Keenetic Orbiter 6 (KAP-630) Центр Підтримки

Маршрутизатори Keenetic дозволяють налаштувати підключення до Інтернету по виділеній лінії Ethernet, використовуючи будь-який тип з'єднання: IPoE, PPPoE, PPTP, L2TP, 802.1x, VLAN 802.1q, IPv4/IPv6.

Також можна підключитися до Інтернету через термінал PON або модем xDSL/DOCSIS/кабельний модем з портом Ethernet, наприклад, у випадку попередньо встановленого обладнання провайдера.

Кабель Ethernet від провайдера, що відповідає принаймні категорії 5e, довжиною не більше 100 метрів і обтиснутий стандартним 8-контактним роз'ємом RJ-45, слід прокласти до місця, де буде розміщено маршрутизатор. Зазвичай цей кабель слід підключати до порту 0 (WAN/Інтернет) маршрутизатора.

Найпоширенішим і найпростішим у налаштуванні типом підключення до Інтернету є IPoE (Internet Protocol over Ethernet), який іноді називають «виділеним» або «з'єднанням по виділеній лінії». Цей метод не передбачає автентифікації за логіном і паролем для доступу до Інтернету. Все, що вам потрібно зробити, це підключити кабель провайдера до порту 0 маршрутизатора. Після цього будь-який домашній пристрій, підключений до його мережі Wi-Fi або одного з вільних портів Ethernet, отримає доступ до Інтернету. Таким чином, жодних додаткових налаштувань не потрібно.

Однак у деяких випадках ваш провайдер може призначити вам статичну публічну IP-адресу; її потрібно вказати в налаштуваннях маршрутизатора. Для цього перейдіть на сторінку Кабель Ethernet» вебінтерфейсу Keenetic. У розділі «Налаштування IPv4» встановіть для параметра «Налаштування IPv4» значення «Вручну».

Потім введіть адресу, надану вашим провайдером, у поле «Адреса IPv4». Ваш провайдер повинен надати інші параметри IP (маску підмережі, адреси шлюзу та DNS) разом зі статичною IP-адресою для ручного налаштування; вкажіть їх у відповідних полях. Наприклад:

Деякі Інтернет-провайдери дозволяють доступ до Інтернету лише одному пристрою, зареєструвавши його MAC-адресу. Зазвичай користувач надає Інтернет-провайдеру MAC-адресу мережевого адаптера свого комп'ютера. В цьому випадку доступ до Інтернету можна отримати тільки з цієї MAC-адреси.

Якщо так і є, і ви знаєте MAC-адресу яка зареєстрована у вашого Інтернет-провайдера - це може бути адреса попереднього маршрутизатора або мережевий адаптер вашого ПК, або MAC, що надрукована в договорі, тоді можна замінити заводську MAC вашого Keenetic на ту MAC-адресу, яку прийме ваш провайдер.

На сторінці 'Кабель Ethernet', під 'Вимоги Інтернет-провайдера', будь ласка, виберіть один із варіантів у полі MAC-адреса:

'За замовчуванням'- заводські налаштування за замовчуванням, WAN MAC-адреса відповідатиме зазначеній на етикетці пристрою;

'Взяти з вашого ПК'— WAN MAC-адреса Вашого маршрутизатора зміниться на MAC-адресу з мережевої карти комп'ютера, з якого відкрито вебінтерфейс. Опція 'Взяти з вашого ПК' можлива лише тоді, коли ваш комп'ютер підключений через кабель Ethernet;

'Ручне'— вкажіть вручну MAC-адресу, яка буде використовуватись у якості WAN MAC-адреси.

Ви можете знайти MAC-адресу ПК з Windows дотримуючись інструкції» 'Як перевірити налаштування мережевого адаптера в Windows'.

PPPoE найчастіше використовується при підключенні до Інтернету через ADSL/VDSL, але іноді цей тип підключення також використовується провайдерами, що надають Інтернет по виділеній лінії Ethernet.

На сторінці 'Кабель Ethernet', під 'Автентифікація у провайдера (PPPoE / PPTP / L2TP)', виберіть 'PPPoE' в полі 'Тип (протокол)'.

Потім, в полях 'Ім'я користувача' і 'Пароль', введіть логін і пароль для підключення до Інтернету, надані вашим провайдером.

Натисніть на 'Показати додаткові налаштування PPPoE' для відображення полів з розширеними налаштуваннями.

Поля 'Ім'я сервісу' та 'Ім'я концентратора' необов'язкові; залиште їх порожніми, якщо ваш провайдер не надав вам додаткової інформації.

Залиште поле 'Налаштування IPv4' встановленим на 'Автоматичне' якщо ваш провайдер автоматично призначає IP-адресу для доступу до Інтернету.

Якщо ваш Інтернет-провайдер надав вам фіксовану (статичну) IP-адресу, виберіть 'Ручне' в полі 'Налаштування IPv4'поле і вкажіть IP-адресу та адресу шлюзу в полях 'IP-адреса' і 'Віддалена IP-адреса' , що з'являться. Наприклад:

Якщо ваш провайдер не видає і не вимагає призначення IP-адреси для WAN інтерфейсу вашого маршрутизатора, тобто якщо його мережа не має автоматичного призначення IP-адреси , вимкніть автоматичне отримання IP-адреси через DHCP на Порту WAN. Для цього в у розділі 'Параметри IPv4' розділу Налаштування IPv4', вкажіть 'Вимкнено'.

PPTP і L2TP часто використовуються в мережах провайдерів. Головною перевагою даних протоколів є безпека передачі даних в Інтернет. Нижче ми розглянемо приклад налаштування з'єднання через протокол PPTP як найпоширеніший. L2TP підключення налаштовується аналогічним чином.

На сторінці 'Кабельне підключення Ethernet до Інтернету' у розділі 'Автентифікація у провайдера (PPPoE / PPTP / L2TP)L2TP)' в полі 'Тип (протокол)', вкажіть значення 'PPTP' або 'L2TP', залежно від того, який тип з'єднання ви хочете налаштувати. У полі 'Адреса сервера' введіть IP-адресу або доменне ім'я сервера PPTP або L2TP. У полях 'Ім'я користувача' і 'Пароль', введіть логін і пароль, надані вашим провайдером для підключення до Інтернету відповідно.

Натисніть на 'Показати додаткові налаштування PPTP' для відображення полів розширених налаштувань.

Якщо PPTP з'єднання використовує шифрування даних (MPPE), увімкніть відповідну опцію.

Залиште значення поля 'Налаштування IPv4' в 'Автоматичне', якщо IP-адреса для доступу до Інтернету присвоюється автоматично вашим провайдером.

Якщо ваш Інтернет-провайдер надав вам фіксовану (статичну) IP-адресу, вкажіть значення 'Ручне' в полі 'Налаштування IPv4' і вкажіть IP-адресу та адресу шлюзу в полях 'IP-адреса' і 'Віддалений IP', які з'являться. Наприклад:

У маршрутизаторах Keenetic в більшості випадків цифрове телебачення (IPTV) працює прямо з коробки як на комп'ютерах, так і на приставках.

Якщо вам потрібно підключити домашню мережу до Інтернету через Wi-Fi з'єднання, кожна модель маршрутизатора Keenetic дозволяє це зробити за допомогою режиму WISP (бездротовий Інтернет-провайдер) . Ви можете підключитися, наприклад, до загальнодоступної точки доступу Wi-Fi провайдера, до мережі Wi-Fi вашого сусіда, до бездротової точки доступу в сусідньому кафе або до мобільного точки доступу на вашому смартфоні. Під час подорожі, WISP режим зручно використовувати з готельною мережею Wi-Fi. Ваш Keenetic підключається до Wi-Fi готелю, і всі ваші мобільні пристрої готові до роботи, бо вже були підключені до попередньо налаштованої захищеної мережі Wi-Fi вашого маршрутизатора.

WISP підключення може використовуватися в якості основного або резервного з'єднання, яке автоматично активується при виникненні проблем з основним каналом доступу в інтернет.

Цей тип підключення до Інтернету налаштовується на сторінці Бездротовий Інтернет-провайдер.

На сторінці Бездротовий інтернет-провайдер, клацніть Огляд мереж, щоб вибрати потрібну бездротову мережу.

У вікні, що з'явиться, відображатимуться доступні мережі Wi-Fi в межах досяжності маршрутизатора. Будь ласка, виберіть потрібну мережу, натиснувши на неї.

Це поверне вас до сторінки Бездротовий Інтернет-провайдер.

При виборі бездротової мережі, поля Ім'я мережі (SSID) і Захист мережі заповнюються автоматично. У поле Пароль необхідно ввести пароль або ключ безпеки, який використовується для доступу до обраної мережі Wi-Fi.

За замовчуванням Параметри IPv4 встановлюються на автоматичні, тобто пристрій намагатиметься отримати IP-адресу через протокол DHCP при підключенні до верхньої точки доступу. Якщо ви хочете встановити статичну IP-адресу, шлюз і DNS-сервери, будь ласка, вкажіть ті у відповідних полях, які відкриваються, вибравши Ручне у випадаючому списку Конфігурація IPv4. Наприклад:

Щоб змінити локальну IP адресу вашого Keenetic, перейдіть на сторінку Домашня мережа, і у розділі Парамети IP, змініть поле IP-адреса — введіть будь яку приватну IP-адресу крім 192.168.1.1 (наприклад, введіть 192.168.0.1). Застосуйте налаштування, натиснувши кнопку Зберегти.

Встановіть перемикач підключення до Інтернету в праве положення (On) для початку підключення до Бездротового Інтернет-провайдера.

Після успішного підключення, на інформаційній панелі Інтернет на сторінці Системний монітор відобразиться інформація про поточне підключення.

WISP підключення може використовуватися як основне, так і у якості резервного.

При використанні резервного підключення, і, якщо WISP підключення використовується як основне з'єднання, на цій же сторінці можна увімкнути Перевірку доступності Інтернету (Ping Check). Тоді, навіть якщо з'єднання з точкою доступу залишається, але підключення до Інтернету фактично втрачено, Ping Check виявить цю втрату і автоматично переключить маршрутизатор на резервне з'єднання.

Примітка

Починаючи з KeeneticOS 3.8.2, додано новий параметр Номер каналу для підключення Бездротовий інтернет-провайдер, що дозволяє встановити певний номер каналу замість автоматичного вибору каналу на основі SSID. Ця опція значно скорочує час, необхідний клієнтській стороні маршрутизатора для сканування етеру, залишаючи більше ресурсів для передачі Wi-Fi та роботи бездротового MESH бекхолу. Використовуйте цей параметр для сценаріїв, коли точка доступу, що забезпечує Інтернет, має фіксований номер каналу Wi-Fi.

Точка доступу Wi-Fi на роутері і вбудований клієнт WISP використовують один і той самий фізичний радіомодуль (мова йде про один і той самий діапазон), і апаратно неможливо змусити вбудований клієнт WISP працювати на різних каналах з точкою доступу Wi-Fi. Наприклад, віддалена точка доступу провайдера працює на бездротовому каналі 48; і, якщо ви вручну встановлюєте канал 149 на вашій точці доступу Wi-Fi, ви не зможете підключитися через WISP до точки доступу провайдера, яка працює на каналі 48 (це можливо лише в різних діапазонах 2,4 та 5 ГГц, бо в цьому випадку використовуються різні радіомодулі). Якщо ви встановите автоматичний режим для вибору каналу на точці доступу, клієнт WISP завжди буде працювати на каналі точки доступу Wi-Fi, до якої WISP підключається, і буде 'мастером' для точки доступу роутера. У той же час точка доступу Wi-Fi на вашому маршрутизаторі стає 'слейвом' і також перейде на канал, встановлений клієнтом WISP.

KeeneticOS дозволяє вказати MAC-адресу точки доступу (BSSID) при підключенні в режимі Wireless ISP (WISP). Ця функція корисна, коли в ефірі є кілька точок доступу з однаковою назвою (SSID). У цьому випадку ви можете вибрати конкретну точку доступу для підключення, вказавши її MAC-адресу вручну.Connecting to the Internet via a Wireless ISP

У вебінтерфейсі маршрутизатора це налаштування знаходиться в меню Бездротовий Інтернет-провайдер на сторінці Підключення до Інтернету через точку доступу Wi-Fi. У дводіапазонних моделях маршрутизаторів (2,4/5 ГГц) це налаштування доступне в обох діапазонах.

Перейдіть на сторінку Підключення до Інтернету через точку доступу Wi-Fi і натисніть Показати додаткові налаштування у розділі Налаштування бездротового підключення. У полі BSSID (MAC-адреса точки доступу), що з’явиться, введіть MAC-адресу точки доступу, до якої ви хочете підключитися.

Якщо ви підключаєтеся через WISP до іншого пристрою Keenetic, виконайте на ньому таку команду, щоб знайти MAC-адресу точки доступу Wi-Fi, яку потрібно ввести в полі BSSID. Для мережі 2,4 ГГц:

show interface AccessPoint

Для мережі 5 ГГц:

show interface AccessPoint_5G

Ви можете виконати команду з вебінтерфейсу (веб-CLI) або через з’єднання telnet. Для отримання детальної інформації зверніться до інструкцій Інтерфейс командного рядка (CLI).

VPN (Virtual Private Network - Віртуальна приватна мережа) — загальна назва технологій, які забезпечують одне або кілька мережевих з'єднань (тунелів) через іншу мережу (наприклад, Інтернет).

Існує багато причин для використання віртуальних приватних мереж. Найпоширенішими з них є безпека та конфіденційність даних. Конфіденційність оригінальних даних користувача гарантується за допомогою засобів захисту даних у віртуальних приватних мережах.

Відомо, що IP (Internet Protocol) мережі мають вразливість через структуру протоколу. Немає засобів захисту переданих даних і немає гарантії того, що відправник є тим, за кого він себе видає. Дані в мережі IP можуть бути легко підроблені або перехоплені.

Ми рекомендуємо використовувати VPN підключення для доступу з Інтернету до домашнього сервера, файлів флешки, підключеної до маршрутизатора чи відеореєстратора, або до робочого столу комп'ютера через протокол RDP. У цьому випадку вам не доведеться турбуватися про безпеку переданих даних, оскільки VPN з'єднання між клієнтом і сервером зазвичай зашифроване.

Пристрої Keenetic підтримують наступні типи VPN-з'єднання:

За допомогою маршрутизатора Keenetic вашу домашню мережу можна підключити через VPN до загальнодоступної служби VPN, офісної мережі або іншого пристрою Keenetic, незалежно від типу підключення до Інтернету.

VPN-клієнти/сервери для безпечного доступу (PPTP, L2TP через IPsec, IKEv2, Wireguard, OpenVPN, SSTP, OpenConnect), а також тунелі для з'єднання мереж (IPsec Site-to-Site, EoIP (Ethernet через IP), GRE, IPIP (IP через IP) реалізовані на всіх пристроях Keenetic.

Залежно від використовуваних протоколів та призначення, VPN може забезпечити підключення в різних сценаріях: хост-хост, хост-мережа, хости-мережа, клієнт-сервер, клієнти-сервер, роутер-роутер, роутери-роутер (VPN-концентратор), мережа-мережа (site-to-site).

Якщо ви не знаєте, який тип VPN вибрати, зробити вибір вам допоможуть таблиці та рекомендації нижче.

* — у моделях Starter, Runner 4G, Launcher, Explorer, Carrier, використовується тільки прискорення алгоритму AES, а в Skipper, Тitan, Hero, Giant, Peak, Hopper використовується апаратне прискорення всього протоколу IPsec.

** — до 200 для Hero, Peak і Titan; до 150 для Carrier DSL; до 100 для Starter, Launcher, Explorer та Carrier.

*** — починаючи з KeeneticOS 3.7 кількість з'єднань WireGuard збільшено до 128 для моделей на основі ARM (KN-2710, KN-1811, KN-1012, KN-3811, KN-3812), а також до 48 для KN-1011, KN-1810, KN-1912, KN-2311, KN-2610 і KN-3013.

**** — до KeeneticOS 3.3, було обмеження 10 з'єднань для Hero (KN-1011), Titan (KN-1810) та 5 для всіх інших моделей.

* — для налаштування з'єднання вам потрібно буде встановити додаткове безкоштовне програмне забезпечення в операційних системах Windows, macOS, Linux, Android, iOS.

** — значення відносні, це не точні цифри, тому що швидкості для VPN-з'єднань залежить від моделі і ще декількох факторів - типу використовуваних алгоритмів шифрування, кількості одночасних з'єднань, типу підключення до Інтернету, швидкості і завантаженості Інтернет-каналу, навантаження на сервер та інших факторів. Приймаємо за низьку швидкість до 15 Мбіт/с, середню швидкість коло 30 - 50 Мбіт/с, і за високу швидкість — більше 70 Мбіт/с.

* — Ця функція реалізована на нашому хмарному сервері як спеціальне програмне розширення і доступна тільки для користувачів пристроїв Keenetic.

У більшості випадків для віддалених з'єднань клієнт-сервер рекомендуємо такі протоколи:

У багатьох моделях Keenetic передача даних через IPsec (в тому числі L2TP over IPsec і IKEv2) апаратно прискорюється за допомогою процесора пристрою. Вам не доведеться турбуватися про конфіденційність IP-телефонії або потоків відеоспостереження в такому тунелі.

Якщо ваш Інтернет-провайдер надає вам публічну IP-адресу, рекомендуємо звернути увагу на IKEv2, також відомий як IPsec virtual server (Xauth PSK), і L2TP over IPsec сервер. Вони цікаві тим, що забезпечують безпечний доступ до вашої домашньої мережі зі смартфона, планшета або комп'ютера з мінімальною конфігурацією: Android, iOS та Windows мають зручні вбудовані клієнти для цих типів VPN. Для IKEv2 на Андроїд скористайтеся безкоштовним популярним VPN-клієнт StrongSwan.

IKEv2 і L2TP/IPsec можна вважати найкращим універсальним варіантом.

Якщо ваш провайдер надає вам лише приватну IP-адресу для серфінгу в Інтернеті, і ви не можете отримати публічну IP, ви все одно можете організувати віддалений доступ до домашньої мережі за допомогою сервера VPN SSTP або OpenConnect. Основна перевага SSTP і OpenConnect тунелю - це його здатність працювати через хмару, тобто він дозволяє встановити зв'язок між клієнтом і сервером, навіть якщо з обох сторін є приватні IP-адреси. Усі інші сервери VPN вимагають публічної IP-адреси. Зверніть увагу, що ця функція реалізована на нашому хмарному сервері і доступна тільки для користувачів Keenetic

Що стосується тунельного протоколу PPTP , він найпростіший і зручний в налаштуванні, але потенційно вразливий в порівнянні з іншими типами VPN. Однак краще використовувати його, ніж не використовувати VPN взагалі.

А для просунутих користувачів ми можемо додати наступні VPN-сервіси до списку:

OpenVPN дуже популярний, але надзвичайно ресурсоємний і не має особливих переваг проти IPsec. Пристрої Keenetic підтримують TCP і UDP режими, TLS автентифікацію, сертифікати та ключі шифрування для підвищення безпеки VPN-з'єднання OpenVPN.

Сучасний протокол WireGuard полегшить і пришвидшить роботу з VPN (в кілька разів порівняно з OpenVPN) без збільшення споживання потужності апаратного забезпечення в роутері.

Для мобільних пристроїв та організації віддаленого підключення до маршрутизатора використовуйте:

Клієнт IKEv2 EAP (Логін/Пароль) вбудований в Android, iOS, MacOS, Windows.

Для з'єднання мереж та організацій використовуйте Site-to-site VPN:

Для вирішення специфічних завдань взаємодії мереж використовуйте:

IPsec є одним з найбезпечніших протоколів VPN завдяки своїм крипто-безпечним алгоритмам шифрування. Це найкращий варіант для встановлення VPN-з'єднань Site-to-Site для взаємозв'язку мереж. Професіонали та просунуті користувачі можуть створювати IPIP, GRE, EoIP тунелі як в чистому вигляді, так і в поєднанні з тунелями IPsec, що дозволить використовувати стандарти безпеки IPsec VPN захисту цих тунелів. Підтримка для IPIP, GRE, EoIP тунелів дозволяє встановити VPN-з'єднання з апаратними шлюзами, маршрутизаторами Linux, комп'ютерами та серверами UNIX/Linux, а також іншим мережевим та телекомунікаційним обладнанням, що підтримує ці тунелі. Налаштування тунелів такого типу доступне тільки в Інтерфейсі командного рядка(CLI) маршрутизатора.

Для отримання додаткової інформації про налаштування різних типів VPN в пристроях Keenetic ознайомтеся з інструкцією:

WireGuard - це безкоштовна програма з відкритим вихідним кодом, протокол віртуальної приватної мережі (VPN) для передачі зашифрованих даних та створення безпечних з'єднань «точка-точка».

Особливості та переваги протоколу WireGuard - це застосування сучасних, вузькоспеціалізованих алгоритмів обробки даних. Кодова база проекту написана з нуля і характеризується компактним дизайном

WireGuard є частиною модуля системного ядра. Підключення WireGuard програмно прискорене і багатопотокове, може стабільно працювати і використовувати ресурси ядра.

Пристрої Keenetic можуть працювати fабо як VPN-сервер або як VPN-клієнт. Терміни 'клієнт' і 'сервер' обумовлені специфікою протоколу. Але зазвичай сервер - це пристрій, який чекає з'єднання, а клієнт - пристрій, який його ініціює.

При підключенні до Серверу WireGuard VPN на Keenetic, у якості клієнта VPN ви можете використовувати комп'ютер (на базі Windows, Linux, macOS), мобільний пристрій (на базі Android та iOS) або пристрої Keenetic.

Використовуючи VPN-клієнт WireGuard на Keenetic ви можете підключитися до провайдера VPN, який надає послугу підключення WireGuard VPN, або до іншого Keenetic, який працює як VPN-сервер, і отримати віддалений доступ до своєї локальної мережі.

Щоб налаштувати захищені тунелі за протоколом WireGuard у маршрутизаторах Keenetic, ви повинні встановити компонент системи 'WireGuard VPN'. Ви можете зробити це у вебінтерфейсі, на сторінці 'Параметри системи' у розділі 'KeeneticOS Оновлення та параметри компонентів', натиснувши на 'Змінити набір компонентів'.

Після цього ви знайдете розділ 'WireGuard' на сторінці 'Інші з'єднання'.

Щоб налаштувати інтерфейс WireGuard, натисніть 'Додати з'єднання'. Ми не будемо розглядати тут налаштування підключення, але ви можете знайти їх в докладній інструкції:

Ви також можете імпортувати налаштування інтерфейсу WireGuard з попередньо створеного файлу конфігурації. Натисніть кнопку 'Імпорт з файлу', а потім виберіть шлях до попередньо налаштованого файлу на вашому комп'ютері.

Основні принципи роботи WireGuard VPN:

Приклади налаштувань підключення WireGuard

Ви можете знайти докладну інструкцію про те, як налаштувати Keenetic як VPN-сервер і VPN-клієнт для з'єднання двох локальних мереж:

Для налаштування підключення до VPN-провайдерів, які можуть працювати з WireGuard, зверніться до інструкції:

Ви можете використовувати мобільні пристрої на базі Андроїд та iOS для підключення до маршрутизатора Keenetic через WireGuard:

Або ви можете використовувати комп'ютери на базі Windows, Linux, macOS:

Іноді вам може бути потрібно, щоб клієнти підключилися до маршрутизатора Keenetic через WireGuard для доступу до Інтернету через цей тунель VPN. Буде необхідно зробити додаткові налаштування. Будь ласка, зверніться до статті:

Ви можете використовувати PPTP (Point-to-Point Tunneling Protocol) для підключення до загальнодоступної служби VPN, офісної мережі або іншого маршрутизатора Keenetic. PPTP також може використовуватися для створення безпечного тунелю між двома локальними мережами. Перевагою тунелю PPTP є простота налаштування та доступність. PPTP забезпечує безпечну передачу даних через Інтернет зі смартфонів, планшетів або комп'ютерів. Для захисту даних PPTP може використовуватися протокол MPPE .

У Keenetic, крім PPTP, ви також можете налаштувати з'єднання L2TP (Layer 2 Tunneling Protocol). На відміну від інших протоколів VPN, L2TP не використовує шифрування даних.

Далі розглянемо приклад підключення PPTP. Налаштування підключення L2TP виконується аналогічним чином.

Щоб налаштувати PPTP-з'єднання, перейдіть до сторінки 'Інші з'єднання' і натисніть Додати підключення' у розділі 'VPN-підключення'. У вікні 'Параметри VPN-підключення', виберіть 'PPTP' у полі 'Тип (протокол)'.

Потім введіть назву з'єднання в полі 'Ім'я підключення', а в полі 'Адреса сервера', введіть доменне ім'я або IP-адресу сервера PPTP. У полях 'Ім'я користувача' і 'Пароль', вкажіть дані облікового запису, якому дозволено доступ до локальної мережі через PPTP.

Натисніть 'Показати додаткові налаштування' для налаштування параметрів IP, розкладу роботи, або інтерфейсу, через який має працювати з'єднання.

Після встановлення з'єднання встановіть перемикач у позицію 'Увімкнено'.

На цій же сторінці буде також відображено поточний стан з'єднання.

Щоб перевірити з'єднання, зайдіть до ресурсу у віддаленій мережі або виконайте пінг хосту у віддаленій мережі (локальній мережі сервера) з клієнтського комп'ютера.

Сервер PPTP в Keenetic детально описаний в статті 'Сервер PPTP VPN'.

Ви можете отримати доступ до віддалених мережевих ресурсів, підключившись до VPN-серверу з вашого маршрутизатора Keenetic через протокол L2TP over IPsec (L2TP/IPsec).

Вам не доведеться турбуватися про конфіденційність даних файлового сервера, IP-телефонії або потоків відеоспостереження в такому тунелі. L2TP/IPsec забезпечує абсолютно безпечний доступ до домашньої мережі з комп'ютера з мінімальною конфігурацією: Windows має зручний вбудований клієнт для цього типу VPN. Крім того, багато моделей Keenetic пропонують апаратне прискорення передачі даних по L2TP over IPsec.

Щоб налаштувати з'єднання L2TP/IPsec, необхідно встановити компоненти системи 'Сервери VPN IKEv1/IPsec і IKEv2/IPsec, Site-to-site IPsec VPN та клієнт L2TP/IPsec VPN'. Ви можете зробити це н а сторінці 'Параметри системи' у розділі 'KeeneticOS Оновлення та параметри компонентів', натиснувши на 'Змінити набір компонентів'.

Щоб налаштувати з'єднання L2TP/IPsec, перейдіть до сторінки 'Інші з'єднання' і натисніть 'Додати підключення' у розділі 'VPN-підключення'. У вікні 'Параметри VPN-підключення', виберіть'L2TP/IPsec' в полі 'Тип (протокол)'.

Потім введіть назву з'єднання в полі 'Ім'я підключення', а в полі 'Адреса сервера', введіть доменне ім'я сервера або його IP-адресу. У полях 'Ім'я користувача' і 'Пароль', вкажіть дані облікового запису, якому дозволено доступ до локальної мережі через L2TP/IPsec. У полі 'Секретний ключ' вкажіть попередньо узгоджений ключ, який встановлюється на сервері.

Натисніть 'Показати додаткові налаштування' для налаштування параметрів IP, розкладу роботи, або інтерфейсу, через який має працювати це з'єднання.

Після налаштування з'єднання зсуньте повзунок у позицію 'Увімкнено'.

На цій же сторінці буде також показаний поточний стан з'єднання.

Щоб перевірити з'єднання, зверніться до ресурсу у віддаленій мережі або виконайте пінг на хост у віддаленій мережі (локальній мережі сервера) з клієнтського комп'ютера.

Сервер L2TP/IPsec Keenetic детально описаний в статті 'Сервер VPN L2TP/IPsec'.

OpenVPN є одним з найпопулярніших протоколів для VPN з'єднань. Його можна використовувати для створення віртуальної приватної мережі або для з'єднання локальних мереж. OpenVPN є протоколом з відкритим кодом і розповсюджується безкоштовно під Ліцензією GNU GPL. Він забезпечує більш високу швидкість з'єднання, ніж інші протоколи VPN. Крім того, OpenVPN можна назвати одним з найбезпечніших протоколів. Всі передані дані надійно захищені шифруванням OpenSSL та протоколами SSLv3/TLSv1 , що забезпечує високу безпеку і анонімність.

Маршрутизатор Keenetic підтримує режими TCP та UDP для з'єднання OpenVPN, автентифікацію TLS, використання сертифікатів та ключів шифрування для підвищення безпеки VPN-з'єднання.

Для налаштування з'єднання OpenVPN необхідно встановити системний компонент Клієнт і сервер OpenVPN. За допомогою цього компонента ви можете використовувати як клієнт, так і сервер OpenVPN у вашому Keenetic. Ви можете встановити системний компонент на сторінці Параметри системи в розділі KeeneticOSОновлення та параметри компонентів, натиснувши Змінити набір компонентів.

Режим роботи OpenVPN (клієнт або сервер) в основному визначається його файлом конфігурації.

Розглянемо приклад підключення OpenVPN типу 'site-to-site'.

Ми підключимо клієнт Keenetic#2 (домашній сегмент 192.168.2.0/24, адреса тунелю: 10.1.0.2) до сервера на Keenetic#1 (домашній сегмент 192.168.1.0/24, адреса тунелю: 10.1.0.1)

Рекомендуємо ознайомитися з наступною інформацією:

OpenVPN є одним з найпопулярніших протоколів для VPN-з'єднань. Його можна використовувати для створення віртуальної приватної мережі або для з'єднання локальних мереж. OpenVPN є протоколом з відкритим вихідним кодом і розповсюджується безкоштовно під Ліцензією GNU GPL. Він забезпечує більш високу швидкість з'єднання, ніж інші протоколи VPN. Також, OpenVPN можна назвати одним з найбезпечніших протоколів. Всі передані дані надійно захищені шифруванням OpenSSL та протоколами SSLv3/TLSv1, що забезпечує високу безпеку і анонімність.

OpenVPN сервер і клієнт інтегровані в маршрутизатори Keenetic. Щоб налаштувати OpenVPN підключення, необхідно встановити системний компонент 'Клієнт і сервер OpenVPN'. З цим компонентом маршрутизатор Keenetic можна використовувати і як клієнт, і як Сервер OpenVPN. З докладним описом серверного режиму можна ознайомитися в статті 'Сервер OpenVPN'. Ви можете встановити цей компонент на сторінці 'Параметри системи' у розділі 'KeeneticOS Оновлення та параметри компонентів', натиснувши на 'Змінити набір компонентів'.

Провайдери VPN можуть запропонувати різні варіанти OpenVPN конфігурації. Нижче ми розглянемо деякі з них.

Рекомендуємо ознайомитися з наступною інформацією:

SSTP (Secure Socket Tunnel Protocol) тунелі можна використовувати для віддаленого підключення до локальної мережі маршрутизатора Keenetic.

Передача даних через Інтернет в SSTP тунелі здійснюється за допомогою протоколу HTTPS (дані передаються через криптографічні протоколи SSL або TLS ), що забезпечує високий рівень безпеки.

Щоб налаштувати з'єднання SSTP, необхідно встановити компонент системи 'VPN-клієнт SSTP'. Ви можете зробити це на сторінці 'Параметри системи' у розділі 'KeeneticOS Оновлення та параметри компонентів', натиснувши 'Змінити набір компонентів'.

Після цього перейдіть до сторінки 'Інші з'єднання' і натисніть 'Додати підключення' у розділі 'VPN-підключення'. Виберіть 'SSTP' у полі 'Тип (протокол) у вікні 'Параметри VPN підключення'.

Потім введіть назву з'єднання у полі 'Ім'я підключення, а у полі 'Адреса сервера', введіть доменне ім'я сервера або його IP-адресу. У полях 'Ім'я користувача' і 'Пароль' вкажіть обліковий запис, якому дозволено доступ до локальної мережі через SSTP.

Після налаштування з'єднання поставте перемикач у позицію 'Увімкнено".

На цій же сторінці також буде показано стан з'єднання.

Щоб перевірити з'єднання, зверніться до ресурсу у віддаленій мережі або поставте пінг на хост у віддаленій мережі (локальній мережі сервера) з клієнтського комп'ютера.

Сервер SSTP в Keenetic детально описаний в статті 'Сервер VPN SSTP'.

Починаючи з KeeneticOS 3.5, були додані як окремий компонент Клієнти IKEv1/IKEv2,, які дозволяють маршрутизатору встановлювати клієнтські з'єднання через IKEv1 і IKEv2 протоколи.

IKEv2(Internet Key Exchange) є версією 2 протоколу обміну ключами, який входить в пакет IPsec протоколів. Він забезпечує високу безпеку даних, швидкість і стабільність.

Щоб налаштувати безпечне IKE підключення на маршрутизаторі Keenetic, ви повинні встановити компонент системи 'Клієнти IKEv1/IPsec та IKEv2/IPsec VPN'. Ви можете зробити це в вебінтерфейсі на сторінці 'Параметри системи' у розділі 'KeeneticOS Оновлення та параметри компонентів' натиснувши на 'Змінити набір компонентів'.

Потім, на сторінці 'Інші з'єднання' у розділі 'VPN-підключення', натисніть 'Додати підключення', щоб додати і налаштувати Клієнт IKE.

На екрані 'Параметри VPN-підключення', введіть реєстраційну інформацію, надану вашим провайдером VPN або адміністратором сервера VPN.

Якщо ви хочете використовувати це з'єднання для доступу до Інтернету, увімкніть відповідну опцію.

Введіть в полі 'Ім'я підключення', будь-яке ім'я, щоб ідентифікувати з'єднання, встановіть протокол 'IKEv2' або 'IKEv1' в полі 'Тип (протокол)', і вкажіть адресу сервера, ім'я користувача і пароль. У нашому прикладі, використовується IKEv2 VPN-з'єднання.

Після налаштування з'єднання зсуньте повзунок в позицію Увімкнено.

На цій же сторінці буде показано поточний стан цього з'єднання.

Щоб налаштувати Сервер IKEv2 на Keenetic див. Статтю 'IKEv2/IPsec VPN-сервер'.

Ви можете використовувати OpenConnect VPN для віддаленого та безпечного підключення до локальної мережі вашого Keenetic. Сам Keenetic може виступати в ролі клієнта OpenConnect. Починаючи з версії KeeneticOS 4.2.1, було додано VPN-сервер і клієнт OpenConnect.

Щоб налаштувати клієнтське підключення OpenConnect, потрібно встановити системний компонент Клієнт OpenConnect VPN. Це можна зробити на сторінці Параметри системи у розділі KeeneticOSОновлення та парамети компонентів, натиснувши Змінити набір компонентів.

Після цього перейдіть на сторінку Інші з'єднання, та в розділі VPN-підключення натисніть + Створити підключення. У вікні Налаштування VPN-підключення виберіть OpenConnect в полі Тип (протокол). Потім у полі Ім’я підключення введіть назву підключення, а в полі Адреса сервера введіть доменне ім’я сервера (автоматично згенероване на Keenetic, що виступає в ролі VPN-сервера). У полях Ім’я користувача та Пароль відповідно введіть облікові дані облікового запису, який дозволяє доступ до маршрутизатора та локальної мережі за протоколом OpenConnect.

Після створення підключення встановіть перемикач у положення «Увімкнено».

На цій же сторінці відображається статус підключення та статистика.

Щоб перевірити з'єднання, отримайте доступ до будь-якого ресурсу у віддаленій мережі (локальній мережі VPN-сервера) з комп'ютера на стороні клієнта або пропінгуйте хост віддаленої мережі.

Щоб налаштувати сервер OpenConnect на Keenetic, див. статтю Сервер OpenConnect VPN.

ZeroTier дозволяє окремим пристроям і мережевим маршрутизаторам отримувати доступ до вашої локальної мережі через розподілену мережеву надбудову, яка автоматично вибирає оптимальний маршрут між вузлами. Конструкція протоколу забезпечує просте розгортання, централізоване керування, стабільну роботу та захист даних. У результаті з’єднання безпечні, забезпечуючи низьку затримку та високу пропускну здатність.

Щоб налаштувати пристрій Keenetic для підключення до вашої мережі ZeroTier за допомогою інтерфейсу командного рядка (CLI), ми повинні спочатку створити інтерфейс за допомогою наступної команди CLI.

      interface ZeroTier{X}   

Де {X} це індекс нового інтерфейсу, номер, який ви виберете.

Давайте вкажемо NETWORK ID вашої мережі ZeroTier.

      zerotier network-id {network_ID}   

Замініть {network_ID} вашим ZeroTier NETWORK ID без лапок і дужок. Ви можете знайти NETWORK ID вашої мережі на порталі керування ZeroTier Central, як показано на малюнку.

Далі слід увімкнути прийом адрес і маршрутів, розподілених по вашій мережі ZeroTier.

zerotier accept-addresses
zerotier accept-routes

Потім увімкніть інтерфейс і збережіть конфігурацію.

up
system configuration save

Весь набір команд, перерахованих вище, повинен виглядати наступним чином.

(config)> interface ZeroTier0
Network::Interface::Repository: "ZeroTier0" interface created.
(config-if)> zerotier network-id 0123456789abcdef
ZeroTier::Interface: "ZeroTier0": set network ID to "0123456789abcdef".
(config-if)> zerotier accept-addresses
ZeroTier::Interface: "ZeroTier0": enabled addresses accept.
(config-if)> zerotier accept-routes
ZeroTier::Interface: "ZeroTier0": enabled routes accept.
(config-if)> up
Network::Interface::Base: "ZeroTier0": interface is up.
(config-if)> system configuration save
Core::System::StartupConfig: Saving (cli).

Після введення команд ваш вузол Keenetic повинен з'явитися на мережевій панелі приладів вашого ZeroTier Central. Щоб спростити керування мережею, введіть ім'я та опис нового вузла. Можливо, вам також доведеться авторизувати нового учасника, якщо Access Control до вашої мережі знаходиться в режимі Private (налаштування за замовчуванням).

Ви можете використовувати команду show для перегляду стану підключення на вашому пристрої Keenetic. Рядок connected: yes вказує на те, що статус підключення позитивний.

(config)> show interface ZeroTier0
id: ZeroTier0
index: 0
interface-name: ZeroTier0
type: ZeroTier
description:
traits: Mac
traits: Ethernet
traits: Ip
traits: Ip6
traits: Supplicant
traits: EthernetIp
traits: ZeroTier
link: up
connected: yes <------
state: up
mtu: 2800
tx-queue-length: 1000
address: 172.26.81.177 <------
mask: 255.255.0.0
uptime: 312
global: no
security-level: public <------

ipv6:
addresses:
address: fe80::cc56:2aff:fed4:d8a3
prefix-length: 64
proto: KERNEL
valid-lifetime: infinite

mac: 32:dd:64:a3:fa:73
auth-type: none

zerotier:
via: GigabitEthernet1
local-id: 4aac294d2f
network-id: 0123456789abcdef
network-name:
status: OK

summary:
layer:
conf: running
link: running
ipv4: running
ipv6: disabled
ctrl: running

Зверніть увагу, що створений інтерфейс має налаштування security-level: public Це означає, що вхідні з'єднання повинні бути явно дозволені Міжмережевий екран. Враховуючи, що ваша мережа ZeroTier надійна, достатньо одного правила, що дозволяє весь вхідний трафік. Додайте нове Дозволяюче правило для створеного інтерфейсу ZeroTier і виберіть IP для поля Протокол і Будь-яка для полів IP-адреса джерела і IP-адреса призначення, як показано.

Підказка

Щоб повідомити іншим пристроям у вашій мережі ZeroTier про локальну мережу за вашим новим вузлом, створіть маршрут у розділі налаштувань Advanced вашої мережі на ZeroTier Central. Використовуйте Managed IPs адреси ( address: 172.26.81.177 рядок у виході вище) у якості адреси Via. Введіть адресу локальної підмережі маршрутизатора (192.168.1.0/24 за замовчуванням) у полі Destionation.

Keenetic має вбудований IPsec VPN-клієнт/сервер. Завдяки цій функції можна об'єднати кілька маршрутизаторів Keenetic в одну мережу через тунелі IPsec VPN з дотриманням найсуворіших вимог безпеки.

У більшості випадків IPsec VPN використовується для безпечного підключення до офісної мережі (наприклад, від домашньої мережі до корпоративного сервера) або для об'єднання мереж (наприклад, двох віддалених офісів). За допомогою тунелю IPsec VPN вам не доведеться турбуватися про конфіденційність даних файлового сервера, IP-телефонію або потоки відеоспостереження. IPsec є одним з найбільш безпечних протоколів VPN завдяки криптостійким алгоритмам.

Давайте розглянемо приклад об'єднання двох локальних мереж (192.168.2.x і 192.168.0.x) через IPsec VPN.

Для IPsec VPN підключення знадобляться два маршрутизатори Keenetic. Цей тип з'єднання називається 'site-to-site IPsec VPN'.

Один Keenetic буде діяти як IPsec відповідач (назвемо його server), а інший Keenetic буде діяти як ініціатор підключення IPsec (назвемо його client).

Маршрутизатор, який виконує роль Сервера IPsec має статичну публічну IP адресу для підключення до Інтернету. Другий Keenetic, який виступає як Клієнт IPsec, використовує приватну IP адресу.

Отже, перейдемо безпосередньо до налаштування маршрутизаторів для встановлення безпечного IPsec VPN тунелю між ними і з'єднання двох мереж.

Обидва маршрутизатори повинні мати встановлені системні компоненти 'Сервери VPN IKEv1/IPsec та IKEv2/IPsec, VPN-клієнт L2TP/IPsec, Site-to-site IPsec VPN'.

Ви можете зробити це, натиснувши 'Змінити набір компонентів' на сторінці 'Параметри системи' у розділі ' Оновлення та параметри компонентів'.

Маршрутизатори Keenetic мають можливість створювати тунелі IPIP (IP через IP), GRE (Generic Routing Encapsulation), EoIP (Ethernet через IP) як у чистому вигляді, так і в поєднанні з тунелем IPSec, що дозволяє використовувати стандарти безпеки IPSec VPN для захисту цих тунелів.

Підтримка тунелів IPIP, GRE, EoIP у маршрутизаторах Keenetic дозволяє встановлювати VPN-з'єднання з апаратними шлюзами, маршрутизаторами Linux, комп'ютерами та серверами з ОС UNIX/Linux, а також з іншим мережевим та телекомунікаційним обладнанням, що підтримує ці тунелі.

Для роботи з тунелями необхідно встановити додаткові відповідні компоненти системи KeeneticOS:

Це можна зробити на сторінці «Загальні налаштування» в розділі «Оновлення та компоненти», натиснувши на «Змінити набір компонентів».

Короткий опис

Тунелі IPIP та GRE — це тунелі мережевого рівня (L3 моделі OSI), де доступні IP-адреси обох сторін. У системі вони представлені як інтерфейси GreX та IPIPX, і через них можна налаштувати маршрутизацію (включаючи маршрут за замовчуванням) так само, як і через будь-який інший інтерфейс. Також для цих інтерфейсів можна налаштувати рівень безпеки доступу — приватний, захищений або публічний (інформацію про рівні доступу можна знайти в статті «Налаштування правил міжмережевого екрану за допомогою інтерфейсу командного рядка») '.

Тунель IPIP (IP через IP) — один з найпростіших в налаштуванні (інкапсулює лише одноадресний трафік IPv4). Його можна налаштувати в системі UNIX/Linux та на різних маршрутизаторах (наприклад, Cisco).

Тунель GRE (Generic Routing Encapsulation) — один із популярних типів VPN. Тунелі GRE сумісні з апаратними шлюзами безпеки, маршрутизаторами Mikrotik, маршрутизаторами Linux та іншим подібним обладнанням (наприклад, Cisco, Juniper тощо).

Тунель EoIP (Ethernet через IP) — це тунель канального рівня (L2 моделі OSI) поверх мережевого рівня (L3). Дані передаються через цей тунель на рівні кадрів Ethernet. EoIP забезпечує прозоре мережеве середовище, яке емулює пряме з'єднання Ethernet між мережами. Усі MAC-адреси є видимими, і за допомогою цього типу тунелю можна з'єднати дві L2 LAN через Інтернет. EoIP використовує GRE як транспорт. Тунель EoIP може працювати через IPIP, PPTP та будь-яке інше з'єднання, здатне передавати IP-пакети. Через нього можна надсилати будь-який трафік, відмінний від IP, включаючи ARP, DHCP, PPPoE, IPv6 тощо. Сканування підмережі через ARP працюватиме в тунелі за замовчуванням, коли рівень безпеки буде змінено на приватний/захищений. У системі він представлений як інтерфейс EoIPX.

Протокол EoIP розроблений компанією MikroTik, тому існує сумісність з ними та маршрутизаторами Linux, які вміють працювати з EoIP.

Ви можете використовувати функцію Ping Check на інтерфейсах тунелів IPIP, GRE та EoIP, щоб перевірити їх доступність.

Тунелі IPIP, GRE та EoIP працюють безпосередньо за протоколом IPv4. IPIP використовує протокол IP номер 4, GRE та EoIP використовують протокол IP номер 47.

Приклади

У наведених нижче прикладах показано приватні IP-адреси, які можна використовувати лише в локальній мережі. Щоб створювати тунелі через Інтернет, на обох кінцях тунелів мають бути публічні IP-адреси.

Для GRE назва інтерфейсу буде Gre0, для IPIP назва інтерфейсу буде IPIP0.

Налаштування тунелю GRE/IPIP між двома маршрутизаторами Keenetic

Налаштування тунелю EoIP між двома маршрутизаторами Keenetic

Для EoIP назва інтерфейсу буде EoIP0.

У випадку тунелю EoIP налаштування будуть абсолютно однаковими, за винятком двох речей:

Налаштування одного кінця тунелю:

(config)> interface EoIP0
(config-if)> tunnel destination router1.example.com
(config-if)> tunnel eoip id 1500
(config-if)> ip address 192.168.100.1 255.255.255.0
(config-if)> security-level private
(config-if)> up
(config-if)> exit
(config)> system configuration save

«Дзеркальне» налаштування на іншому кінці тунелю:

(config)> interface EoIP0
(config-if)> tunnel destination 8.6.5.4
(config-if)> tunnel eoip id 1500
(config-if)> ip address 192.168.100.2 255.255.255.0
(config-if)> security-level private
(config-if)> up
(config-if)> exit
(config)> system configuration save

Потім ви можете спробувати пропінгувати адресу віддаленої сторони тунелю з будь-якої сторони, щоб перевірити, чи тунель працює правильно.

Інтерфейс EoIPx можна включити до мосту для об'єднання локальних мереж. Для цього налаштуйте інтерфейс EoIP без IP-адреси з обох сторін, а потім додайте його до мосту Домашня мережа (Home):

(config)> interface Home
(config-if)> include EoIP0
(config-if)> exit
(config)> system configuration save

Використання тунелів IPIP, GRE та EoIP з IPSec

Якщо встановлено спеціальний системний компонент IPSec VPN, ці тунелі можна захистити за допомогою стандартів безпеки IPSec, як в автоматичному, так і в повністю ручному режимі. Ми не будемо описувати ручний режим, оскільки досвідчені користувачі можуть налаштувати тунель IPSec у правильному режимі, а потім підняти тунель через IPSec. У разі автоматичного налаштування одночасно вирішуються кілька проблем ручного режиму:

Компонент IPSec VPN додає до тунелів такі налаштування:

Оскільки IPSec розділяє клієнта та сервера, для налаштування клієнта (ініціатора, сторони, яка намагатиметься встановити з’єднання), ви повинні використовувати команду interface tunnel destination, а для ввімкнення режиму сервера (сторони, яка буде відповідати на спроби з’єднання), ви повинні використовувати команду interface tunnel source.

Приклад налаштування тунелю EoIP з IPsec (у нашому прикладі стороною з WAN-адресою 8.6.5.4 є сервер):

Сервер:

(config)> interface EoIP0
(config-if)> tunnel source ISP
(config-if)> tunnel eoip id 1500
(config-if)> ipsec preshared-key mytestingkey
(config-if)> ip address 192.168.100.1 255.255.255.0
(config-if)> ipsec ikev2
(config-if)> security-level private
(config-if)> up
(config-if)> exit
(config)> system configuration save

Клієнт:

(config)> interface EoIP0
(config-if)> tunnel destination 8.6.5.4
(config-if)> tunnel eoip id 1500
(config-if)> ipsec preshared-key mytestingkey
(config-if)> ip address 192.168.100.2 255.255.255.0
(config-if)> ipsec ikev2
(config-if)> security-level private
(config-if)> up
(config-if)> exit
(config)> system configuration save

У команді interface tunnel source ви можете вказати як вихідний інтерфейс, так і IP-адресу, де сервер чекатиме з'єднання. Однак перевага надається інтерфейсу, оскільки в цьому випадку вся реконфігурація при зміні адреси та інших подіях відбуватиметься автоматично.

Починаючи з KeeneticOS 3.9, додано компонент проксі-клієнта. Цей компонент буде корисний для складних тунельних додатків, а також для простого завдання підключення вашої мережі до Інтернету через проксі-сервер. Цей функціонал дозволяє налаштувати з'єднання через проксі-сервери за допомогою протоколів HTTP, HTTPS і SOCKS5.

Щоб використовувати проксі-з'єднання, необхідно спочатку на вашому маршрутизаторі встановити відповідний системний компонент Проксі-клієнт. Зробити це можна в вебінтерфейсі на сторінці Параметри системи у розділі KeeneticOS Оновлення та параметри компонентів натисканням Змінити набір компонентів.

Щоб налаштувати доступ до Інтернету через проксі, перейдіть до сторінки Інші з'єднання, прокрутіть до Проксі з'єднання і клацніть кнопку Додати з'єднання.

Після цього вам буде запропоновано заповнити певні поля. Введіть реєстраційні дані, надані адміністратором вашого проксі-сервера.

Після встановлення з'єднання встановіть перемикач в позицію Увімкено.

Далі, в меню Політики доступу, налаштуйте доступ до Інтернету через створене вами проксі-з'єднання. Перетягніть його до верхньої частини списку, щоб зробити його основним з'єднанням.

Після цього всі клієнти, підключені до роутера, будуть виходити в Інтернет через проксі-з'єднання. Якщо вам потрібно налаштувати доступ тільки для певних клієнтів, вам потрібно буде створити окремий профіль і прив'язати до нього конкретних клієнтів. Інструкції щодо того, як це зробити, наведені в статті Політики підключень.

Налаштування завершено.

Для перевірки ви можете скористатися будь-якою загальнодоступною Інтернет-службою, щоб перевірити IP-адресу та країну, де знаходиться IP.

Маршрутизатори Keenetic підтримують кілька одночасних висхідних з'єднань (цю функцію іноді називають Multi-WAN). Можна, наприклад, підключити два кабелі Ethernet від різних провайдерів до одного і того ж маршрутизатора Keenetic і налаштувати основне і резервне з'єднання, або ви можете, наприклад, використовувати Підключення до Інтернету через Ethernet для основного підключення, а Підключення до Інтернету через 3G/4G, LTE модем у якості резервного з'єднання.

Кожен пристрій Keenetic підтримує цей набір функцій.

Розглянемо докладніше приклад підключення роутера Keenetic до двох різних провайдерів по кабелю Ethernet і налаштування резервування основного Інтернет-каналу.

Основний Інтернет-канал повинен бути підключений до синього порту маршрутизатора port 0 (WAN/Інтернет). Кабель резервного Інтернет-каналу можна підключити до будь-якого з доступних портів.

При використанні Multi-WAN на маршрутизаторі для балансування навантаження Інтернет-з'єднань, можна налаштувати прив'язку певних пристроїв до різних Інтернет-з'єднань за допомогою Маршрутизації на основі політики (PBR). Для отримання додаткової інформації зверніться до інструкції:

Припустимо, що на вашому Keenetic є два підключення до Інтернету (Multi-WAN): основне з'єднання через кабель провайдера та резервне з'єднання через 3G/4G USB-модем. Вам потрібно налаштувати маршрутизатор Keenetic так, щоб усі домашні пристрої мали доступ до Інтернету через основне з'єднання, а один комп'ютер мав доступ до Інтернету через резервне.

Це можна зробити за допомогою Маршрутизації на основі політик (Policy-Based Routing, PBR) в меню роутера Політики підключень.

Процес налаштування можна підсумувати наступним чином:

У вебінтерфейсі маршрутизатора, на сторінці 'Політики підключень' на вкладці 'Налаштування політик', додайте нову політику та включіть до неї лише резервне з'єднання. Потім, на вкладці 'Прив'язка пристроїв до політик', перемістіть потрібний пристрій з Політики за замовчуванням до новоствореної політики доступу. Тепер пристрій, доданий до нової політики, матиме доступ до Інтернету лише через резервне з'єднання, тоді як інші пристрої (вони знаходяться в Політиці за замовчуванням) працюватиме за замовчуванням.

Докладніше розглянемо це налаштування на прикладі.

Маршрутизатор має два підключення до Інтернету: за замовчуванням через Ethernet провайдера та резервне з'єднання через мобільну мережу 3G/4G.

Перейдіть до сторінки 'Політики підключень'. У вкладці 'Налаштування політик', ви побачите два підключення до Інтернету (у нашому прикладі це 'Кабельне підключення Ethernet до Інтернету' і 'Підключення до мобільного Інтернет'). Натисніть на '+ Додати політику'.

Створіть нову політику підключення, дайте їй ім'я і клацніть Зберегти.

У новоствореній політиці (у нашому прикладі це політика під назвою 'Резерв'), встановіть прапорець для резервного підключення (у нашому випадку це 'Мобільний провайдер').

Перейдіть на вкладку 'Прив'язка пристроїв до політик'. Натисніть на 'Політика за замовчуванням, щоб побачити всі пристрої локальної мережі, які використовують цю політику.

Натисніть на потрібний пристрій (в нашому прикладі комп'ютер з назвою 'PC'), а в полі 'Перемістити до', виберіть новостворену політику для резервного підключення (у нашому випадку це профіль з назвою 'Резерв') і натисніть 'Підтвердити'. Виконати цю дію можна і іншим способом: перетягнути пристрій з правого стовпця до назви потрібної політики в лівій колонці.

Тепер ми додали потрібний пристрій до новоствореної політики підключення, в якій використовується тільки резервне з'єднання.

Після того як налаштування будуть зроблені, комп'ютер буде виходити в Інтернет через резервне з'єднання (в нашому прикладі через мережу 3G/4G мобільного оператора), а всі інші пристрої в локальній мережі будуть працювати через з'єднання за замовчуванням.

Починаючи з версії KeeneticOS 3.9, реалізовано інтелектуальне балансування трафіку при використанні декількох інтернет-з'єднань. У роутері Keenetic цей механізм називається Мультишляховий режим (Multipath mode).

У вебінтерфейсі роутера є можливість створення нової політики мультишляхової передачі, яка дозволяє оптимізувати використання кількох інтернет-з'єднань, прискорити та збалансувати передачу трафіку.

У режимі мультишляхової маршрутизації всі підключення, що містяться в політиці, автоматично передають трафік. Цей режим можна використовувати для агрегування пропускної спроможності каналів ваших провайдерів.

Мультишляхова передача може працювати в рамках лише додаткової політики (у політиці за замовчуванням цей режим не можна увімкнути). Для налаштування виконайте такі дії:

Наведемо приклад додавання пропускної спроможності двох інтернет-з'єднань.

Для роутерів старих моделей з KeeneticOS 2.14 - 3.8, режим балансування з'єднань можна налаштувати через інтерфейс командного рядка (CLI) маршрутизатора. Для прикладу налаштування див. 'Використання кількох WAN-з'єднань у режимі балансування навантаження (налаштування з CLI)'.

Починаючи з  KeeneticOS 3.8, додано опцію обмеження швидкості для вхідного та вихідного трафіку до вебінтерфейсу на сторінці 'Пріоритети підключень'.

На цьому екрані можна налаштувати політики підключення та призначити їх пристроям і сегментам мережі. Для кожного підключення в політиці ви можете вказати індивідуальний пріоритет обробки трафіку та обмеження швидкості вхідного та вихідного сигналу. Зауважте, що для політики за замовчуванням керування смугою пропускання недоступне; цей параметр можливий лише для створених вручну додаткових політик.

Покажемо це на прикладі. На сторінці "Пріоритети підключень" в закладці "Політики доступу в Інтернет', додамо нову політику під назвою speedlimit-10Mbit. У налаштуваннях керування смугою пропускання в меню "Обмеження швидкості" ми виберемо 'Вручну', і в 'Обмеження швидкості для вхідних/вихідних даних', ми вкажемо швидкість в kbps або Mbps. У нашому прикладі обмеження швидкості  10 Mbit/s:

в "Прив'язка пристроїв до політик', додамо потрібні пристрої домашньої мережі до політики speedlimit-10Mbit. Для цього виберіть бажану політику підключення в лівому стовпці, а потім перетягніть в неї потрібні пристрої.

Тепер до цих пристроїв буде застосовано політику підключення до Інтернету зі вказаною пропускною здатністю (у нашому прикладі з обмеженням швидкості 10 Mbit/s для вхідного та вихідного трафіку). Давайте перевіримо обмеження швидкості за допомогою онлайн сервісу спідтест, запустивши тест на комп’ютері, який доданий до профілю доступу speedlimit-10mbit:

Для отримання додаткової інформації: Як виміряти швидкість підключення до Інтернету?

Ви також можете налаштувати керування смугою пропускання для кількох підключень до Інтернету одночасно. Наприклад:

Для підключення Keenetic маршрутизатора до Інтернету за протоколом IPv6 не потрібні спеціальні налаштування. У більшості випадків достатньо встановити системний компонент 'IPv6' і ввімкнути IPv6 у налаштуваннях зовнішнього інтерфейсу, який ви будете використовувати для підключення.

Щоб налаштувати з'єднання IPv6, виконайте такі дії:

show ipv6 prefixes

(config)> show ipv6 prefixes

prefix:
 prefix: 2a02:2698:24::/64
 interface: PPPoE0
 valid-lifetime: 86349
 preferred-lifetime: 3549

<!-- show ipv6 prefixes -->
 <prefix>
  <prefix>2a02:2698:24::/64</prefix>
  <interface>PPPoE0</interface>
  <valid-lifetime>86349</valid-lifetime>
  <preferred-lifetime>3549</preferred-lifetime>
 </prefix>

<!-- show ipv6 prefixes -->
 
<!-- show ipv6 addresses -->
 <address>
  <address>2a00:1370:8024::</address>
  <link-local>fe80::5a8b:f3ff::</link-local>
  <interface>ISP</interface>
  <valid-lifetime>infinite</valid-lifetime>
 </address>

Тунелі IPv6 over IPv4 використовуються для доступу до ресурсів Інтернету за протоколом IPv6, коли ви маєте публічну адресу — IPv4. Щоб налаштувати з’єднання, зареєструйтеся у віртуального провайдера IPv6 (тунельного брокера), що працює за технологією 6in4. Ви отримаєте налаштування підключення під час реєстрації.

Маршрутизатор Keenetic дозволяє підключатися до декількох провайдерів одночасно (функція називається Мульти-WAN) і використовувати постійну перевірку доступності Інтернету (Ping Check). Ping Check визначає, чи доступне підключення до Інтернету шляхом опитування заданого мережевого хоста. Якщо мережа основного провайдера виходить з ладу, маршрутизатор автоматично підключиться до резервного каналу.

Ви можете налаштувати перевірку доступності Інтернету для дротових з'єднань IPoE (включаючи ті, що мають автентифікацію у провайдера: PPPoE, PPTP і L2TP), а також WISP, ADSL/VDSL. Особливо корисною функція Ping Check буде, якщо у вас є Підключення до Інтернету через 3G/4G USB модем.

Вам не потрібно дбати про налаштування Ping Check. Все, що вам потрібно зробити, це підключити підтримуваний USB-модем до Keenetic і переконатися, що модем виявлений і готовий до роботи (це можна зробити в вебінтерфейсі на сторінці Системний монітор). Функція Ping Check активується автоматично при підключенні USB-модему до роутера. Вона використовуватиме Автоматичний режим у якості методу перевірки.

Цей режим спрощує налаштування функції Ping Check для звичайних користувачів (тих, хто не хоче дізнаватися про додаткові параметри). Перевіряється наявність доступу до google.com, facebook.com, yahoo.com на порту TCP/443 (HTTPS). Інтернет-провайдери, як правило, не блокують цей порт. Якщо з'єднання з хостами немає, то роутер спробує повторно підключитися, перезапустивши модем, або якщо є резервне з'єднання, він автоматично перейде до резервного каналу.

Крім функціоналу за замовчуванням, є можливість налаштувати функцію Ping Check самостійно. На додаток до режиму Автоматичний, доступні ще 3 варіанти: ICMP відлуння (пінг), Перевірка порту TCP/TLS і Перевірка порту TCP. Детальніше дивіться в інструкціїТонке налаштування функції Ping Check.

Реалізація фунції Ping Check в вебінтерфейсі маршрутизатора Keenetic має можливості для гнучкої конфігурації.

Ping Check може бути налаштована на дротових з'єднаннях IPoE (включаючи ті, що автентифікуються з Інтернет-провайдером за допомогою PPPoE, PPTP і L2TP протоколів) і 3 G/4 G, WISP, ADSLЛ/VDSL.

На сторінці підключення, під Перевірка доступності Інтернету (Ping Check) в полі Режим, ви можете вручну вказати, які запити використовувати для перевірки — ICMP або TCP.

Доступно 5 варіантів:

Режим «Автоматичний»

Цей режим покликаний полегшити життя звичайним користувачам (тим, хто не хоче знати про додаткові параметри) налаштування функції Ping Check.

Він перевіряє наявність доступу до вузлів google.com, facebook.com, yahoo.com через порт TCP/443 (HTTPS). Провайдери, як правило, не блокують цей порт. Інтервал перевірки дорівнює 10 секундам. Мінімальна кількість успішних спроб для переходу зі стану Вимкнено до Увімкнено дорівнює 5. Кількість невдалих спроб для переходу зі стану Увімкнено до Вимкнено також дорівнює 5.

Режим «ICMP-запити (Ping)»

У полях Інтервал перевірки (час у секундах між перевірками) та Поріг спрацьовування (кількість невдалих перевірок), значення за замовчуванням є 10 і 5, відповідно.

У полі Перевірка IP-адреси або домену, введіть IP-адресу хоста або його доменне ім'я, відповідь від якого буде служити критерієм наявності доступу до мережі. Наприклад, ви можете використовувати адресу надійного DNS-сервера (наш приклад показує IP-адресу загальнодоступного DNS-серверу від Google). Рекомендуємо вказувати IP-адресу, щоб уникнути проблем, пов'язаних з DNS.

При використанні режиму ICMP-запити (Ping) і вказівці публічних серверів (сервісів) в якості IP-адреси для перевірки доступності Інтернету, можуть виникнути затримки реагування на ping. Час очікування відповіді на запит від сервера дорівнює 10 секунд. Якщо після закінчення цього часу відповідь не надійшла, маршрутизатор вважає запит невдалим і відправляє наступний запит. Ця величина є постійною.

У полі Інтервал перевірки, можна вказати інтервал між перевірками. Відправною точкою для другого і подальшого запитів є час отримання попередньої відповіді (або те, що час очікування відповіді закінчився), а не час відправки останнього запиту. Наприклад, 0 сек — надсилається перший запит, в 3 сек — отримана перша відповідь (вона може очікуватись до 10 sec, час очікування вказаний в полі Інтервал перевірки (10 сек за замовчуванням), то відправлення другого запиту відбудеться через 3+10=13 сек. Таким чином, не може бути конфлікту термінів (коли запит надсилається раніше попередньої відповіді).

Якщо є постійні затримки відповідей з якогось публічного сервера, не рекомендується надмірно збільшувати інтервал перевірки та поріг спрацьовування, оскільки це може спричинити блокування трафіку на стороні сервера. Має сенс в такому випадку вибирати адресу іншого ресурсу, який постійно доступний в Інтернеті, і який не викличе значних затримок у відповіді на пінг.

Режим «Перевірка порту TCP/TLS»

Перевірка порту TCP/TLS покращує роботу механізму Ping Check забезпечення захисту від збоїв доступу до Інтернету. Цей режим запобігає помилковим позитивним результатам, коли провайдер перенаправляє трафік на авторизований портал, наприклад, на свій промо сайт.

Рекомендуємо вказувати IP-адресу, щоб уникнути проблем, пов'язаних з DNS:

Режим «Перевірка порту TCP»

У полях Інтервал перевірки (час у секундах між перевірками) та Поріг спрацьовування (кількість невдалих перевірок), значення за замовчуванням 10 і 5, відповідно.

У полі Перевірка IP-адреси або домену введіть IP-адресу хоста або його доменне ім'я, яке потрібно перевіряти на доступ. Наприклад, ви можете використовувати адресу DNS-сервера (в нашому прикладі вибрана IP адреса загальнодоступного DNS-сервера від Google). Ми рекомендуємо використовувати IP-адресу, щоб уникнути проблем, пов'язаних з DNS.

У полі Порт TCP вкажіть номер порту TCP, який буде використовуватися для перевірки доступності Інтернету. У нашому прикладі використовується порт TCP/53 (DNS).

Режим «Вимкнена»

Якщо ви хочете вимкнути механізм Ping Check, встановіть Вимкнена в полі Режим.

Зазвичай провайдер автоматично надає своїм користувачам свої доменні сервери (DNS). Менше з тим, вам може знадобитися припинити використання цих серверів і в деяких випадках замінити їх на адреси публічних DNS або DNS VPN провайдера.

Починаючи з KeeneticOS 3.1, у вебінтерфейсі Ви можете використати опцію ігнорувати (вимкнути) DNS-сервери, автоматично отримані від вашого провайдера. Ця опція доступна на сторінках 'Кабель Ethernet' (включно з PPPoE/PPTP/L2TP), 'Бездротовий Інтернет-провайдер','Підключення DSL'.

Давайте розглянемо приклад. У вебінтерфейсі маршрутизатора, на сторінці 'Системний монітор' в панелі 'Інтернет' рядок 'DNS-сервери' відображає DNS-адреси, автоматично отримані від провайдера, і додаткові сервери, вказані вручну. У нашому прикладі DNS-сервер 192.168.100.1 отриманий від провайдера, а адреси 8.8.8.8 і 8.8.4.4 були додані вручну.

Увімкніть опцію 'Ігнорувати провайдерські DNSv4' на сторінці Кабельне підключення Ethernet до Інтернету'. Ця опція блокує використання адрес DNS-серверів, отриманих через DHCP для поточного з'єднання.

При використанні IPoE підключення (без автентифікації) або з автентифікацією через PPPoE/PPTP/L2TP протокол, ви можете знайти цей параметр на сторінці 'Кабельне підкючення Ethernet до Інтернету' у розділі 'Параметри IPv4'. Налаштування для WISP і ADSL з'єднання знаходяться відповідно на сторінках 'Бездротовий Інтернет-провайдер' і 'Підключення DSL'.

Після відключення DNS, рядок 'DNS-сервери' на сторінці 'Системний монітор' більше не відображатиме адреси, автоматично отримані від провайдера.

Ви можете знайти більше інформації в статті 'Використання публічних DNS-серверів'.

За замовчуванням резервне підключення для доступу до Інтернету завжди знаходиться в стані підключення. При падінні основного з'єднання це дозволяє зробити перехід на резерв дуже швидким.

Якщо користувач бажає, щоб маршрутизатор ініціював резервне з’єднання з оператором лише у разі збою основного каналу, тоді для резервного каналу потрібно налаштувати Режим очікування (на вимогу) (доступний з KeeneticOS 4.0 і вище). У цьому випадку для переходу на резерв потрібно більше часу Режим очікування (на вимогу), але в цьому режимі є й переваги.

Приклади того, коли доцільно використовувати цю опцію:

Режим очікування (на вимогу) може бути встановлений для дротових з'єднань (через CLI) і бездротових інтерфейсів через вебінтерфейс у розділі Тип з'єднання.

Режим очікування (на вимогу) не використовується:

Режим очікування (на вимогу) увімкнений:

Або налаштувати Режим очікування через Інтерфейс командного рядка (CLI) за допомогою команд.

Ось приклад для Keenetic Hero 4G+ (KN-2311):

interface {name} standby enable — перемикає тип підключення на «Очікування» для вказаного інтерфейсу {name}

interface {name} standby enable — змінити тип підключення на вимогу для обраного інтерфейсу {name}

Увімкнути –> interface UsbLte0 standby enable
Вимкнути –> interface UsbLte0 standby no enable
Зберегти налаштування –> system configuration save

interface GigabitEthernet0/Vlan4 standby enable — увімкнення
interface GigabitEthernet0/Vlan4 standby no enable — вимкнення
system configuration save — збереження налаштувань