Keenetic Orbiter Pro (KN-2810-01UA) Центр Підтримки

У новій реалізації Інтернет-фільтрів з'явилося більше можливостей для тонкого налаштування фільтрації вмісту та блокування реклами. Додано профілі фільтрації від популярних публічних DNS-сервісів: AdGuard DNS, CleanBrowsing, Cloudflare, Control D, Neustar UltraDNS Public, OpenDNS, Quad9.

Тепер можна поєднувати профілі фільтрації від кількох постачальників послуг на різних зареєстрованих пристроях в одній конфігурації, додавати власні профілі DNS та використовувати їх спільно з профілями публічних DNS-сервісів, призначати профілі фільтрації за замовчуванням для сегментів мережі.

Щоб використовувати фільтрацію вмісту на вашому маршрутизаторі, встановіть компонент Хмарний сервіс контентної фільтрації та блокування реклами.

Налаштування фільтрації вмісту стане доступним на сторінці 'Інтернет-безпека'.

Сервіс NextDNS захищає від доступу до небажаного контенту, блокує шкідливі програми та забезпечує конфіденційність на рівні DNS. Він автоматично фільтрує трафік і шифрує DNS-запити. Особливістю є функція батьківського контролю, яка дозволяє контролювати доступ дітей до певних ресурсів в Інтернеті. Підтримується так званий дитячий фільтр з безпечним пошуком і фільтрацією контенту для дорослих (сайти для дорослих, з насильством, піратством тощо). Сервіс дозволяє створювати так звані чорні списки та білі списки доменних імен. Ви можете безпосередньо вносити до чорного списку певні сайти та ігри або, навпаки, розблоковувати окремі адреси.

Увімкніть фільтр вмісту NextDNS на маршрутизаторі у вашій домашній мережі, і він автоматично фільтруватиме вміст на всіх комп’ютерах і мобільних пристроях одночасно. Також можна налаштувати фільтрацію окремо для кожного хоста локальної мережі.

Увімкнення NextDNS у маршрутизаторі

Щоб використовувати фільтр вмісту, необхідно встановити системний компонент NextDNS в маршрутизаторі. Ви можете зробити це на сторінці Параметри системи у розділі KeeneticOSОновлення та параметри компонентів, натиснувши на Змінити набір компонентів.

Після цього налаштування служби NextDNS буде доступне у вебінтерфейсі маршрутизатора на сторінці Інтернет-безпека.

На вкладці Фільтр контенту виберіть NextDNS у полі Режим фільтрації.

Щоб використовувати інтернет-фільтр, вам потрібно створити обліковий запис на сайті NextDNS.

Якщо у вас уже є обліковий запис, натисніть Увійти в розділі Обліковий запис NextDNS та увійдіть.

Налаштування профілю в панелі конфігурації NextDNS

Щоб використовувати інтернет-фільтр, ви повинні спочатку створити обліковий запис на вебсайті NextDNS.

Після створення облікового запису в панелі конфігурації (особистому кабінеті NextDNS) буде автоматично створено профіль Моя перша конфігурація.

На вкладці Батьківський контроль у розділі Вебсайти, застосунки та ігри ви можете заборонити доступ до певних вебсайтів, застосунків та ігор із запропонованого списку, або в розділі Категорії ви можете заборонити доступ до цілої категорії вмісту.

У нашому прикладі увімкнено вебсайт і застосунок Minecraft та категорію Соціальні мережі:

На вкладці Чорний список ви можете створити список блокування, додавши до нього окремі домени. У нашому прикладі ми додали заборону на вебсайт TikTok:

На вкладці Білий список ви можете використовувати список доменів, щоб виключити деякі сайти, які за замовчуванням потрапляють у деякі раніше заблоковані категорії. У нашому прикладі категорію Соціальні мережі було раніше вимкнено, і доступ до вебсайту Facebook потрапляє до цієї категорії, але за допомогою Білого списку ви можете додати домен, і доступ до нього буде дозволено:

Після виконання необхідних налаштувань у панелі конфігурації NextDNS у профілі Моя перша конфігурація перейдіть до налаштувань маршрутизатора.

Призначення профілю NextDNS пристроям локальної мережі в маршрутизаторі

На сторінці Інтернет-безпека на вкладці Фільтр контенту ви можете призначити налаштований профіль NextDNS або певному сегменту локальної мережі, або окремим зареєстрованим пристроям.

У розділі Профіль контентної фільтрації за замовчуванням вкажіть попередньо налаштований профіль для потрібного сегмента мережі. У нашому прикладі для сегмента Домашня мережа вибрано Мій перший профіль:

У розділі Профілі контентної фільтрації для зареєстрованих клієнтів кожному зареєстрованому пристрою можна призначити індивідуальний профіль. Наприклад:

Якщо ви хочете вимкнути (або не використовувати) інтернет-фільтр для певного пристрою локальної мережі, створіть профіль Без фільтрації в налаштуваннях DNS і призначте його клієнту. Для отримання додаткової інформації див. 'Створення профілю DNS без фільтрації'.

(config)> show nextdns availability        
available: yes            
port: 53       
doh-supported: yes       
doh-available: yes

(config)> nextdns check-availability
NextDns::Client: NextDNS DNS-over-HTTPS is available.

SafeDNS — це хмарний сервіс, що забезпечує інтернет-безпеку та фільтрацію вмісту. Він дає змогу обмежувати доступ до певних інтернет-ресурсів для користувачів домашньої мережі та налаштовувати батьківський контроль.

Сервіс SafeDNS у роутерах Keenetic реалізовано як компонент операційної системи. Ви можете додати або видалити цей сервіс Інтернет-безпеки із системи та повністю вмикати або вимикати його, не впливаючи на параметри основного інтернет-з'єднання: SafeDNS працюватиме за будь-яким NAT та з динамічною IP-адресою.

Для роботи з цим сервісом необхідно отримати обліковий запис SafeDNS. Для цього безкоштовно зареєструйтеся за адресою www.safedns.com/trial. Після реєстрації увійдіть до свого облікового запису. Вкладки Категорії та Налаштування використовуються для налаштування політик вмісту та правил фільтрації. На вкладці Категорії ви можете налаштувати дозволені або заборонені категорії сайтів.

На вкладці Категорії встановіть прапорці, щоб вибрати категорії сайтів, доступ до яких ви хочете заблокувати. Ви можете використовувати попередньо встановлені списки блокування з меню зліва, наприклад, Рекомендовані.

На вкладках Білий список та Чорний список ви можете точніше налаштувати доступ до певних сайтів.

Наприклад, на вкладці Категорії ми забороняємо Соціальні мережі і дозволяємо Торренти та P2P. Але на вкладках Білий список або Чорний список ми можемо встановити детальні налаштування для доступу до сайту соціальної мережі LinkedIn (linkedin.com) і заборонити доступ до торрент-трекера (thepiratebay.org), незалежно від налаштувань на вкладці Категорії.

Тепер налаштуємо роутер.

Перед налаштуванням служби Інтернет-безпеки зареєструйте пристрої домашньої мережі згідно з інструкцією 'Реєстрація підключених пристроїв'.

Потім на сторінці Інтернет-безпека виберіть SafeDNS у полі Режим фільтрації.

У розділі Обліковий запис SafeDNS вам потрібно ввести параметри свого облікового запису SafeDNS, натиснувши Увійти. Якщо у вас ще немає облікового запису SafeDNS, натисніть Створити обліковий запис.

Натиснувши Увійти, введіть адресу електронної пошти та пароль, які ви використовували під час реєстрації в SafeDNS.

Коли фільтр вмісту SafeDNS увімкнено, ви можете призначати налаштовані профілі або для певного сегмента локальної мережі, або для окремих Зареєстрованих пристроїв.

У розділі Профіль контентної фільтрації за замовчуванням вкажіть профіль для потрібного сегмента мережі. Ці асоціації працюватимуть для будь-якого незареєстрованого пристрою в кожній локальній мережі та для зареєстрованих пристроїв, для яких встановлено профіль За замовчуванням для сегмента.

У розділі Призначення профілів фільтрації вмісту зареєстрованим клієнтам кожному зареєстрованому пристрою можна надати індивідуальний профіль. У нашому прикладі профіль За замовчуванням вибрано для Домашньої мережі та клієнта 'Ноутбук'. Клієнт 'ПК' буде використовувати профіль За замовчуванням від SafeDNS при підключенні до Домашньої мережі та локальний профіль Системний при підключенні до Гостьової мережі.

У нашому прикладі використовується безкоштовний пробний обліковий запис на сайті SafeDNS та політика За замовчуванням. Якщо обліковий запис платний, буде доступно кілька політик, створених самим користувачем. Ви можете розподіляти права доступу між зареєстрованими та незареєстрованими пристроями (наприклад, гостьові пристрої можуть мати доступ лише до певних категорій, тоді як домашнім пристроям можна надати більш повний доступ або навпаки). Також можна змінювати політику для різних пристроїв, зареєстрованих у домашній мережі (наприклад, вільніша політика на вашому комп’ютері, більш безпечна політика на комп’ютері вашої дитини).

Із зареєстрованого пристрою ми спробуємо зайти на такі сайти:

linkedin.com (заблоковано у фільтрах, але дозволено у винятках). Доступ до сайту буде дозволено.

thepiratebay.org (дозволено у фільтрах, але заборонено у винятках). Доступ до сайту буде заблоковано, і з’явиться відповідне повідомлення.

jackdaniels.com (заблоковано у фільтрах, немає запису у винятках). Доступ до сайту буде заблоковано, і з’явиться відповідне повідомлення.

Для отримання додаткової інформації про інші способи блокування сайтів див. статтю 'Як заблокувати доступ до певного сайту'.

Публічний DNS-сервер AdGuard — це давно відоме та безкоштовне рішення для блокування реклами. Ця служба являє собою хмарний DNS-сервер, який забезпечує надійний захист від реклами та спливаючих вікон, лічильників, шкідливих вебсайтів та контенту для дорослих в Інтернеті.

Використання публічного DNS-сервісу AdGuard на вашому Keenetic не вимагає облікового запису або зовнішніх налаштувань. Все, що вам потрібно, це підключення до Інтернету та встановлений компонент KeeneticOS Хмарний сервіс контентної фільтрації та блокування реклами (докладніші інструкції див. у посібнику KeeneticOS Встановлення/видалення компонентів).

У меню Інтернет-безпека в розділі Мережеві правила вебінтерфейсу вашого Keenetic відкрийте вкладку Фільтр контенту. Виберіть опцію Публічні DNS-резолвери для Режиму фільтрації.

Ви побачите список доступних попередньо встановлених профілів публічних фільтрів контенту та налаштування фільтрації для ваших мережевих сегментів та зареєстрованих пристроїв.

За замовчуванням Keenetic налаштовує всі мережеві пристрої на резолвінг адрес інтернет-ресурсів за допомогою системного профілю DNS. Зазвичай профіль Система використовує лише DNS-резолвер вашого інтернет-провайдера і не забезпечує жодного захисту чи фільтрації вмісту.

Прив'язка Профілю фільтрації вмісту за замовчуванням працюватиме для будь-якого незареєстрованого пристрою в кожній локальній мережі. Зареєстровані пристрої, для яких встановлено профіль За замовчуванням для сегмента, також використовуватимуть цю прив'язку.

Якщо ви виберете режим фільтрації Публічні DNS-резолвери, ви зможете призначати публічні профілі AdGuard DNS пристроям окремо або залежно від мережевого сегмента їхнього підключення.

Публічний DNS-сервер AdGuard пропонує три різні профілі фільтрації:

Наприклад, наступна конфігурація явно призначає пристрою iPhone-Apple використовувати профіль AdGuard DNS - Сімейний захист в будь-якому мережевому сегменті. Запити пристрою Основний ПК обробляються відповідно до сегмента, до якого він підключається, тобто з використанням профілю AdGuard DNS - Без фільтрації в Гостьовому сегменті та профілю AdGuard DNS - За замовчуванням в Домашній мережі.

Під час використання публічних фільтрів вмісту AdGuard реклама різних видів тихо відхиляється. Ви можете перевірити ефективність блокування за допомогою онлайн-тестів, таких як AdBlock Tester або CAN YOU BLOCK IT ?. Фільтр Сімейний захист відобразить сторінку блокування батьківського контролю замість забороненого ресурсу.

Щоб вимкнути фільтрацію публічного DNS-сервера AdGuard на вашому Keenetic, ви можете вибрати будь-яку іншу опцію для Режиму фільтрації або очистити профілі AdGuard для сегментів та зареєстрованих пристроїв. Видалення компонента Хмарний сервіс контентної фільтрації та блокування реклами з вашого Keenetic також видалить усі пов'язані налаштування з конфігурації.

Якщо ви виявили, що AdGuard DNS не блокує рекламу, або у вас виникли проблеми з вебсайтом чи додатком, зверніться до FAQ та Бази знань, або надішліть скаргу чи запит безпосередньо розробникам сервісу за адресою support@adguard.com.

Публічний DNS-сервер Cloudflare 1.1.1.1 посідає перше місце серед публічних DNS-сервісів за часом відгуку та швидкістю обробки запитів, забезпечуючи при цьому повний захист конфіденційності. Цей сервіс є хмарним DNS-сервером, побудованим на основі величезної всесвітньої мережі. Він пропонує надійний захист від шкідливих програм та контенту для дорослих в Інтернеті.

Використання сервісу Cloudflare DNS на вашому Keenetic не вимагає облікового запису або зовнішніх налаштувань. Все, що вам потрібно, — це підключення до Інтернету та встановлений компонент KeeneticOS Хмарна фільтрація вмісту та блокування реклами (зверніться до посібника KeeneticOSВстановлення та видалення компонентів для отримання детальних інструкцій).

У меню Інтернет-безпека в розділі Правила мережі вебінтерфейсу вашого Keenetic відкрийте вкладку Фільтр вмісту. Виберіть опцію Публічні DNS-сервери та власні профілі DNS для Режиму фільтрації.

Ви побачите список доступних публічних попередніх налаштувань фільтра вмісту та налаштування фільтрації для ваших мережевих сегментів і зареєстрованих пристроїв.

За замовчуванням Keenetic налаштовує всі мережеві пристрої на розпізнавання адрес Інтернет-ресурсів за допомогою системного профілю DNS. Зазвичай профіль System використовує лише DNS-сервер вашого інтернет-провайдера і не забезпечує жодного захисту чи фільтрації вмісту.

Призначення профілів фільтрації вмісту за замовчуванням буде працювати для будь-якого незареєстрованого пристрою в кожній локальній мережі. Зареєстровані пристрої, для яких встановлено профіль За замовчуванням для сегмента, також використовуватимуть ці призначення.

Якщо ви виберете режим фільтрації Публічні DNS-сервери та власні профілі DNS, ви зможете призначати публічні профілі Cloudflare пристроям індивідуально або залежно від сегмента мережі, до якого вони підключені.

Публічний DNS-сервер Cloudflare пропонує три різні профілі фільтрації:

Наприклад, наступна конфігурація явно призначає пристрою iPhone-Apple використовувати профіль Cloudflare - Фільтрація контенту для дорослих в будь-якому сегменті мережі. Запити пристрою Main PC обробляються відповідно до сегмента, до якого він підключений, тобто з використанням профілю Cloudflare - Без фільтрації, швидко та конфіденційно в Гостьовому сегменті та профілю Cloudflare - Автоматичний захист від шкідливих програм в Домашній мережі.

Публічна фільтрація вмісту Cloudflare не надає сторінок блокування, які відображаються замість забороненого ресурсу. При спробі відвідати небажаний сайт ви побачите у своєму браузері сповіщення Не вдається отримати доступ до цього сайту про помилку з'єднання ERR_CONNECTION_REFUSED.

Ви можете перевірити, чи працює фільтрація вмісту, як очікувалося, відвідавши ресурси тест на шкідливе ПЗ або тест на контент для дорослих.

Щоб вимкнути публічну DNS-фільтрацію Cloudflare на вашому Keenetic, ви можете вибрати будь-який інший варіант для Режиму фільтрації або очистити профілі Cloudflare для сегментів і зареєстрованих пристроїв. Видалення компонента Хмарна фільтрація вмісту та блокування реклами з вашого Keenetic також призведе до видалення всіх пов'язаних налаштувань із конфігурації.

Якщо ви виявите, що Cloudflare DNS не блокує вказаний вміст або виникають проблеми із сайтом чи застосунком, зверніться до FAQ або до служби підтримки.

Починаючи з версії KeeneticOS 5,0, до меню «Інтернет-безпека» вебінтерфейсу було додано «Фільтр програм». Цей фільтр дає змогу легко блокувати певні програми або категорії трафіку (наприклад, соціальні мережі, ігри або потокове передавання) для окремих клієнтів мережі та сегментів у вашій домашній мережі, як-от для мережі Wi-Fi ваших дітей.

Щоб використовувати цю функцію, спочатку потрібно встановити системний компонент «Механізм класифікації трафіку».

Потім увімкніть опцію «Класифікація застосунків» на сторінці «IntelliQoS».

Після цього на сторінці «Інтернет-безпека» з'явиться вкладка «Фільтр програм» з елементами керування для блокування трафіку від певних застосунків і категорій застосунків для окремих клієнтів і цілих мережевих сегментів.

У розділі «Чорний список» натисніть кнопку «+ Створити правило».

У вікні «Правило чорного списку», що з’явиться, установіть прапорець «Увімкнути» та введіть «Назву правила». У полі «Сегменти» ви можете вибрати відповідний мережевий сегмент (у цьому випадку правило застосовуватиметься до всіх клієнтів у цьому сегменті). Однак, якщо правило блокування потрібно застосувати лише до певних клієнтів, виберіть потрібних клієнтів зі списку в полі «Клієнти». За потреби призначте «Розклад роботи» для цього правила.

У розділі «Програми та категорії для блокування» введіть назву програми або категорії в поле «Пошук» і позначте потрібні прапорцями.

На сторінці «Аналізатор трафіку застосунків» ви можете відстежувати трафік Інтернет-застосунків, що використовуються клієнтами, у режимі реального часу. Зверніть увагу, що на цьому екрані відображаються дані за останні три хвилини.

У нашому прикладі ви можете побачити, що для клієнта мережі, для якого ми створили правило, діє блокування для вказаних застосунків та категорій.

Ви також можете легко створити правило блокування безпосередньо зі сторінки «Аналізатор трафіку застосунків». Для цього натисніть кнопку «+» у стовпці «Чорний список» для відповідного застосунку.

Відкриється вікно «Правило чорного списку»; установіть прапорець біля «Увімкнути» та введіть «Назву правила». Поле «Клієнти» вже міститиме відповідного клієнта, а в розділі «Програми та категорії для блокування» буде вибрано відповідний застосунок. За потреби ви можете встановити «Розклад роботи» для цього правила.

Щоб додати додатковий DNS-сервер, у вебінтерфейсі маршрутизатора перейдіть на сторінку 'Інтернет-безпека', потім на вкладку 'Налаштування DNS' і натисніть '+ Додати сервер'.

У полі 'Адреса DNS-сервера' введіть IP-адресу DNS-сервера (у нашому прикладі це загальнодоступний DNS-сервер від Google 8.8.8.8), а потім натисніть 'Зберегти'.

Додані тут DNS-сервери будуть використовуватися домашніми пристроями, яким не призначено жодної служби Інтернет-безпеки.

Ви можете додати додаткові DNS-сервери для певних доменів. Наприклад:

Як відомо, протокол DNS (Domain Name System) не шифрує запити, і дані передаються у відкритому вигляді. DNS-трафік вразливий для кіберзлочинців, оскільки існує можливість 'прослуховувати' канал зв’язку та перехоплювати незахищені персональні дані. Інтернет-провайдери також можуть відстежувати цей трафік і збирати дані про те, які сайти ви відвідуєте.

Для забезпечення безпеки DNS-трафіку були розроблені спеціальні розширення протоколу DNS, DNS over TLS (DNS over TLS, або DoT, RFC7858) і DNS over HTTPS (DNS over HTTPS, або DoH, RFC8484). Їх основне призначення — шифрувати DNS-трафік для запобігання перехоплення та забезпечення додаткової конфіденційності та безпеки. У цій статті ми не будемо детально розглядати теорію. Інформацію про те, як працюють DoT і DoH, можна знайти на наступних сторінках:

Існують також списки публічних DNS-сервісів, які підтримують DoT/DoH:

Починаючи з версії 3.0, KeeneticOS підтримує протоколи DNS over TLS та DNS over HTTPS. Нижче ми покажемо, як зашифрувати ваш DNS-трафік, що надсилається через маршрутизатор, за замовчуванням.

Покажемо приклад налаштування через вебінтерфейс. Ми будемо використовувати безкоштовний DNS-сервіс Cloudflare, який підтримує протоколи DoT/DoH.

Для роботи протоколу DoT/DoH необхідно встановити системні компоненти: DNS-over-TLS proxy та DNS-over-HTTPS proxy. Будь ласка, відкрийте меню Керування - Параметри системи, і у розділі KeeneticOS Оновлення та параметри компонентів натисніть кнопку Змінити набір компонентів, та позначте необхідні компоненти для встановлення.

Потім перейдіть до налаштування на сторінці Інтернет-безпека в розділі меню Мережеві правила. Перейдіть на вкладку Конфігурація DNS.

DNS-over-TLS

Натисніть посилання Додати сервер внизу сторінки.

З’являться поля для заповнення параметрів сервера. Вкажіть Адресу DNS-сервера (у нашому прикладі 1.1.1.1 та 1.0.0.1), Доменне ім’я TLS (у нашому прикладі cloudflare-dns.com) і, за потреби, Інтерфейс підключення (налаштування за замовчуванням — Будь-який інтерфейс).

Наприклад:

У полі 'Адреса DNS-сервера' дозволяється вказувати доменне ім’я FQDN, наприклад:

DNS-over-HTTPS

Натисніть посилання Додати сервер внизу вкладки Конфігурація DNS.

З’являться поля для заповнення певних параметрів. У полі Тип DNS-сервера вкажіть DNS-over-HTTPS, у полі Адреса DNS-сервера вкажіть ім’я DNS-сервера та, за потреби, вкажіть інтерфейс підключення (за замовчуванням Будь-який інтерфейс). Ці запити використовують формат DNS-повідомлень. У нашому прикладі додано сервери https://cloudflare-dns.com/dns-query та https://dns.comss.one/dns-query.

Наприклад:

Перевірка налаштувань

Після налаштування DoT/DoH роботу розпізнавання DNS-імен можна перевірити за допомогою онлайн-сервісу.

У нашому прикладі DNS-запити проходять через сервери Google.

Для захисту вашої локальної мережі від атак і зловмисників з Інтернету в маршрутизаторах Keenetic за замовчуванням увімкнено міжмережевий екран. У більшості випадків налаштувань за замовчуванням достатньо для безпеки, і немає необхідності налаштовувати міжмережевий екран додатково. Але, якщо це необхідно для вирішення певних питань, будь-який маршрутизатор Keenetic надає гнучкі можливості для налаштування правил міжмережевого екрану.

У цій статті ми наведемо практичні приклади використання правил міжмережевого екрану в Keenetic.

Деяку теоретичну інформацію та детальний опис міжмережевого екрану в маршрутизаторах Keenetic можна знайти в статті Як працює міжмережевий екран?.

Розглянемо наступні приклади:

Ми налаштуємо правила міжмережевого екрану через Keenetic вебінтерфейс. Ви можете зробити це на сторінці Міжмережевий екран.

Спосіб 1

Найпростіший спосіб - використовувати Інтернет-фільтр SafeDNS з безкоштовним пробним періодом. За допомогою цієї служби можна блокувати доступ до незаконних або небажаних ресурсів, фільтрувати Інтернет за більш ніж шістдесятьма категоріями сайтів, вести власні списки виключень (розміром до 200 записів) і переглядати статистику переглядів. Фільтр SafeDNS можна використовувати для блокування доступу як для всіх пристроїв у домашній мережі, так і для окремих.

Ось приклад блокування youtube.com. Для цього ми додамо Youtube до чорного списку, і сервіс автоматично запропонує додати додаткові домени, які рекомендується прийняти для комплексного блокування.

Потім у вебінтерфейсі роутера увімкніть фільтр SafeDNS на сторінці 'Інтернет-безпека' та встановіть профіль 'За замовчуванням' для конкретного пристрою. Залежно від завдання, фільтр SafeDNS також може бути застосований до всіх зареєстрованих та незареєстрованих пристроїв.

Після цього налаштування ми рекомендуємо перезавантажити роутер, а потім перевірити доступ до заблокованого сайту.

У деяких випадках можна заблокувати доступ не лише до одного сайту, а й до цілої категорії. Наприклад, щоб заблокувати Skype та інші месенджери, заблокуйте категорію Чати та месенджери.

Ви можете знайти більше інформації на https://www.safedns.com/en/guide/

Спосіб 2

Блокування на роутері. Цей метод має особливість — він дозволить заблокувати доступ усіх хостів у локальній мережі до вказаного сайту. Його не можна використовувати для окремого хоста.

Налаштування виконується з вебінтерфейсу роутера. Перейдіть до меню 'Інтернет-безпека' на вкладку 'Налаштування DNS'. Натисніть 'Додати сервер'.

