Маршрутизатор Keenetic як інструмент проксіфікації

Вступ

Іноді в роботі виникає потреба проксіювати трафік пристроїв без втручання в їхнє програмне забезпечення. Це може бути корисно, якщо ви працюєте з фізичним пристроєм або з ПЗ, яке не підтримує проксіфікацію без втрати працездатності необхідних протоколів.

На ринку існують рішення від незалежних розробників, які зазвичай являють собою спеціалізовані прошивки з розширеним функціоналом для Raspberry Pi або інших одноплатних ПК. Вартість таких прошивок варіюється від $400 до $700 (без урахування ціни самого пристрою).

Проте складно назвати цей варіант доступним, враховуючи складність налаштування, високу вартість і неоднозначні відгуки на тематичних ресурсах.

Тому ми вирішили дослідити альтернативні рішення, доступні кожному, які дозволяють вирішити ту ж задачу з меншими витратами.

Маршрутизатори Keenetic

У пошуках маршрутизатора, придатного для цього завдання, ми звернули увагу на пристрої лінійки Keenetic. Вони позиціонуються як рішення з преміальним функціоналом за розумною ціною.

Переваги

• Стабільна робота і висока продуктивність завдяки потужному залізу та оптимізованому ПЗ
• Гнучкість налаштувань — підходять як для новачків, так і для просунутих користувачів
• Підтримка Mesh Wi-Fi — можливість створення безшовної мережі з кількох пристроїв
• Безпека — регулярні оновлення, підтримка WPA3, вбудовані механізми захисту
• Модульна система — користувач сам обирає потрібні функції (VPN-клієнти, сервери, проксі, балансування каналів тощо), підключаючи їх через KeeneticOS
• Розширені можливості проксіфікації — підтримка Socks5, OpenVPN, WireGuard, L2TP, PPTP та інших протоколів з'єднання
• Доступна вартість — пристрій середньої конфігурації можна знайти до $100
  Підтримка та активна спільнота — обговорення на профільних ресурсах, велика база користувачів

Модель і вибір

У цьому гайді використовується Keenetic Speedster (KN-3013).

У цієї моделі існує три ревізії, що відрізняються головним чином процесором і обсягом флеш-пам’яті.
Рекомендується обирати KN-3013 або KN-3012. А ось KN-3010 — не підходить через недостатній обсяг флеш-пам’яті. Кожна конфігурація з'єднання або встановлений модуль ПЗ займає певне місце, не кажучи вже про саму операційну систему.

Підійдуть й інші маршрутизатори з лінійки Keenetic, оскільки всі вони працюють на KeeneticOS, яка підтримує необхідні протоколи з'єднання.

При виборі пристрою враховуйте:

• Обсяг флеш-пам’яті — рекомендується 128 МБ і більше
• ОЗП — мінімум 128 МБ
• Тактова частота процесора — рекомендується 800 МГц і більше

Комплектація

У комплект входить:

• Маршрутизатор
• Ethernet-кабель
• Адаптер живлення (100–240В)
• Інструкція

Підготовка до налаштування

На схемі вище наочно показано, як працюватиме мережа. Keenetic підключається до основного маршрутизатора й створює окрему мережу. Таке підключення не впливає на основну домашню мережу: головний маршрутизатор використовується лише як канал виходу в інтернет, а проксіюватися будуть тільки пристрої, підключені до мережі Keenetic.

Кроки підготовки:
1. Дістаньте маршрутизатор із коробки та переведіть антени в робоче положення.
2. Підключіть маршрутизатор до мережі живлення.
3. Зверніть увагу на наклейку на нижньому боці пристрою. Там вказані дані для підключення:

• SSID (назва Wi-Fi мережі)
• Пароль
• Адреса для налаштування — my.keenetic.net
• Після увімкнення маршрутизатор автоматично створить Wi-Fi мережу. Для підключення використовуйте дані з наклейки.

Налаштування маршрутизатора

Після підключення до Wi-Fi мережі відкрийте браузер на вашому пристрої та перейдіть на my.keenetic.net, щоб розпочати налаштування.

1. Вибір мови

Оберіть мову інтерфейсу пристрою та натисніть кнопку "Run wizard"

2. Вибір сценарію використання

Оберіть перший пункт:
"To set up Internet access via an external fibre optic, cable, satellite or DSL modem"

3. Налаштування регіону

Оберіть країну та часовий пояс.

4. Прийняття користувацької угоди

Погодьтеся з умовами використання. На цьому етапі може знадобитися кілька хвилин, щоб чекбокс став активним.

5. Встановлення пароля адміністратора

Задайте пароль адміністратора, який буде використовуватися для входу до панелі керування пристроєм.
Обов’язково збережіть його!

6. Налаштування медіасервісу

Оберіть перший пункт:
"Off the shelf Smart TV or media player (Recommended)"

7. Налаштування інтернет-підключення

Оскільки Keenetic буде підключено до вже налаштованого роутера вашого інтернет-провайдера, натисніть "WITHOUT VLAN".

8. Вимкнення основного роутера (необов’язково)

У більшості випадків вимикати ваш основний роутер не потрібно.

9. Підключення Keenetic до основного роутера

• Розташуйте Keenetic поруч з основним роутером.
• Візьміть Ethernet-кабель, що був у комплекті.
• Один кінець підключіть до основного роутера (використовуйте білий або жовтий Ethernet-порт, не синій!)
• Другий кінець підключіть до WAN-порту (0) на Keenetic — він синього кольору.

10. Увімкнення основного роутера

Якщо на кроці 8 ви вимикали основний роутер — увімкніть його знову.

11. Очікування перезавантаження

Дочекайтеся завершення перезавантаження пристрою (це займає до 2 хвилин).

12. Увімкнення автоматичних оновлень

Дозвольте автоматичне встановлення оновлень.

13. Налаштування розкладу оновлень

Оновлення може призвести до короткочасного (до 60 секунд) відключення, тому рекомендується встановити зручний розклад. Якщо не впевнені — залиште налаштування за замовчуванням.

14. Оновлення прошивки

Дочекайтеся завершення оновлення (не більше 3 хвилин).

15. Налаштування Wi-Fi мережі

На цьому кроці можна змінити назву та пароль Wi-Fi мережі (за замовчуванням — як на наклейці). Ці параметри можна змінити пізніше.

16. Випуск сертифіката Let's Encrypt

Keenetic автоматично випустить сертифікат для підтримки HTTPS-з’єднань у панелі керування пристроєм.

17. Відмова від участі в програмі покращення

На пропозицію взяти участь у програмі покращення продукту дайте відмову.

18. Збереження даних доступу

Рекомендується зберегти всі облікові дані — це допоможе уникнути повторного налаштування в майбутньому.

19. Завершення первинного налаштування

Натисніть кнопку "Finish".

20. Вхід до панелі керування

Після завершення вас буде перенаправлено на сторінку входу. Введіть:

• Ім’я користувача — admin
• Пароль — той, який ви задали на кроці 5

Тепер ви перебуваєте в панелі керування маршрутизатором. На цьому етапі він просто передає інтернет-з’єднання через кабель від основного роутера без застосування жодних засобів проксіфікації.

Встановлення компонентів

1–2. Перехід до налаштувань

• Перейдіть у Management → System Settings
• Натисніть "Component options"

3. Перевірка та встановлення необхідних компонентів

Переконайтеся, що встановлені такі компоненти:

• Proxy Client (Клієнт проксі)
• PPTP Client (PPTP-клієнт)
• OpenVPN Client and Server (OpenVPN-клієнт і сервер)
• Wireguard VPN (за потреби)

Якщо якийсь компонент відсутній — поставте галочку навпроти його назви, як показано на зображенні нижче.

4. Перевірка підтримки DNS-over-TLS

Переконайтеся, що встановлено компонент DNS-over-TLS proxy — він необхідний для коректної роботи проксі.

5. Оновлення KeeneticOS

Після вибору всіх необхідних компонентів натисніть кнопку "Update KeeneticOS".

6. Створення резервної копії (опціонально)

На цьому етапі можна створити резервну копію налаштувань.

7. Підтвердження встановлення компонентів

З’явиться вікно Install updates з переліком обраних компонентів. Натисніть "Confirm" для підтвердження.

8. Очікування оновлення

Процес оновлення триватиме до 3 хвилин.

9. Повторний вхід до панелі керування

Після встановлення компонентів буде виконано перезавантаження та переадресація на сторінку входу. Введіть:

• Ім’я користувача — admin
• Пароль — той, який ви задавали раніше

Налаштування SOCKS5 проксі

1. Перехід до налаштувань з'єднань

Перейдіть у Internet → Other connections.

2. Додавання нового з'єднання

У цьому розділі можна додавати різні типи з'єднань:

• WireGuard
• PPTP і L2TP
• OpenVPN
• HTTP/S та SOCKS5 проксі

Важливо:

• HTTP/S проксі не підтримують UDP
• SOCKS5 технічно підтримує UDP, але не всі проксі-сервіси це надають

Ми розглянемо налаштування на прикладі SOCKS5. У блоці Proxy Connections натисніть "Create connection".

3. Налаштування з'єднання

• Вкажіть зручну назву для з'єднання
• Поставте галочку "Use for accessing the Internet"
• Оберіть SOCKS5 як протокол

4. Введення даних проксі

• Введіть IP:PORT вашого проксі-сервера
• Якщо потрібна авторизація — вкажіть логін і пароль
• Натисніть "Save"

5. Активація з'єднання

Увімкніть проксі, пересунувши перемикач ліворуч.

6. Налаштування DNS для проксі

Після активації з'єднання в колонці Internet з'явиться знак оклику. Це означає, що необхідно налаштувати DNS.

7. Відкриття налаштувань DNS

Для налаштування перейдіть у Network Rules → Internet Safety.

8. Додавання DNS-сервера

У вкладці DNS Configuration натисніть "Add server".

9. Налаштування DNS

Використаємо DNS від Google:

• Тип DNS-сервера: "DNS-over-TLS"
• Адреса DNS-сервера: 8.8.8.8:53
• У нижньому полі оберіть ваш проксі як інтерфейс

Можна використовувати й інші DNS-сервери. Підтримуються:

• DoT (DNS over TLS)
• DoH (DNS over HTTPS)
• Звичайний DNS

Альтернативні DNS-сервери:

Cisco OpenDNS, LLC

• 208.67.220.220
• 208.67.222.222

Neustar Security Services

• 199.85.127.10
• 199.85.126.10

Neustar Security Services

• 64.6.65.6
• 64.6.64.6

The Constant Company, LLC

• 8.26.56.26
• 8.20.247.20

level3

• 209.244.0.3
• 209.244.0.4
• 4.2.2.1
• 4.2.2.2
• 4.2.2.3
• 4.2.2.4

Oracle Corporation

• 216.146.35.35
• 216.146.36.36

OVH SAS

• 5.135.183.146

The Constant Company

• 195.46.39.39

Amazon.com, Inc.

• 54.174.40.213
• 52.3.100.184

Level 3 Communications, Inc.

• 54.229.171.243

Amazon.com, Inc

• 54.183.15.10

Amazon Technologies Inc.

• 185.37.37.37

Cloudflare

• 82.196.13.196

Strong Technology, LLC

• 64.145.73.2
• 209.107.219.3

SoftLayer

• 104.236.217.252

Ripe

• 185.52.1.146

Amazon Technologies Inc

• 128.199.248.157
• 185.135.8.197

10. Перевірка готовності проксі

Після налаштування DNS знак оклику зникне — це означає, що з'єднання готове до використання.

Створення політики підключення

11. Перехід до налаштувань політик

Перейдіть у Internet → Connection Policies.

12. Створення нової політики

Натисніть "Add policy".

13. Вказання назви політики

• Задайте таку ж назву, як і у проксі — для зручності
• Натисніть "Save"

14–15. Активація політики

Поставте галочку зліва від вашого проксі
Перетягніть його наверх списку
Натисніть "Save" (кнопка внизу ліворуч)

16–17. Призначення політики сегменту мережі

• Перейдіть у My Networks and Wi-Fi → Home segment
• У розділі Internet Traffic Handling Rules оберіть створену політику
• Натисніть "Save"

Налаштування VPN

Налаштування VPN (OpenVPN, PPTP, L2TP) у KeeneticOS виконується схоже до проксі, але з кількома особливостями.

1. Основні налаштування VPN

У вікні налаштування поставте галочки:

• Use for accessing the Internet — дозволяє використовувати з’єднання для виходу в інтернет
• Obtain routes from the remote side — необхідно для роботи OpenVPN

Важливо:
Окремо задавати DNS зазвичай не потрібно. Але якщо під час тестування виявляються DNS-витоки, можна вручну задати DNS-сервер.

2. Діагностика проблем

• Перейдіть у Management → Diagnostics
• Натисніть "Show log", щоб побачити деталі з'єднання

3. Робота з конфігами OpenVPN

Важливо:
KeeneticOS не має окремого поля для логіна/пароля, тому їх потрібно вписати вручну в конфіг.

Як задати логін і пароль у конфігу:

• Відкрийте .ovpn конфіг у текстовому редакторі
• Знайдіть рядок auth-user-pass

Замініть його на:

<auth-user-pass>
username
password

Де:

• username — ваш логін
• password — ваш пароль

4. Підтримувані параметри OpenVPN

Keenetic OS підтримує лише певні параметри OpenVPN. Використання непідтримуваних параметрів може призвести до помилок і порушити роботу VPN-з’єднання. Наприклад, у деяких OpenVPN-конфігураціях зустрічається параметр setenv opt block-outside-dns, який не підтримується Keenetic OS. Щоб уникнути проблем, його слід видалити або закоментувати.

Тестування з'єднання

Проведемо низку тестів, щоб оцінити результат, який можна отримати при проксіфікації через SOCKS5 на роутері Keenetic. При використанні інших типів з'єднання результати можуть відрізнятися.

Використовуючи пристрій, підключений до мережі Keenetic, запустіть Linken Sphere або будь-який інший браузер.

Якщо використовуєте Linken Sphere:

1. Створіть нову сесію
2. Вкажіть тип з'єднання Direct (трафік йде напряму).
3. Переключіть WebRTC у режим "Direct". Це необхідно для отримання всіх переваг зовнішнього проксіфікатора.
4. Запустіть сесію

1. Перевірка підтримки UDP через WebRTC

Перейдіть на: https://networktest.twilio.com/

Цей чекер дозволяє перевірити, чи підтримує браузер UDP та TCP через TURN у WebRTC.

Необхідні тести повинні мати статус Pass — це означає, що все працює коректно.

2. Перевірка DNS

Перейдіть на: https://browserleaks.com/

Цей тест визначає, які DNS-сервери використовує браузер для розв’язання доменних імен.
У результатах варто звернути увагу на відповідність ISP та локації всіх виявлених DNS-серверів.

На зображенні вище видно одного ISP та одну локацію — це хороший результат.

3. Перевірка витоку реальної IP-адреси через WebRTC

Тут ви можете визначити наявність витоку через запит по SRTP до TURN-сервера.

• Якщо витоку немає — відображена IP-адреса збігатиметься з IP проксі.
• Якщо витік є — буде показана ваша реальна IP-адреса.
• Якщо запит заблоковано — з’явиться помилка або перевірка не завершиться.

У нашому випадку тест пройшов успішно: відображена IP-адреса збігається з IP проксі.

4. Комплексний тест на Fake Vision

Перейдіть на: https://fv.pro/ 

Цей універсальний чекер аналізує багато параметрів, включно з відбитками браузера, середовищем і з'єднанням.

Помилки та невідповідності відображаються в блоці Summary. У нашому тесті IP проксі потрапив до деяких чорних списків, але це можна виправити зміною IP або проксі. В іншому — все гаразд.

5. Перевірка підтримки QUIC

Перейдіть на: https://quic.nginx.org/ 

QUIC — транспортний протокол на основі UDP. Останнім часом антифрод-системи все частіше звертають увагу на його підтримку.

При використанні SOCKS5 через Keenetic підтримка QUIC відсутня, що підтверджується зображенням вище. Ймовірно, її можна отримати при використанні альтернативних протоколів з'єднання.

Висновок

Використання маршрутизаторів Keenetic дозволяє легко та доступно реалізувати проксіфікацію трафіку для пристроїв, які не підтримують цю функцію з коробки. Завдяки тестуванню, наведеному в статті, ви зможете заздалегідь оцінити, наскільки цей варіант підходить саме вам.

Повна проксіфікація надає низку переваг, зводячи до мінімуму можливі витоки даних. Однак важливо розуміти, що весь трафік підключених пристроїв буде перенаправлятися через проксі (або VPN), а стабільність і швидкість з'єднання залежать як від вашого інтернет-провайдера, так і від обраного проксі.

Застереження:

Ми не надаємо послуги з налаштування роутерів, однак вся необхідна інформація доступна у відкритих джерелах. Дотримуючись інструкцій з цього гайду, ви зможете самостійно налаштувати пристрій і отримати робоче рішення без зайвих витрат.