Настройка OpenVPN на роутере Keeetic
Обновлено: 30.06.2024
Мы максимально понятно и доступно расскажем, как настроить обход блокировок на интернет-центрах Keenetic.
В Интернете написано несколько статей о том, как обойти блокировки на интернет-центрах Keenetic, но информация либо неполная, либо написана для системных администраторов, но не для всех пользователей. Поэтому не многие понимают, что нужно сделать, чтобы зайти на заблокированный сайт с помощью интернет-центра Keenetic. Было решено написать этот материал, чтобы исправить ситуацию.
VPN-сервер
Оглавление
Чтобы интернет-центр научился обходить блокировку, у вас уже должен быть создан VPN-сервер. Если это VPN Wireguard, то еще лучше, так как на данный момент это один из самых быстрых и безопасных протоколов. Как настроить такой VPN, читайте в нашей статье — Создаем Wireguard VPN Server.
Установка необходимых компонентов на интернет-центр
Перейти в веб-интерфейс Keenetic > «общие настройки» > установить компонент Wireguard.
Затем перезапустите маршрутизатор, затем вернитесь в веб-интерфейс, перейдите в меню «другие подключения» и добавьте подключение Wireguard.
Настройка обхода блокировки сайтов на интернет-центрах
Необходимо перейти на вкладку «Маршрутизация». Здесь вам нужно будет добавить один или несколько IP-адресов, назначенных определенному сайту или сервису. Как это сделать описано ниже.
Если у сайта один IP
Если вам нужно зайти на сайт, у которого есть только IP-адрес, то вам нужно сделать это:
- Нажмите "добавить маршрут".
- Выберите «маршрут к узлу».
- В поле «Адрес узла назначения» укажите IP-адрес сайта (IP можно узнать с помощью специального сервиса)
- В раскрывающемся списке «Интерфейс» выберите свой VPN.
- Чуть ниже установите флажок "Добавлять автоматически" и сохраните изменения.
Теперь сайт начнет работать!
Если у сайта много IP-адресов
Для крупных проектов, таких как ВК, Facebook и т. д., как правило, используется большое количество IP-адресов, пара сотен и даже больше. Добавить их можно и первым способом, но очень сложно. Поэтому потребуется другой подход.
- Нажмите "добавить маршрут".
- Выберите сайт «маршрут к сети», который покажет весь список IP-адресов и масок подсети требуемой службы. В поиске вбиваем домен, а потом смотрим вкладку IP info. Там будет набор начальных IP-адресов и формат маски подсети с косой чертой…
- Далее в Address узла назначения указываем один из множества стартовых IP-адресов
- Так происходит обход блокировок на интернет-центрах Keenetic. Теперь повторите шаги для следующих IP-адресов заблокированного ресурса. Тогда заблокированный сайт снова заработает!
Вот и все, теперь вы знаете, как обойти блокировки на интернет-центрах Keenetic.
СВЯЗАННЫЕ СТАТЬБОЛЬШЕ ОТ АВТОРА
Как войти в режим восстановления на смартфонах Realme
Руководство: как выполнить аппаратный сброс на смартфонах Realme
7 ошибок WhatsApp, которые могут заблокировать ваш аккаунт
ОСТАВИТЬ ОТВЕТ
Обязательно к прочтению:
Как войти в режим восстановления на смартфонах Realme
Руководство: как выполнить аппаратный сброс на смартфонах Realme
7 ошибок WhatsApp, которые могут заблокировать ваш аккаунт
7 советов по увеличению времени автономной работы Samsung Galaxy
Как установить Linux на Chromebook | Пошаговое руководство
Aio Mobile Stuff - Загрузите прошивку прошивки Android Stock ROM - Android Root Guides - Последние мобильные новости, советы и рекомендации - Разблокировка Frp.
Обзор конфиденциальности
OpenVPN — это бесплатная служба VPN (виртуальная частная сеть), позволяющая удаленно получать доступ к домашней сети из любого места, где есть открытый интернет-сервис. OpenVPN – это многоплатформенный сервис, работающий с операционными системами Android и iOS и позволяющий вам получать доступ к используемым устройствам и службам через маршрутизатор.
Эта статья проведет вас через шаги, необходимые для создания и установки соединения OpenVPN с вашим маршрутизатором TP-Link.
Убедитесь, что маршрутизатор/модем имеет общедоступный IP-адрес в глобальной сети, который не ограничен поставщиком услуг Интернета; если это частный IP-адрес, это означает, что маршрутизатор/модем находится за NAT, откройте порты для маршрутизатора/модема в NAT.
Но для интернет-провайдера CG-NAT: Comporium и Direct link - служба радиосвязи, предоставьте клиенту частный IP-адрес, что приведет к тому, что вы не сможете использовать OpenVPN и повлияете на тип NAT. Вы можете связаться с интернет-провайдером и попросить его предоставить IP-адрес Statis.
Настройка OpenVPN на маршрутизаторе TP-Link
(в этом примере используется Archer C5400)
Шаг 2. Нажмите "Дополнительно" на верхней панели навигации.
Шаг 3. Нажмите VPN-сервер, затем OpenVPN.
Шаг 4. Нажмите Сертификат, чтобы сгенерировать сертификат.
Примечание. Этот шаг необходимо выполнить перед включением OpenVPN.
Шаг 5. Установите флажок «Включить VPN-сервер», затем введите следующую информацию по запросу. Нажмите Сохранить.
Примечание. То, что вы выберете для клиентского доступа, будет определять контент, который вы сможете просматривать через VPN. Интернет и домашняя сеть позволят вам использовать домашний интернет-сервис, а также доступ к общим сетевым ресурсам. Только домашняя сеть предоставляет доступ только к общим файлам и дискам вашей сети без доступа к домашнему интернет-сервису.
Шаг 6. Нажмите «Экспорт», чтобы загрузить файл конфигурации на свой компьютер.
Подключение OpenVPN (ПК)
Шаг 2. Нажмите «Загрузки», затем нажмите ссылку, соответствующую вашей версии Windows.
Шаг 3. Загрузите и запустите программу установки.
Шаг 4. Найдите сертификат в папке загрузки и скопируйте файл.
Примечание. Имя файла может отличаться для каждого маршрутизатора.
Шаг 5. Вставьте файл конфигурации в папку config, расположенную в каталоге OpenVPN.
Шаг 6. Запустите программу. На панели задач появится значок быстрого запуска. Щелкните значок правой кнопкой мыши и выберите Подключиться.
Шаг 7. Если соединение установлено успешно, вы увидите следующее сообщение.
Теперь вы подключены к домашней сети через VPN. Чтобы убедиться в этом, вы можете открыть окно VPN-подключений в настройках маршрутизатора.
Это часто задаваемые вопросы полезны?
Ваши отзывы помогают улучшить этот сайт.
Что вас беспокоит в этой статье?
- Недовольны продуктом
- Слишком сложно
- Сбивающий с толку заголовок
- Ко мне не относится
- Слишком расплывчато
- Другое
Мы хотели бы получить ваши отзывы, сообщите нам, как мы можем улучшить этот контент.
Спасибо
Мы ценим ваши отзывы.
Нажмите здесь, чтобы связаться со службой технической поддержки TP-Link.
Подписаться TP-Link серьезно относится к вашей конфиденциальности. Дополнительную информацию о методах обеспечения конфиденциальности TP-Link см. в Политике конфиденциальности TP-Link.
Экологически чистая мукомольная продукция высочайшего качества
Низкие цены на оптовые партии
Мука для
розничных потребителей
Качественная мука
в розницу и мелким оптом от 25 кг
Неизменно высокое качество продукции и индивидуальный подход к индивидуальному заказу – это главный приоритет Пушкинского мукомольного комбината при работе с розничным покупателем.
Мука по
спецификации заказчика
Для производств, где требуется
мука с заданным составом
Инструментальная мука – ведущее направление производства, которое направляет усилия нашего мукомольного предприятия в г. Пушкино Московской области.
1 Лаборатория
по контролю выпуска
2 Мукомольное
оборудование
3 Организованная
система доставки
4 Постпродажное
сопровождение
Мука для долгосрочных услуг
гостеприимства и гостиничного хозяйства
Мы предлагаем качественную муку
для участия, кафе, пиццерий
У вас есть гостиничный или ресторанный бизнес? Закажите лучшие продукты для своего производства. Мы гарантируем выгодные условия сотрудничества, своевременные поставки и отличное качество продукции!
Производитель мукомольной
продукции высочайшего качества
ПК ХП - Производитель
мукомольной продукции высочайшего качества
От Кинетика 1.0/24 пингуется, наоборот - нет, пинг проходит только до 10.0.8.2.
Захват пакетов показывает, что ICMP на 171.0/24 не приходит, захват на PFSense видно, что пинг на 171.0/24 остается в WAN-интерфейсе, а не в OpenVPN.
Вывод оболочки — netstat -rWn
@mahad
Овпн на сертификатах?
Кинетик - клиент?
У вас не видно сети за клиентом. Про маршрут поищите. И правила fw на производство железок просмотрите.
ЗЫ. И снова сеть 192.168.1.0 Это какой-то лютый писец (
Вы что будете создавать, если кому-то надо будет подключиться к вам с ТАКОЙ же чУдной адрес. Смените адресацию. И никогда не пользуйтесь в продакшене.
Да, на сертификатах, а также на клиенте.
iRoute прописан во вкладке Client Override
Никаких ограничений на брандмауэр нету.
Вы мне скажите, почему пинги с PFSense уходят через WAN, а не через OpenVPN? Так должно быть? Есть ощущение, что маршрутизация неправильного настроения.
Захват пакетов показывает, что ICMP на 171.0/24 не приходит, при захвате на PFSense видно, что пинг на 171.0/24 остается в интерфейсе WAN, а не в OpenVPN.
Пропишите 192.168.171.0/24 в удаленных сетях OpenVPN на pfSense
и укажите настройки маршрутизации/файрволлаpfSense какой версии?
@mahad
Потом что у Вас маршрутизация к сети 192.168.0.0/16 через vmx0 настроена в таблице маршрутизацииiRoute прописан во вкладке Client Override
И общепринятое имя там же - правильное?
Как его убрать? Я излазил весь интерфейс - понятия не имею, где он зарабатывается.
@mahad
В сети на пф маску сменить.@mahad возможно , что провайдер передаёт Вам этот маршрут при получении ip адреса
Или в реализованных маршрутах надо искать@konstanti
Кхм. Это была бы катастрофа. Не думаю, что РТ руководитель на такое.Отлично! Поменял женские сети LAN, маршруты на PFSense изменились на:
Теперь захват пакетов показывает, что пинги уходят через интерфейс OpenVPN, но по кинетике захвата пакетов показывается, что не наблюдается по подсети 171.0/24 Пакеты ICMP не приходят ни на интерфейс OpenVPN, ни в другое место.
@mahad
Правила fw на ЛАН,ВАН, ОВПН подскажите.Зы. И меняйте адресацию в сети. Чтобы не было проблем в ближайшем будущем.
Поменял маску LAN сети, маршруты на PFSense изменились на:
Перезагружайте пф. Для чистоты.
Теперь захват пакетов показывает, что пинги уходят через интерфейс OpenVPN, но на кинетике захват пакетов показывает,
fw НА зюхеле крутите - разрешите доступ из 192.168.1.0 в 192.168.171.0 на овпн.
Перегрузил
pfctl -sn показывает:Антиспам не дает запостить весь вывод. Вот часть
Подсетку 192.168.1.0 поменяю как всё доделаю, там надо как-то с умом подходить, а сейчас времени нет.
fw НА зюхеле крутите - разрешите доступ из 192.168.1.0 в 192.168.171.0 на овпн.
Трейсроут из сети пф в сети кинетика запуска и смотрите где затыкается.
СКРИНОМ правила фв пф на ЛАН,ВАН,ОВПН подскажите.
@werter ![Keenetic-1.jpg]
На кинетике вообще всё разрешил
Tracert с клиентом PFSense затыкается на первом же шаге после шлюза.
Tracert с клиентом PFSense затыкается на первом же шаге после шлюза.
- В листинге ничего, кроме "звездочек" ( Или это только у меня ?
- Во плавучих 1-е СНИЗУ - откл. НЕ ТРОГАЙТЕ плавать вообще.
- В ЛАНе 2-е СВЕРХУ - неправильно.
@werter
Спасибо большое за помощь!
Наслаждаюсь.Для тех, кто столкнется с проблемой - надо прописывать Outbound NAT с ощущением сети на удалённую на интерфейсе OpenVPN.
Для тех кто столкнется.
Есть пф и Zyxel Keenetic. Задача связать их по openvpn. Связали по паролю.
Все маршруты есть как на пф так и на кинетике. В правилах разрешено всё на стороне задержания.
Трафик из сети за кинетиком в сеть за пф бегает, наоборот - нет. Со стороны пф доходит только до зюхеля. Случай ЛОКАЛЬНЫЙ адрес (не впн-адрес) зюхеля из сети пф доступен.Решение:
На пф NAT переключили в режим Hybrid и добавили правило src - локальная сеть, dst - сеть зюхеля, nat - адрес интерфейса.
Из минусов, все пакеты из сети за пфОбладает на зюхеле один и тот же ip-адрес - адрес конца впн-туннеля пф-а.Прим. Для двух соединений пф ТАКОГО "финта" не требуется.
Зы. Просьба выложить скрин NAT -> Outbound для наглядности.
@werter Особенности Zyxel, наверное.
Население site-to-site на Asus с Merlin, на Padavan - нигде с NAT Outbound ничего делать не надо было.
Asus с Merlin кстати, подключил к серверу pf в режиме удаленного доступа, нужно в расширенной конфигурации добавить маршрут в удаленную сеть ( в протоколе удаленного доступа нет поля IPv4 Remote network)Это дальнейшее развитие TomatoUSB.
Рад, что проект жив.
Жаль, но устройство с ее поддержкой как-то всегда проходило мимо.
Нравится Падаван. Просто, логично. Приведу пример настроек клиента. TCP выбран умышленно, провайдер любит воевать с UDP в интернете. (Он умеет быть и Open VPN сервером, настроил дома и сервер).
Решение:
На пф NAT переключили в режим Hybrid и добавили правило src - локальная сеть, dst - сеть зюхеля, nat - адрес интерфейса.Некропост, но все же. Сайт-к-сайту Keentic pfSense.
На стороне pfSense (сервер) все стандартно.
В Outbound NAT ничего не производится.
На стороне Keentic (клиент) на интерфейсе Open VPN воспроизводится разрешающее правило с SRC=сеть\сети за pfSense.
Ну и не забываем про брандмауэр на машинах за Кинетиком.Пробую связать сайт-сайт Keenetic и чужой PF.
Интересный момент - Keenetic не направляет в туннель IP хостов, только в удаленной сети за PF доступен LAN IP самого PF.
Если в Keenetic есть доступ к NAT, сети начинают друг друга видеть, но тогда, что естественно, с ПК за Кинетик открывается доступ в интернет.@pigbrother
Версия ПО на кинетике самая свежая? Выше вариант не подходит?Вроде решил вопрос.Проблема в том, что КинетикОС включает NAT для всех(?) исходящих интерфейсов, по крайней мере для OpenVPN - точно.
Лечение, CLI:
1.no ip nat Home - отключает NAT глобально (?)
2.ip static Home GigabitEthernet1 - Включает NAT на нужном интерфейсе. GigabitEthernet1 - мой интерфейс, смотрящий в интернет. Посмотреть название нужного фасада можно в CLI - показать интерфейс
3. Если все заработало - сохраните конфигурацию системы для сохранения настроек после ребута.
Ну и , как писал, на стороне Keentic (клиент) на интерфейсе выше Open VPN воспроизводится разрешающее правило с SRC=сеть\сети за pfSense.За подсказку спасибо пользователю Le ecureuil с форума Кинетик. Сам бы я (да и, наверное, не только я) вряд ли бы догадался, что ip static - это включение NAT ))
Читайте также:
