Какой интернет фильтр лучше для роутера keenetic

Обновлено: 04.07.2024

Бесшовный роуминг - это технология, которая одинаково полезна и для бизнес-среды и для домашних пользователей. Многие интеграторы признаются, что это чуть ли не единственный двигатель прогресса в беспроводном оборудовании, особенно когда Wi-Fi сеть разворачивается в больших зданиях и на транспорте. Да, в крупных зданиях это было актуально всегда, но вдруг эта технология стала востребованной и в обычных городских квартирах и даже на дачах. Почему?

Потому что мир активно осваивает 5-гигагерцовый диапазон 802.11ac, и при ограниченных мощностях Wi-Fi передатчиков, частота 5 ГГц сильнее затухает при прохождении через бетонные преграды, чем 2.4 ГГц. Допустим, у вас 3-комнатная квартира, и роутер стоит перед входной дверью. Старой 2.4 ГГц сети 802.11b/g хватало на покрытие всей жилплощади, но 5 ГГц не добивает до спальни. Решения были всегда: например, поставить репитер или второй роутер с тем же SSID и паролем, но это неправильно. Почему?

Потому что ноутбуки и смартфоны цепляясь за одну сеть, очень неохотно переходят на другую. Вы подключили смартфон к Wi-Fi на кухне, но когда зашли в спальню - он всё ещё держится за 1 палочку сигнала беспроводной сети, а к стоящему рядом роутеру может подключится, а может и нет. Да и каждое новое подключение - это новая авторизация, новый запрос IP-адреса, это время, которое может занимать и 10 и 20 секунд, это потеря связи, заикания Youtube и Skype, короче говоря - это криво. Да, а если обе точки доступа встанут на один канал, то это ещё и медленно.

Стандарты 802.11k и 802.11r полностью решают эти проблемы: у вас одно из устройств, пусть это будет главный роутер, берёт на себя управление беспроводной сетью и другими точками доступа. Оно управляет всеми беспроводными функциями точек доступа, общаясь с ними по проводному Ethernet-каналу, выбирает лучший радио-канал, отвечает за авторизацию… У вас один SSID, одна сеть, один пароль, когда вы передвигаетесь по дому, ваш смартфон плавно перетекает от одного хот-спота к другому, соединение не рвётся, Youtube не заикается, Skype не тормозит. А если к вам домой пришли 200 гостей, и они находятся в зоне покрытия двух-трёх хот-спотов, то контроллер Wi-Fi перераспределит их с учётом загруженности радиоканалов.

Что нужно знать о бесшовном Wi-Fi роуминге:

  • Это не новая технология, так что все смартфоны и ноутбуки, выпущенные за последние 5 лет, её поддерживают.
  • Это простая технология, она не нагружает процессор основного роутера или точек доступа
  • Эта технология не влияет на безопасность беспроводной сети
  • Стандарты 802.11k/r считаются наиболее передовыми на сегодняшний день для ускорения времени переключения между хот-спотами
  • Клиентское устройство в процессе перемещения между хот-спотами может перепрыгивать с 2.4 ГГц на 5 ГГц диапазон и обратно
  • Отключение хот-спота не влияет на работу остальных устройств

Если обобщить - одни плюсы. Ещё несколько месяцев назад самым простым способом построить бесшовную сеть было использование точек доступа и контроллеров на роутерах уровня Mikrotik, где вам предлагалось ознакомиться с терминологией CAPSMAN, поработать с командной строкой, почитать мануалы и форумы, где обсуждение сего вопроса занимало порой по 180 страниц. Забудем это, ведь неделю назад компания Keenetic объявила о реализации бесшовного Wi-Fi роуминга во всех своих роутерах серии KN, включая самые дешёвые 100-мегабитные модели. Что это значит?

  • А. Никаких точек доступа по 7-10 тысяч рублей не нужно - хватит и самых дешёвых «кинетиков», но лучше чтобы они были гигабитными, и между ними был Ethernet-кабель.
  • Б. Никакой командной строки, форумов и мануалов - всё настроим из Web-интерфейса за 1 минуту и 11 секунд.

Для подобного теста мы возьмём:

  • Keenetic Ultra - он будет работать в роли контроллера
  • Keenetic Giga - использовать эту модель в роли точки доступа - кощунственно, но тестировка требует жертв

Номер 1 и номер 2 уже подключены в общую сеть, в которой Ultra работает роутером, а Giga - в режиме точки доступа. Тестировать сетап будем смартфоном Oppo RX17!

Прежде всего, обновляем прошивку NDMS на обоих роутерах до новых версий 2.14.C.0.0-0. Этот процесс не входит в указанное время настройки. Теперь открываем Web-интерфейсы Keenetic Ultra и Giga, и поехали!

Я включил Band Steering, чтобы объединить Wi-Fi двух диапазонов (2.4 ГГц и 5 ГГц) в одну общую сеть с одним SSID-ом, до этого у меня в 5-ГГц диапазоне работала сеть hwp5, а в 2.4 ГГц - hwp. Теперь Keenetic-и должны будут переключать смартфон в 5-гигагерцовый диапазон даже если тот по каким-то причинам повис на 2.4 ГГц канале.

На телефонах и ноутбуках ничего перестраивать не надо, а старый SSID «hwp5» можно удалить из памяти устройств. Пришло время провести тесты и измерить скорость переключения.

Результаты тестирования

Когда беспроводных сетей было 4, (две hwp и две hwp5), переключение между ними занимало до 3 секунд, хотя были и рекордные 86 мс. Теперь же, когда появился роуминг Wi-Fi, среднее переключение занимает 400 мс, и редко этот процесс длится дольше 900 мс. Как правило, потери пакетов либо не происходят, либо ограничиваются 2-4 единицами.

Сейчас у Keenetic в отладке находится компонент модульной Wi-Fi сети, который позволит управлять всеми Wi-Fi хот-спотами из единого интерфейса, смотреть как беспроводные клиенты переключаются между точками доступа и производить быструю установку новых устройств. Это будет полезно, если нужно добавить в сеть новый хот-спот: вы просто подключите его к LAN-порту и добавите в едином интерфейсе управления, без необходимости задавать на нём пароль Wi-Fi, выбирать режимы работы, стандарты безопасности, доступ по MAC-адресу и прочее.

Минусы такого решения

2. Отключаем всю рекламу в интернете на всех устройствах

Мы уже давно пользуемся блокировщиками рекламы, но при этом терпим некоторые неудобства, самое основное из которых - не блокируется реклама в играх на смартфонах. Кроме этого, модуль Adblock, устанавливаемый в Chrome, сильно тормозит загрузку сайтов, а Яндекс Директ и вовсе не блокирует. Недавно Adguard, второй крупнейший сервис по блокировке интернет-рекламы, предложил лёгкое решение от назойливых баннеров - антирекламные DNS серверы.

Преимущества Adguard DNS:

  • Блокировка работает для всех устройств в домашней сети: для смартфонов, ноутбуков, компьютеров.
  • Блокирует рекламу в играх
  • Не определяется скриптами на сайтах (вы не увидите просьбу владельцев сайта отключить блокировку рекламы)
  • Не потребляет ресурсов компьютера/смартфона
  • Можно заблокировать «сайты для взрослых»
  • Поддерживается шифрование запросов DNS для более высокой приватности
  • Это бесплатно!

Недостатки Adguard DNS:

  • Не блокирует рекламу в роликах на Youtube
  • Чтобы включить/отключить блокировку, нужно менять сетевые настройки
  • Иногда на месте рекламных баннеров возникают пустые вставки с ошибкой «не удаётся отобразить страницу».
  • Модель бизнеса Adblock понятна - они продают рекламным сетям «исключения» из бан-списков. На чём зарабатывает Adguard DNS, не понятно.

Для каждого из домашних устройств вы можете выбрать свой уровень фильтрации, например чтобы на детских планшетах отключить баннеры и взрослый контент, на рабочем компьютере достаточно будет отключить только рекламу, а на разных NAS-ах и вовсе ничего блокировать не надо.

Блокировка рекламы на Keenetic Ultra

Самое главное - Adguard DNS можно использовать вместе с Adblock по принципу двойной обороны. Друг другу эти две технологии не мешают, а скорее даже дополняют, ведь на момент подготовки статьи, Adguard DNS даже умел блокировать Яндекс Директ. Давайте посмотрим, как меняется интернет при использовании блокировщиков рекламы.

А теперь давайте посмотрим, как Adblock потребляет память компьютера, для чего в Microsoft Edge откроем следующие вкладки:

Расход памяти

По затратам памяти блокировщик Adblock потребляет больше, чем весит сама реклама, и это - основное ограничение, которое заставляет отказываться от данного плагина в пользу других решений.

Цена вопроса

Бесшовный роуминг доступен во всех роутерах Keenetic серии KN совершенно бесплатно. Минимальная стоимость такого оборудования - 1400 рублей за 100-мегабитный 2.4-Гигагерцовый KN-1110. При такой стоимости, их можно ставить один за другим, продлевая свою Wi-Fi сеть на любые расстояния, охватывая любую площадь, свободную от рекламы.

Заключение

На своей презентации для прессы 6 декабря 2018 г. компания Keenetic демонстрировала обновленную версию компонента бесшовного роуминга и интерфейс модульной сети. В реальном времени к одной сети было подключено более 20 смартфонов гостей, которые перемещались по большому зданию и могли посмотреть на скорость переключения между точками доступа. Типичное время составляло 280 мс, что значительно меньше, чем в нашем тестировании, но всё же достаточно много. Для домашнего использования уже сейчас имеющийся функционал - это огромнейший плюс, который поможет навести порядок в Wi-Fi инфраструктуре.

Что касается бизнес-применения, то конечно надо дождаться компонента «Модульная сеть» и оценить его работу вместе с сегментацией, фильтрацией доступа, политиками безопасности и прочим. Будет возможность - сделаем, оставайтесь с нами!

Касательно блокировки рекламы, то с первых дней, как появились подобные решения, позиция HWP была неизменной: блокируйте её всеми удобными средствами! Если вы до сих пор этого не сделали, то самое время попробовать нанести по ней централизованный удар, заблокировав доступ баннерам сразу ко всем устройствам в вашем доме.

Задумывались ли вы когда-либо о безопасности вашей домашней сети Wi-Fi? Разумно ли оставлять домашний интернет без защиты и контроля?

Фильтрация SkyDNS для домашней Wi-Fi сети

Сегодня мы расскажем вам об основных принципах работы контент-фильтров, способах их использования в домашней сети, а также сравним наиболее популярные интернет-фильтры, в основе работы которых лежит DNS-технология.

Контент-фильтры как средства родительского контроля

Сложно представить себе сегодня полный запрет доступа ребенку в Сеть. Однако и оставлять детей наедине с интернетом без какого-либо контроля - неподходящий вариант. Ведь в Сети так легко найти информацию, изображения или видео, не предназначенные для детских глаз - порнографию, пропаганду алкоголя, наркотиков и суицида, экстремистские ресурсы, сайты, распространяющие вредоносное программное обеспечение, и многое другое. Посещение подобного рода интернет-ресурсов может нанести вред здоровью или психологическому развитию ребенка, а просиживание в интернете слишком большого количества часов в сутки негативно скажется на его сне и успеваемости. В качестве средства управления домашним интернетом и родительского контроля отлично подойдет контент-фильтр.

С ним управлять доступным для просмотра интернет-контентом просто: вы сами выбираете какие сайты будут доступны, а какие заблокированы. Кроме того, с помощью контент-фильтрации на роутере вы сможете ограничить время пребывания детей в интернете, чтобы они не просиживали время, отведенное на выполнение домашнего задания, в соцсетях и на YouTube или не играли сутками напролет в онлайн-игры.

SkyDNS

Контент-фильтры для роутеров намного удобнее специальных программ для родительского контроля, так как для их использования вам нужно лишь настроить сервис на устройстве, раздающем домашний Wi-Fi. Сервис SkyDNS легко настраивается на наиболее популярных моделях домашних роутеров, маршрутизаторов и точек доступа Wi-Fi – Asus, TP-Link, D-Link, NetGear, Huawei, ZyXEL, Xiaomi и др. При этом в интернет-центрах ZyXEL Keenetic сервис обладает расширенными функциями и позволяет настраивать правила фильтрации и сбора статистики для разных устройств за роутером по-разному. Не требуется устанавливать никаких дополнительных программ и приложений на каждое устройство в отдельности. Таким образом все ваши ноутбуки, планшеты, смартфоны, подключенные к домашней сети, будут фильтроваться согласно указанным вами правилам.

Вся настройка интернет-фильтра происходит дистанционно через удобный и понятный веб-интерфейс. В итоге, за 5 минут несложных манипуляций с настройками роутера вы получаете полноценную систему родительского контроля для всех устройств, подключенных к домашней сети — настольных компьютеров, игровых приставок, SMART-телевизоров, ноутбуков, планшетов и мобильных телефонов. Причем вы сможете управлять настройками дистанционно через личный кабинет, где бы вы не находились.

Также с помощью фильтра можно заблокировать работу отдельных сайтов и мобильных приложений (например, Instagram, Facebook, ВКонтакте) просто внеся используемые ими для работы адреса сайтов в черный список. Также можно запретить установку любых приложений на смартфоны и планшеты, запретив обращение к адресам магазинов приложений AppStore и Google Play Market.

Контент-фильтр как дополнительный уровень защиты от кибер угроз

Очень часто мы даже не подозреваем какие программы тайно установлены на наших компьютерах. Большинство вредоносных программ незаметны и не проявляют себя, используя ресурсы системы или передавая мошенникам персональную информацию — логины, пароли, номера кредитных карт, паспортные данные и т. д. Контент-фильтрация — достаточно эффективное средство защиты от различных видов вредоносного сетевого программного обеспечения. В отличие от антивирусов контент-фильтры для домашних роутеров блокируют попадание «вредоносов» на компьютер еще до того как они будут загружены.

Контент-фильтрация домашней сети Wi-Fi через сервис SkyDNS обезопасит вас от вирусов, кражи персональных данных через фишинговые сайты, а также предотвратит использование ваших устройств в качестве ботов в DDoS-атаках. Даже если вы случайно кликните по опасной ссылке, контент-фильтр заблокирует доступ к странице до того, как вредоносный код попадет на ваше устройство.

Выбираем надежный контент-фильтр для домашней сети

Среди достаточно большого количества решений для фильтрации интернет-трафика по технологии DNS для сравнения мы взяли наиболее популярные — Яндекс.DNS и SkyDNS.

Однако если провести аналогию не с миром компьютеров, то сервис Яндекс.DNS – это простенькая щеколда на двери, то сервис SkyDNS — это полноценный электронный замок с тревогой, автоматическим управлением и другими полезными для вашей защиты функциями.

В арсенале контент-фильтра SkyDNS – огромное количество настроек для тонкого управления фильтрацией. Вы можете выбрать из 57 категорий сайтов, которые будут доступны или заблокированы. Также используйте черные и белые списки (туда вносятся сайты по-отдельности) для создания исключений в правилах фильтрации. Среди категорий сервиса SkyDNS не только группы сайтов, касающиеся «взрослого» контента, но и такие категории как «Казино, лотереи, тотализаторы», «Агрессия, расизм, терроризм», ресурсы-пожиратели времени и многие другие. Значительным преимуществом контент-фильтра от компании SkyDNS является возможность блокировки большинства видов интернет-рекламы — всплывающих окон, баннеров, контекста, видео- и аудио-рекламы. Также приятным дополнением является функция включения безопасного режима на популярном у детей видео-хостинге YouTube и собственный безопасный поиск, обеспечивающий высочайшее качество блокировки всего недетского контента.

Более того, сервис SkyDNS предлагает своим пользователям настроить разные профили фильтрации на каждом устройстве в отдельности. Таким образом вы можете настроить контент-фильтр на родительском компьютере под свои задачи, а на детском планшете — под возрастные ограничения вашего ребенка.

Профили фильтрации SkyDNS

Также для дополнительного удобства использования сервиса, SkyDNS предлагает функцию воспользоваться настройки расписанием работы контент-фильтрации. С её помощью вы можете настроить блокировку веб-контента так, как вам удобно: например, открыв доступ к социальным сетям и мессенджерам в выходные дни и в часы отдыха и запретив доступ к развлекательным ресурсам в часы, когда ребенок занят школьными или домашними делами.

Выбор заблокированных и доступных категорий сайтов

Выбор заблокированных и доступных категорий сайтов

Возможности контент-фильтрации от Яндекс значительно ниже. Пользователю сервиса предлагается выбрать только три варианта блокировки: «Высокая скорость» (перенаправление на DNS-сервера Яндекса, для повышения скорости загрузки страниц, без блокировки), «Защита от вирусов» (включает в себя блокировку сайтов, распространяющих вредоносное ПО) и «Безопасность для детей» (включает в себя первые два режима + блокировку сайтов с порнографическим и эротическим содержанием).

Кроме того, пользователю не предоставляется возможности выбора отдельных категорий и каких-либо других дополнительных настроек сервиса. При этом все устройства, подключенные к сети фильтруются по одним и тем же правилам. Согласитесь, что такой уровень защиты подойдет только для очень маленьких детей и неквалифицированных пользователей интернета.

Еще одним минусом сервиса Яндекс.DNS является отсутствие блокировки прокси и анонимайзеров. SkyDNS отличается более серьезной степенью защиты от обхода блокировки, предлагая как возможность блокировки подобных сервисов, так и дополнительные уровни защиты через защиту настроек фильтрации паролем и несколько способов запрета обхода фильтра.

SkyDNS, как и Яндекс.DNS, дает возможность бесплатного использования сервиса контент-фильтрации домашними пользователями. Возможности бесплатной версии вполне достаточны для домашнего использования. Однако в платном варианте контент-фильтра SkyDNS предлагается ряд дополнительных возможностей, таких как уже описанная настройка расписания, расширенные белые и черные списки, блокировка интернет-рекламы, возможность самостоятельно настроить вид страницы блокировки для запрещенных сайтов, а также множество других удобных и полезных функций.

Настройка расписания

Подведем итоги:

  1. Контент-фильтрация на уровне роутера — отличное средство для управления домашней сетью Wi-Fi. Особенно полезными интернет-фильтры станут для семей, в которых есть несовершеннолетние дети. Таким образом ваш домашний интернет будет безопасным и по-настоящему семейным.
  2. Интернет-фильтры могут служить существенным дополнением к антивирусной защите на ваших устройствах. Они не «лечат» устройства от вредоносного программного обеспечения, однако надежно защищают от проникновения вирусов и другого вредоносного ПО на ваши устройства, а также от кражи паролей на фишинговых сайтах.
  3. С помощью фильтрации в домашней сети вы сможете не только заблокировать доступ к сайтам с «взрослым» содержанием, но и ограничить время пребывания ребенка в интернете, например, запретив ему доступ в сеть в вечерние или ночные часы.
  4. Приятным дополнением к основным функциям контент-фильтров является возможность блокировки интернет-рекламы (в том числе, и контекстной) — как в браузерах так и в мобильных приложениях. При этом страницы открываются заметно быстрее, а глаз не отвлекается на назойливые объявления.

Если вы хотите надежно защитить домашнюю сеть Wi-Fi или ограничить время пребывания детей в интернете - контент-фильтр для роутера станет отличным решением! Оцените сами, насколько это удобно и просто. Предлагаем воспользоваться бесплатным тестовым периодом и опробовать возможности контент-фильтра SkyDNS для домашнего Wi-Fi роутера!

Объезжаем блокировки Роскомнадзора на роутере. Роскомнадзор, Обход блокировок, Zyxel, Openvpn, Длиннопост, Гифка

Про обход блокировок здесь писали много, внесу и я свои пять копеек в борьбу за свободный контент.

Этот способ подойдет счастливым обладателям интернет-центров Zyxel у которых в домашней сети много клиентов, чтоб не настраивать каждый отдельно. А так же тем, у кого есть устройства, умеющие воспроизводить медиаконтент, а обходить блокировки - нет. Например как у меня :

Объезжаем блокировки Роскомнадзора на роутере. Роскомнадзор, Обход блокировок, Zyxel, Openvpn, Длиннопост, Гифка

Дисклеймер. Я не несу ответственность за "окирпичивание" роутера, сброс настроек и т.д. В моем конкретном случае данный способ работает.

Работоспособность проверена на Keenetic Ultra, но в теории должно работать и на других моделях:

Keenetic 4G III

Keenetic 4G III B

Keenetic Extra II

Keenetic Giga II

Keenetic Giga III

Keenetic Lite II

Keenetic Lite III

Keenetic Lite III B

Keenetic Omni II

Keenetic Start II

Keenetic Ultra II

Для начала убедимся, что версия прошивки роутера не ниже "2.10.A.1.0-0".

После установки прошивки заходим в веб-конфигуратор -> переходим в раздел "Система" -> "Обновление" -> кликаем "Показать компоненты" и в разделе "Networking" ставим галку напротив "Клиент OpenVPN".

Объезжаем блокировки Роскомнадзора на роутере. Роскомнадзор, Обход блокировок, Zyxel, Openvpn, Длиннопост, Гифка

Листаем в самый низ и кликаем "Установить". Роутер - перезагружается.

Объезжаем блокировки Роскомнадзора на роутере. Роскомнадзор, Обход блокировок, Zyxel, Openvpn, Длиннопост, Гифка

Далее выбираем одну из конфигураций этого сервера, например с использованием доменного имени DDNS и TCP 995.

Объезжаем блокировки Роскомнадзора на роутере. Роскомнадзор, Обход блокировок, Zyxel, Openvpn, Длиннопост, Гифка

При этом на компьютер скачается файл конфигурации с расширением .ovpn. Откройте его в текстовом редакторе Блокнот (Notepad) и скопируйте все содержимое в буфер обмена (Ctrl A, Ctrl C). После чего в веб-конфигураторе Keenetic зайдите в раздел Интернет и на вкладке PPPoE/VPN добавьте соединение. В его настройках поставьте галочку Включить, добавьте Описание (например, vpngate), выберите Тип (протокол) — OpenVPN, а в поле Конфигурация OpenVPN вставьте скопированную конфигурацию из буфера обмена (Ctrl V) и нажмите Применить.

Объезжаем блокировки Роскомнадзора на роутере. Роскомнадзор, Обход блокировок, Zyxel, Openvpn, Длиннопост, Гифка

На этом настройка окончена.

Проверьте, что соединение установлено в разделе Интернет на вкладке Подключения.

Объезжаем блокировки Роскомнадзора на роутере. Роскомнадзор, Обход блокировок, Zyxel, Openvpn, Длиннопост, Гифка

Лично я подбирал конфигурации openvpn опытным путем, замеряя отклик и пропускную способность соединения.

Если вы все сделали как я написал, но блокировки не пропали, возможно стоит отключить DNS сервера провайдера через командную строку.

Для начала включаем telnet-клиент:

Объезжаем блокировки Роскомнадзора на роутере. Роскомнадзор, Обход блокировок, Zyxel, Openvpn, Длиннопост, Гифка

Объезжаем блокировки Роскомнадзора на роутере. Роскомнадзор, Обход блокировок, Zyxel, Openvpn, Длиннопост, Гифка

Объезжаем блокировки Роскомнадзора на роутере. Роскомнадзор, Обход блокировок, Zyxel, Openvpn, Длиннопост, Гифка

Теперь жмем Пуск – Выполнить…

В открывшемся окне набираем cmd и нажимаем OK. Для подключения к интерфейсу командной строки (CLI — Command Line Interface) интернет-центра введите команду telnet 192.168.1.1 и нажимаем Enter. (192.168.1.1 - адрес роутера по умолчанию, если вы его меняли, значит у вас он будет другой)

Объезжаем блокировки Роскомнадзора на роутере. Роскомнадзор, Обход блокировок, Zyxel, Openvpn, Длиннопост, Гифка

Набираем последовательно команды:

(config)> interface ISP no ip dhcp client name-servers

system configuration save

Не забудте назначить вручную в настройках ISP подключения адреса DNS серверов Google: 8.8.8.8 и 8.8.4.4

Перезагрузите роутер и проверьте, что блокировки пропали.

Если захотите вернуть настройки назад, наберите:

(config)> interface ISP ip dhcp client name-servers

system configuration save

В конце должно получиться примерно вот так:

Объезжаем блокировки Роскомнадзора на роутере. Роскомнадзор, Обход блокировок, Zyxel, Openvpn, Длиннопост, Гифка

Если какие-то моменты остались не понятны, постараюсь ответить в комментариях.

Всем свободного контента и хороших выходных!

Объезжаем блокировки Роскомнадзора на роутере. Роскомнадзор, Обход блокировок, Zyxel, Openvpn, Длиннопост, Гифка

Я думаю, стоит добавить, что в таком случаи весь трафик пойдет через VPN. Если требуется использовать только для доступа к конкретным ресурсам, то во вкладке Подключение, выставляем приоритет для VPN ниже, чем основное подключение. А потом во вкладке Прочее, создаем маршрут: указываем ip адрес сайта и выбираем использовать VPN подключение.

Я бы не особо доверял свои данные какому-то левому VPN-серваку.

Сам для себя держу прозрачный прокси с тором, который запакован в Docker.

Увы, без такого сейчас никак.

Долбаный роскомнадзор всех до печенок умудрился достать.

в 2021 есть что-то нормально работающее? осознал что на опере отключили впн. и загрустил. не думал что меня коснется

на Zuxel Keenetic Giga поставил DNS на DHCP сервер: 8.8.8.8 + 8.8.4.4 + 1.1.1.1

Собственно и всё.

VPN не понадобился.

На моём провайдере работает

Перебрал около 100 серверов с впнгейт, все тормозные, глючные и совсем недолго живущие, правда года два назад, может что-то поменялось в позитивную сторону.
Но можно купить за 100 рублей в мес, предложений навалом. Очень стабильно, но там трафик лимитирован.

А еще проще установить а-ля Frigate для браузера

у вас то же заиграла в голове мелодия it's my life с диким русским акцентом?)

как все сложно. скачай TOR, включи в нем ява-скрипты и наслаждайся.

Пидорская радуга детектед.

такое себе решение. будет работать только до критической массы. потом начнут блокировать VPN да и все.

ну и парочку прилюдных порок

Рекомендую выкинуть zyxel и поставить openwrt на то что есть, в том числе может и на zyxel.

Метод кривой, надо ОБЯЗАТЕЛЬНО доработать - в VPN заворачивать ТОЛЬКО ЗАБЛОКИРОВАННЫЕ, а то что есть - детсад и в морг.


Начало кампании РКН против VPN

Начало кампании РКН против VPN Google Chrome, Firefox, Роскомнадзор, Роскомсвобода, Обход блокировок, Блокировка RuTracker, Блокировка, Блокировка Пикабу, VPN, Блокировка telegram, Свобода слова, Добби свободен, Opera, Длиннопост

Думаю ни для кого не секрет, что в последнее время РКН все больше закручивает гайки. Пробует разные подходы, начиная от реального замедления определенных ресурсов или же ограничиваясь угрозами замедлить их (привет Twitter и YouTube). Конечно, абсолютное фиаско и унижение, полученное после неудачной попытки блокировать Telegram не прошло бесследно. РКН обиду не забыл, а поэтому методы становятся немного более избирательными, чтобы не рушить чудовищное количество важной инфраструктуры, действуя подобно пушке, стреляющей по воробьям (да, это отсылка про рухнувший Сбербанк и прочее при попытке заблокировать Telegram). Хотя и до сих пор каждую неделю звучат призывы огородить богомерзкие и внезапно ставшими неугодными углы интернета от неустоявшейся психики граждан.

Сейчас, пока изгнанные, но все же хоть как-то технически проинформированные пользователи, заново устанавливают OperaVPN в свой браузер, обычные пользователи остались ни с чем. Не особенно хочется выступать в роли проповедника судного дня, но все же, хотя бы в глубине души, все понимают, за каждым ныне популярным, но не особо продуманным в плане защиты от нападок сервисом, придут. Те, кто умудрился вернуть VPN в свой браузер Opera, просто продлевают агонию, вскоре адреса будут забанены и привет.

Можно подумать так: "Ну что ж, значит возьму те, что с конца списка и буду пользоваться ими". Ну например Hola Free VPN Proxy — он есть в списке. Или хотя бы тот же АнтиЗапрет, что угодно, это все вопрос времени. Да, кроме того что придут и за ними, есть еще один нюанс. В конце концов, все эти решения, придумывались в качестве относительно простого обхода блокировок. Раньше, до определенного момента времени, было достаточно любого прокси, как например самый популярный NL (Голландия) прокси или DE (Германия). Сейчас ситуация еще сильнее ухудшилась. Теперь да же зайдя на некоторые заблокированные сайты, то они не откроется из NL и DE. На rezka.ag многие фильмы не откроются да же через UA (Украина).

Т.е. в данный момент не только нужно найти подходящий прокси сервер через который открывается большинство сайтов, но и для части сайтов держать дополнительные сервера. Думаю не нужно говорить что постоянное переключение между этими проксями и сопровождение этих правил, что-откуда надо открывать, не доставляет особого удовольствия. Хоть даже сейчас существуют бесплатные варианты типа той же Hola, но кто-нибудь пытался смотреть через них какое-нибудь потоковое видео? Нужно признать бесплатные варианты, подходят только для того чтобы почитать статеечки или посмотреть картинки. Но интернет давно уже не текст с картинками, это ролики по 150 а то и 1500 mb, YouTube шагает по планете. Обычные варианты такое уже не вывозят.

Все мы хотим пользоваться интернетом так, как этого заслуживаем в 2021 году, а не так как это существует в анально огороженном Китае. Список VPN-сервисов, которые заблокируют на территории России разослали ещё 18 марта среди сотрудников Сбера, а в публичном доступе письмо всплыло 15 апреля. Информация об этом появилась на форуме ntc.party , где сидят разработчики анти-цензурного софта.

И вот настало сегодня, когда зловещее предупреждение о бане исполнилось, решено, что нет лучше времени чем всем вам начать пользоваться тем, что я изначально создавал для себя и не особо пытался продвигать.

Для Google Chrome и Mozilla Firefox релиз уже есть.

Вот главные условия и приципы:

- База всегда максимально полная — обновление происходит ежедневно. Это очень важно.

- Проксировать только заблокированные сайты, все остальные сайты обязаны работать напрямую. Пропускная способность у меня нерезиновая.

- В век страха быть чипированным и получить Covid-19 от вышек 5G клянусь не собирать данных пользователей, не хранить никаких логов на серверах и не передавать ничего третьим лицам. (А нафиг оно мне надо, место у меня тоже ограничено).

Это решение изначально создавалось и планировалось из расчета на будущее. Естественно, я не буду вдаваться в подробности технического решения, но центр логики заключается в ранжированности доверия к пользователям.

Могу заверить, что изначально все создается так, чтобы не допустить остановки сервиса.

Роутеры Mikrotik шикарны с точки зрения сетевого инженера. Они позволяют строить невероятно сложные сетевые решения. И стоит оборудование смешные деньги.

Но для малого и среднего бизнеса, не связанного с индустрией IT, он крайне сложен в установке. Для правильной настройки RouterOS бизнесмен должен нанять подрядчика, который специализируется на этом оборудовании, либо обучить своего сисадмина. В первом случае дорого, втором — долго… и снова дорого.

Соотношение «цена-возможности» Mikrotik не всегда играет в пользу потребителя. Моя задача: найти сетевое оборудование, которое после прохождения «мастера» обеспечивает максимальный функционал для маленького офиса до 50 человек. При этом один из главных критериев — безопасность. Ведь, например, логистическую компанию должна беспокоить скорость доставки посылки к заказчику, а не отваливающаяся сеть и «висящий» терминал.


На аутсорсинг ко мне попал разворачивающийся маленький офис, заказавший установку сети на базе комплекта оборудования Zyxel: шлюз ATP 200, две точки Wi-Fi и управляемый PoE свитч. Опыт оказался достаточно интересным, учитывая, что к Zyxel я всегда относился с пренебрежением.

Как мне известно, Keenetic появился как кастомная прошивка для роутеров Zyxel, которую компания взяла под свою опеку. В 2016 году keenetic отделился от Zyxel и стал выпускать своё оборудование самостоятельно.

То есть сейчас Keenetic не имеет никакого отношения к Zyxel.

Перед тем, как я получил Zyxel на руки, я поинтересовался мнением своих знакомых сетевиков, как они относятся к этому оборудованию:

«Мы его к себе в датацентры не ставим, ибо это не энтерпрайс решение. А вот нашим клиентам подрядчики ставят. Оно просто работает… Поставили и забыли.»

Безопасность

Даже малоизвестный Eltex из Новосибирска имеет 5 уязвимостей.
Zyxel 7 уязвимосетей.

The Zyxel Multy X (AC3000 Tri-Band WiFi System) device doesn't use a suitable mechanism to protect the UART. After an attacker dismantles the device and uses a USB-to-UART cable to connect the device, he can use the 1234 password for the root account to login to the system. Furthermore, an attacker can start the device's TELNET service as a backdoor.

Сразу вспоминаются кадры из любимых шпионских боевиков, где главный герой/злодей проникает на базу по верёвке и цепляется к некой коробочке проводком, чтобы остановить/запустить ядерные ракеты, нацеленные на… *додумайте сами*.

То есть, чтобы воспользоваться этой уязвимостью, необходимо атакующему подключиться к Wi-Fi точке физически, используя специальный кабель USB-to-UART!



Вопросов к надежности Zyxel по CVE у меня не осталось.

Распаковка

Коробочки пришли, а стены еще красят. Распаковываем дома.


Первое мое впечатление – это вес! ATP 200 весит 1.4 кг для своего маленького размера (272x36x187 мм). Точки доступа также заметно тяжелее Ubiquiti.

В коробках с точками не было блоков питания. Такое оборудование при адекватной установке запитывается по PoE. Управляемый свитч GS1200-5HP для этого и был приобретён.

Первое включение

Подключил ATP200 к ноуту кабелем через порт P4 (из lan) шлюза. В wan1 воткнул проводной интернет, в USB1 E3272 с прошивкой Hi-Link и в USB2 свой Андроидфон в режиме «USB модема». Загружался он около минуты. Далее по «Quick Start» я полез на 192.168.1.1. Вот тут меня ожидала первая неприятность. Вебморда у него работает по SSLv3, который на современных браузерах выключен. Включаем:


При первом входе он не дает перейти к следующему действию без смены пароля, в отличие от RouterOS. Далее стартует «мастер», в котором я указал, что хочу использоваться второй порт wan (p3). Дополнительных устройств «мастер» не увидел.



Сервисы оставил также по умолчанию.


Так как у меня есть беспроводные точки, то включаю контроллер WiFi сразу:





Еще один плюс в безопасности: крайне опасная функция по умолчанию выключена:


Повторно логинимся и тут же прилетает уведомление о новой прошивке.





Вот и всё! Ноутбук бороздит просторы мировой сети интернет! Правда, только через порт wan1.

Резервный канал

Лезем в конфиг с целью добавления USB модема и Андроидфона в группу портов WAN. В «Конфигурация → Интерфейсы» активным становится только Hi-link модем. Андроидфон так и остался не распознанным.


В свойствах соединения можно установить проверку канала по:

icmp или tcp на адрес шлюза или конкретно заданный



а также установить параметры лимитированного соединения, например, по объему трафика, если он у оператора ограничен.



Далее нам надо разрешить выпускать клиентов через этот модем. Я сделал его равнозначным каналу, который воткнул в wan1:


Жмём внизу «применить» и всё! Вся сеть будет ходить сразу по двум каналам.

Подключаем WiFi

Тут чуть-чуть сложнее.

Редактируем профиль безопасности.

Конфигурация → Объекты → Профили точек доступа → SSID → Список профилей безопасности. Выбираем профиль default и жмём «Редактировать»:


Указываем wpa2 и чуть ниже ключ от сети.


Сохраняем и переходим в соседнюю вкладку «Список SSID». Редактируем профиль «default», задав имя для своей точки.


Настройки для точек по «умолчанию» мы под себя отредактировали.

Теперь разрешаем автоматически регистрировать «пустые» точки.



Включаем точки в PoE свитч. Свитч включаем в lan порт (p4-p7). И… И всё. Точки автоматически обнаружены и на них загружен конфиг.

Выключаем автоматическое привязывание точек. Плюс в карму безопасности.


Жмём «применить» и радуемся новой сети.

Что дальше?

Углубляемся в безопасность. Да здравствует сеть, защищенная и снаружи, и изнутри! Непреложный закон хорошего офисного админа – из всех развлекушек оставить только пасьянс косынка в свободном доступе!


Мне сильно понравилась фишка «патруль приложений». Не надо заморачиваться написанием regex инструкций для фильтрации L7, как в Микротик. Оно уже есть. Надо только добавить в политику, и всё.

Блокировка мессенджеров, онлайн-игр или социальных сетей без пота, крови и слез молодых админов.


Дашборд такой, как любят большинство начальников: с картинками и графиками. Видно, куда чаще всего идут обращения, что и сколько заблокировано, и т.д.


У Zyxel есть система централизованного управления Nebula, которую поддерживают выданные мне Wi-Fi точки. С первого взгляда — это SDN, который активно внедряют в крупных датацентрах. Но это тема уже другой статьи :-)

А дальше ноут на просторах глобальной сети уже нашел инструкцию в 800 с лишним страниц и примерно такого же объёма хэндбук.

Лицензии

Как ни грустно, но лицензия на обновляемые базы сигнатур не бесконечна, и после первой активации шлюза сигнатуры обновляются в течение года. Далее надо подписку продлевать.


Тут вопрос выгоды в каждом конкретном случае. Например, с ATP200 держать слабого админа за 30к в месяц и покупать лицензию за 40к в год, либо пользоваться Mikrotik с доп. сервером (под Сурикату) и держать «бородатого» админа за 80к в месяц.

Заключение

Для меня плюсы железок Zyxel, которые мне попались:

  • простота настройки;
  • отсутствие «костылей» для типовых задач;
  • функционал, необходимый для офиса в одной железке;
  • простота настройки безопасности;
  • требование установить ПАРОЛЬ.

Опять-таки базовый функционал разворачивается легко и за короткое время.

Разумеется, есть и свои недостатки. Нужно привыкать к логике настройки. ATP200 знает мало протоколов туннелирования, например, не подходит для проброса SSTP туннеля.
Любое оборудование надо подбирать под конкретные задачи.

Обучение работе на оборудовании Zyxel (ZCNA) стоит дешевле конкурентов — 15000 рублей! Официальный MTCNA — от 22000 рублей. Cisco, безусловно вне конкуренции – как по разнообразию курсов, так и по их стоимости, приближающейся к деталям самолета.

Ввиду того, что не все на Хабре могут комментировать, и я не нашёл действующего чата Zyxel в Telegram, то создал @zyxelru. Приглашаю обсудить кейсы, настройки и прочие хитрости применения оборудования Zyxel, а также идеи для новых статей на Хабр для серии «В поисках кнопки «Сделать хорошо»».

Читайте также: