Настройка OpenVPN на роутере Keeetic

Обновлено: 21.11.2024

Мы максимально понятно и доступно расскажем, как настроить обход блокировок на интернет-центрах Keenetic.

В Интернете написано несколько статей о том, как обойти блокировки на интернет-центрах Keenetic, но информация либо неполная, либо написана для системных администраторов, но не для всех пользователей. Поэтому не многие понимают, что нужно сделать, чтобы зайти на заблокированный сайт с помощью интернет-центра Keenetic. Было решено написать этот материал, чтобы исправить ситуацию.

VPN-сервер

Оглавление

Чтобы интернет-центр научился обходить блокировку, у вас уже должен быть создан VPN-сервер. Если это VPN Wireguard, то еще лучше, так как на данный момент это один из самых быстрых и безопасных протоколов. Как настроить такой VPN, читайте в нашей статье — Создаем Wireguard VPN Server.

Установка необходимых компонентов на интернет-центр

Перейти в веб-интерфейс Keenetic > «общие настройки» > установить компонент Wireguard.

Затем перезапустите маршрутизатор, затем вернитесь в веб-интерфейс, перейдите в меню «другие подключения» и добавьте подключение Wireguard.

Настройка обхода блокировки сайтов на интернет-центрах

Необходимо перейти на вкладку «Маршрутизация». Здесь вам нужно будет добавить один или несколько IP-адресов, назначенных определенному сайту или сервису. Как это сделать описано ниже.

Если у сайта один IP

Если вам нужно зайти на сайт, у которого есть только IP-адрес, то вам нужно сделать это:

  • Нажмите "добавить маршрут".
  • Выберите «маршрут к узлу».
  • В поле «Адрес узла назначения» укажите IP-адрес сайта (IP можно узнать с помощью специального сервиса)
  • В раскрывающемся списке «Интерфейс» выберите свой VPN.
  • Чуть ниже установите флажок "Добавлять автоматически" и сохраните изменения.

Теперь сайт начнет работать!

Если у сайта много IP-адресов

Для крупных проектов, таких как ВК, Facebook и т. д., как правило, используется большое количество IP-адресов, пара сотен и даже больше. Добавить их можно и первым способом, но очень сложно. Поэтому потребуется другой подход.

  • Нажмите "добавить маршрут".
  • Выберите сайт «маршрут к сети», который покажет весь список IP-адресов и масок подсети требуемой службы. В поиске вбиваем домен, а потом смотрим вкладку IP info. Там будет набор начальных IP-адресов и формат маски подсети с косой чертой…
  • Далее в Address узла назначения указываем один из множества стартовых IP-адресов

  • Так происходит обход блокировок на интернет-центрах Keenetic. Теперь повторите шаги для следующих IP-адресов заблокированного ресурса. Тогда заблокированный сайт снова заработает!

Вот и все, теперь вы знаете, как обойти блокировки на интернет-центрах Keenetic.

СВЯЗАННЫЕ СТАТЬБОЛЬШЕ ОТ АВТОРА

Как войти в режим восстановления на смартфонах Realme

Руководство: как выполнить аппаратный сброс на смартфонах Realme

7 ошибок WhatsApp, которые могут заблокировать ваш аккаунт

ОСТАВИТЬ ОТВЕТ

Обязательно к прочтению:

Как войти в режим восстановления на смартфонах Realme

Руководство: как выполнить аппаратный сброс на смартфонах Realme

7 ошибок WhatsApp, которые могут заблокировать ваш аккаунт

7 советов по увеличению времени автономной работы Samsung Galaxy

Как установить Linux на Chromebook | Пошаговое руководство

Aio Mobile Stuff - Загрузите прошивку прошивки Android Stock ROM - Android Root Guides - Последние мобильные новости, советы и рекомендации - Разблокировка Frp.

Обзор конфиденциальности

OpenVPN — это бесплатная служба VPN (виртуальная частная сеть), позволяющая удаленно получать доступ к домашней сети из любого места, где есть открытый интернет-сервис. OpenVPN – это многоплатформенный сервис, работающий с операционными системами Android и iOS и позволяющий вам получать доступ к используемым устройствам и службам через маршрутизатор.

