Как настроить vpn на роутере zyxel keenetic extra 2

Во многих организациях сотрудникам в целях экономии бюджета обеспечивается удаленный доступ к рабочим местам. Для этого необходимо использовать защищенный канал связи, основанный на технологии Virtual Private Net, или VPN. Рассмотрим подробнее, как корректно произвести настройку VPN на Zyxel Keenetic.

Подготовка роутера

Прежде чем создавать VPN-сервер на сетевых устройствах Zyxel Keenetic, необходимо провести первоначальную настройку оборудования.

Подключаем девайс к сети электропитания. «Патч-корд» одним разъемом вставляем в роутер, а вторым – в сетевой адаптер на компьютере, с которого будет производиться настройка. Кабель, проведенный провайдером, подключается к специальному разъему WAN на сетевых устройствах Zyxel. Схематически должна получиться такая картина:

На следующем этапе открываем браузер и настраиваем соединение с интернетом. Подробные инструкции о том, как настроить доступ к «мировой паутине» на разных моделях роутеров, представлены на нашем сайте. Здесь мы рассмотрим, как настроить VPN на Zyxel всех моделей Keenetic.

После того как доступ к интернету получен, проверяем наличие актуальной версии прошивки для операционной системы. При необходимости производим обновление внутреннего ПО до последней версии, так как только роутеры Zyxel серии Keenetic с микропрограммой NDMS V2.04.B2 и выше поддерживают функцию VPN.

Второй важный пункт: оборудование должно иметь «белый» IP-адрес в «глобальной сети». Это необходимо для того, чтобы при активации удаленного подключения клиент мог однозначно идентифицировать свой VPN Server Keenetic на разных моделях Zyxel. Получают его у провайдера за дополнительную ежемесячную оплату.

Настройка VPN-подключения

Если все вышеуказанные условия соблюдены, переходим к настройке VPN на маршрутизаторе Zyxel Keenetic.

• Заходим через главное меню в раздел «Система», далее — «Компоненты». Отмечаем, что требуется активация опции «VPN-сервер»:
• В зависимости от модели Zyxel потребуется перезагрузка для применения внесенных изменений. После этого на вкладке «Приложения» появится новая панель «Сервер VPN»:
• Далее заходим в нее, выставляем следующие параметры:
• Активируем VPN-сервер на Zyxel Keenetic, отмечаем, чтобы на каждого пользователя создавался новый канал связи для повышения надежности передачи данных.
• Подключение происходит с шифрованием, это поднимает уровень безопасности канала связи. Поэтому используется протокол MPPE. Соответственно, пропускаем третий пункт.
• Поле «Транслировать адреса клиентов (NAT)» активируем, чтобы пользователи подключались через внешнюю сеть.
• В следующем подразделе – «Доступ к сети» – указывается наименование канала связи, по которому будет производиться выход в интернет. Как пример указана домашняя сеть клиента. Через нее будет осуществляться PPTP-подключение.
• Следующие два пункта отвечают за перечень IP-адресов, предоставляемые ВПН-сервером для вновь подключившихся. Количество участников зависит от модели роутера: например, Zyxel Keenetic GIGA разрешает максимум 10 соединений.
• В первом пункте выбираем начальное значение пула IP-адресов, а во втором указываем максимально возможное количество. Таким образом, на роутере зарезервируется десять адресов, которые будут выдаваться PPTP-клиентам.
• Список IP-адресов для VPN не должен совпадать с пулом адресов DHCP-сервера сетевого устройства. Например, Zyxel раздает IP-адреса в диапазоне 192.168.0.10 – 192.168.0.100. Соответственно, для VPN рекомендуется задать пул, начиная с 192.168.0.150.
• После внесения всех изменений нажимаем кнопку «Применить», переходим к следующему разделу – «Конфигурации учетных записей пользователей», находящихся ниже параметров VPN:
• Нажимаем левой кнопкой мыши на имени Admin.
• Выбираем пункт «Разрешить доступ к VPN». Применяем изменения:
• Добавить клиентов к перечню разрешенных через меню «Система», раздел «Пользователи»:
• Указываем имя, придумываем пароль и выставляем права доступа:
• В нашем случае надо обязательно отметить пункт «VPN-сервер». Далее нажимаем «Сохранить».

На этом настройка роутера Zyxel Keenetic завершена, разрешено устанавливать VPN-связь.

Приоритеты подключений

Начиная с версии 2.0, встроенное ПО роутеров компании Zyxel поддерживает функцию распределения приоритетов. По сравнению с первой версией присутствует возможность комбинирования соединений разными способами.

Созданные каналы используют либо физические порты сетевого устройства, либо виртуальные интерфейсы. Каждому каналу связи, создаваемому на оборудовании, присваивается приоритет. Его значение редактируется вручную либо остается без изменений:

На скриншоте наивысший приоритет отдан интерфейсу ISP. Это стандартная настройка для доступа к интернету по сетевому кабелю.

Следующим идет Yota: подключение по беспроводному каналу связи. Если первый вариант перестанет работать, роутер автоматически перейдет на указанный режим. Таким образом настраиваются резервные каналы связи и VPN-соединения.

VPN-туннель IPSec

Некоторые модели от Zyxel Keenetic поддерживают создание защищенного канала связи через протокол IPsec. Как и в ситуации, описанной выше, его необходимо предварительно проинсталлировать на оборудовании. Заходим через веб-панель в «Систему», далее — «Обновление»:

Выбираем опцию «Показать компоненты». Отмечаем пункт IPsec, как показано на скриншоте ниже:

ОС предложит установить его в функционал, соглашаемся. После окончания процесса инсталляции оборудование перезагрузится. Затем открываем раздел «Интернет», вкладку PPPoE/VPN. Создаем новое соединение, проводим следующие настройки:

1. Активируем сам протокол шифрования.
2. Со второго пункта снимаем галочку, так как данное соединение не будет использоваться для прямого доступа в интернет.
3. Поле «Описание» заполняем произвольным именем, оно необходимо только для идентификации процесса по названию.
4. Тип протокола оставляем, как есть.
5. В следующем разделе указываем интернет-соединение, используемое роутером для доступа к «мировой паутине».
6. Прописываем имя «юзера» и пароль для него.
7. Секретный ключ придумываем самостоятельно. Например, Test.
8. Метод проверки подлинности оставляем, как показано на скриншоте.
9. Адрес сервера составляется Zyxel автоматически. Как правило, используется наименование сервиса. Например, msk.test.ru.
10. Сетевые настройки (IP-адрес и DNS-серверы) оставляем в автоматическом режиме.
11. Отмечаем галочкой последний пункт.

Завершаем процесс создания нажатием кнопки «Применить». Теперь соединение появится в перечне доступных подключений. Оно используется для создания защищенного канала связи по протоколу IPsec. Android или iOS-совместимые мобильные устройства работают по данной технологии.

Несколько слов про OpenVPN

Протоколы, используемые на сетевых оборудованиях Zyxel, осуществляют две функции:

• PPTP и L2TP – VPN-доступ к серверам провайдера.
• IPSec и OpenVPN – помогают конфигурировать отдельные серверы для создания защищенных каналов связи под личные «нужды».

Про первый вариант было рассказано выше, здесь остановимся на втором. Способ является дополнительной опцией, доступен не на всех моделях Zyxel. Компонент был добавлен в ОС роутеров, начиная с версии NDMS v2.10.B0. Чтобы проверить его совместимость с моделью роутеров Zyxel, заходим в раздел «Компоненты» и смотрим по наличию. Также пользуемся информацией на официальном сайте вендора.

OpenVPN часто применяют как альтернативное подключение к «мировой паутине». Пользователь проверяет, установлен ли он в ОС роутера.

Далее скачиваем с сайта https://www.vpngate.net/en/ конфигурацию сервера OpenVPN, загружаем ее в сетевое устройство. После этого сохраняем, а затем перезапускаем Zyxel.

Более подробно о настройке OpenVPN будет рассказано в отдельной публикации.

Настраиваем свой VPN-сервер на Keenetic

Сервер позволяет подключить к другой сети, роутеру (все лучшие VPN для роутеров любой фирмы), или маршрутизатору Keenetic. Это обеспечивает возможность удаленного доступа через смартфон, планшет или с любого другого устройства, даже если пользователь находится не дома.

Вход в настройки и включение DDNS

Подключить к локальной сети Keenetic можно двумя способами:

• Кабелем через локальный порт;
• По Wi-Fi.

Для использования интерфейса в браузере нужно ввести IP-адрес роутера (192.168.1.1) или адрес сайта — my.keenetic.net. Остается авторизоваться в системе, используя логин и пароль (если не были изменены, то их можно найти на коробке с устройством).

Смысл сервера – в доступе к нему извне. Подключение производится через внешний адрес маршрутизатора. Однако есть нюансы. Провайдеры выдают два адреса:

• Белый динамический;
• Серый статический.

Обязательно, чтобы провайдер выдал внешний фиксированный (белый) адрес. Если нет – на новых прошивках KeenDNS есть возможность подключиться к статистическому IP. Создается облачный DDNS, работающую напрямую или через облако. При взаимодействии с последними сборками прошивки:

• Перейдите в параметр «Доменное имя» и вводим любое название, нажимаем «Зарегистрировать».
• Если имя не занято – роутер уведомит об этом и выдаст 3 поддомена (можно выбрать любой).
• Для серого IP перейдите в «Общие настройки» и активируйте «Keenetic Cloud».
• На экране появится диалоговое окно – дождитесь, пока оборудование загрузит SSL-сертификаты. Затем выберите «Режим работы»: через облако – для серого IP, прямой доступ – для белого адреса.

Если на роутере старая прошивка, то с серым IP ничего не сделать. Можно только подключиться к другому провайдеру или купить новую модель Keenetic. Для пользователей с белым IP – нужно аналогично настроить DDNS:

• Зайдите в параметр «Интернет», затем в «DDNS».
• Изучите список серверов. В стандартном варианте доступны: Dyn, No-Ip и DNS-Master.
• Зайдите на сайт этих серверов, зарегистрируйте и сформируете DDNS.
• Зайдите обратно в настройки и введите параметры DDNS.

Настройка WireGuard-сервера

Из-за особенностей протокола обозначения «клиент» и «сервер» становятся условными. Возможность организовать WireGuard-туннель появилась в версии ПО KeeneticOS 3.3 — функция работает только на новых устройствах. Подключение работает в формате «Site-To-Site VPN». Если у одного из интернет-центров есть белый IP — лучше настроить его как сервер. WireGuard можно использовать только для связи двух сетей (обычно роутеров) в одну локальную.

Другой важный нюанс – настройка производится на обоих устройствах сразу. К примеру, параметры сервера обозначены с компьютера, а клиента – со смартфона (лучшие VPN для телефона смотрите отдельно). При этом можно организовать туннель между роутерами в разных точках мира. Например, если подключается связь к серверу VPN-сервиса.Для настройки зайдите в компоненты и добавьте WireGuard. Затем:

• В названии укажите имя английскими буквами. Для примера: на одном устройстве (сервере) – Sev, на другом (клиенте) – CL. Оба должны быть открыты.
• Кликните на «Генерацию пары ключей».
• В строке с адресом впишите IP-туннель с bitmask (допускается указание любого спектра из частного диапазона). Если проще, частные адреса – это те, что действуют внутри локальной сети и не доступны в интернете. Для примера возьмем 172.16.82.1/24, номер порта – 16632 (через него и будет оформляться подключение устройств, роутер сам его откроет). Нажмите на «Добавить».
• В роутере CL добавьте подключение с названием Sev и кликните на «Генерация пары ключей», затем сразу на «Сохранить публичный ключ в буфер обмена».
• Вернитесь в параметре сервера, где появится страница с настройкой пиров. Введите туда данные (при этом нельзя закрывать настройки клиента): имя пира (как в клиенте), публичный ключ – из буфера обмена; разрешенные подсети (спектр локальных адресов клиента – в данном случае 172.16.82.2), настройка маски — /32. При этом нужно не забыть указать о спектре локальных клиентских сетей (192.168.100.0/24). В периодичности проверке аёктивности подключения выберите 15 секунд.

Теперь остается настроить межсетевой экран. Откройте параметр подключение и сформулируйте правило для доступа извне. Далее:

• Разрешайте все настройки.
• Пропишите статический адрес для туннеля в разделе с маршрутизацией: тип маршрута – до сети, адрес – пул маршрутизатора CL, маска подсети — 255.255.255.0, в интерфейсе выберите подключение Sev.
• Вернитесь в созданное подключение и сохраните ключ – он понадобится для клиента.
• Перейдите в настройки CL и в параметре адреса укажите туннель 172.16.82.2 и маску /24.
• Добавьте пир с именем как на сервере, вставьте ключ из буфера обмена, укажите внешний адрес или тот, что создан с DDNS, затем после знака «:» введите порт сервера. В разрешенных подсетях вбейте туннель 172.16.82.1/32 и укажите спектр локальных устройств. Проверка активности – аналогично на 15 секунд.
• В межсетевом экране добавьте те же настройки, что и на сервере.
• Создайте статистический маршрут как на сервере, но в адреса введите изначальный пул Sev, а в интерфейсе CL.

Если конфигурация проделана правильно, то в разделе «WireGuard» на роутерах в графе «Пир» будет зеленый кружек и указано название второго устройства.

Читайте также:

Настройка OpenVPN-сервера

Вначале нужно установить компоненты OpenVPN (приведено в инструкции по настройки сервера PPTP/SSTP). Режим работы протокола определяется его файлом конфигурации. Рассмотрим самый простой вариант соединения двух роутеров с использованием общего секретного ключа.

• Создайте секретный ключ (нужно скачать и установить OpenVPN с сайта). В примере используется сборка 2.4.6-I602 для Win.
• Перезагрузите ПК. В директории, в которую установлен OpenVPN, найдите файл командной строки bin – откройте его от имени администратора и введите команду: Openvpn.exe —genkey —secret static.key.
• Откройте файл с ключом в Блокноте и скопируйте из него текст, вставив его в места настройки файлов конфигурации обоих устройств.
• Перейдите к параметрам первого роутера. Нажмите «Другие подключения» и добавьте соединение с протоколом «OpenVPN».
• В графе с именем введите название подключения, а в строке конфигурации вставьте содержимое файла конфигурации и сохраните настройки.
• Аналогично проделайте настройку второго роутера, но используйте конфигурацию клиента.

Также на стороне устройства-сервера в веб-интерфейсе нужно выполнить команду:

• Interface OpenVPN0 no ip global
• Interface OpenVPN0 security-level private

Для разрешения трафика между двумя роутерами с приватной безопасностью используется команда no isolate-private. Если сервер будет использован для доступа к Интернету, то понадобится использовать Ip nat 10.1.0.2 255.255.255.255. Проделанные настройки сохраняются командой system configuration save.

Остается открыть порт для соединения по протоколу: сформулируйте правило в Межсетевом экране для параметра «Провайдер» или для того, которое используется для выхода в интернет.

