Как установить VPN-сервер на Keenetic

Устанавливаем и настраиваем личный сервер с ВПН на роутере Кинетик. Подключаемся к собственному роутеру с сервером в любой точке мира.

Настраиваем свой VPN-сервер на Keenetic

Сервер позволяет подключить к другой сети, роутеру (все лучшие VPN для роутеров любой фирмы), или маршрутизатору Keenetic. Это обеспечивает возможность удаленного доступа через смартфон, планшет или с любого другого устройства, даже если пользователь находится не дома.

Вход в настройки и включение DDNS

Подключить к локальной сети Keenetic можно двумя способами:

• Кабелем через локальный порт;
• По Wi-Fi.

Для использования интерфейса в браузере нужно ввести IP-адрес роутера (192.168.1.1) или адрес сайта - my.keenetic.net. Остается авторизоваться в системе, используя логин и пароль (если не были изменены, то их можно найти на коробке с устройством).

Смысл сервера – в доступе к нему извне. Подключение производится через внешний адрес маршрутизатора. Однако есть нюансы. Провайдеры выдают два адреса:

• Белый динамический;
• Серый статический.

Обязательно, чтобы провайдер выдал внешний фиксированный (белый) адрес. Если нет – на новых прошивках KeenDNS есть возможность подключиться к статистическому IP. Создается облачный DDNS, работающую напрямую или через облако. При взаимодействии с последними сборками прошивки:

• Перейдите в параметр "Доменное имя" и вводим любое название, нажимаем "Зарегистрировать".
• Если имя не занято – роутер уведомит об этом и выдаст 3 поддомена (можно выбрать любой).
• Для серого IP перейдите в "Общие настройки" и активируйте "Keenetic Cloud".
• На экране появится диалоговое окно – дождитесь, пока оборудование загрузит SSL-сертификаты. Затем выберите "Режим работы": через облако – для серого IP, прямой доступ – для белого адреса.

Если на роутере старая прошивка, то с серым IP ничего не сделать. Можно только подключиться к другому провайдеру или купить новую модель Keenetic. Для пользователей с белым IP – нужно аналогично настроить DDNS:

• Зайдите в параметр "Интернет", затем в "DDNS".
• Изучите список серверов. В стандартном варианте доступны: Dyn, No-Ip и DNS-Master.
• Зайдите на сайт этих серверов, зарегистрируйте и сформируете DDNS.
• Зайдите обратно в настройки и введите параметры DDNS.

Настройка WireGuard-сервера

Из-за особенностей протокола обозначения "клиент" и "сервер" становятся условными. Возможность организовать WireGuard-туннель появилась в версии ПО KeeneticOS 3.3 — функция работает только на новых устройствах. Подключение работает в формате "Site-To-Site VPN". Если у одного из интернет-центров есть белый IP — лучше настроить его как сервер. WireGuard можно использовать только для связи двух сетей (обычно роутеров) в одну локальную.

Другой важный нюанс – настройка производится на обоих устройствах сразу. К примеру, параметры сервера обозначены с компьютера, а клиента – со смартфона (лучшие VPN для телефона смотрите отдельно). При этом можно организовать туннель между роутерами в разных точках мира. Например, если подключается связь к серверу VPN-сервиса.Для настройки зайдите в компоненты и добавьте WireGuard. Затем:

• В названии укажите имя английскими буквами. Для примера: на одном устройстве (сервере) – Sev, на другом (клиенте) – CL. Оба должны быть открыты.
• Кликните на "Генерацию пары ключей".
• В строке с адресом впишите IP-туннель с bitmask (допускается указание любого спектра из частного диапазона). Если проще, частные адреса – это те, что действуют внутри локальной сети и не доступны в интернете. Для примера возьмем 172.16.82.1/24, номер порта – 16632 (через него и будет оформляться подключение устройств, роутер сам его откроет). Нажмите на "Добавить".
• В роутере CL добавьте подключение с названием Sev и кликните на "Генерация пары ключей", затем сразу на "Сохранить публичный ключ в буфер обмена".
• Вернитесь в параметре сервера, где появится страница с настройкой пиров. Введите туда данные (при этом нельзя закрывать настройки клиента): имя пира (как в клиенте), публичный ключ – из буфера обмена; разрешенные подсети (спектр локальных адресов клиента – в данном случае 172.16.82.2), настройка маски - /32. При этом нужно не забыть указать о спектре локальных клиентских сетей (192.168.100.0/24). В периодичности проверке аёктивности подключения выберите 15 секунд.

Теперь остается настроить межсетевой экран. Откройте параметр подключение и сформулируйте правило для доступа извне. Далее:

• Разрешайте все настройки.
• Пропишите статический адрес для туннеля в разделе с маршрутизацией: тип маршрута – до сети, адрес – пул маршрутизатора CL, маска подсети - 255.255.255.0, в интерфейсе выберите подключение Sev.
• Вернитесь в созданное подключение и сохраните ключ – он понадобится для клиента.
• Перейдите в настройки CL и в параметре адреса укажите туннель 172.16.82.2 и маску /24.
• Добавьте пир с именем как на сервере, вставьте ключ из буфера обмена, укажите внешний адрес или тот, что создан с DDNS, затем после знака ":" введите порт сервера. В разрешенных подсетях вбейте туннель 172.16.82.1/32 и укажите спектр локальных устройств. Проверка активности – аналогично на 15 секунд.
• В межсетевом экране добавьте те же настройки, что и на сервере.
• Создайте статистический маршрут как на сервере, но в адреса введите изначальный пул Sev, а в интерфейсе CL.

Если конфигурация проделана правильно, то в разделе "WireGuard" на роутерах в графе "Пир" будет зеленый кружек и указано название второго устройства.

Читайте также:

• Лучшие VPN для Smart TV;
• Лучшие VPN для Playstation;
• Лучшие VPN для Xbox.

Настройка OpenVPN-сервера

Вначале нужно установить компоненты OpenVPN (приведено в инструкции по настройки сервера PPTP/SSTP). Режим работы протокола определяется его файлом конфигурации. Рассмотрим самый простой вариант соединения двух роутеров с использованием общего секретного ключа.

• Создайте секретный ключ (нужно скачать и установить OpenVPN с сайта). В примере используется сборка 2.4.6-I602 для Win.
• Перезагрузите ПК. В директории, в которую установлен OpenVPN, найдите файл командной строки bin – откройте его от имени администратора и введите команду: Openvpn.exe --genkey --secret static.key.
• Откройте файл с ключом в Блокноте и скопируйте из него текст, вставив его в места настройки файлов конфигурации обоих устройств.
• Перейдите к параметрам первого роутера. Нажмите "Другие подключения" и добавьте соединение с протоколом "OpenVPN".
• В графе с именем введите название подключения, а в строке конфигурации вставьте содержимое файла конфигурации и сохраните настройки.
• Аналогично проделайте настройку второго роутера, но используйте конфигурацию клиента.

Также на стороне устройства-сервера в веб-интерфейсе нужно выполнить команду:

• Interface OpenVPN0 no ip global
• Interface OpenVPN0 security-level private

Для разрешения трафика между двумя роутерами с приватной безопасностью используется команда no isolate-private. Если сервер будет использован для доступа к Интернету, то понадобится использовать Ip nat 10.1.0.2 255.255.255.255. Проделанные настройки сохраняются командой system configuration save.

Остается открыть порт для соединения по протоколу: сформулируйте правило в Межсетевом экране для параметра "Провайдер" или для того, которое используется для выхода в интернет.

В правиле фильтрации, в графе "Действие" нужно выдать разрешение, а в строке "Протокол", значении "UDP" и "Номер порта назначение" выбрать 1194. На этом простейший вариант настройки соединения по OpenVPN. Для проверки сети можно провести диагностику через системный журнал.

Настройка PPTP/SSTP-сервера

Для работы сервера потребуются дополнение "PPTP VPN-сервер". Зайдите на страницу "Общие настройки" в графе "Обновление и компоненты", затем кликните на "Изменить набор компонентов". В окне "Приложения" найдите строку "VPN-сервер PPTP" и кликните по ссылке. Настройте сервер:

• Графа "Множественный вход" позволяет организовать несколько одновременных подключения при использовании одинаковых данных. Это влияет на безопасность и усложняет мониторинг, но упрощает использование.
• Пункт "Только с шифрованием" — оставьте галочку, иначе трафик не будет защищен;
• "NAT для клиентов" — настройка доступа сервера в Интернет.
• "Доступ к сети" — выбрать "Домашнюю сеть", если к ней подразумевается подключение.
• "Начальный IP-адрес" — стандартный пул адресов для клиентов (не должны пересекаться с сервером, потому лучше изменить параметр);
• Спектр адресов — до 10;
• "Пользователи" — допускается создание разных учетных записей.

Подключить к серверу в качестве клиента можно через другой роутер, смартфон на базе Android (список лучших VPN для Андроид) или компьютер на базе Windows (смотрите все лучшие VPN для ПК с Windows).

Для настройки SSTP-сервера используется аналогичное дополнение - "SSTP VPN-сервер". В этом случае кроме активной службы KeenDNS, нужно выбрать имя в домене keenetic: .link, .pro или .name и выдать доступ извне при помощи протокола HTTPS:

• Зайти в "Пользователи и доступ".
• Открыть "Удаленный доступ" и разрешить настройку по протоколам "HTTP и HTTP" или "Только HTTPS".

В остальном настройка SSTP-сервера производится по аналогии с PPTP-сервером. Для подключения роутера к VPN-сервису:

• Перейдите на страницу "Другие подключения".
• Откройте раздел "VPN-подключения" и выберите "Добавить подключение".
• В "Параметры VPN" найдите графу "Тип" и выберите значение "PPTP".
• В "Имя подключения" впишите название соединения, а в качестве имени укажите доменное имя или IP-адрес сервера.
• В разделе "Имя пользователя" и "Пароль" введите информацию об открытом профиле.

Необходимую информацию для доступа к серверу в качестве клиентов можно запросить у поставщика VPN услуг, если используется премиум-сервис. Подробнее о подключении роутера к VPN можно прочитать в нашей статье.

Настройка L2TP/IPsec-сервера и клиентский сервис

Установите компонент "VPN-сервер L2TP/IPsec" по инструкции выше. При регистрации сервера в параметре "Общий ключ IPsec" введите ключ безопасности. Настройте параметры соединения по аналогии с PPTP/SSTP-сервером. Подключение клиентов также производится по стандартному алгоритму: единственное, в "Параметры VPN" в поле "Тип" нужно выбрать "L2TP/IPsec".

Проверка работоспособности VPN на Keenetic

Для проверки VPN зайдите в настройки маршрутизатора, откройте параметр "Пользователя" — там есть вся информация о подключениях, клиентах и обмене трафика. В случае с OpenVPN выполните пинг обоих концов туннеля. Для сервера используйте команду:

• ping 10.1.0.1
• ping 10.1.0.2

Для клиента:

• ping 192.168.1.1
• ping 192.168.2.1

Если вы подключили Keenetic в качестве клиента к серверу VPN, то проверить работоспособность соединения вы можете на сайте ExpressVPN или NordVPN — система автоматически укажет, если защита трафика отсутствует. Также встроенные технологии укажут на утечку DNS.