Як правильно проксувати систему через роутер?

Вступ

Іноді в роботі виникає потреба проксіювати трафік пристроїв без втручання в їхнє програмне забезпечення. Це може бути корисно, якщо ви працюєте з фізичним пристроєм або з ПЗ, яке не підтримує проксіфікацію без втрати працездатності необхідних протоколів.

На ринку існують рішення від незалежних розробників, які зазвичай являють собою спеціалізовані прошивки з розширеним функціоналом для Raspberry Pi або інших одноплатних ПК. Вартість таких прошивок варіюється від $400 до $700 (без урахування ціни самого пристрою).

Проте складно назвати цей варіант доступним, враховуючи складність налаштування, високу вартість і неоднозначні відгуки на тематичних ресурсах.

Тому ми вирішили дослідити альтернативні рішення, доступні кожному, які дозволяють вирішити ту ж задачу з меншими витратами.

Маршрутизатори Keenetic

У пошуках маршрутизатора, придатного для цього завдання, ми звернули увагу на пристрої лінійки Keenetic. Вони позиціонуються як рішення з преміальним функціоналом за розумною ціною.

Переваги

• Стабільна робота і висока продуктивність завдяки потужному залізу та оптимізованому ПЗ
• Гнучкість налаштувань — підходять як для новачків, так і для просунутих користувачів
• Підтримка Mesh Wi-Fi — можливість створення безшовної мережі з кількох пристроїв
• Безпека — регулярні оновлення, підтримка WPA3, вбудовані механізми захисту від атак
• Модульна система — користувач сам обирає потрібні функції (VPN-клієнти, сервери, проксі, балансування каналів тощо), підключаючи їх через KeeneticOS
• Розширені можливості проксіфікації — підтримка Socks5, OpenVPN, WireGuard, L2TP, PPTP та інших протоколів з'єднання
• Доступна вартість — пристрій середньої конфігурації можна знайти до $100
• Підтримка та активна спільнота — обговорення на профільних ресурсах, велика база користувачів

Модель і вибір

У гайді використовується Keenetic_Speedster_KN-3013[https://keenetic.com/en/keenetic-speedster].

У цієї моделі існує три ревізії, що відрізняються головним чином процесором і обсягом флеш-пам’яті. Рекомендується обирати KN-3013 або KN-3012. А ось KN-3010 не підходить через недостатній обсяг флеш-пам’яті. Кожна конфігурація з'єднання або встановлений модуль ПЗ займає певне місце, не кажучи вже про саму операційну систему.

Підійдуть й інші маршрутизатори з лінійки Keenetic, оскільки всі вони працюють на KeeneticOS, яка підтримує необхідні протоколи з'єднання.

При виборі пристрою слід враховувати такі характеристики:

• Обсяг флеш-пам’яті — рекомендується 128 МБ і більше
• Обсяг ОЗП — мінімум 128 МБ
• Тактова частота процесора — рекомендується 800 МГц і більше

Комплектація

У комплект входить:

• Маршрутизатор
• Ethernet-кабель
• Адаптер живлення (100-240V)
• Інструкція

Підготовка до налаштування

На схемі вище наочно показано, як працюватиме мережа. Keenetic підключається до основного маршрутизатора й створює окрему мережу. Таке підключення не впливає на основну домашню мережу: головний маршрутизатор використовується лише як канал виходу в інтернет, а проксіюватися будуть тільки пристрої, підключені до мережі Keenetic.

Кроки підготовки:

1. Дістаньте маршрутизатор із коробки та переведіть антени в робоче положення.

2. Підключіть маршрутизатор до мережі живлення.

3. Зверніть увагу на наклейку на нижньому боці пристрою. Там вказані дані для підключення.

• SSID (назва Wi-Fi мережі)
• Пароль
• Адреса для налаштування — my.keenetic.net

Після увімкнення маршрутизатор автоматично створить Wi-Fi мережу. Для підключення використовуйте дані з наклейки.​

Налаштування маршрутизатора

Після підключення до Wi-Fi мережі відкрийте браузер на вашому пристрої та перейдіть на my.keenetic.net, щоб розпочати налаштування.

1. Вибір мови

Оберіть мову інтерфейсу пристрою та натисніть кнопку "Run wizard" button​

2. Вибір сценарію використання

Оберіть перший пункт:

"To set up Internet access via an external fibre optic, cable, satellite or DSL modem"

3. Налаштування регіону​

Оберіть країну та часовий пояс.​

4. Прийняття користувацької угоди

Погодьтеся з умовами використання. На цьому етапі може знадобитися кілька хвилин, щоб чекбокс став активним.

5. Встановлення пароля адміністратора

Задайте пароль адміністратора, який буде використовуватися для входу до панелі керування пристроєм. Обов’язково збережіть його!

6. Налаштування медіасервісу

Оберіть перший пункт:

"Off the shelf Smart TV or media player (Recommended)"

7. Налаштування інтернет-підключення

Оскільки Keenetic буде підключено до вже налаштованого роутера вашого інтернет-провайдера, натисніть "WITHOUT VLAN".​

8. Вимкнення основного роутера (необов’язково)​

У більшості випадків вимикати ваш основний роутер не потрібно.

9. Підключення Keenetic до основного роутера

• Розташуйте Keenetic поруч з основним роутером.
• Візьміть Ethernet-кабель, що був у комплекті.
• Один кінець підключіть до основного роутера (використовуйте білий або жовтий Ethernet-порт, не синій!).
• Другий кінець підключіть до WAN-порту (0) на Keenetic — він синього кольору.

10. Увімкнення основного роутера

Якщо на кроці 8 ви вимикали основний роутер, увімкніть його знову.

11. Очікування перезавантаження

Дочекайтеся завершення перезавантаження пристрою (це займає до 2 хвилин).

12. Увімкнення автоматичних оновлень

Дозвольте автоматичне встановлення оновлень.

13. Налаштування розкладу оновлень

Процес оновлення може призвести до 60 секунд простою, тому рекомендується встановити зручний розклад. Якщо ви не впевнені — залиште налаштування за замовчуванням, їх можна змінити пізніше.

14. Оновлення прошивки

Дочекайтеся завершення оновлення прошивки (це займе не більше 3 хвилин).

15. Налаштування Wi-Fi мережі

На цьому кроці можна змінити назву та пароль Wi-Fi мережі (за замовчуванням вони відповідають даним на наклейці). Ці параметри можна змінити пізніше.

16. Випуск сертифіката Let's Encrypt

Keenetic автоматично випустить сертифікат для підтримки HTTPS-з’єднань у панелі керування пристроєм.

На пропозицію взяти участь у програмі покращення продукту дайте відмову.

18. Збереження даних для доступу

На цьому етапі рекомендується зберегти всі дані для доступу до пристрою. Це допоможе уникнути повторного налаштування в майбутньому.

19. Завершення первинного налаштування

Натисніть "Finish".​

20. Вхід до панелі керування

Після завершення налаштування вас буде переадресовано на сторінку входу до панелі керування. Введіть:

• Ім’я користувача — admin
• Пароль — той, який ви задали на кроці 5

Тепер ви перебуваєте в панелі керування маршрутизатором. На цьому етапі він просто передає інтернет-з’єднання через кабель від основного роутера без застосування жодних засобів проксіфікації.

Встановлення компонентів

1-2. Перехід до налаштувань

• Перейдіть у Management → System Settings
• Натисніть "Component options"

3. Перевірка та встановлення необхідних компонентів

Переконайтеся, що встановлені такі компоненти:

• Proxy Client (Клієнт проксі)
• PPTP Client (PPTP-клієнт)
• OpenVPN Client and Server (OpenVPN-клієнт і сервер)
• Wireguard VPN (за потреби)

Якщо якийсь компонент відсутній, встановіть галочку навпроти його назви, як показано на зображенні нижче.

4. Перевірка підтримки DNS-over-TLS

Обов’язково переконайтеся, що встановлено DNS-over-TLS proxy — він потрібен для коректної роботи проксі.

5. Оновлення KeeneticOS

Після вибору всіх необхідних компонентів натисніть "Update KeeneticOS".

6. Створення резервної копії (опціонально)

На цьому етапі можна зробити резервну копію налаштувань.

7. Підтвердження встановлення компонентів

У вікні Install updates буде відображено перелік компонентів, які буде встановлено. Натисніть "Confirm" для підтвердження.

8. Очікування оновлення

Процес оновлення займе не більше 3 хвилин.

9. Повторний вхід до панелі керування

Після встановлення компонентів вас буде перенаправлено на сторінку авторизації. Введіть:

• Ім’я користувача — admin
• Пароль — той, який ви задавали раніше.

Налаштування SOCKS5 проксі

1. Перехід до налаштувань з'єднань

Перейдіть у → Other connections.

2. Додавання нового з'єднання

У цьому розділі можна додавати різні типи з'єднань:

• WireGuard
• PPTP and L2TP
• OpenVPN
• HTTP/S and SOCKS5 проксі

Важливо:

• HTTP/S проксі не підтримують UDP на рівні протоколу.
• HTTP/S технічно підтримує UDP, але не всі проксі-сервіси надають таку можливість.

Ми розглянемо налаштування на прикладі SOCKS5. У блоці Proxy Connections натисніть "Create connection".

3. Налаштування з'єднання

• Вкажіть зручну назву для з'єднання.
• Поставте галочку навпроти "Use for accessing the Internet".
• Виберіть SOCKS5 як протокол.

4. Введення даних проксі

• Введіть IP:PORT вашого проксі-сервера.
• Якщо потрібна авторизація — вкажіть логін і пароль.
• Натисніть "Save".

5. Активація з'єднання

Увімкніть проксі, натиснувши на повзунок ліворуч.

6. Налаштування DNS для проксі

Після активації з'єднання в колонці Internet з'явиться знак оклику. Це означає, що необхідно задати DNS.

7. Відкриття налаштувань DNS

Для налаштування DNS перейдіть у Network Rules → Internet Safety.

8. Додавання DNS-сервера

На вкладці DNS Configuration натисніть кнопку "Add server" button.

9. Налаштування DNS

Використовуємо DNS від Google:

• DNS server type: "DNS-over-TLS"
• DNS server address: 8.8.8.8:53
• Внизу виберіть ваш проксі в якості інтерфейсу.

Ви можете використовувати будь-який DNS-сервер. Підтримуються:

• DoT (DNS over TLS)
• DoH (DNS over HTTPS)
• Звичайний DNS

Альтернативні DNS-сервери:

Cisco OpenDNS, LLC

208.67.220.220

208.67.222.222

Neustar Security Services

199.85.127.10

199.85.126.10

Neustar Security Services

64.6.65.6

64.6.64.6

The Constant Company, LLC

8.26.56.26

8.20.247.20

level3

209.244.0.3

209.244.0.4

4.2.2.1

4.2.2.2

4.2.2.3

4.2.2.4

Oracle Corporation

216.146.35.35 216.146.36.36

OVH SAS

5.135.183.146

The Constant Company

195.46.39.39

Amazon.com, Inc.

54.174.40.213 52.3.100.184

Level 3 Communications, Inc.

54.229.171.243

Amazon.com, Inc

54.183.15.10

Amazon Technologies Inc.

185.37.37.37

Cloudflare

82.196.13.196

Strong Technology, LLC

64.145.73.2 209.107.219.3

SoftLayer

104.236.217.252

Ripe

185.52.1.146

Amazon Technologies Inc

128.199.248.157 185.135.8.197

10. Перевірка готовності проксі

Після встановлення DNS знак оклику навпроти проксі зникне — це означає, що налаштування пройшло успішно.

Створення політики підключення

11. Перехід до налаштувань політик

Перейдіть у → Connection Policies.

12. Створення нової політики

Натисніть Add policy.

13. Вказання назви політики з'єднання

• Задайте таку ж назву, як у проксі, щоб не заплутатися.
• Натисніть "Save".

14-15. Активація політики

• Поставте галочку ліворуч від вашого проксі
• Перетягніть його вгору.
• Натисніть "Save" (кнопка внизу ліворуч).

16-17. Застосування політики до сегменту мережі

Застосуйте політику до поточного сегменту мережі. Ви також можете створювати кілька сегментів і призначати їм різні політики для одночасного використання різних з’єднань (наприклад, з різних пристроїв).

• Перейдіть у My Networks and Wi-Fi → Home segment.
• У розділі Internet Traffic Handling Rules виберіть створену політику.
• Натисніть "Save" (кнопка внизу ліворуч).

Налаштування VPN

Налаштування VPN (OpenVPN, PPTP, L2TP) у KeeneticOS виконується аналогічно налаштуванню проксі, але з деякими відмінностями.

1. Основні налаштування VPN

У вікні налаштування поставте галочки:

• Use for accessing the Internet – дозволяє використовувати з’єднання для виходу в інтернет.
• Obtain routes from the remote side – необхідно для коректної роботи OpenVPN.

Важливо:

Окремо задавати DNS для VPN зазвичай не потрібно, але це залежить від конфігурації, яку ви використовуєте. Якщо під час перевірки з’єднання виявляються DNS-витоки, можна вручну вказати DNS-сервер.

2. Діагностика проблем з підключенням

Якщо виникають проблеми з підключенням, перевірте логи:

• Перейдіть у Management → Diagnostics.
• За кнопкою Show log можна знайти детальну інформацію про те, що йде не так.

3. Особливості роботи з конфігами OpenVPN

Важливо:

У KeeneticOS немає окремого вікна для введення логіна/пароля до VPN. Тому облікові дані потрібно вказати вручну в конфігураційному файлі.

Як задати логін і пароль у конфігу

1. Відкрийте ваш .ovpn конфіг у текстовому редакторі

2. Знайдіть рядок auth-user-pass

3. Замініть його на::

[code:```auth-user-pass username password auth-user-pass```]

Де:

• username — ваш логін.
• password — ваш пароль.

4. Вимоги Keenetic OS до OpenVPN-конфігів

Keenetic OS підтримує лише певні параметри OpenVPN. Повний список підтримуваних опцій доступний за посиланням: Openvpn24ManPage[https://community.openvpn.net/openvpn/wiki/Openvpn24ManPage]

Використання непідтримуваних параметрів може призвести до помилок і порушити роботу VPN-з’єднання. Наприклад, у деяких OpenVPN-конфігураціях зустрічається параметр setenv opt block-outside-dns, який не підтримується Keenetic OS. Щоб уникнути проблем, його слід видалити або закоментувати.

Тестування з'єднання

Проведемо низку тестів, щоб оцінити результат, який можна отримати при проксіфікації через SOCKS5 на роутері Keenetic. При використанні інших типів з'єднання результати можуть відрізнятися.

Використовуючи пристрій, підключений до мережі Keenetic, запустіть Linken Sphere або будь-який інший браузер.

Якщо використовуєте Linken Sphere:

• Створіть нову сесію.
• Вкажіть тип з'єднання Direct (трафік йде напряму).
• Переключіть WebRTC у режим "Direct". Це необхідно для отримання всіх переваг зовнішнього проксіфікатора.
• Запустіть сесію.

1. Перевірка підтримки UDP через WebRTC

Перейдіть на: twilio[https://networktest.twilio.com/]

Цей чекер дозволяє перевірити, чи підтримує браузер UDP та TCP через TURN у WebRTC.

Необхідні тести повинні мати статус Pass — це означає, що все працює коректно.

2. Перевірка DNS

Перейдіть на: browserleaks[https://browserleaks.com/dns]

Цей тест визначає, які DNS-сервери використовує браузер для розв’язання доменних імен. У результатах варто звернути увагу на відповідність ISP та локації всіх виявлених DNS-серверів.

На зображенні вище видно одного ISP та одну локацію — це хороший результат.

3. Перевірка витоку реальної IP-адреси через WebRTC

Перейдіть на: ipbinding[https://ipbinding.online/]

Тут ви можете визначити наявність витоку через запит по SRTP до TURN-сервера..

• Якщо витоку немає — відображена IP-адреса збігатиметься з IP проксі.
• Якщо витік є — буде показана ваша реальна IP-адреса.
• Якщо запит заблоковано — з’явиться помилка або перевірка не завершиться.

У нашому випадку тест пройшов успішно: відображена IP-адреса збігається з IP проксі..

4. Комплексний тест на Fake Vision

Перейдіть на: fv[https://fv.pro/]

Цей універсальний чекер аналізує багато параметрів, включно з відбитками браузера, середовищем і з'єднанням.

Помилки та невідповідності відображаються в блоці Summary. У нашому тесті IP проксі потрапив до деяких чорних списків, але це можна виправити зміною IP або проксі. В іншому — все гаразд.

5. Перевірка підтримки QUIC

Перейдіть на: quic[https://quic.nginx.org/]

QUIC — транспортний протокол на основі UDP. Останнім часом антифрод-системи все частіше звертають увагу на його підтримку.

При використанні SOCKS5 через Keenetic підтримка QUIC відсутня, що підтверджується зображенням вище. Ймовірно, її можна отримати при використанні альтернативних протоколів з'єднання.

Висновок

Використання маршрутизаторів Keenetic дозволяє легко та доступно реалізувати проксіфікацію трафіку для пристроїв, які не підтримують цю функцію з коробки. Завдяки тестуванню, наведеному в статті, ви зможете заздалегідь оцінити, наскільки цей варіант підходить саме вам.

Повна проксіфікація надає низку переваг, зводячи до мінімуму можливі витоки даних. Однак важливо розуміти, що весь трафік підключених пристроїв буде перенаправлятися через проксі (або VPN), а стабільність і швидкість з'єднання залежать як від вашого інтернет-провайдера, так і від обраного проксі.

Застереження:

Ми не надаємо послуги з налаштування роутерів, однак вся необхідна інформація доступна у відкритих джерелах. Дотримуючись інструкцій з цього гайду, ви зможете самостійно налаштувати пристрій і отримати робоче рішення без зайвих витрат.