В правиле фильтрации, в графе «Действие» нужно выдать разрешение, а в строке «Протокол», значении «UDP» и «Номер порта назначение» выбрать 1194. На этом простейший вариант настройки соединения по OpenVPN. Для проверки сети можно провести диагностику через системный журнал.

Настройка PPTP/SSTP-сервера

Для работы сервера потребуются дополнение «PPTP VPN-сервер». Зайдите на страницу «Общие настройки» в графе «Обновление и компоненты», затем кликните на «Изменить набор компонентов». В окне «Приложения» найдите строку «VPN-сервер PPTP» и кликните по ссылке. Настройте сервер:

• Графа «Множественный вход» позволяет организовать несколько одновременных подключения при использовании одинаковых данных. Это влияет на безопасность и усложняет мониторинг, но упрощает использование.
• Пункт «Только с шифрованием» — оставьте галочку, иначе трафик не будет защищен;
• «NAT для клиентов» — настройка доступа сервера в Интернет.
• «Доступ к сети» — выбрать «Домашнюю сеть», если к ней подразумевается подключение.
• «Начальный IP-адрес» — стандартный пул адресов для клиентов (не должны пересекаться с сервером, потому лучше изменить параметр);
• Спектр адресов — до 10;
• «Пользователи» — допускается создание разных учетных записей.

Подключить к серверу в качестве клиента можно через другой роутер, смартфон на базе Android (список лучших VPN для Андроид) или компьютер на базе Windows (смотрите все лучшие VPN для ПК с Windows).

Для настройки SSTP-сервера используется аналогичное дополнение — «SSTP VPN-сервер». В этом случае кроме активной службы KeenDNS, нужно выбрать имя в домене keenetic: .link, .pro или .name и выдать доступ извне при помощи протокола HTTPS:

• Зайти в «Пользователи и доступ».
• Открыть «Удаленный доступ» и разрешить настройку по протоколам «HTTP и HTTP» или «Только HTTPS».

В остальном настройка SSTP-сервера производится по аналогии с PPTP-сервером. Для подключения роутера к VPN-сервису:

• Перейдите на страницу «Другие подключения».
• Откройте раздел «VPN-подключения» и выберите «Добавить подключение».
• В «Параметры VPN» найдите графу «Тип» и выберите значение «PPTP».
• В «Имя подключения» впишите название соединения, а в качестве имени укажите доменное имя или IP-адрес сервера.
• В разделе «Имя пользователя» и «Пароль» введите информацию об открытом профиле.

Необходимую информацию для доступа к серверу в качестве клиентов можно запросить у поставщика VPN услуг, если используется премиум-сервис. Подробнее о подключении роутера к VPN можно прочитать в нашей статье.

Настройка L2TP/IPsec-сервера и клиентский сервис

Установите компонент «VPN-сервер L2TP/IPsec» по инструкции выше. При регистрации сервера в параметре «Общий ключ IPsec» введите ключ безопасности. Настройте параметры соединения по аналогии с PPTP/SSTP-сервером. Подключение клиентов также производится по стандартному алгоритму: единственное, в «Параметры VPN» в поле «Тип» нужно выбрать «L2TP/IPsec».

Проверка работоспособности VPN на Keenetic

Для проверки VPN зайдите в настройки маршрутизатора, откройте параметр «Пользователя» — там есть вся информация о подключениях, клиентах и обмене трафика. В случае с OpenVPN выполните пинг обоих концов туннеля. Для сервера используйте команду:

• ping 10.1.0.1
• ping 10.1.0.2

Для клиента:

• ping 192.168.1.1
• ping 192.168.2.1

Если вы подключили Keenetic в качестве клиента к серверу VPN, то проверить работоспособность соединения вы можете на сайте ExpressVPN или NordVPN — система автоматически укажет, если защита трафика отсутствует. Также встроенные технологии укажут на утечку DNS.

Настройки на этой странице предназначены для подключения к сервису VPNKI, а не к любому VPN серверу в сети Интернет. 

Перед началом настройки ознакомьтесь с «Общими сведениями» о работе системы. Ссылка тут — https://vpnki.ru/settings/before-you-begin/main-tech-info.

Правила и маршруты на сервере VPNKI применяются при подключении туннеля. Если вы изменили настройки в личном кабинете, то переподключите туннели.

Так как вы настраиваете маршрутизирующее оборудование, то не забудьте указать «сеть за маршрутизатором» в личном кабинете системы VPNKI.

——-

Для подключения беспроводного маршрутизатора Zyxel Keenetic по протоколу L2TP/IPsec проверьте установленную прошивку на вашем устройстве.

1. Войдите в пункт меню настроек системы и нажмите на вкладку «Обновление«

2. Далее нажмите кнопку показать компоненты

4. Выберите IPsec VPN в пункте Applications

5. Далее нажмите кнопку Установить. Начнется установка новой прошивки. Дождитесь окончания процесса. Устройство будет перезагружено.

6. После успешной установки зайдите в пункт меню настроек Интернет и выберите вкладку PPPOE/VPN и нажмите кнопку Добавить соединение.

7. В окне настройка соединения заполните:

Включить: Поставить галочку.

Использовать для выхода в Интернет: Снимите галочку.

Описание: VPNKI,

Подключаться через: Выберите интерфейс, через который вы подключены к Интернет.

Имя пользователя: Имя пользователя, которое вы получили для устройства в системе VPNKI (например userXXXXX).

Пароль: Введите ваш пароль.

Секретный ключ: vpnki .

Метод проверки пользователя: CHAP.

Адрес сервера: msk.vpnki.ru .

Настройка параметров IP: Автоматически.

Автоподстройка TCP-MSS: Поставьте галочку.

Нажмите кнопку Применить.

8. Выберите вкладку Подключения и удостоверьтесь в корректном подключении туннеля VPNKI. Галочка напротив должна быть серая.

9. Далее необходимо проверить, что маршруты к сети 172.16.0.0/16 успешно поступили на вам Keenetic. Мы ведь ставили галочку про «автоматическую настройку параметров IP». Однако…. Мы часто сталкивались с тем, что маршруты НЕ поступают на Keenetic.

Проверьте наличие маршрута 172.16.0.0/16 (в другой форме записи — 172.16.0.0 маска 255.255.0.0) в таблице маршрутов Keenetic. Этот маршут обязателен для успешного функционирования вашей схемы!

Если там присутствует только маршрут 172.16.0.0/32, а 172.16.0.0/16 отсутствует, то в этом случае нужно вручную добавить маршрут до VPNKI. Выберите вкладку Прочее и нажмите кнопку Добавить маршрут.

Также вы можете добавить маршут к вашей удаленной сети 192.168.x.x/x.

10. Заполните поля:

Тип маршрута: Маршрут до сети.

Адрес сети назначения: 172.16.0.0 .

Маска подсети: 255.255.0.0 .

Добавлять автоматически: поставте галочку.

Адрес шлюза: 172.16.0.1 .

Интерфейс VPNKI (L2TP0).

11. Нажмите кнопку применить.

ВАЖНО-1! В целях диагностики и упрощения поиска неисправностей рекомендуем убедиться, что вашему Keenetic разрешено отвечать на запросы ping приходящие из туннельного интерфейса L2TP.

Ознакомьтесь, пожалуйста, с этим документом https://zyxel.ru/kb/2694/ и разрешите ответ на запросы ping (протокол ICMP).

ВАЖНО-2!: Для взаимодействия устройств в домашней сети и в сети, доступной через VPN, необходимо корректно настроить правила межсетевого экрана и разрешить прохождение трафика ICMP, TCP, UDP между интерфейсом L2TP и локальной сетью.

Смотрите картинку и описание в п.3.2 по этой ссылке:

https://vpnki.ru/settings/before-you-begin/guide1-zyxel-android

Вот она:

После успешного установления соединения между вашим маршрутизатором и сервером VPNKI вы можете проверить связь при помощи утилит на странице «Инструменты» на вашей личной странице.

Более подробно почитать о протоколе L2TP вы можете в нашем материале по этой ссылке.

Важные советы после настройки удаленного подключения

После успешной настройки VPN подключения мы рекомедуем вам выполнить несколько важных шагов. Они дадут вам уверенность в том, что VPN соединение работоспособно в полном объеме.

• Проверьте статус подключения вашего туннеля на странице «Мои настройки» — «Состояние туннеля». Попробуйте отключить туннель со стороны сервера. Посмотрите как ваш клиент попытается переустановить VPN соединение.

• Посмотрите как отображается подключение в различных журналах сервера. «Статистика» — «Статистика подключений». Еще в «События безопасности». А еще в «События авторизации». Важно видеть как отображается успешное VPN соединение.

• Попробуйте выполнить пинг сервера VPNKI 172.16.0.1 с вашего устройства.

• Попробуйте выполнить пинг вашего устройства со страницы «Инструменты» нашего сервера. Выполните пинг устройства по адресу туннеля сети VPNKI — 172.16.x.x. Это важный шаг и не стоит им пренебрегать. Но стоит знать, что пинг может быть неуспешен. Это не причина для беспокойства если вы будете только обращаться с этого устройства к другим туннелям.

• Если вы имеете второй подключенный туннель в своем аккаунте, то проверьте пинг и до устройства в другом туннеле. Сначала по его адресу сети VPNKI — 172.16.x.x. Затем можно выполнить пинг устройства в другом туннеле по адресу внутренней сети (192.168.x.x). Если такая маршрутизация настроена.

• Посмотрите как отображается количество переданного трафика туннеля. Это в «Мои настройки» — «Статистика» — «Графики использования». За текущий день статистика показывается с разбивкой по туннелям. За предыдущие дни — суммарно.
  По особенностям подсчета трафика туннелей читайте в FAQ. Ссылка здесь.

Надеемся, что вы успешно прошли все пункты советов! Теперь ваше VPN соединение работает успешно. А вы познакомились с основными инструментами нашего сервера удаленного доступа.

Если в дальнейшем возникнут сложности с уже настроенным подключением, то эти советы помогут вам в поиске неисправностей.

*** Если у вас вдруг что-то не получилось, обращайтесь на Форум поддержки нашей системы. Ссылка здесь.

Рекомендации по выбору тарифа

Если вы не планируете передачу видео трафика, то мы рекомендуем вам начинать с выбора тарифа PLAN-MYDEV. Если передача видео будет осуществляться, то стоит сразу начинать с PLAN-VIDEO. Если скорости хватать не будет, то в любое время вы можете изменить тариф на более скоростной.

Если вы используете нашу систему для решения бизнес задач, то можно начать с аналогичных тарифов с приставкой BUSINESS-.

Контролировать объем переданного трафика вы можете на странице с графиками использования.

Узнать реальную скорость своего VPN соединения вы можете утилитой iperf3 на странице «Инструменты». Стоит отметить, что скорость передачи полезных данных будет зависеть от трех факторов:

• от типа используемого протокола VPN;

• типа используемого транспортного протокола — TCP или UDP;

• физической удаленности вашего устройства от нашего сервера.

Худшим вариантом по скорости окажется вариант, когда в качестве транспортного протокола для VPN соединения используется протокол TCP. При этом ваше устройство размещено далеко от сервера VPNKI. В этом случае, реальная скорость передачи данных будет определяться необходимостью подтверждения получения каждого пакета в протоколе TCP.

ДОПОЛНИТЕЛЬНО ПО ТЕМЕ КОНФИГУРАЦИИ УДАЛЕННОГО ДОСТУПА

• Рабочий стол Windows через RDP и OpenVPN. Ссылка здесь.

• Выставить FTP сервер в сеть Интернет через проброс TCP порта. Ссылка здесь.

ОБЩАЯ ИНФОРМАЦИЯ ОБ УДАЛЕННОМ ДОСТУПЕ

• Немного более подробно про IP адреса. Можно прочитать на нашем сайте.

• Про удалённый доступ к компьютеру можно. Можно почитать на нашем сайте.

• Про VPN и протоколы можно почитать здесь.

• Про выход в Интернет через VPN и центральный офис. Можно почитать здесь.

Как мы знаем, интернет в нашей стране бывает сильно не такой, каким мы бы хотели его видеть. Пока наше правительство пытается блокировать телеграм — щепки летят так, что то один, то другой сервис внезапно оказывается нерабочим. Кроме самого телеграмма, разумеется.

Чтобы не быть зависимым от некомпетентности регулирующих органов и иметь свободный доступ хотя бы к тому, что и так разрешено, стоит настроить VPN. Причём, не где-нибудь, а прямо на роутере. Почему именно на роутере? Причин несколько:

1. Это банально удобнее, если интернет вас больше интересует именно дома. Не нужно настраивать каждый домашний девайс, особенно если их (девайсов) много. Тем более, ещё и не все настроить можно на VPN. Или можно, но не любого типа подключение (а разница есть).
2. Легко управлять настройками — ведь одно подключение настраивается сразу для всех. Захотели сменить сервер или вообще VPN-провайдера — всё делается в пару кликов.
3. Можно настроить правила подключения для каждого устройства в отдельности.

Поясню третий пункт. Например, я твёрдо решил подключить себе VPN когда начались проблемы с PSN. Причём, проблемы были довольно странные — я мог играть по сети, но не мог участвовать в так называемой “Тусовке”, что является единственной возможностью реализовать голосовой чат в некоторых играх. Нет, конечно для голосового чата можно было воспользоваться каким-нибудь Discord (и я воспользовался поначалу), но это неудобно — играть в двух наушниках сразу.

Как только я подключил VPN — всё заработало, однако почему-то от онлайна отвалились Xbox One и Switch. Вообще говоря, так не должно быть, однако мне в любом случае хотелось, чтобы к VPN подключалась только PlayStation 4, ведь как ни крути, а VPN снижает скорость. А зачем он нужен на тех девайсах, где и так всё работает?

Итак, роутер. Какой? Здесь я буду рассказывать о настройке всего этого добра на Keenetic Giga KN-1010. Почему именно он?

1. Роутеры Keenetic (и Zyxel Keenetic) позволяют настроить любой VPN-клиент: Open VPN (самый медленный в данном случае), PP2P, L2TP (универсально и быстро, но нет защиты трафика) и L2TP/IPSec (самый оптимальный в данном случае – есть и скорость и защита).
2. Всё это можно проделать на стандартной прошивке.
3. Банально – у меня такой роутер стоит дома. Стоял бы другой — наверное писал бы о другом…

Но если в целом (это к третьему пункту), то настроить VPN, конечно, можно на разных роутерах. А если у вас есть прошивка Open WRT или DD-WRT, то вам в-принципе пофиг, какой роутер. Но, опять же, не все поддерживают L2TP/IPSec, тем более с аппаратным ускорением, как это могут роутеры Keenetic. Некоторые роутеры работают только с Open VPN. Кроме того, не спутайте, что для описываемых задач нам нужен от роутера именно умелый VPN-клиент, а не VPN-сервер.

Ещё один момент – новая прошивка 2.12 для роутеров Keenetic и Zyxel Keenetic (я уже писал, что с недавнего времени подразделение Keenetic вышло из состава Zyxel) позволяет в пару кликов создать различные группы подключений и “перекидывать” устройства из одной группы в другую. То есть, без возни с приоритетом подключений или их включением/выключением (как на прошивках вплоть до 2.11). Просто кинул девайс в группу VPN, если ему нужен VPN. При этом, остальные висят на обычном подключении. Эта функция называется Policy Based Routing, и есть одна далеко не у всех.

Тут сразу скажу – забудьте про бесплатный VPN. Просто забудьте и всё. В лучшем случае вы можете воспользоваться бесплатным тестированием сервиса, но реальную “бесплатность” я нашёл только у hidemy.name. Они и в целом неплохие, хотя в дальнейшем я решил выбрать другого провайдера – что-то у меня там с настройкой не заладилось. Впрочем, сейчас на сайте у них я уже не нашёл бесплатной опции, просто есть опция – 49 рублей за день. Но у них вообще цены низкие – всего 380 рублей в месяц, а при оплате на полгода и год вперёд получается ещё ниже.

Что я ещё попробовал? Nord VPN. Купил их чисто случайно – я-то думал, что просто привязываю свой PayPal-аккаунт, а на деле с меня уже списали деньги. Впрочем, через сутки я их затребовал обратно. Во-первых, вот это вот внезапное списание (наверняка я там пропустил какое-то предупреждение от пейпала, но со стороны самого сайта всё равно было как-то не очевидно). Во-вторых, у меня не заработало больше половины сайтов из тех, которые я попробовал. Мне такое просто не понравилось. Правда они не сразу вернули деньги, сначала написали – а что не так, может мы поможем, я ответил, что не смог нормально подключиться и верните деньги, а они ещё такие – сорри, но вы не предоставили достаточной информации, чтобы мы могли вам помочь. Тут я зашёл с козырей – мол, вы что там, врёте что ли про гарантию 30-дневного возврата денег по любым причинам? Сработало – деньги вернули.

В итоге я остановился на Express VPN. Сервис значится лучшим по многим рейтингам и в целом в работе он меня не разочаровал. Во-первых, у меня сработали вообще все серверы, к которым я пробовал подключаться. Во-вторых, у меня без проблем заработал L2TP/IPSec – это частая проблема со многими VPN-провайдерами. То есть, они без проблем и легко предоставляют OpenVPN, а к серверу, даже указанному как L2TP/IPSec фиг подключишься. Здесь же прошло вообще без проблем, но нужно учесть, что Express VPN – очень дорогие. Но хотя бы понятно, за что деньги берут.

Настройка VPN-подключения

Итак, что нам здесь нужно. Логинимся в аккаунт Express VPN, переходим на эту страницу, и смотрим в левую часть, где перечислены все системы, куда можно поставить VPN.

Выбираем “настройка вручную”:

Справа выбираем либо Open VPN либо PPTP & L2TP-IPSec. Рассмотрим второй вариант как самый интересный (чуть ниже бегло пройдёмся и по Open VPN).

Логин пароль запоминаем – он нам пригодится (можно копировать куда-то, можно пока не трогать – они не меняются), выбираем сервер (копируем его доменное имя). Теперь идём в настройки роутера.

Итак, нам нужно создать подключение. Адрес сервера мы только что скопировали, логин/пароль я сказал, где посмотреть, а секретный ключ  – 12345678. Это у них там тоже выше списка серверов написано.

Идём в настройки роутера, вкладку “Подключения” или “Другие подключения” (на новой прошивке – второе). Создаём подключение, обязательно указываем, что оно должно выводить нас в интернет, указываем любое имя подключения (это просто для нашего удобства – можно вводить туда имя провайдера VPN или что угодно), тип (в данном случае – L2TP/IPSec). Тут стоит отметить, что по умолчанию в роутере может не быть L2TP/IPSec (именно с IPSec) – тогда нужно установить в компонентах с той же вкладки, где обновляется прошивка роутера. Там есть кнопка “Изменить набор компонентов”.

Смотрим список компонентов, ищем строчку с L2TP/IPSec, устанавливаем, ждём пока роутер всё настроит и перезагрузится, возвращаемся к настройке подключения.

Логин/пароль/имя сервера вводим по тем данным, что выдал провайдер.

Всё, подключение мы создали. Оно должно быть либо включено галочкой (в старой прошивке) либо слайдером (в новой). Спустя какое-то время в списке подключений также будет виден статус – установлено подключение к серверу или нет. В случае Express VPN если оно не установлено – значит, вы что-то не так сделали (для уверенности можно попробовать другой сервер от них же, если тоже не заработало – точно ищите ошибку в настройке). В случае какого-нибудь Nord VPN вполне возможно, что вы всё сделали правильно, но сервер по какой-то не зависящей от вас причине недоступен.

Приоритеты подключений

Теперь мы вплотную подошли к кардинальной разнице между старой и новой прошивкой Keenetic. В старой мы видим список подключений и должны вручную управлять их приоритетом. У какого подключения приоритет выше – то и… приоритетнее. Всё просто. Роутер будет использовать первое доступное подключение с наивысшим приоритетом и все устройства, которым роутер раздаёт интернет, будут работать через это подключение.

