Roteador Keenetic como ferramenta de proxy

Introdução

Às vezes, no trabalho, surge a necessidade de fazer proxy do tráfego de dispositivos sem interferir em seu software. Isso pode ser útil se você estiver lidando com um dispositivo físico ou com um software que não suporta proxy sem comprometer o funcionamento de protocolos essenciais.

Existem soluções no mercado de desenvolvedores independentes que, em geral, são firmwares especializados com funcionalidade estendida para Raspberry Pi ou outros PCs de placa única. O custo desses firmwares varia de US$ 400 a US$ 700 (sem contar o preço do próprio dispositivo).

No entanto, é difícil considerar essa opção acessível, dado o nível de complexidade na configuração, o alto custo e as avaliações contraditórias em fóruns especializados.

Por isso, decidimos estudar soluções alternativas, acessíveis a todos, que permitem resolver o mesmo problema com menos gastos.

Roteadores Keenetic

Em busca de um roteador adequado para essa tarefa, voltamos nossa atenção para os dispositivos da linha Keenetic. Eles são posicionados como soluções com funcionalidade premium a um preço razoável.

Vantagens

• Funcionamento estável e alto desempenho graças ao hardware potente e software otimizado
• Flexibilidade de configuração — adequado tanto para iniciantes quanto para usuários avançados
• Suporte a Mesh Wi-Fi — possibilidade de criar uma rede contínua com vários dispositivos
• Segurança — atualizações regulares, suporte a WPA3, mecanismos de proteção integrados contra ataques
• Sistema modular — o próprio usuário escolhe as funções necessárias (clientes e servidores VPN, proxy, balanceamento de canais etc.), ativando-os via KeeneticOS
• Recursos avançados de proxy — suporte a Socks5, OpenVPN, WireGuard, L2TP, PPTP e outros protocolos de conexão
• Preço acessível — é possível encontrar um dispositivo com configuração média por menos de US$ 100
• Suporte e comunidade ativa — discussões em fóruns especializados, grande base de usuários

Modelo e escolha

Este guia utiliza o Keenetic Speedster (KN-3013).

Este modelo possui três revisões, que diferem principalmente no processador e na quantidade de memória flash.
Recomenda-se escolher KN-3013 ou KN-3012. O KN-3010, no entanto, não é adequado devido à memória flash insuficiente.
Cada configuração de conexão ou módulo de software instalado ocupa certo espaço, sem contar o próprio sistema operacional.

Outros roteadores da linha Keenetic também são adequados, pois todos operam com o KeeneticOS, que oferece suporte aos protocolos de conexão necessários.

Ao escolher um dispositivo, leve em consideração as seguintes especificações:

• Memória flash — recomenda-se 128 MB ou mais
• Memória RAM — no mínimo 128 MB
• Frequência do processador — recomenda-se 800 MHz ou mais

Conteúdo da embalagem

O pacote inclui:

• Roteador
• Cabo Ethernet
• Adaptador de energia (100-240V)
• Manual de instruções

Preparação para configuração

O diagrama acima mostra claramente como a rede funcionará. O Keenetic é conectado ao roteador principal e cria uma rede separada.
Essa configuração não afeta sua rede doméstica principal: o roteador principal é usado apenas como gateway para a internet, e somente os dispositivos conectados à rede do Keenetic serão roteados via proxy.

Etapas de preparação:

#### 1. Retire o roteador da caixa e posicione as antenas para uso.
#### 2. Conecte o roteador à energia.
#### 3. Observe o adesivo na parte inferior do dispositivo. Ele contém as informações de conexão:

• SSID (nome da rede Wi-Fi)
• Senha
• Endereço de configuração — my.keenetic.net

Uma vez ligado, o roteador criará automaticamente uma rede Wi-Fi. Use os dados do adesivo para se conectar.

Configuração do roteador

Após conectar-se à rede Wi-Fi, abra o navegador em seu dispositivo e acesse my.keenetic.net para iniciar a configuração.

#### 1. Escolha do idioma
Escolha o idioma do dispositivo e clique no botão "Run wizard".

#### 2. Escolha do cenário de uso
Escolha a primeira opção:
"To set up Internet access via an external fibre optic, cable, satellite or DSL modem"

#### 3. Configuração de região
Escolha o país e o fuso horário.

#### 4. Aceitação do contrato de usuário
Concorde com os termos de uso. Nesta etapa, pode ser necessário aguardar alguns minutos até que a caixa de seleção fique ativa.

