же DNS-е купить  – и настроить вашего провайдера IP-телефонии, используя Keenetic как VoIP сервер.

Чем больше телефонных трубок в вашей компании, тем больше будет экономия на оборудовании, ведь если посмотреть на цены DECT VoIP трубок в магазинах (, ), в среднем беспроводной VoIP телефон с базовой станцией стартует от 6 тысяч рублей. Сам модуль Keenetic Plus DECT позволяет одновременно вести разговоры по четырем телефонным трубкам, подключенным к одному (!) номеру, то есть можно не бояться, что ваш клиент не дозвонится к вам в офис, если кто-то уже ведет важные переговоры.

У нас на HWP последний DECT-аппарат был торжественно выброшен лет 10 назад, поэтому протестировать работу данной функции мы не можем, но настройка очень подробно описана в базе знаний Keenetic, и судя по отзывам в блогах и на форумах, у людей все работает.

Подключение к web-устройствам за серым IP-адресом через облако KeenDNS

Дальше, каждое из зарегистрированных домашних устройств мы можем вынести в это же облако со своим адресом вида nas.hwp.keenetic.pro, и вводя этот адрес в строке браузера, мы будем сразу попадать на web-интерфейс нашего девайса.

Все это работает по защищенному HTTPS протоколу с автоматическим получением и обновлением сертификата через сервис Let’s Encrypt (не надо никому платить за сертификат или заморачиваться с самоподписанными). Правда, если ваше устройство в домашней сети доступно только по 80-му порту и адресу http:// без «S» на конце, то и работа с ним через облако KeenDNS будет происходить по протоколу HTTP, что небезопасно.

Мы протестировали работу KeenDNS, выделив роутеру серый адрес домашней подсети и подключив к нему наш самосборный NAS по HTTP-соединению. Как вы можете видеть на скриншотах, все заработало как надо. Более того, второй, третий и четвертый NAS, а также IP-камеры, работающие по 80-му порту, тоже могут быть добавлены в этот сервис, что многократно упростит доступ извне, через интернет.

Внешний вид Keenetic Omni и GIga

Большинство современных роутеров имеют скучный дизайн, и в Keenetic взгляд цепляется за две вещи. Первая — это огромные прямоугольные антенны, разобрав которые, видишь — это не проволочка, как многие любят, а довольно замысловатые крупные печатные антенны. В старшей Keenetic Giga используется антенная группа 2 MU-MIMO с двумя пространственными потоками и коэффициентом усиления — 5 дБи.

Вторая вещь, достойная внимания — это SFP-порт в модели Giga. Он запараллелен с WAN-портом роутера, и служит для подключения к интернету удаленных отдельностоящих объектов, куда дотянуться можно только оптоволокном. Сегодня оптоволокно стоит очень дешево, а гигабитные SFP трансиверы — вообще продаются за копейки, так что расстояния для быстрого интернета уже не имеют значения.

Keenetic Giga состоит из 2-ядерного процессора MediaTek MT7621AT, одного чипа ОЗУ DDR3 объемом 256 Мб и радиомодуля MediaTek MT7615DN. Слот SFP не имеет дополнительного охлаждения, поэтому дальнобойные трансиверы сюда лучше не ставить. Конструкция роутеров семейства Keenetic всегда была простая, и любоваться здесь особо нечем, но придраться можно только к установленным конденсаторам: в таком дорогом продукте хотелось бы видеть емкости как минимум фирмы Nippon, а здесь непонятно чьи.

Авторизация Wi-Fi пользователей в соответствии с Постановлением Правительства №758 и №801

Хотите раздавать бесплатный Wi-Fi в вашей бургерной или барбершопе в подвальчике, где не ловит 4G, но вы никогда не слышали про: «Постановление Правительства №758 и №801», «ЕСИА», «СМЭВ», «97-ФЗ», «114-ФЗ», «304-ФЗ»? Ну так вот – ради нашей безопасности каждый клиент бесплатного Wi-Fi должен пройти аутентификацию, чтобы «большой брат» знал, кто именно сейчас пишет нелицеприятные комментарии «Вконтакте». Отсутствие аутентификации пользователя ведет к наложению штрафа на юр.лицо, раздающее открытый Wi-Fi в размере от 50 до 300 тысяч рублей. Это раньше Wi-Fi пароль можно было спросить у бармена, а сейчас все автоматизировано – захотел ваш клиент выйти в интернет, подключился к открытой точке доступа, получил SMS с кодом доступа – и пожалуйста, перед законом все чисты. Более того, сервис по авторизации гостей может сохранять у себя MAC-адрес Wi-Fi адаптера смартфона, чтобы гость, прошедший авторизацию в одном кафе, не проходил её заново в другом, подключенном к той же системе. Такую возможность имеет крупный сервис .

Все это кажется громоздко, сложно и дорого, но мы вам покажем, что это просто и почти бесплатно. Сначала, выбираем сервис авторизации – беглый поиск по Google посоветовал сайт ciawifi.ru. Регистрируемся и в личном кабинете создаем объект, где якобы располагается наш хот-спот. После этого там же переходим в раздел «точки доступа» и добавляем наш роутер, а в списке прошивок выбираем Keenetic (ZYXEL).

