Zyxel keenetic giga 2 и kn-1010: настройка wi-fi и интернета
Подключение к web-устройствам за серым IP-адресом через облако KeenDNS
Дальше, каждое из зарегистрированных домашних устройств мы можем вынести в это же облако со своим адресом вида nas.hwp.keenetic.pro, и вводя этот адрес в строке браузера, мы будем сразу попадать на web-интерфейс нашего девайса.
Все это работает по защищенному HTTPS протоколу с автоматическим получением и обновлением сертификата через сервис Let’s Encrypt (не надо никому платить за сертификат или заморачиваться с самоподписанными). Правда, если ваше устройство в домашней сети доступно только по 80-му порту и адресу http:// без «S» на конце, то и работа с ним через облако KeenDNS будет происходить по протоколу HTTP, что небезопасно.
Мы протестировали работу KeenDNS, выделив роутеру серый адрес домашней подсети и подключив к нему наш самосборный NAS по HTTP-соединению. Как вы можете видеть на скриншотах, все заработало как надо. Более того, второй, третий и четвертый NAS, а также IP-камеры, работающие по 80-му порту, тоже могут быть добавлены в этот сервис, что многократно упростит доступ извне, через интернет.
Внешний вид Keenetic Omni и GIga
Большинство современных роутеров имеют скучный дизайн, и в Keenetic взгляд цепляется за две вещи. Первая — это огромные прямоугольные антенны, разобрав которые, видишь — это не проволочка, как многие любят, а довольно замысловатые крупные печатные антенны. В старшей Keenetic Giga используется антенная группа 2 MU-MIMO с двумя пространственными потоками и коэффициентом усиления — 5 дБи.
Вторая вещь, достойная внимания — это SFP-порт в модели Giga. Он запараллелен с WAN-портом роутера, и служит для подключения к интернету удаленных отдельностоящих объектов, куда дотянуться можно только оптоволокном. Сегодня оптоволокно стоит очень дешево, а гигабитные SFP трансиверы — вообще продаются за копейки, так что расстояния для быстрого интернета уже не имеют значения.
Keenetic Giga состоит из 2-ядерного процессора MediaTek MT7621AT, одного чипа ОЗУ DDR3 объемом 256 Мб и радиомодуля MediaTek MT7615DN. Слот SFP не имеет дополнительного охлаждения, поэтому дальнобойные трансиверы сюда лучше не ставить. Конструкция роутеров семейства Keenetic всегда была простая, и любоваться здесь особо нечем, но придраться можно только к установленным конденсаторам: в таком дорогом продукте хотелось бы видеть емкости как минимум фирмы Nippon, а здесь непонятно чьи.
VPN-сервер L2TP/IPSec
В настройке PPTP на кинетиках есть нюансы, почитайте специально написанную для этого . Но я рекомендую вам не использовать PPTP, а просто настроить L2TP/IPSec — более надежный протокол, и все работает из коробки.
Как видно, L2TP/IPSec даже на младшем Keenetic Omni выдает почти 30 Мбит/с, то есть действительно аппаратно ускоряется, как заявляют в Keenetic, хотя при этом загрузка процессора роутера составляет 100% и Web-интерфейс еле открывается. Много это или мало? Для работы 2-3 сотрудников с электронными документами и для мониторинга сетевых устройств, этого более чем достаточно, но для коллектива из 10-15 человек уже будет мало.
Совсем другое дело — Keenetic Giga, чей двухъядерный процессор аппаратно ускоряет чистый IPsec до теоретических 400 Мбит/с. Здесь скорости будет достаточно для того, чтобы работать по RDP в разрешении 1920×1080, подключать удаленные базы данных, синхронизировать резервные копии небольших серверов и перекачивать FullHD медиафайлы или 4K со сжатием. Говоря проще, скорее вы упретесь в медленный тариф интернет-провайдера, чем в возможности VPN-сервера Keenetic Giga. Да и загрузка процессора у Keenetic Giga даже в этом тесте не превышает 48%, так что все остальные сервисы продолжают работать как часы.
Помимо PPTP и L2TP/IPsec, во всех кинетиках есть чистый (site-to-site) IPsec, виртуальный сервер IPsec Xauth PSK (нативно поддерживается в iOS и Android), и даже OpenVPN. Кроме того, нас заинтересовал сравнительно редкий и свежий вариант SSTP, но прежде, чем о нем рассказывать, рассмотрим фирменный облачный сервис KeenDNS.
Бонус: Подключение DECT-телефонов к роутеру
Интернет-центры серии Keenetic можно использовать как базовые станции для беспроводных стационарных DECT-телефонов, подключенных к провайдеру IP-телефонии. Только представьте себе — вам не нужно покупать стационарные IP-телефоны, тянуть PoE кабель по всему офису, разговаривать по скрипящим пластиком трубкам дешевых китайских IP-аппаратов… Вы можете пойти в М-Видео, купить . В том же DNS-е купить — и настроить вашего провайдера IP-телефонии, используя Keenetic как VoIP сервер.
Чем больше телефонных трубок в вашей компании, тем больше будет экономия на оборудовании, ведь если посмотреть на цены DECT VoIP трубок в магазинах (, ), в среднем беспроводной VoIP телефон с базовой станцией стартует от 6 тысяч рублей. Сам модуль Keenetic Plus DECT позволяет одновременно вести разговоры по четырем телефонным трубкам, подключенным к одному (!) номеру, то есть можно не бояться, что ваш клиент не дозвонится к вам в офис, если кто-то уже ведет важные переговоры.
У нас на HWP последний DECT-аппарат был торжественно выброшен лет 10 назад, поэтому протестировать работу данной функции мы не можем, но настройка очень подробно описана в базе знаний Keenetic, и судя по отзывам в блогах и на форумах, у людей все работает.
Два (три, четыре) интернет-канала с автоматическим переключением
Вообще, Keenetic поддерживает больше двух интернет-провайдеров, если есть желание — вы можете настроить их хоть четыре штуки, и роутер будет переключаться между ними, если у провайдера упала связь или просто закончились деньги на балансе. Заметьте — физический обрыв провода совсем не обязателен для того, чтобы роутер понял, что интернета нет и включил резерв.
Настройка двух интернет-провайдеров производится инстинктивно: в разделе «проводное подключение» выбираете основного провайдера, а затем добавляете еще одного по принципу «один провайдер на один сетевой порт». Новый провайдер по умолчанию считается резервным, а чтобы отслеживать работу основного канала, используется метод доступности портов в таких ресурсах, как Facebook или Google. Но для собственной сети куда важнее, чтобы были доступны свои сервисы в удаленных филиалах, потому что не редка ситуация, когда Google и Facebook работает, а «Хабаровск» — нет. Поэтому выбираем метод проверки связи — обычный Ping (ICMP-эхо) на наш IP-адрес. Если пинг не проходит в течение 10 секунд (время и частота настраиваются), роутер считает, что провайдер сломался, и переключается на резервный.
По собственному опыту могу сказать следующее: если ваша работа связана с интернетом, то два провайдера — это Must Have! Особенно, если они какие-то местечковые и непонятные, ведь обрыв связи на 3-4 дня — это, к сожалению, обычное дело.
Настройка работы устройств только через VPN
Снова про VPN: ничего не поделаешь, но виртуальная частная сеть — это хит текущего сезона, и рассмотрим еще один сценарий. Допустим, у вас установлен сервер 1C, и вам очень хочется, чтобы он выходил в интернет только через VPN. Для чего это может быть нужно? Ну во-первых, чтобы гарантировать интернет-соединение с американскими облачными хостингами типа Microsoft Azure или Amazon S3, куда можно складывать резервные копии, плюс к этому — дополнительная защита данных при передаче через интернет для сотрудников в других городах или на удаленке. В прошивке 2.12 Beta для роутеров Keenetic появилась функция приоритетов подключения, благодаря которой, любому физическому устройству в вашей сети можно ограничить доступ в интернет: как полностью отключить, так и направить весь трафик строго через VPN сервер.
Здесь все настраивается еще проще: во вкладке «другие подключения» создаем VPN туннель для выхода в интернет. Если вы купили платный VPN на европейских хостингах, параметры настройки вам дадут в личном кабинете сервиса. Затем лучше всего перейти в список устройств и дать имя нашему сверхсекретному серверу, чтобы не запутаться в MAC-адресах. Мы назовем его «Проектная документация», а также обеспечим беспрепятственный доступ в интернет смартфону с «телеграммом»! После этого во вкладке «Приоритеты подключений» выбираем наши устройства и привязываем их к профилю VPN. Все, теперь никакие войны с мессенджерами не повлияют на работу нашего сервера.
Авторизация Wi-Fi пользователей в соответствии с Постановлением Правительства №758 и №801
Хотите раздавать бесплатный Wi-Fi в вашей бургерной или барбершопе в подвальчике, где не ловит 4G, но вы никогда не слышали про: «Постановление Правительства №758 и №801», «ЕСИА», «СМЭВ», «97-ФЗ», «114-ФЗ», «304-ФЗ»? Ну так вот — ради нашей безопасности каждый клиент бесплатного Wi-Fi должен пройти аутентификацию, чтобы «большой брат» знал, кто именно сейчас пишет нелицеприятные комментарии «Вконтакте». Отсутствие аутентификации пользователя ведет к наложению штрафа на юр.лицо, раздающее открытый Wi-Fi в размере от 50 до 300 тысяч рублей. Это раньше Wi-Fi пароль можно было спросить у бармена, а сейчас все автоматизировано — захотел ваш клиент выйти в интернет, подключился к открытой точке доступа, получил SMS с кодом доступа — и пожалуйста, перед законом все чисты. Более того, сервис по авторизации гостей может сохранять у себя MAC-адрес Wi-Fi адаптера смартфона, чтобы гость, прошедший авторизацию в одном кафе, не проходил её заново в другом, подключенном к той же системе. Такую возможность имеет крупный сервис .
Все это кажется громоздко, сложно и дорого, но мы вам покажем, что это просто и почти бесплатно. Сначала, выбираем сервис авторизации — беглый поиск по Google посоветовал сайт ciawifi.ru. Регистрируемся и в личном кабинете создаем объект, где якобы располагается наш хот-спот. После этого там же переходим в раздел «точки доступа» и добавляем наш роутер, а в списке прошивок выбираем Keenetic (ZYXEL).
Здесь единственная сложность — это найти MAC-адрес именно того порта, которым роутер выходит в интернет. Что делать если у вас 2 интернета и соответственно 2 MAC-адреса? Просто менять сервис авторизации на другой — сотрудничество с сервисом авторизации вас ни к чему не обязывает.
Теперь в настройках Keenetic идем по списку: «Мои сети и Wi-Fi» — «Гостевая сеть» и пролистываем вниз до заголовка Captive Portal. Включаем и открываем список поставщиков услуги авторизации, в котором собраны 14 самых востребованных компаний, и наша ciawifi.ru там на первом месте. Бесплатность сервиса — весьма условная, абонентская плата составляет 450 рублей в месяц, что для барбершопа или бургерной — не такие уж и большие деньги. Данный сервис работает не без глюков, ну так на то он и бюджетный, не забываем, где живем.
Пришло время включить нашу гостевую Wi-Fi сеть на роутере, и перед законом мы чисты. Наши клиенты будут авторизованы в самом лучшем виде, им можно задать ограничение скорости (по умолчанию 5 Мбит/с), чтобы больше тратили на бургеры и меньше смотрели в телефоны, им выделяется отдельный пул IP-адресов вида 10.1.30.x, чтобы они не лезли во внутреннюю сеть кафешки, им можно включить изоляцию сетевых устройств, чтобы они не взламывали смартфоны и ноутбуки других посетителей, и, кстати, целиком гостевую Wi-Fi сеть можно выключать по расписанию, что будет очень хорошим поводом выпроводить посетителей после закрытия заведения.
Как видите, с точки зрения законопослушного Wi-Fi для клиентов, у роутеров Keenetic все очень лаконично и просто. У меня на настройку авторизации через Captive Portal (а делал я это первый раз в жизни) ушло около 15 минут, включая регистрацию и съемку скриншотов для статьи.
Кстати, в настройках профиля Captive Portal, вы можете указать сайты, доступ к которым возможен без авторизации. По умолчанию там установлены всякие Facebook-и, Яндексы и Вконтакты, но вы не забудьте отредактировать его, добавив HWP.ru — остальное можете смело удалять.
VPN через облако по протоколу SSTP
Если кислород перекрыли, провайдер-жмот не дает белый IP-адрес, VPN-порты и GRE закрыли, все на свете позаблокировали, то есть один шанс обойти все ограничения и получить доступ ко всем устройствам в сети удаленно, по всем портам и протоколам — использовать VPN через облако KeenDNS по протоколу SSTP. Дело в том, что SSTP работает на том же порту (443), что и защищенное HTTPS-соединение для доступа к веб-сайтам. Если запретить 443-й порт, то перестанут работать не только Yandex и Google, но и гордость российского интернета, портал «Госуслуги», так что этот протокол в нашей стране выглядит более надежным, чем PPTP или L2TP/IPsec. Windows 7/8/10/2016 уже имеет встроенную поддержку SSTP, что позволит легко работать из дома с офисной сетью.
В Keenetic встроенный SSTP-сервер намертво привязан к облачному сервису KeenDNS, о котором мы говорили выше, и при его включении ваш VPN-сервер будет иметь адрес вида hwp.keenetic.pro. При “сером” адресе через облако Keenetic проходит и весь трафик SSTP. Это хорошо тем, что имея под рукой VPN-клиент, вы можете из любой точки мира получить доступ к любому устройству в вашей сети, находящемуся за «серым» IP-адресом, даже если у вас для доступа в интернет используется модем Билайн, МТС или Мегафон. Серый IP — не проблема: мы видим все web-интерфейсы умных устройств, мы видим сетевые папки и принтеры нашей организации, но…
…но мы видим это не очень быстро. Наши тесты показали, что скорость SSTP через KeenDNS может достигать 15 Мбит/с, но может и проседать до 5 Мбит/с. Этого хватит разве что для обмена сообщениями и хождения электронной почты. Разные там интернет-вещи могут общаться на такой скорости, но сотрудники быстро начнут возмущаться.
Если у вас провайдер предоставляет «белый» IP-адрес, то в настройках облака KeenDNS вы можете указать это, и тогда при соединении с SSTP-сервером, облако будет использоваться только для идентификации клиента, а трафик пойдет напрямую, что гораздо быстрее, как видно на графиках выше: до 23 Мбит/с на Giga KN-1010.
Я, конечно, надеюсь, что Keenetic ускорит свое облако, потому что при текущих скоростях эта фишка выглядит как крайняя мера, и её следует вынести в отдельный пункт меню с надписью «в случае необходимости — разбить стекло!». Но как показывает практика, именно за такие «крайние меры» люди очень часто выкладывают очень большие деньги. Особенно, если провайдер решил «в одностороннем порядке изменить условия договора» в понедельник с утра, и вся работа встала. Тут за 5 мегабит в секунду многое отдашь.
Сегментация сети
Сейчас, с распространением интернета вещей, все более остро встает вопрос безопасности даже маленьких домашних или офисных «сеточек». Что делать, если «умная» лампочка или телевизор будут взломаны хакерами? Что делать, если пароль от Wi-Fi будет скомпрометирован, и злоумышленнику станет доступна внутренняя сеть, через которую он сможет скачать скрытые от чужих глаз данные? Как посадить камеры наблюдения и их сервер вообще в отдельную сеть? Как расширить гостевую сеть с описанной выше функцией Captive Portal, через коммутатор на несколько точек доступа по этажам небольшого отеля? В роутерах серии Keenetic имеется современный ответ на эти вызовы: вы можете создать не только гостевые или прочие утилитарные Wi-Fi-сегменты, но и объединить их с проводными портами. Например, выделить один порт под отдельную сеть и подключить туда через коммутаторы или точки доступа любые устройства.
Эти устройства в гостевой сети смогут беспрепятственно выходить в интернет, но будут изолированы от других устройств в вашей основной сети, в том числе и друг от друга. Конечно, им можно включить доступ к панели управления роутером, но это не обязательно. Контроль осуществляется с использованием ограничений на физический порт или с помощью виртуальных сетей (VLAN).
Заключение
Если ваш бизнес только встает на ноги, но вам уже нужно обеспечить работу 5-10 человек в офисе и на удаленке, и очень хочется, чтобы все работало через защищенные VPN-каналы, роутеры серии Keenetic дадут вам эти возможности.
Какой кинетик выбрать?
- Omni KN-1410 — брутальное решение, когда за копейки вы получаете весьма функциональный маршрутизатор на входе, а вайфай и прочее собираетесь добавлять через коммутаторы. Ну, или просто хотите изучить возможности платформы Keenetic.
- Giga KN-1010 — когда необходимо подключение по активной оптике, нужна более высокая скорость VPN, когда посетители вашего кафе любят быстрый 5 ГГц Wi-Fi и когда вы понимаете, что рост вашего бизнеса не должен ограничиваться 100-мегабитной сетью.
Михаил Дегтярёв (aka LIKE OFF)12/07.2018