#### 5. Definir senha de administrador
Defina a senha de administrador que será usada para acessar o painel de controle do dispositivo. Certifique-se de salvá-la!

#### 6. Configuração do serviço de mídia
Escolha a primeira opção:
"Off the shelf Smart TV or media player (Recommended)"

#### 7. Configuração da conexão com a internet
Como o Keenetic será conectado a um roteador já configurado do seu provedor de internet, clique em "WITHOUT VLAN".

#### 8. Desligamento do roteador principal (opcional)
Na maioria dos casos, não é necessário desligar o roteador principal.

9. Conectando o Keenetic ao roteador principal

• Coloque o Keenetic próximo ao roteador principal.
• Pegue o cabo Ethernet incluído no pacote.
• Conecte uma extremidade ao roteador principal (use a porta Ethernet branca ou amarela, não a azul!)
• Conecte a outra extremidade à porta WAN (0) do Keenetic — ela é azul.

#### 10. Ligando o roteador principal
Se você desligou o roteador principal na etapa 8, ligue-o novamente.

#### 11. Aguardando reinicialização
Aguarde a conclusão da reinicialização do dispositivo (leva até 2 minutos).

#### 12. Ativando atualizações automáticas
Permita a instalação automática de atualizações.

#### 13. Configuração do agendamento de atualizações
O processo de atualização pode causar até 60 segundos de inatividade, por isso é recomendado definir um horário conveniente.
Se não tiver certeza, mantenha as configurações padrão — elas podem ser alteradas depois.

#### 14. Atualização do firmware
Aguarde até que a atualização do firmware seja concluída (isso levará no máximo 3 minutos).

#### 15. Configuração da rede Wi-Fi
Nesta etapa, é possível alterar o nome e a senha da rede Wi-Fi (por padrão, eles correspondem aos dados do adesivo).
Essas configurações podem ser modificadas posteriormente.

#### 16. Emissão de certificado Let's Encrypt
O Keenetic emitirá automaticamente um certificado para permitir conexões HTTPS no painel de controle do dispositivo.

#### 17. Recusar participação no programa de melhoria
Quando for solicitado a participar do programa de melhoria do produto, escolha recusar.

#### 18. Salvando dados de acesso
Nesta etapa, recomenda-se salvar todos os dados de acesso ao dispositivo.
Isso ajudará a evitar a necessidade de reconfiguração no futuro.

#### 19. Conclusão da configuração inicial
Clique em "Finish".

#### 20. Acesso ao painel de controle
Após concluir a configuração, você será redirecionado para a página de login do painel de controle. Digite:

• Nome de usuário — admin
• Senha — a que você definiu na etapa 5

Agora você está no painel de controle do roteador.
Neste momento, ele apenas transmite a conexão com a internet via cabo a partir do roteador principal, sem aplicar nenhum tipo de proxy.

Instalação de componentes

1–2. Acessando as configurações

• Vá para Management → System Settings
• Clique em "Component options"

3. Verificação e instalação dos componentes necessários

Certifique-se de que os seguintes componentes estão instalados:

• Proxy Client
• PPTP Client
• OpenVPN Client and Server
• Wireguard VPN (se necessário)

Se algum componente estiver ausente, marque a caixa ao lado do nome, como mostrado na imagem abaixo.

#### 4. Verificação do suporte a DNS-over-TLS
Certifique-se de que o componente DNS-over-TLS proxy está instalado — ele é necessário para o funcionamento correto do proxy.

#### 5. Atualização do KeeneticOS
Após selecionar todos os componentes necessários, clique em "Update KeeneticOS".

#### 6. Criação de backup (opcional)
Neste ponto, você pode criar um backup das configurações.

#### 7. Confirmação da instalação dos componentes
Uma janela chamada Install updates será exibida com a lista dos componentes a instalar. Clique em "Confirm" para prosseguir.

#### 8. Aguardando atualização
O processo de atualização levará no máximo 3 minutos.

#### 9. Novo acesso ao painel de controle
Após a instalação dos componentes, você será redirecionado para a página de login. Digite:

• Nome de usuário — admin
• Senha — a que você definiu anteriormente

Configuração do proxy SOCKS5

#### 1. Acessar configurações de conexões
Vá para Internet → Other connections.

#### 2. Adicionar uma nova conexão
Nesta seção, você pode adicionar diferentes tipos de conexões:

• WireGuard
• PPTP e L2TP
• OpenVPN
• Proxy HTTP/S e SOCKS5

Importante:

• Proxies HTTP/S não suportam UDP no nível do protocolo.
• SOCKS5 tecnicamente suporta UDP, mas nem todos os serviços de proxy oferecem essa funcionalidade.

Vamos considerar a configuração usando SOCKS5 como exemplo.
Na seção Proxy Connections, clique em "Create connection".

3. Configurando a conexão

• Defina um nome conveniente para a conexão.
• Marque a caixa "Use for accessing the Internet".
• Selecione SOCKS5 como protocolo.

4. Inserir dados do proxy

• Insira o IP:PORT do seu servidor proxy.
• Se for necessária autenticação, informe o login e a senha.
• Clique em "Save".

#### 5. Ativar a conexão
Ative o proxy clicando no botão deslizante à esquerda.

#### 6. Configurar DNS para o proxy
Após ativar a conexão, aparecerá um ponto de exclamação na coluna Internet. Isso indica que é necessário definir o DNS.

#### 7. Abrir configurações de DNS
Para configurar o DNS, vá para Network Rules → Internet Safety.

#### 8. Adicionar servidor DNS
Na aba DNS Configuration, clique no botão "Add server".

9. Configuração do DNS

Vamos usar o DNS do Google:

• Tipo de servidor DNS: "DNS-over-TLS"
• Endereço do servidor DNS: 8.8.8.8:53
• Na parte inferior, selecione seu proxy como interface.

Você pode usar qualquer servidor DNS. Os seguintes são suportados:

• DoT (DNS over TLS)
• DoH (DNS over HTTPS)
• DNS padrão

Servidores DNS alternativos:

Cisco OpenDNS, LLC

``
208.67.220.220
208.67.222.222
``

Neustar Security Services

``
199.85.127.10
199.85.126.10
``

Neustar Security Services

``
64.6.65.6
64.6.64.6
``

The Constant Company, LLC

``
8.26.56.26
8.20.247.20
``

level3

``
209.244.0.3
209.244.0.4
4.2.2.1
4.2.2.2
4.2.2.3
4.2.2.4
``

Oracle Corporation

``
216.146.35.35
216.146.36.36
``

OVH SAS

``
5.135.183.146
``

The Constant Company

``
195.46.39.39
``

Amazon.com, Inc.

``
54.174.40.213
52.3.100.184
``

Level 3 Communications, Inc.

``
54.229.171.243
``

Amazon.com, Inc

``
54.183.15.10
``

Amazon Technologies Inc.

``
185.37.37.37
``

Cloudflare

``
82.196.13.196
``

Strong Technology, LLC

``
64.145.73.2
209.107.219.3
``

SoftLayer

``
104.236.217.252
``

Ripe

``
185.52.1.146
``

Amazon Technologies Inc

``
128.199.248.157
185.135.8.197
``

#### 10. Verificação do proxy
Após configurar o DNS, o ponto de exclamação ao lado do proxy desaparecerá, indicando que a configuração foi bem-sucedida.

Criação de política de conexão

#### 11. Acessar configurações de políticas
Vá para Internet → Connection Policies.

#### 12. Criar nova política
Clique em Add policy.

13. Definir o nome da política de conexão

• Use o mesmo nome do proxy para evitar confusão
• Clique em "Save"

14–15. Ativar a política

• Marque a caixa à esquerda do seu proxy
• Arraste-o para cima
• Clique em "Save" (botão no canto inferior esquerdo)

16–17. Aplicar a política ao segmento da rede

Aplique a política ao segmento de rede atual.
Você também pode criar vários segmentos e atribuir a eles diferentes políticas para usar várias conexões simultaneamente (por exemplo, de dispositivos diferentes).

• Vá para My Networks and Wi-Fi → Home segment
• Em Internet Traffic Handling Rules, selecione a política criada
• Clique em "Save" (botão no canto inferior esquerdo)

Configuração de VPN

A configuração de VPN (OpenVPN, PPTP, L2TP) no KeeneticOS é feita de forma semelhante à configuração de proxy, mas com algumas diferenças.

1. Configurações principais da VPN

Na janela de configuração, marque as seguintes opções:

• Use for accessing the Internet – permite usar a conexão para acessar a internet
• Obtain routes from the remote side – necessário para o funcionamento correto do OpenVPN

Importante:
Normalmente, não é necessário definir DNS separadamente para VPN, mas isso depende da configuração usada.
Se você notar vazamentos de DNS durante os testes, pode especificar manualmente um servidor DNS.

2. Diagnóstico de problemas de conexão

Se houver problemas de conexão, verifique os logs:

• Vá para Management → Diagnostics
• Clique em Show log para obter detalhes sobre o que está dando errado

3. Particularidades ao trabalhar com configurações OpenVPN

Importante:
No KeeneticOS não há uma janela separada para solicitar login/senha da VPN.
Portanto, as credenciais devem ser inseridas manualmente no arquivo de configuração.

Como inserir login e senha no arquivo de configuração

##### 1. Abra seu arquivo .ovpn em um editor de texto
##### 2. Encontre a linha auth-user-pass
##### 3. Substitua por:

``

username
password

``

Onde:

• username — seu nome de usuário
• password — sua senha

4. Requisitos do KeeneticOS para arquivos de configuração OpenVPN

O KeeneticOS suporta apenas certos parâmetros do OpenVPN.
A lista completa de opções compatíveis está disponível em:
https://community.openvpn.net/openvpn/wiki/Openvpn24ManPage

O uso de parâmetros não suportados pode causar erros e afetar o funcionamento da VPN.
Por exemplo, algumas configurações OpenVPN incluem o parâmetro setenv opt block-outside-dns, que não é compatível com o KeeneticOS.
Para evitar problemas, remova ou comente essa linha.

Teste de conexão

Vamos realizar uma série de testes para avaliar os resultados possíveis ao usar proxy SOCKS5 em um roteador Keenetic.
Os resultados podem variar com outros tipos de conexão.

Usando um dispositivo conectado à rede do Keenetic, abra o Linken Sphere ou qualquer outro navegador.

Se estiver usando o Linken Sphere:

1. Crie uma nova sessão
2. Defina o tipo de conexão como Direct (o tráfego vai direto)
3. Altere o WebRTC para o modo "Direct". Isso é necessário para aproveitar totalmente o proxy externo
4. Inicie a sessão

1. Verificar suporte a UDP via WebRTC

Acesse: https://networktest.twilio.com/

Este verificador permite testar se o navegador oferece suporte a UDP e TCP via TURN no WebRTC.

Os testes relevantes devem aparecer com status Pass, o que indica que tudo está funcionando corretamente.

2. Verificar DNS

Acesse: https://browserleaks.com/dns

Este teste identifica quais servidores DNS o navegador utiliza para resolver nomes de domínio.
Nos resultados, verifique se todos os servidores DNS detectados correspondem ao ISP e localização esperados.

Na imagem acima aparece um único ISP e uma única localização — o que é um bom sinal.

3. Verificação de vazamento de IP real via WebRTC

Acesse: https://ipbinding.online/

Este teste permite verificar se há vazamento de IP via requisições SRTP para um servidor TURN.

• Se não houver vazamento, o IP exibido será o do proxy
• Se houver vazamento, seu IP real será exibido
• Se a requisição for bloqueada, aparecerá um erro ou o teste não será concluído

No nosso caso, o teste foi bem-sucedido: o IP exibido corresponde ao IP do proxy.

4. Teste completo no Fake Vision

Acesse: https://fv.pro/

Este verificador abrangente analisa diversos parâmetros, incluindo fingerprints do navegador, ambiente e conexão.

Erros e inconsistências são exibidos no bloco Summary.
No nosso teste, o IP do proxy apareceu em algumas blacklists — o que pode ser resolvido trocando o IP ou proxy.
O restante estava correto.

5. Verificação de suporte ao QUIC

Acesse: https://quic.nginx.org/

QUIC é um protocolo de transporte baseado em UDP. Atualmente, sistemas antifraude estão cada vez mais atentos ao seu suporte.

Ao usar SOCKS5 via Keenetic, o suporte ao QUIC está ausente, como confirmado na imagem acima.
É possível obtê-lo utilizando protocolos de conexão alternativos.

Conclusão

O uso de roteadores Keenetic permite implementar a proxyficação de tráfego de forma simples e acessível para dispositivos que não possuem suporte nativo a essa funcionalidade.
Graças aos testes apresentados neste guia, você poderá avaliar antecipadamente se essa solução atende às suas necessidades.

A proxyficação completa oferece várias vantagens, minimizando possíveis vazamentos de dados.
No entanto, é importante entender que todo o tráfego dos dispositivos conectados será redirecionado via proxy (ou VPN), e a estabilidade e velocidade da conexão dependem tanto do seu provedor de internet quanto do serviço de proxy escolhido.

Disclaimer:
Não oferecemos serviços de configuração de roteadores, mas todas as informações necessárias estão disponíveis em fontes abertas.
Seguindo as instruções deste guia, você poderá configurar o dispositivo por conta própria e obter uma solução funcional sem custos adicionais.