Здесь единственная сложность – это найти MAC-адрес именно того порта, которым роутер выходит в интернет. Что делать если у вас 2 интернета и соответственно 2 MAC-адреса? Просто менять сервис авторизации на другой – сотрудничество с сервисом авторизации вас ни к чему не обязывает.

Теперь в настройках Keenetic идем по списку: «Мои сети и Wi-Fi» – «Гостевая сеть» и пролистываем вниз до заголовка Captive Portal. Включаем и открываем список поставщиков услуги авторизации, в котором собраны 14 самых востребованных компаний, и наша ciawifi.ru там на первом месте. Бесплатность сервиса – весьма условная, абонентская плата составляет 450 рублей в месяц, что для барбершопа или бургерной – не такие уж и большие деньги. Данный сервис работает не без глюков, ну так на то он и бюджетный, не забываем, где живем.

Пришло время включить нашу гостевую Wi-Fi сеть на роутере, и перед законом мы чисты. Наши клиенты будут авторизованы в самом лучшем виде, им можно задать ограничение скорости (по умолчанию 5 Мбит/с), чтобы больше тратили на бургеры и меньше смотрели в телефоны, им выделяется отдельный пул IP-адресов вида 10.1.30.x, чтобы они не лезли во внутреннюю сеть кафешки, им можно включить изоляцию сетевых устройств, чтобы они не взламывали смартфоны и ноутбуки других посетителей, и, кстати, целиком гостевую Wi-Fi сеть можно выключать по расписанию, что будет очень хорошим поводом выпроводить посетителей после закрытия заведения.

Как видите, с точки зрения законопослушного Wi-Fi для клиентов, у роутеров Keenetic все очень лаконично и просто. У меня на настройку авторизации через Captive Portal (а делал я это первый раз в жизни) ушло около 15 минут, включая регистрацию и съемку скриншотов для статьи.

Кстати, в настройках профиля Captive Portal, вы можете указать сайты, доступ к которым возможен без авторизации. По умолчанию там установлены всякие Facebook-и, Яндексы и Вконтакты, но вы не забудьте отредактировать его, добавив HWP.ru – остальное можете смело удалять.

VPN-сервер L2TP/IPSec

В настройке PPTP на кинетиках есть нюансы, почитайте специально написанную для этого . Но я рекомендую вам не использовать PPTP, а просто настроить L2TP/IPSec — более надежный протокол, и все работает из коробки.

Как видно, L2TP/IPSec даже на младшем Keenetic Omni выдает почти 30 Мбит/с, то есть действительно аппаратно ускоряется, как заявляют в Keenetic, хотя при этом загрузка процессора роутера составляет 100% и Web-интерфейс еле открывается. Много это или мало? Для работы 2-3 сотрудников с электронными документами и для мониторинга сетевых устройств, этого более чем достаточно, но для коллектива из 10-15 человек уже будет мало.

Совсем другое дело — Keenetic Giga, чей двухъядерный процессор аппаратно ускоряет чистый IPsec до теоретических 400 Мбит/с. Здесь скорости будет достаточно для того, чтобы работать по RDP в разрешении 1920×1080, подключать удаленные базы данных, синхронизировать резервные копии небольших серверов и перекачивать FullHD медиафайлы или 4K со сжатием. Говоря проще, скорее вы упретесь в медленный тариф интернет-провайдера, чем в возможности VPN-сервера Keenetic Giga. Да и загрузка процессора у Keenetic Giga даже в этом тесте не превышает 48%, так что все остальные сервисы продолжают работать как часы.

Помимо PPTP и L2TP/IPsec, во всех кинетиках есть чистый (site-to-site) IPsec, виртуальный сервер IPsec Xauth PSK (нативно поддерживается в iOS и Android), и даже OpenVPN. Кроме того, нас заинтересовал сравнительно редкий и свежий вариант SSTP, но прежде, чем о нем рассказывать, рассмотрим фирменный облачный сервис KeenDNS.

Заключение

Если ваш бизнес только встает на ноги, но вам уже нужно обеспечить работу 5-10 человек в офисе и на удаленке, и очень хочется, чтобы все работало через защищенные VPN-каналы, роутеры серии Keenetic дадут вам эти возможности. 

Какой кинетик выбрать?

  • Omni KN-1410 – брутальное решение, когда за копейки вы получаете весьма функциональный маршрутизатор на входе, а вайфай и прочее собираетесь добавлять через коммутаторы. Ну, или просто хотите изучить возможности платформы Keenetic.
  • Giga KN-1010 – когда необходимо подключение по активной оптике, нужна более высокая скорость VPN, когда посетители вашего кафе любят быстрый 5 ГГц Wi-Fi и когда вы понимаете, что рост вашего бизнеса не должен ограничиваться 100-мегабитной сетью.

Михаил Дегтярёв (aka LIKE OFF)12/07.2018

Поделитесь в социальных сетях:FacebookTwitterВКонтакте
Напишите комментарий