У полі 'Адреса DNS-сервера' потрібно ввести будь-яку неіснуючу (вільну, невикористовувану) IP-адресу з діапазону приватних адрес. Це може бути IP-адреса з іншої підмережі, що відрізняється від мережі інтернет-центру. У нашому прикладі при запиті сайту youtube.com хосту буде надано неіснуючу адресу 10.10.10.5, і тому сторінка не відкриється.

Після цих налаштувань перевірте доступ до заблокованого сайту.

Спосіб 3

Спосіб блокування доступу до сайтів за допомогою роутера (використовуючи команду ip host). Цей метод заблокує доступ до вказаного сайту для всіх хостів у локальній мережі. Його не можна застосувати до певного хоста.

Налаштування виконується з інтерфейсу командного рядка (CLI) вашого роутера Keenetic.

Щоб заблокувати сайт, ми використаємо команду ip host:

(config)> ip host
  Usage template:
             host {domain} {address}

Наприклад, якщо ви хочете заблокувати доступ до youtube.com, виконайте команди:

(config)> ip host youtube.com 10.10.10.5
Dns::Manager: Added static record for "youtube.com", address 10.10.10.5.

(config)> ip host www.youtube.com 10.10.10.5
Dns::Manager: Added static record for "www.youtube.com", address 10.10.10.5.

(config)> system configuration save

IP-адреса має бути будь-якою неіснуючою (вільною, невикористовуваною) IP-адресою в діапазоні приватних адрес. Це може бути IP-адреса з іншої підмережі, ніж мережа роутера.

У нашому прикладі при доступі до youtube.com хосту буде повернуто неіснуючу адресу 10.10.10.5, і сторінка не відкриється. У роутерах Keenetic можна додати до 64 статичних прив’язок IP-адрес до доменного імені за допомогою команди ip host.

Щоб видалити прив’язку, використовуйте ту саму команду, але додайте префікс no на початку. Наприклад:

(config)> no ip host youtube.com 10.10.10.5
Dns::Manager: Added static record for "youtube.com", address 10.10.10.5.

(config)> system configuration save

Спосіб 4

Спосіб блокування сайту за допомогою сервісу NextDNS.

NextDNS підтримує списки доступу 'Список заборон' та 'Список дозволів'. На момент публікації цієї статті він був безкоштовним, якщо кількість DNS-запитів менше 300 тисяч на місяць: https://nextdns.io/pricing

Щоб використовувати його, створіть профіль адреси:

Додайте вказані адреси серверів DoT (DNS-over-TLS) та DoH (DNS-over-HTTPS) на сторінку 'Інтернет-безпека' вебінтерфейсу:

Детальніше про це можна прочитати в статті 'Проксі-сервери DoT та DoH для шифрування DNS-запитів'.

Після цього ви можете додати назви заблокованих сайтів у розділі Список заборон:

Спосіб 5

Блокування сайту за допомогою правил Keenetic.

У статті 'Міжмережевий екран' наведено детальний опис використання Міжмережевого екрана в роутерах Keenetic.

Різні приклади використання правил міжмережевого екрана можна знайти в статті 'Приклади правил міжмережевого екрана'.

Наприклад, заблокуємо доступ до сайту google.com для всіх пристроїв локальної мережі за допомогою правил міжмережевого екрана.

Перший спосіб дізнатися IP-адресу сайту — використати спеціальну команду в командному рядку операційної системи:

nslookup <website_name>

У нашому прикладі ми виконаємо команду nslookup google.com

Результат виконання наведеної вище команди покаже IP-адреси, за якими знаходиться веб-сайт.

Другий спосіб дізнатися IP-адресу сайту — скористатися одним зі спеціальних онлайн-сервісів (наприклад, 2ip.io). У спеціальному рядку потрібно вказати назву сайту, який вас цікавить, і натиснути кнопку 'Перевірити'. Після цього ви побачите всі IP-адреси, на яких працює сайт. Наприклад:

Тепер, коли ви знаєте IP-адреси вебсайту, ви можете почати створювати правила міжмережевого екрана.

У цьому прикладі сайт використовує 4 IP-адреси, тому давайте створимо 8 правил для інтерфейсу локальної мережі 'Домашня мережа' для блокування трафіку за протоколами: 4 для HTTP та 4 для HTTPS.

Створіть правило 'Заборонити', де ми вказуємо IP-адресу призначення (IP-адресу сайту, доступ до якого заборонено) та тип протоколу (HTTP та HTTPS). Ми блокуємо доступ до сайту для всіх пристроїв у локальній мережі, але якщо вам потрібно заборонити доступ лише певному хосту, вкажіть його IP-адресу в полі 'IP-адреса джерела' при створенні правила.

Після створення правил перевірте доступ до сайту.

Цей метод не завжди зручний. Наприклад, щоб заблокувати Skype на рівні мережі, вам потрібно знати всі IP-адреси, які він використовує. Знайти їх усі та підтримувати список в актуальному стані – це складне завдання. Багато вебсайтів також використовують кілька різних адрес для завантаження своїх даних для підвищення продуктивності.

Розклади дозволяють не тільки керувати доступом до Інтернету та пристроями домашньої мережі, а й правилами міжмережевого екрана та переадресації портів. Ви можете вмикати/вимикати правила за розкладом.

На сторінці 'Міжмережевий екран' ви можете додавати правила міжмережевого екрана, а на сторінці 'Переадресація портів' — правила переадресації портів. Створюючи або редагуючи правило, ви можете використовувати поле 'Розклад роботи', щоб вказати раніше створений розклад або додати новий.

Спочатку створіть правило міжмережевого екрана або переадресації портів відповідно до вашого завдання. Потім натисніть 'Додати розклад' у полі 'Розклад роботи', щоб створити новий розклад.

Приклад правила міжмережевого екрана:

Для отримання додаткової інформації про налаштування правил дивіться статтю 'Міжмережевий екран'.

Приклад правила переадресації портів:

Для отримання додаткової інформації про налаштування правил дивіться статтю 'Переадресація портів'.

За замовчуванням роутери Keenetic не дозволяють вхідні підключення з Інтернету до комп’ютерів та інших мережевих пристроїв у вашій домашній мережі. Уявіть, що у вас вдома працює вебкамера, підключена до Інтернету через роутер Keenetic. Комп’ютери у вашій домашній мережі зможуть до неї підключатися, але ви не зможете підключитися до своєї вебкамери з Інтернету без переадресації портів. У цьому випадку іноді кажуть, що «потрібно відкрити порт на роутері». Термін «переадресація портів» іноді може бути замінений терміном «відображення портів».

Переадресація портів є частиною механізму NAT (трансляції мережевих адрес). Переадресація портів призначена для надання доступу з Інтернету до ваших мережевих сервісів через відкритий порт.

За допомогою служби UPnP пристрої домашньої мережі можуть дозволяти власні підключення. UPnP дозволяє автоматично переадресовувати порти. Сьогодні торрент-клієнти, месенджери, ігрові консолі, медіа-сервери та інші використовують UPnP. Увімкніть службу UPnP на вашому пристрої домашньої мережі або в застосунку. Щоб роутер Keenetic приймав налаштування UPnP, все, що вам потрібно зробити, це переконатися, що компонент Служба UPnP встановлено, що дозволяє автоматично налаштовувати необхідні правила NAT та міжмережевого екрану. Це можна зробити на сторінці Парметри системи в розділі «KeeneticOSОновлення та компоненти», натиснувши «Змінити набір компонентів».

У деяких випадках може знадобитися відкрити певні порти вручну. Наприклад, для надання доступу з Інтернету до мережевого сховища (NAS) або сервера (WWW, FTP тощо) у локальній мережі; для надання віддаленого доступу з Інтернету до комп'ютера в домашній мережі за допомогою спеціальних служб для віддаленого підключення до робочих столів (Remote Desktop від Windows, або через Radmin, VNC тощо); для виконання відображення портів з одного порту на інший.

Нижче наведено приклад конфігурації переадресації портів на роутері Keenetic.

Припустимо, ви хочете надати доступ до свого домашнього комп’ютера з Інтернету за допомогою застосунку (сервера) Віддалений робочий стіл Windows (RDP).

У налаштуваннях Keenetic вам потрібно буде відкрити певний порт TCP/UDP, який використовується для вхідних підключень. У цьому прикладі RDP за замовчуванням використовує порт TCP номер 3389.

Зареєструйте підключений пристрій у домашній мережі, на який будуть перенаправлені порти. Під час реєстрації необхідно увімкнути опцію «Постійна IP-адреса», щоб комп’ютер у домашній мережі завжди отримував одну і ту ж IP-адресу. Більше інформації ви можете знайти у статті Реєстрація пристроїв.

Переадресація портів

Перейдіть на сторінку «Переадресація портів» і натисніть «Додати правило».

У вікні «Правило переадресації портів», що з’явиться, налаштуйте правило.

Виберіть інтерфейс або встановіть підмережу для вхідного трафіку, протоколу та порту для передачі в локальну мережу. Виберіть підключений пристрій або інтерфейс, на який перенаправляється відповідний трафік.

Вам потрібно правильно вказати значення поля «Вхід». У цьому полі виберіть з’єднання або інтерфейс, через який Keenetic отримує доступ до Інтернету. У більшості випадків слід вибрати інтерфейс «Інтернет-провайдер». Якщо у вас є підключення до Інтернету через PPPoE, PPTP або L2TP, ви повинні вибрати відповідне підключення. При підключенні до Інтернету через USB-модем 4G/3G слід вказати це підключення, а при підключенні через WISP вибрати з’єднання з назвою мережі, до якої підключено Keenetic.

У полі «Вихід» виберіть пристрій, з’єднання або інтерфейс, на який буде перенаправлено відповідний трафік (у нашому прикладі це ПК, зареєстрований у домашній мережі). У полі «Вихід» ви можете вибрати «Інший пристрій» і вказати IP-адресу. Якщо ви виберете «Цей Keenetic», адресою призначення буде сам Keenetic.

У полі «Протокол» ви можете вказати протокол зі списку попередньо встановлених, який буде використовуватися при перенаправленні порту. Якщо ви виберете «TCP» або «UDP», ви можете вручну вказати номер порту або діапазон портів (у нашому прикладі використовується протокол «TCP», а в полі «Відкрити порт» вказано порт застосунку 3389).

У полі «Робочий розклад» ви можете додати розклад, за яким буде функціонувати це правило.

Тепер, щоб підключитися до робочого столу з Інтернету, вам потрібно буде використовувати Keenetic_WAN_IP-адреса:номер_порту.

Наприклад: 109.210.53.211:3389

Підказка

Якщо ви хочете відкрити діапазон портів, при створенні правила переадресації виберіть «Діапазон портів» в опції «Тип правила» та введіть початковий та кінцевий номери діапазону в полях «Відкрити порти». Наприклад, щоб відкрити діапазон портів TCP 45000 - 65000, створіть таке правило:

Переадресація портів зі зміною номера порту (відображення портів)

Іноді потрібно змінити один порт з номером X на інший Y. Відображення портів можна використовувати у випадку блокування стандартних номерів портів з боку Інтернет-провайдера або коли необхідні номери портів уже зайняті.

Починаючи з версії KeeneticOS 5,0, маршрутизатори Keenetic підтримують механізм IPv6 пінгхолінгу, який дозволяє відкривати порти TCP та UDP для надання зовнішнього доступу з Інтернету до клієнтів домашньої мережі за IPv6-адресами.

Це налаштування доступне у вебінтерфейсі на сторінці Переадресація портів.

Перейдіть на вкладку IPv6 та натисніть Додати правило у розділі Правила пінгхолінгу.

У вікні Правило пінгхолінгу, що відкриється, увімкніть правило. В полі Вхід виберіть зовнішній WAN-інтерфейс (у нашому прикладі це Ethernet connection), а в полі Вихід виберіть клієнта, на якого буде виконуватися переадресація (у нашому прикладі це хост з назвою PC). У полі Вихід можна вибирати тільки хости; вказати IPv6-адресу вручну неможливо. У полі Протокол можна вказати протокол зі списку попередньо встановлених, який буде використовуватися для переадресації. Якщо ви виберете TCP або UDP, ви зможете вручну вказати номер порту або діапазон портів (у нашому прикладі використовується протокол TCP, а в полі Відкрити порт вказано порт веб-сервісу 8080).

У полі Розклад роботи можна встановити розклад, за яким це правило буде діяти.

Іноді у вашій Keenetic локальній мережі може виникнути потреба організувати хост DMZ. Це може бути вебсервер, мережевий відеореєстратор, IP-камера або інший пристрій з усіма відкритими портами, а отже, з повним віддаленим доступом до нього з Інтернету. Хост DMZ — це не сегмент DMZ, оскільки хост з відкритими портами не ізольований від внутрішньої мережі та не захищений вбудованими функціями безпеки (міжмережевим екраном і NAT).

Перед налаштуванням правила переадресації портів зареєструйте пристрій у вашому Keenetic на сторінці 'Списки клієнтів' та увімкніть опцію 'Постійна IP-адреса', вказавши локальну IP-адресу для цього хоста.

Потім на сторінці 'Переадресація портів' створіть правило переадресації для всіх портів.

Увімкніть правило переадресації портів.

У полі 'Вхід' слід правильно вказати значення. Виберіть підключення або інтерфейс, через який маршрутизатор Keenetic отримує доступ до Інтернету та використовує публічну IP-адресу (у нашому прикладі 'Інтернет-провайдер'). Якщо ви підключені до Інтернету через PPPoE, PPTP або L2TP, слід вибрати відповідне підключення.

У полі 'Вихід' виберіть пристрій, підключення або інтерфейс, на який буде переадресовано відповідний трафік (у нашому прикладі це комп’ютер з іменем 'PC', зареєстрований у домашній мережі).

У полі 'Протокол' виберіть значення 'TCP/UDP (усі порти) та ICMP' зі списку.

У полі 'Розклад роботи' ви можете додати розклад, за яким це правило працюватиме.

Якщо переадресація портів не працює, зверніться до статті 'Що робити, якщо переадресація портів не працює'.

Розглянемо приклад налаштування роутера Keenetic для віддаленого підключення до комп'ютера в локальній мережі через RDP (Remote Desktop Protocol). Мережевий протокол віддаленого робочого столу Remote Desktop Network Protocol надає користувачеві віддалений доступ до комп’ютера (сервера), де дозволено віддалене підключення до робочого столу. В ОС Windows застосунок Віддалений робочий стіл є частиною операційної системи.

Клієнти для підключення за протоколом RDP існують майже для всіх версій операційних систем Windows, Linux, Mac OS X, iOS, Android. За замовчуванням для роботи протоколу RDP використовується порт TCP 3389.

Налаштування роутера Keenetic для встановлення віддаленого RDP-з'єднання з комп'ютером у локальній мережі буде відрізнятися залежно від того, яку IP-адресу роутер використовує для доступу до Інтернету — публічну чи приватну. Будь ласка, зверніться до статті «У чому різниця між публічною та приватною IP-адресою?». З цієї статті ви дізнаєтеся, як самостійно визначити, є ваша IP-адреса публічною чи приватною.

Публічна IP-адреса

Маючи публічну IP-адресу на роутері для доступу до Інтернету, ви можете підключатися безпосередньо до будь-якого комп'ютера у вашій домашній мережі. Для цього вам потрібно зареєструвати комп'ютер у вашій локальній мережі через Keenetic вебінтерфейс, призначити комп'ютеру постійну IP-адресу, а на сторінці Port Forwarding (Переадресація портів) створити правило для переадресації порту TCP 3389 на цей комп'ютер.

Значення поля «Input» (Вхід) має бути вказано правильно. У цьому полі ви повинні вибрати з’єднання або інтерфейс, через який Keenetic отримує доступ до Інтернету. У більшості випадків слід вибрати інтерфейс «ISP» (Інтернет-провайдер). Якщо у вас є підключення до Інтернету через PPPoE, PPTP або L2TP, вам слід вибрати відповідне з’єднання. Якщо ви підключаєтесь до Інтернету через USB-модем 3G/4G, слід вказати це з’єднання. Виберіть з’єднання з назвою мережі, до якої підключено ваш Keenetic, при підключенні через WISP.

У полі «Output» (Вихід) виберіть пристрій, з’єднання або інтерфейс, на який буде перенаправлено вхідний трафік (у нашому прикладі це комп’ютер «PC», зареєстрований у домашній мережі). Ви можете вибрати «Other device» (Інший пристрій) і вказати IP-адресу в полі «Output» (Вихід).

У полі «Protocol» (Протокол) вкажіть протокол зі списку, що використовується для переадресації портів (у нашому прикладі це TCP/3389).

Тепер створіть підключення до віддаленого робочого столу із зовнішнього мережевого пристрою (з Інтернету).

Вам потрібно буде вказати WAN IP-адресу роутера або його ім'я KeenDNS / DDNS як комп'ютер для підключення. Наприклад:

195.196.197.198
myrouter01.keenetic.link
myrouter01.dyndns.org

Приватна IP-адреса

Якщо у вас приватна IP-адреса на вашому роутері для доступу до Інтернету, ви не зможете підключитися безпосередньо до комп’ютера у вашій домашній мережі (для цього потрібна публічна IP-адреса). Крім того, протокол RDP (TCP/3389) не працюватиме через наш хмарний сервіс KeenDNS. KeenDNS у режимі «Cloud access» (Хмарний доступ) працює лише для протоколів HTTP/HTTPS.

Але ви можете використовувати SSTP VPN-сервер або OpenConnect VPN-сервер на роутері Keenetic. SSTP-сервер та OpenConnect-сервер дозволяють встановити з’єднання між клієнтом і сервером, навіть якщо у вас приватна IP-адреса. Вам потрібно буде створити підключення із зовнішнього мережевого пристрою (з Інтернету) до VPN-сервера, а потім через нього ви зможете отримати доступ до свого домашнього комп’ютера за протоколом RDP. У цьому випадку RDP-з'єднання працюватиме всередині VPN-тунелю, і ніщо не заважатиме віддаленому доступу за протоколом RDP.

У вебінтерфейсі роутера необхідно зареєструвати комп’ютер у локальній мережі (до якого ви плануєте організувати віддалене підключення) та призначити комп’ютеру постійну IP-адресу.

Потім налаштуйте SSTP-сервер на роутері Keenetic, як описано в статті «SSTP VPN-сервер» або OpenConnect-сервер у статті «OpenConnect VPN-сервер».

Із зовнішнього мережевого пристрою (з Інтернету) налаштуйте підключення до VPN-сервера. Щоб підключитися до SSTP-сервера, ви можете використовувати в якості клієнта:

Далі створіть підключення до віддаленого робочого столу.

Вам потрібно буде вказати IP-адресу комп’ютера у вашій домашній мережі як комп’ютер для підключення — наприклад, 192.168.1.31.

Нижче наведено типові причини, які можуть призвести до непрацездатності переадресації портів, незважаючи на правильне налаштування.

Служба UPnP дозволяє автоматично перенаправляти порти в маршрутизаторі. UPnP використовується такими застосунками, як месенджер Skype, торент-клієнти μTorrent, qBittorent і Transmission, системи обміну миттєвими повідомленнями, клієнти для відеоконференцій, мережевий сервіс XBOX Live та інші. При використанні UPnP в маршрутизаторі автоматично створюються необхідні правила NAT і міжмережевого екрану, що усуває необхідність самостійно налаштовувати переадресацію портів.

Розглянемо приклад використання служби UPnP в маршрутизаторі Keenetic для автоматичної переадресації портів.

У вебінтерфейсі маршрутизатора перейдіть на сторінку «Параметри системи», натисніть «Змінити набір компонентів» і переконайтеся, що компонент «Служба UPnP» встановлено. Служба UPnP увімкнена за замовчуванням у заводських налаштуваннях.

У нашому прикладі ми використовуємо торент-клієнт qBittorrent. Запустіть програму та перейдіть до її налаштувань.

У полі «Порт для вхідних з'єднань» укажіть номер порту, який буде використовувати торент-клієнт, або залиште порт за замовчуванням (у цьому прикладі це порт 20294). Переконайтеся, що служба UPnP увімкнена, а саме опція «Використовувати переадресацію портів UPnP». Якщо в налаштуваннях увімкнено опцію «Випадковий», застосунок використовуватиме новий випадковий порт щоразу, коли він запускається.

Увімкнувши службу UPnP, маршрутизатор автоматично створить правила переадресації портів.

Ви можете переглянути список портів, відкритих через UPnP, у Keenetic вебінтерфейсі. Перейдіть на сторінку «Списки клієнтів» і натисніть на запис пристрою. У розділі «Таблиця переадресації портів UPnP» ви побачите список портів, відкритих для певного пристрою.

Ви також можете перевірити відкриті порти на сторінці «Переадресація портів». Тут відображаються порти, відкриті через UPnP для всіх пристроїв вашої домашньої мережі.

Якщо ваш маршрутизатор використовує публічну IP-адресу WAN для доступу до Інтернету, ви можете перевірити, чи відкритий порт, за допомогою онлайн-сканера портів в Інтернеті (наприклад, https://portchecker.co/ або https://dnschecker.org/port-scanner.php).

Введіть свою WAN IP-адресу та номер порту і натисніть кнопку «Перевірити».

Якщо вказаний порт «Відкритий», служба UPnP маршрутизатора Keenetic працює.

Якщо вам потрібно вимкнути UPnP, видаліть системний компонент «Служба UPnP» через вебінтерфейс.

На сторінці Маршрути ви можете додати власні статичні маршрути, наприклад, до локальних ресурсів провайдера або інших IP-мереж і вузлів, а також переглянути поточні маршрути IPv4/IPv6. Статичний маршрут визначає правило для надсилання IP-пакетів через зазначений шлюз або мережевий інтерфейс.

Натисніть Створити, щоб додати власний маршрут.

У розділі Параметри статичного маршруту виберіть тип маршруту та вкажіть адресу призначення. Введіть адресу шлюзу або виберіть інтерфейс, через який буде направлятися відповідний трафік. У полі Тип маршруту доступно кілька варіантів: Маршрут до хоста, Маршрут до мережі та Маршрут за замовчуванням. Виберіть потрібний варіант залежно від вашого завдання. У полі Адреса мережі призначення введіть IP-адресу мережі або вузла призначення. Потім введіть адресу шлюзу або виберіть інтерфейс, через який буде передаватися трафік.

Установіть прапорець Додавати автоматично, щоб маршрут застосовувався, коли доступний зазначений шлюз.

Наприклад, додамо маршрут до віддаленого сегмента мережі, доступного через резервне з’єднання.

У полі Інтерфейс будуть доступні підключення, інтерфейси та сегменти, наявні на пристрої, а також значення Будь-який.

Окрім ручного додавання статичних маршрутів, ви можете завантажити список маршрутів із попередньо створеного пакетного файлу. Ця функція зручна, коли ви додаєте багато маршрутів.

Файл із розширенням .bat повинен використовувати класичний синтаксис Windows. Приклад команди з пакетного файлу:

route ADD 157.0.0.0 MASK 255.0.0.0 157.55.80.1

Наприклад, давайте створимо пакетний файл зі списком маршрутів.

Починаючи з KeeneticOS версії 5.0, з'явилася можливість додавати коментарі або примітки до пакетного файлу. Рядок повинен закінчуватися параметром :: rem або & rem. Приклад команди пакетного файлу з коментарем:

route ADD 157.0.0.0 MASK 255.0.0.0 157.55.80.1 :: rem description

Приклади маршрутів:

Щоб завантажити маршрути з файлу, натисніть Завантажити.

У полі Інтерфейс вікна Завантажити слід вибрати інтерфейс, для якого будуть застосовані маршрути (зазвичай Інтернет-провайдер надає список маршрутів для локальної мережі, тобто це має бути інтерфейс, через який Keenetic маршрутизатор підключається до Інтернету). Потім натисніть кнопку Вибрати файл і вкажіть шлях до пакетного файлу на вашому комп'ютері. Після цього натисніть Завантажити.

У результаті всі статичні маршрути з пакетного файлу будуть додані до таблиці маршрутизації Keenetic.

Якщо вам потрібно зберегти маршрути у файл .bat, натисніть кнопку Зберегти. Ця функція була представлена у версії KeeneticOS 5.0.

У вікні Зберегти список маршрутів на комп’ютер виберіть інтерфейс у полі Інтерфейс, щоб зберегти відповідні маршрути. Потім натисніть кнопку Зберегти файл і вкажіть папку, у яку буде збережено файл .bat.

Примітка

Починаючи з версії KeeneticOS 3.8, ви можете побачити індикатор поточного стану поруч із деякими активними маршрутами. Ця індикація з'являється лише для «ексклюзивних маршрутів». Індикатори дозволяють відстежувати та діагностувати роботу певних статичних маршрутів. Зелений індикатор означає, що маршрут працює, а червоний індикатор показує, що дані на адресу призначення не можуть бути передані. Ексклюзивний маршрут — в ексклюзивному режимі система може використовувати лише вибраний інтерфейс для маршрутизації трафіку до вказаного пункту призначення. Якщо вибраний інтерфейс неактивний або недоступний, такий трафік не буде маршрутизовано.

Опцію Ексклюзивний маршрут можна ввімкнути під час додавання статичного маршруту (попередньо має бути ввімкнена опція Додавати автоматично):

Починаючи з версії KeeneticOS 5,0, у вебінтерфейсі маршрутизатора на сторінці Маршрути з'явилася нова вкладка Маршрути на основі DNS, де ви можете створювати власні правила маршрутизації через вказане з’єднання або шлюз для визначених користувачем списків доменних імен та IP-адрес. Наприклад, це можна використовувати в сценаріях Multi-WAN, коли маршрутизатор використовує підключення до кількох Інтернет-провайдерів і резервує основний Інтернет-канал. У цьому випадку ви можете налаштувати маршрутизацію на основі DNS до певного списку сайтів через певний інтерфейс або шлюз.

Перейдіть на вкладку Маршрути на основі DNS та натисніть кнопку Створити в розділі Списки доменних імен.

У вікні Список доменних імен вкажіть Назву списку та введіть доменні імена та/або IP-адреси в поле Доменні імена, IPv4/IPv6 адреси, по одному в рядку. Усі субдомени вказаного імені додаються автоматично; не використовуйте символ * в доменних іменах. Натисніть кнопку Зберегти.

Далі в розділі Правила маршрутизації натисніть кнопку Створити.

У вікні Параметри маршруту на основі DNS виберіть раніше створений список у полі Назва списку та вкажіть інтерфейс для маршрутизації в полі Інтерфейс або введіть IP-адресу шлюзу у відповідне поле. Встановіть прапорець Додавати автоматично щоб застосувати маршрут, коли вказаний шлюз доступний. Встановіть прапорець Ексклюзивний маршрут, щоб спрямовувати трафік тільки на вибраний інтерфейс (якщо вибраний інтерфейс неактивний або недоступний, такий трафік не буде маршрутизуватися). Натисніть кнопку Зберегти.

Переконайтеся, що створене вами правило Увімкнено.

Далі перейдіть до тестування маршрутизації. Однак, перш ніж це зробити, ми рекомендуємо очистити кеш DNS на клієнті. У Windows це можна зробити за допомогою команди ipconfig /flushdns.

Відкрийте у веббраузері вебсайт, указаний у списку доменів. Щоб продемонструвати, як працює маршрутизація, ми спеціально додали до списку онлайн-сервіс 2ip.io, який показує вашу IP-адресу (ви можете використовувати будь-який інший подібний сервіс, наприклад, myip.com).

Перед увімкненням DNS-маршрутизації під час відвідування вебсайту 2ip.io відображалася така інформація:

А це результат після ввімкнення маршрутизації на основі DNS:

Ми бачимо, що коли маршрутизація на основі DNS увімкнена, доступ до вказаного сайту здійснюється через інше з’єднання, у нашому випадку через іншого Інтернет-провайдера.

Досвідчені користувачі можуть перевірити маршрутизацію трафіку на певний сайт за допомогою утиліти tracert (у Windows) або traceroute (у Linux та macOS). Для нашого прикладу потрібно виконати команду tracert 2ip.io в командному рядку.

KeenDNS — це зручний сервіс доменних імен для віддаленого доступу, який дозволить вам отримати постійну інтернет-адресу для вашого Keenetic. Ви зможете підключатися з Інтернету до вбудованих програм маршрутизатора та відкритих сервісів у вашій домашній мережі, використовуючи своє постійне доменне ім'я, наприклад, home.keenetic.link.

На відміну від інших подібних сервісів, KeenDNS є абсолютно безкоштовним і може працювати як в прямому режимі, так і через хмару. У цьому випадку віддалений доступ до вебінтерфейсу та вбудованих програм працюватиме навіть без публічної IP-адреси (наприклад, при підключенні через 3G/4G модем).

За допомогою сервісу KeenDNS ви можете вирішити два завдання:

Щоб KeenDNS працював на вашому маршрутизаторі, має бути встановлений компонент операційної системи Агент хмарного сервісу. Ви можете перевірити, чи встановлений цей компонент, натиснувши Змінити набір компонентів на сторінці Параметри системи системи в розділі KeeneticOS оновлення та параметри компонентів.

Доступ до керування Keenetic, до його вебінтерфейсу з Інтернету за замовчуванням заблокований. Це захищає роутер і домашню (локальну) мережу від несанкціонованого доступу із зовнішньої мережі.

Ви можете отримати доступ до вебінтерфейсу роутера з Інтернету за допомогою приватної та публічної IP-адреси на його зовнішньому (WAN) інтерфейсі, який ви використовуєте для підключення.

Щоб налаштувати віддалений доступ, ви можете скористатися нашою службою доменних імен  KeenDNS. Вона надасть вам постійну інтернет-адресу для вашого пристрою Keenetic. Ви зможете підключатися до вбудованих програм роутера та відкривати служби домашньої мережі з Інтернету, використовуючи своє постійнe доменне ім'я, наприклад myrouter01.keenetic.pro. На відміну від інших подібних сервісів, KeenDNS є повністю безкоштовним і може працювати безпосередньо та через хмару. У цьому випадку віддалений доступ до інтерфейсу та вбудованих програм буде доступний, навіть якщо немає публічної IP-адреси (наприклад, при підключенні через 3G/4G модем).

Отже, увімкніть службу KeenDNS, створіть ім'я для роутера та зареєструйте його.

Після реєстрації доменного імені KeenDNS ви зможете отримати доступ до вебінтерфейсу роутера з Інтернету. Запустіть веббраузер і введіть ім'я KeenDNS в адресний рядок. Наприклад:

Або з мобільного пристрою:

Таким чином, користувач зможе віддалено отримати доступ до керування Keenetic.

Ви також можете використовувати один із сервісів динамічного DNS. Але це можна зробити, лише якщо у вас є публічна IP-адреса на зовнішньому (WAN) інтерфейсі роутера. Більше інформації ви можете знайти у статті 'Клієнt Dynamic DNS'.

Починаючи з версії KeeneticOS 3.1, ви можете вибрати 'Тільки HTTPS' у налаштуваннях віддаленого доступу (на сторінці 'Користувачі та доступ' у полі 'Віддалене підлкючення до вебінтерфейсу'), що підвищує безпеку доступу до вебінтерфейсу роутера.

За допомогою вашого роутера Keenetic ви можете надати віддалений доступ з Інтернету до вебдодатків у вашій домашній мережі, включаючи вебінтерфейс роутера та графічний інтерфейс Cтанції завантаження. Це можна зробити за допомогою служби KeenDNS, використовуючи доменні імена 4-го рівня, навіть без публічної IP-адреси.

Спочатку вам потрібно вибрати вільне доменне ім'я KeenDNS в налаштуваннях та налаштувати службу. Детальне налаштування представлено у статті Служба KeenDNS.

Ось приклад віддаленого доступу до вебінтерфейсу QNAP NAS (працює на порту 80), підключеного до домашньої мережі. Ви можете налаштувати віддалений доступ до будь-якого пристрою з вебінтерфейсом у вашій домашній мережі (вебкамери, мережевого диска, роутера, сервера тощо).

Під час підключення мережевих камер або відеореєстраторів ('IP-камери') до маршрутизаторів Keenetic часто потрібно надати доступ з Інтернету до вебінтерфейсу камер для керування та моніторингу відеопотоку.

Розглянемо три найпопулярніші способи віддаленого доступу до IP-камер:

Тепер давайте розглянемо кожен варіант детальніше.

Доступ до IP-камери через VPN-сервер на маршрутизаторі Keenetic

Для підключення вам знадобиться:

Підключіть IP-камеру до мережі Keenetic. Зареєструйте пристрій у вебінтерфейсі Keenetic і призначте йому статичну IP-адресу. Потім увімкніть один із VPN-серверів для доступу до локальної мережі — L2TP/IPsec або PPTP. Ми рекомендуємо створити окремого користувача (обліковий запис) для VPN-з’єднання та використовувати складний пароль.

Потім підключіться до VPN-сервера Keenetic з Інтернету. Коли ви підключитеся до Keenetic, ви зможете отримати доступ до локальної мережі, включаючи камеру (ви можете отримати доступ за її локальною IP-адресою).

Ми рекомендуємо використовувати цей спосіб підключення до IP-камери, оскільки він гарантує безпеку під час передачі трафіку через Інтернет.

Доступ до IP-камери шляхом налаштування переадресації портів на маршрутизаторі Keenetic

Для підключення вам знадобиться:

Для налаштування віддаленого доступу до IP-камери Keenetic ретранслює вхідні з'єднання на певний порт або порти камери. Цей спосіб підключення не гарантує безпеки при передачі трафіку через Інтернет. Крім того, при такій конфігурації на маршрутизаторі з публічною IP-адресою можуть бути розблоковані стандартні порти, що не рекомендується, оскільки якщо зловмисні боти виявлять такі порти, це може призвести до великого «паразитного» трафіку або атаки на цю адресу.

Вимкніть службу UPnP в налаштуваннях камери та Keenetic. Для цього видаліть системний компонент 'Служба UPnP' у маршрутизaторі.

Потім налаштуйте переадресацію портів, використовуючи інструкцію «Переадресація портів».

Створіть правило (правила), вибравши в полі 'Вхід' інтерфейс, який ви хочете використовувати для підключення до Інтернету (у нашому прикладі це інтерфейс 'ISP'). При використанні 3G/4G модему виберіть його зі списку.

Оскільки і вебконфігуратор Keenetic, і вебінтерфейс IP-камери використовують порт 80, давайте налаштуємо зіставлення портів для доступу до вебінтерфейсу камери з Інтернету на іншому порті (в нашому прикладі на порті 8080).

Потім перевірте переадресацію портів на IP-камеру з Інтернету через ваш браузер. У своєму браузері використовуйте адресу такого типу: WAN_IP_адреса_Keenetic:номер_порту

Наприклад, 86.87.88.89:8080

У браузері ви побачите вебінтерфейс вашої камери.

За допомогою нашого сервісу KeenDNS (в режимі прямого доступу) ви можете призначити своє доменне ім'я для Keenetic. У своєму браузері використовуйте адресу такого типу: доменне_ім'я:номер_порту

Наприклад: myrouter01.keenetic.pro:8080

Доступ до вебінтерфейсу IP-камери через наш сервіс KeenDNS за допомогою доменного імені 4-го рівня

Цей метод застосовується, якщо у вас є публічна IP-адреса для доступу до Інтернету (KeenDNS в режимі прямого доступу) та приватна IP-адреса (KeenDNS в режимі хмарного доступу).

Налаштуйте доступ до вебдодатків вашої локальної мережі за прикладом інструкції «Віддалений доступ до ресурсів домашньої мережі за допомогою KeenDNS». У цьому випадку немає необхідності налаштовувати переадресацію портів. Доступ до вебінтерфейсу IP-камери з Інтернету буде можливий за допомогою доменного імені 4-го рівня (наприклад, camera.myrouter01.keenetic.pro).

При роботі сервісу KeenDNS в режимі хмарного доступу зверніть увагу на наступне:

Уявіть собі підключення до Інтернету, де основний провайдер надає доступ за допомогою загальнодоступної адреси IPv4, а резервне підключення використовує підключення через модем 3G/4G, а адреса, призначена оператором мобільного зв’язку, приватна. І вам потрібно забезпечити безвідмовні віддалені з'єднання в таких умовах.

У роутері Keenetic ви можете налаштувати сервіс KeenDNS так, щоб доменне ім’я працювало в режимі «Прямий доступ», коли основний провайдер онлайн, а при переході на резервного провайдера активувався режим «Хмарний доступ».

У вебінтерфейсі роутера, на сторінці 'Доменне ім'я', на вкладці KeenDNS, встановіть для опції 'Режим роботи (IPv4)' значення 'Авто'.

Для перевірки ви можете виконати команду ping keendns_name в операційній системі вашого комп’ютера (замість keendns_name використовуйте своє зареєстроване доменне ім’я в сервісі KeenDNS). Під час роботи через з'єднання з інтернет-провайдером з публічною IP-адресою ця команда повинна визначити IP-адресу, видану провайдером (її можна побачити на сторінці 'Системний монітор' у розділі 'Інтернет'). А при переході на резервне з’єднання (у нашому прикладі це з’єднання через 3G/4G-модем) пінгування імені KeenDNS покаже IP-адресу хмарного сервера Keenetic, оскільки буде активовано режим 'Хмарний доступ'.

У вебінтерфейсі роутера налаштування режиму 'Авто' доступне, починаючи з версії KeeneticOS 3.7, але в попередніх версіях цей режим можна ввімкнути за допомогою спеціальних команд. Нижче описано, як це зробити:

Спочатку ви повинні налаштувати доступ згідно з інструкціями 'KeenDNS service', вибравши режим 'Хмарний доступ'.

Потім у CLI виконайте команду, щоб переключити службу KeenDNS в режим автоматичного вибору типу доступу:

ndns book-name {name} {domain} auto

Ось зразок результату успішно виконаної команди:

(config)> ndns book-name sample_name keenetic.link auto

done, layout = view, title = NDSS::ndns/bookName (Public DNS Hostname Booking), sub-
title = The name booking was successful.:

(...)

item, elapsed = 87, origin = [TaskBookName, {"name":"sample_name","domain":"keenetic.link",

"license":"(service_tag)"}], type = complete, peer = *, detail = All done.:

Ndns::Client: Booked "sample_name.keenetic.link".

Команда виконується один раз, і налаштування не потрібно зберігати, оскільки конфігурація сервісу KeenDNS зберігається не локально на пристрої, а на хмарному сервері.

Зверніть увагу, що якщо ви виберете 'Прямий доступ' або 'Хмарний доступ' у меню вебінтерфейсу 'Мережеві правила' > 'Доменне ім'я' > 'KeenDNS' > 'Режим роботи', налаштування режиму доступу 'Авто', зроблене за допомогою наведеної вище команди, буде перезаписано.

При спробі ввести доменне ім'я, раніше зареєстроване на іншому Keenetic, ви отримаєте сповіщення, що ім'я вже використовується.

Якщо вам потрібно перенести зареєстроване доменне ім'я KeenDNS з одного роутера Keenetic на інший, виконайте такі дії:

KeenDNS Хмарний сервіс для віддаленого доступу до керування мережевими пристроями надає налагоджувальну інформацію у кодах помилок.

Можливі коди та відповідні варіанти дій наведено в таблиці нижче.

Автоматичне поновлення або отримання сертифіката SSL може не працювати в таких випадках:

Припустимо, ви хочете підключитися до свого маршрутизатора або комп'ютера домашньої мережі з Інтернету, налаштувати постійне доменне ім'я. На додаток до служби KeenDNS, ви можете використовувати DynDNS, NO-IP, OpenDNS, DNS-O-Matic, AnyDNS, dnsHome, DuckDNS, deSEC або іншого провайдера DDNS в маршрутизаторі Keenetic. Служба динамічних доменних імен призначена для того, щоб надати вашому Keenetic постійне ім'я, яке не залежатиме від використовуваної IP-адреси (динамічної чи статичної) і яке буде легко запам'ятати. Доменне ім'я буде прив’язане до вашої статичної або динамічної IP-адреси. У випадку динамічної адреси, коли ви змінюєте IP-адресу, Keenetic надішле сповіщення на сервер DDNS із зазначенням поточної IP-адреси, а потім ця нова IP-адреса буде прив’язана до вашого доменного імені.

Перш ніж налаштувати постійне ім’я DDNS в Keenetic, вам потрібно зареєструватися на сайті вашого DDNS-провайдера та отримати там власне доменне ім'я.

Отримавши постійне доменне ім'я, ви повинні вказати його у вебінтерфейсі Keenetic на сторінці 'Доменне ім'я', на вкладці 'DDNS'.

Наприклад:

У полі 'Сервіс' виберіть провайдера DDNS або 'Інший'.

У полі 'Доменне ім'я' введіть зареєстроване доменне ім'я, вказане під час реєстрації на сайті DDNS-провайдера. У полях 'Ім'я користувача' та 'Пароль' введіть відповідно логін та пароль, вказані на сайті DDNS-провайдера під час реєстрації. Деякі провайдери, наприклад NO-IP, використовують як логін адресу електронної пошти. Рекомендується ввімкнути опцію 'Визначати мою IP-адресу автоматично', щоб сервер DDNS міг самостійно виконувати визначення адреси.

Налаштування можуть відрізнятися залежно від постачальника послуг.

Якщо ви виберете 'Інший' у полі 'Сервіс', вам потрібно буде ввести URL-адресу сервера провайдера DDNS у полі 'Сервіс'. URL-адреса повинна починатися з використовуваного протоколу (http:// або https://, наприклад http://members.dyndns.org/nic/update).

Якщо ви створили на маршрутизаторі кілька різних типів інтернет-з’єднань, з’явиться поле 'Для з'єднань', у якому можна вибрати інтерфейси, на яких буде використовуватися постійне доменне ім’я. Можна відзначити відразу кілька з'єднань.

Тепер, незалежно від зміни WAN IP-адреси, ваш Keenetic буде доступний вам для керування з Інтернету за доменним ім'ям DDNS.