В новой прошивке появились более гибкие инструменты. Во-первых, приоритет подключения мы выставляем просто перетаскиванием самих названий подключений.

Во-вторых, мы можем управлять – какое устройство на роутере к какому подключению будет относиться.

Для этого мы должны сделать две вещи. Первая – на странице “список устройств” найти нужное нам устройство (компьютер, ноутбук, игровая консоль), подключёное к роутеру, и зарегистрировать его. Вы можете не присваивать ему постоянный внутренний IP-адрес, но эта регистрация нужна, чтобы мы могли работать с настройкой доступа устройства к сети в дальнейшем. Поэтому здесь имеет смысл дать ему какое-то понятное имя.

Второе – идём на вкладку “Приоритеты подключений” и создаём новый профиль. Назовём его, например, VPN. Здесь мы должны указать, какие подключения в нём используются.

Вуаля – у нас есть основной профиль с “обычным” подключением к интернету, и профиль VPN – с подключением через VPN.

Теперь кликаем на вкладку “Привязка устройств к профилям”. Там вы можете управлять как целыми сегментами сети (например, группой незарегистрированных устройств), либо отдельным зарегистрированными устройствами. Здесь просто берём драг-н-дропом плашку с нужным нам устройством и “кидаем” его на название профиля с VPN.

Ну… вот и всё. Для верности можно перезагрузить роутер или само устройство, но в любом случае через пару минут оно уже будет обслуживатся через VPN, тогда как все остальные устройства будут работать как обычно. Разумеется, таким образом вы можете перенаправить на VPN любое количество устройств в вашей домашней сети.

Пара слов про Open VPN

Настройка Open VPN именно на роутере не всегда даёт нужные плоды. В частности на роутерах Keenetic это не очень-то эффективно (ниже вы поймёте, почему), но статья без описания этого метода была бы неполной. Также у Keenetic есть ещё один нюанс – сертификат Open VPN, который копируется в поле “Конфигурация Open VPN”, должен содержать и логин и пароль, тогда как большинство сайтов и провайдеров выдают вам только сам сертификат. Кстати, сертификат нередко сохраняется в виде файла, который нужно просто открыть “Блокнотом”, скопировать всё содержимое, и вставить в поле “Конфигурация Open VPN” при настройке роутера.

Что нам здесь нужно сделать – найти строчку:

auth-user-pass

и заменить её на конструкцию вида:

<auth-user-pass>
username
password
</auth-user-pass>

Здесь вместо username и password указываете логин и пароль, которые выдал провайдер OpenVPN. И да, строчку нужно именно заменить – то есть, удалить, и вместо неё написать такую конструкцию. Теперь должно сработать.

Замер скорости

Ну а теперь самое интересное – как быстро всё работает. Я мерял подключение на основном Windows ПК, подключённом к роутеру кабелем. Остальные устройства не отключал – не вижу смысла в “лабораторных” замерах, если в реальной жизни условия довольно суровые. Сначала подключил ПК к профилю VPN по L2TP/IPSec, выбрав сервер в Швеции. Почему в Швеции? Ну потому, что там не блокируют пол-интернета, Швеция близко к Москве, и связь пошустрее, чем в Финляндии и Эстонии.

Тест проводил на Яндекс.Интернете и рандомном сервере в Speedtest.net. Как видно, там сервис нашёл какой-то сервер в Швеции, т.к. решил, что я сам нахожусь в Швеции. Это нам только на руку – замерим трафик до Стокгольма.

Как видно, всё вполне шустро. Теперь с теми же настройками, но без VPN, чтобы сравнить с “нормальным” интернетом, без VPN (поскольку VPN всё же замедляет чуток):

Здесь пинг получился внезапно даже больше, чем по VPN, однако это можно объяснить большим количеством узлов.

Ну а теперь, под занавес, Open VPN, от того же провайдера Express VPN, с сервером в той же Швеции:

Думаю, комментарии излишни. Open VPN в целом неплохо работает на компьютере через какой-нибудь фирменный клиент VPN-провайдера, но на Keenetic его стоит настраивать лишь за неимением лучшего. L2TP/IPSec,  с другой стороны, – продвинутая штука для быстрого, но свободного интернета, при этом ещё и с высокой секьюрностью.

Вместо выводов

Честно скажу, собирал материал для этой статьи я долго. Потому, что несмотря на очевидную простоту настройки VPN, когда ты этого не делал, то любую проблему подключения воспринимаешь как собственную ошибку, а в итоге не можешь понять – как же нужно делать. На самом же деле самый главный вопрос здесь – выбор провайдера. И с бесплатными провайдерами, к сожалению, полный швах, даже если нужно бесплатно буквально потестировать. Чтобы получить адекватный и быстрый в настройке интернет (чтобы не пришлось ковырять десяток нерабочих серверов) придётся раскошелиться хотя бы на первый месяц.

Ну а на чём настраивать VPN – дело ваше. Но, как мне кажется, удобнее всего это сделать на роутере.