Keenetic: обход блокировок РКН через VPN Antizapret
Оригинал инструкции находится на форуме по роутерам keenetic (нужна регистрация) — спасибо его участникам!
Через Antizapret VPN будут открываться только те ресурсы, которые в реестере по диапазонам IP и доменам. Включая такую важную вещь, как анонсеры на торрент-трекерах. Доступ ко всему остальному (игры, youtube, сиды в торрентах, и т.п.) будет работать как обычно, через провайдера.
История изменений в статье:
май 2019 — оригинал.
апрель 2020 — теперь при падении VPN-туннеля или при проблемах подключения к нему, будет использоваться публичный DNS, а при работающем VPN-подключении — DNS из VPN’а.
август 2022 — некоторые исправления для работы на прошивках 3.8.x и новее.
январь 2023 — статья на dzen заблокирована, перенёс на teletype.in и актуализировал
март 2023 — обновлен конфиг
1. Проверяем , что на роутере наиболее свежая из доступных прошивка (с 14.05.2020 весь модельный ряд Keenetic обновлен производителем до KeeneticOS 3.x, требуется всего лишь обновить ваш роутер до самой новой прошивки)
2. Переходим в раздел «Управление» — «Общие настройки». В подразделе «Обновления и компоненты» нажимаем «Изменить набор компонентов». Находим в списке компонентов «OpenVPN» и «Фильтрация контента и блокировка рекламы при помощи облачных сервисов» — ставим на них галочки. Сохраняем набор компонентов — роутер перезагрузится.
3. В разделе «Сетевые правила» — «Интернет-фильтр» на вкладке «Настройка DNS» создать профиль «AntiZapret» и добавить в него какие-нибудь публичные DNS-серверы, например 8.8.8.8 и 77.88.8.8. Нажать «Сохранить», чтобы рядом с именем профилей пропала звёздочка. Должно получиться следующее:
-в «Системном профиле» адреса, автоматически полученные от провайдера
-в профиле «AntiZapret» адреса 8.8.8.8 и 77.88.8.8
В созданном профиле нужно отключить «Транзит запросов»! (если есть такая настройка, появилась с прошивки 3.9.2)
Важно: вы можете использовать в профиле «AntiZapret» любые публичные DNS (вместо 8.8.8.8 и 77.88.8.8, как в примере), главное, чтобы соблюдались условия:
-эти адреса не должны никоим образом совпадать с адресами в «Системном профиле» (т.е. быть полностью иными)
-это должны быть классические IPv4 DNS-серверы, никаких IPv6/DoH/DoT
4. В разделе «Интернет-фильтры» на вкладке «Контентный фильтр» выбрать режим фильтрации «Публичные DNS-резолверы и настраиваемые профили». Ниже в разделе «Профили контентной фильтрации по умолчанию» для всех сетей (домашняя, гостевая) выбрать из выпадающего списка профиль «AntiZapret» (он в самом низу выпадающего списка).
5. Настраиваем OpenVPN-клиент. Переходим на страницу Интернет — Другие подключения, нажимаем кнопку «Добавить подключение»
Использовать для выхода в Интернет: галочка не установлена
Имя подключения: Antizapret
Тип (протокол): OpenVPN
Получать маршруты от удаленной стороны: галочка установлена
Конфигурация OpenVPN: вставляем весь текст отсюда (отключите авто-переводчик с английского в своем браузере). Сохраняем.
Важно: обратите внимание на две строки в конфиге:
route 8.8.8.8
route 77.88.8.8
эти адреса должны полностью совпадать с теми, которые вы указали на шаге 3. Если вы использовали не 8.8.8.8 и 77.88.8.8, а, скажем, 1.1.1.1, то и тут у вас будет route 1.1.1.1
Если прошивка 3.9.2 и новее, то после строк route нужно так же добавить такую:
data-ciphers «AES-128-GCM:AES-256-GCM:AES-128-CBC» Если работает без неё, то можно не писать.
6. Включаем только что созданное VPN-подключение. Через несколько секунд оно должно стать активным.
7. Через пару минут выключаем-включаем сетевой адаптер или перезагружаем ПК. С этого момента обход блокировок заработал. Можно это проверить, попробовав перейти на любой запрещенный сайт, к примеру http://rutracker.org/
Если что-то пойдет не так — роутер можно сбросить до заводских .
Выборочный обход блокировок на маршрутизаторах Keenetic
Суть обхода любой блокировки (при условии что сам сайт работает) это посетить его с помощью другого (через другой) компьютера (сервера, шлюза) у которого есть доступ к необходимому сайту. Реализация задуманного как правило сводится к организации защищенного туннеля между вашим компьютером и сервером у которого есть доступ к нужному ресурсу.
В этой статье я опишу процесс выборочного обхода блокировок доступа к сайтам на примере маршрутизатора Keenetic Giga (KN-1010).
Наглядно процесс обхода блокировки доступа к сайту выглядит следующим образом.
Как блокируют доступ к сайту
Блокировки могут быть двух типов и я разберу их на примере поговорки «пустить козла в огород»:
- Блокировка по источнику. То есть не пускать конкретно кого-то. Суть первой блокировки не пускать козла.
- Блокировка по цели. То есть не пускать конкретно куда-то. Суть второй блокировки не пускать в огород.
Первым вариантом пользуются владельцы сайтов. Как правило блокируют доступ с IP адресов подозреваемых в хакерских атаках.
Вторым способом пользуются контролирующие органы со стороны государства, когда хотят ограничить доступ к той или иной информации. В данном случае блокировка осуществляется не с определенных адресов, а к определенным адресам.
В обоих случаях блокировок случаются ошибки и поэтому вы можете потерять доступ к нормальному сайту. Я ранее описывал свой случай, когда вся подсеть моего провайдера была заблокирована на каком-то шлюзе безопасности и у меня пропал доступ к сайту популярного интернет магазина М.Видео.
Прошу не считать этот пост ни рекламой, ни антирекламой М.Видео. Эта статья совсем о другом.
Как настроить обход блокировок на маршрутизаторах Keenetic
Первым делом нужно обзавестись VPN сервером у которого есть доступ к забокированному ресурсу. Это может быть свой собственный сервер (виртуальный, выделенный), платный VPN или совершенно бесплатный WARP.
Далее нужно настроить VPN тоннель между вашим маршрутизатором и VPN сервером. Тип туннеля особой роли не играет. Тут стоит отталкиваться от возможностей VPN сервера и ваших знаний.
Если вы настраиваете свой собственный сервер на Debian, то это может быть тоннель PPTP или WireGuard. Главное не забыть пустить подключившихся по VPN пользователей в интернет — https://moonback.ru/page/debian-vpn-client-to-inernet.
Либо воспользуйтесь VPN Warp от CloudFlare, о котором я рассказывал совсем недавно — https://moonback.ru/page/keenetic-warp. В большинстве случаев он отлично справляется с предоставлением доступа к заблокированным сайтам, хотя и не предназначен для этого.
Следующий шаг — это настройка статической маршрутизации в вашем роутере. То есть нужно настроить таблицу маршрутизации так, чтобы запросы к необходимому ресурсу шли не через вашего провайдера, а через VPN сервер.
На этом этапе нам понадобиться узнать все IP адреса интересующего нас сайта. В Windows это можно сделать с помощью команды nslookup . Ниже пример для сайта yandex.ru:
Подробнее как узнать все IP адреса сайта можно в этой статье — https://moonback.ru/page/kak-uznat-ip-adres-sayta.
После того как вы узнали IP адрес(а) необходимого сайта нужно зайти в веб-панель управления маршрутизатором в раздел «Сетевые правила > Маршрутизация» и добавить статический маршрут:
После чего маршрут должен появиться в списке:
В моем примере все адреса и названия из предыдущей статьи про Warp на маршрутизаторе Keenetic.
- Warp — название подключения (тоннеля);
- Адрес шлюза — адрес вашего тоннеля из его настроек;
- Адрес узла назначения — в моем случае это IP адрес сайта M.Video;
- Описание — любое описание понятное вам;
- Тип маршрута — если нужен маршрут к одному IP адресу, то выбираем «Маршрут до узла».
Если у сайта несколько IP адресов, то необходимо настроить статические маршруты для каждого адреса.
Как проверить, что маршрутизация через VPN работает
В Windows можно воспользоваться командой tracert . Пример прохождения пакетов без использования VPN:
После того как вы подключите статическую маршрутизацию через VPN список промежуточных узлов будет другой, и на втором месте будет уже не оборудование вашего провайдера, а адрес устройства из VPN тоннеля:
Обратите внимание на значение ping у второго устройства после вашего роутера. Общее время ответа конечного сервера через VPN так же будет больше.
После правильной настройки заблокированный сайт должен спокойно открываться в окне вашего браузера.
Минусы и плюсы выборочного обхода блокировок
Минус предложенного метода в том, что все операции нужно делать вручную. Что несложно сделать для одного или пары сайтов, даже если у них несколько IP адресов. Но если вам необходимо получить доступ к десяткам сайтов, то приготовьтесь к большой кропотливой работе.
Если сайт сменит свой IP адрес, то все настройки нужно будет повторить уже для нового адреса. Если сайт часто меняет адреса, то процедура настройки маршрутизации превратится в кошмар.
Плюс описанного метода в том, что вы сами полностью контролируете процесс маршрутизации.
Для реализации описанного метода обхода блокировки на роутере не нужно устанавливать дополнительно ПО в виде OPKG и т.п., достаточно свежей стабильной прошивки.
P.S.
Стоит ли весь трафик пускать через VPN? Нет не стоит. Скорость передачи данных через VPN в большинстве случаев меньше, чем напрямую через провайдера.