Эта статья проведет вас через шаги, необходимые для создания и установки соединения OpenVPN с вашим маршрутизатором TP-Link.

Убедитесь, что маршрутизатор/модем имеет общедоступный IP-адрес в глобальной сети, который не ограничен поставщиком услуг Интернета; если это частный IP-адрес, это означает, что маршрутизатор/модем находится за NAT, откройте порты для маршрутизатора/модема в NAT.

Но для интернет-провайдера CG-NAT: Comporium и Direct link - служба радиосвязи, предоставьте клиенту частный IP-адрес, что приведет к тому, что вы не сможете использовать OpenVPN и повлияете на тип NAT. Вы можете связаться с интернет-провайдером и попросить его предоставить IP-адрес Statis.

Настройка OpenVPN на маршрутизаторе TP-Link
(в этом примере используется Archer C5400)

Шаг 2. Нажмите "Дополнительно" на верхней панели навигации.

Шаг 3. Нажмите VPN-сервер, затем OpenVPN.

Шаг 4. Нажмите Сертификат, чтобы сгенерировать сертификат.

Примечание. Этот шаг необходимо выполнить перед включением OpenVPN.

Шаг 5. Установите флажок «Включить VPN-сервер», затем введите следующую информацию по запросу. Нажмите Сохранить.

Примечание. То, что вы выберете для клиентского доступа, будет определять контент, который вы сможете просматривать через VPN. Интернет и домашняя сеть позволят вам использовать домашний интернет-сервис, а также доступ к общим сетевым ресурсам. Только домашняя сеть предоставляет доступ только к общим файлам и дискам вашей сети без доступа к домашнему интернет-сервису.

Шаг 6. Нажмите «Экспорт», чтобы загрузить файл конфигурации на свой компьютер.

Подключение OpenVPN (ПК)

Шаг 2. Нажмите «Загрузки», затем нажмите ссылку, соответствующую вашей версии Windows.

Шаг 3. Загрузите и запустите программу установки.

Шаг 4. Найдите сертификат в папке загрузки и скопируйте файл.

Примечание. Имя файла может отличаться для каждого маршрутизатора.

Шаг 5. Вставьте файл конфигурации в папку config, расположенную в каталоге OpenVPN.

Шаг 6. Запустите программу. На панели задач появится значок быстрого запуска. Щелкните значок правой кнопкой мыши и выберите Подключиться.

Шаг 7. Если соединение установлено успешно, вы увидите следующее сообщение.

Теперь вы подключены к домашней сети через VPN. Чтобы убедиться в этом, вы можете открыть окно VPN-подключений в настройках маршрутизатора.

Это часто задаваемые вопросы полезны?

Ваши отзывы помогают улучшить этот сайт.

Что вас беспокоит в этой статье?

  • Недовольны продуктом
  • Слишком сложно
  • Сбивающий с толку заголовок
  • Ко мне не относится
  • Слишком расплывчато
  • Другое

Мы хотели бы получить ваши отзывы, сообщите нам, как мы можем улучшить этот контент.

Спасибо

Мы ценим ваши отзывы.
Нажмите здесь, чтобы связаться со службой технической поддержки TP-Link.

Подписаться TP-Link серьезно относится к вашей конфиденциальности. Дополнительную информацию о методах обеспечения конфиденциальности TP-Link см. в Политике конфиденциальности TP-Link.

Экологически чистая мукомольная продукция высочайшего качества

Низкие цены на оптовые партии

Мука для
розничных потребителей

Качественная мука
в розницу и мелким оптом от 25 кг

Неизменно высокое качество продукции и индивидуальный подход к индивидуальному заказу – это главный приоритет Пушкинского мукомольного комбината при работе с розничным покупателем.

Мука по
спецификации заказчика

Для производств, где требуется
мука с заданным составом

Инструментальная мука – ведущее направление производства, которое направляет усилия нашего мукомольного предприятия в г. Пушкино Московской области.

1 Лаборатория
по контролю выпуска

2 Мукомольное
оборудование

3 Организованная
система доставки

4 Постпродажное
сопровождение

Мука для долгосрочных услуг
гостеприимства и гостиничного хозяйства

Мы предлагаем качественную муку
для участия, кафе, пиццерий

У вас есть гостиничный или ресторанный бизнес? Закажите лучшие продукты для своего производства. Мы гарантируем выгодные условия сотрудничества, своевременные поставки и отличное качество продукции!

Производитель мукомольной
продукции высочайшего качества

ПК ХП - Производитель
мукомольной продукции высочайшего качества

От Кинетика 1.0/24 пингуется, наоборот - нет, пинг проходит только до 10.0.8.2.

Захват пакетов показывает, что ICMP на 171.0/24 не приходит, захват на PFSense видно, что пинг на 171.0/24 остается в WAN-интерфейсе, а не в OpenVPN.

Вывод оболочки — netstat -rWn

@mahad
Овпн на сертификатах?
Кинетик - клиент?

У вас не видно сети за клиентом. Про маршрут поищите. И правила fw на производство железок просмотрите.

ЗЫ. И снова сеть 192.168.1.0 Это какой-то лютый писец (
Вы что будете создавать, если кому-то надо будет подключиться к вам с ТАКОЙ же чУдной адрес. Смените адресацию. И никогда не пользуйтесь в продакшене.

Да, на сертификатах, а также на клиенте.
iRoute прописан во вкладке Client Override

Никаких ограничений на брандмауэр нету.

Вы мне скажите, почему пинги с PFSense уходят через WAN, а не через OpenVPN? Так должно быть? Есть ощущение, что маршрутизация неправильного настроения.

Захват пакетов показывает, что ICMP на 171.0/24 не приходит, при захвате на PFSense видно, что пинг на 171.0/24 остается в интерфейсе WAN, а не в OpenVPN.

Пропишите 192.168.171.0/24 в удаленных сетях OpenVPN на pfSense
и укажите настройки маршрутизации/файрволла

pfSense какой версии?

@mahad
Потом что у Вас маршрутизация к сети 192.168.0.0/16 через vmx0 настроена в таблице маршрутизации

iRoute прописан во вкладке Client Override

И общепринятое имя там же - правильное?

Как его убрать? Я излазил весь интерфейс - понятия не имею, где он зарабатывается.

@mahad
В сети на пф маску сменить.

@mahad возможно , что провайдер передаёт Вам этот маршрут при получении ip адреса
Или в реализованных маршрутах надо искать

@konstanti
Кхм. Это была бы катастрофа. Не думаю, что РТ руководитель на такое.

Отлично! Поменял женские сети LAN, маршруты на PFSense изменились на:

Теперь захват пакетов показывает, что пинги уходят через интерфейс OpenVPN, но по кинетике захвата пакетов показывается, что не наблюдается по подсети 171.0/24 Пакеты ICMP не приходят ни на интерфейс OpenVPN, ни в другое место.

@mahad
Правила fw на ЛАН,ВАН, ОВПН подскажите.

Зы. И меняйте адресацию в сети. Чтобы не было проблем в ближайшем будущем.

Поменял маску LAN сети, маршруты на PFSense изменились на:

Перезагружайте пф. Для чистоты.

Теперь захват пакетов показывает, что пинги уходят через интерфейс OpenVPN, но на кинетике захват пакетов показывает,

fw НА зюхеле крутите - разрешите доступ из 192.168.1.0 в 192.168.171.0 на овпн.

Перегрузил
pfctl -sn показывает:

Антиспам не дает запостить весь вывод. Вот часть

Подсетку 192.168.1.0 поменяю как всё доделаю, там надо как-то с умом подходить, а сейчас времени нет.

fw НА зюхеле крутите - разрешите доступ из 192.168.1.0 в 192.168.171.0 на овпн.

Трейсроут из сети пф в сети кинетика запуска и смотрите где затыкается.

СКРИНОМ правила фв пф на ЛАН,ВАН,ОВПН подскажите.

@werter ![Keenetic-1.jpg]
На кинетике вообще всё разрешил

Tracert с клиентом PFSense затыкается на первом же шаге после шлюза.

Tracert с клиентом PFSense затыкается на первом же шаге после шлюза.

  1. В листинге ничего, кроме "звездочек" ( Или это только у меня ?
  2. Во плавучих 1-е СНИЗУ - откл. НЕ ТРОГАЙТЕ плавать вообще.
  3. В ЛАНе 2-е СВЕРХУ - неправильно.

@werter
Спасибо большое за помощь!
Наслаждаюсь.

Для тех, кто столкнется с проблемой - надо прописывать Outbound NAT с ощущением сети на удалённую на интерфейсе OpenVPN.

Для тех кто столкнется.
Есть пф и Zyxel Keenetic. Задача связать их по openvpn. Связали по паролю.
Все маршруты есть как на пф так и на кинетике. В правилах разрешено всё на стороне задержания.
Трафик из сети за кинетиком в сеть за пф бегает, наоборот - нет. Со стороны пф доходит только до зюхеля. Случай ЛОКАЛЬНЫЙ адрес (не впн-адрес) зюхеля из сети пф доступен.

Решение:
На пф NAT переключили в режим Hybrid и добавили правило src - локальная сеть, dst - сеть зюхеля, nat - адрес интерфейса.
Из минусов, все пакеты из сети за пфОбладает на зюхеле один и тот же ip-адрес - адрес конца впн-туннеля пф-а.

Прим. Для двух соединений пф ТАКОГО "финта" не требуется.

Зы. Просьба выложить скрин NAT -> Outbound для наглядности.

@werter Особенности Zyxel, наверное.
Население site-to-site на Asus с Merlin, на Padavan - нигде с NAT Outbound ничего делать не надо было.
Asus с Merlin кстати, подключил к серверу pf в режиме удаленного доступа, нужно в расширенной конфигурации добавить маршрут в удаленную сеть ( в протоколе удаленного доступа нет поля IPv4 Remote network)

Это дальнейшее развитие TomatoUSB.

Рад, что проект жив.
Жаль, но устройство с ее поддержкой как-то всегда проходило мимо.
Нравится Падаван. Просто, логично. Приведу пример настроек клиента. TCP выбран умышленно, провайдер любит воевать с UDP в интернете. (Он умеет быть и Open VPN сервером, настроил дома и сервер).

Решение:
На пф NAT переключили в режим Hybrid и добавили правило src - локальная сеть, dst - сеть зюхеля, nat - адрес интерфейса.

Некропост, но все же. Сайт-к-сайту Keentic pfSense.
На стороне pfSense (сервер) все стандартно.
В Outbound NAT ничего не производится.
На стороне Keentic (клиент) на интерфейсе Open VPN воспроизводится разрешающее правило с SRC=сеть\сети за pfSense.
Ну и не забываем про брандмауэр на машинах за Кинетиком.

Пробую связать сайт-сайт Keenetic и чужой PF.
Интересный момент - Keenetic не направляет в туннель IP хостов, только в удаленной сети за PF доступен LAN IP самого PF.
Если в Keenetic есть доступ к NAT, сети начинают друг друга видеть, но тогда, что естественно, с ПК за Кинетик открывается доступ в интернет.

@pigbrother
Версия ПО на кинетике самая свежая? Выше вариант не подходит?

Вроде решил вопрос.Проблема в том, что КинетикОС включает NAT для всех(?) исходящих интерфейсов, по крайней мере для OpenVPN - точно.
Лечение, CLI:
1.no ip nat Home - отключает NAT глобально (?)
2.ip static Home GigabitEthernet1 - Включает NAT на нужном интерфейсе. GigabitEthernet1 - мой интерфейс, смотрящий в интернет. Посмотреть название нужного фасада можно в CLI - показать интерфейс
3. Если все заработало - сохраните конфигурацию системы для сохранения настроек после ребута.
Ну и , как писал, на стороне Keentic (клиент) на интерфейсе выше Open VPN воспроизводится разрешающее правило с SRC=сеть\сети за pfSense.

За подсказку спасибо пользователю Le ecureuil с форума Кинетик. Сам бы я (да и, наверное, не только я) вряд ли бы догадался, что ip static - это включение NAT ))

Читайте также: