Обратный прокси на KeeneticOS (NDMS)
Недавно я захотел выдать каждому девайсу с сервисом в моей сети по домену, как это сделать? Можно установить виртуалку с nginx и настроить reverse proxy там, но keenetic подумали о своих пользователях! Зачем ставить nginx за роутером, если на роутере уже есть nginx, подумали они (скорее всего).
Итак, как настроить reverse proxy на роутере keenetic, для начала нам нужно зайти по ssh или telnet в cli роутера (инструкция).
Создаем proxy item, вводим команду и меняем %name% на название приложения или домен 4-го уровня если используется keen-dns (пример для случая с keen-dns: допустим ваш домен pupkin.keenetic.link, тогда при создании записи с именем nas, мы получим адрес nas.pupkin.keenetic.link) или на поддомен для вашего домена. (В этом случае proxy item является поддоменом на уровень выше для адреса который будет указан командой domain static)
Настраиваем параметры авторизации (внутри будут использоваться логин и пароль пользователей роутера, с разрешенным использованием HTTP proxy)
Включаем basic http авторизацию:
Выключаем basic http авторизацию
Следующий параметр тоже отвечает за авторизацию, но непосредственно в форме входа для управления роутером
Включаем авторизацию через интерфейс роутера
Выключаем авторизацию через интерфейс роутера
Задаем домен для приложения
Автоматически подтянуть домен 4-го уровня из keen-dns
Задай свой собственный домен (замените %domain% на свой домен)
Перенаправить http домен на %ip% и %порт%
Перенаправить https домен на %ip% и %порт%
Примеры:
Авторизуемся в cli роутера и вводим команды по очереди:
Пример настройки для проброса медиа сервера emby из внутренней сети через домен keendns (допустим ваше имя keendns — pupkin.keenetic.link) с предварительной авторизацией через учетную запись роутера по протоколу http на конечном сервере
ip http proxy emby auth security-level public domain ndns upstream http 192.168.1.100 80 На выходе получим рабочий сервис по адресу https://emby.pupkin.keenetic.link
Пример настройки для сайта www.somedomain.ru без авторизации учетной записью роутера по протоколу https на конечном сервере
ip http proxy www no auth security-level public domain static somedomain.ru upstream https 192.168.1.100 443 На выходе получим рабочий сайт по адресу https://www.somedomain.ru
Аналогичный пример для сайта somedomain.ru только без www
ip http proxy somedomain no auth security-level public domain static ru upstream https 192.168.1.100 443 Выборочный обход блокировок на маршрутизаторах Keenetic
Суть обхода любой блокировки (при условии что сам сайт работает) это посетить его с помощью другого (через другой) компьютера (сервера, шлюза) у которого есть доступ к необходимому сайту. Реализация задуманного как правило сводится к организации защищенного туннеля между вашим компьютером и сервером у которого есть доступ к нужному ресурсу.
В этой статье я опишу процесс выборочного обхода блокировок доступа к сайтам на примере маршрутизатора Keenetic Giga (KN-1010).
Наглядно процесс обхода блокировки доступа к сайту выглядит следующим образом.
Как блокируют доступ к сайту
Блокировки могут быть двух типов и я разберу их на примере поговорки «пустить козла в огород»:
- Блокировка по источнику. То есть не пускать конкретно кого-то. Суть первой блокировки не пускать козла.
- Блокировка по цели. То есть не пускать конкретно куда-то. Суть второй блокировки не пускать в огород.
Первым вариантом пользуются владельцы сайтов. Как правило блокируют доступ с IP адресов подозреваемых в хакерских атаках.
Вторым способом пользуются контролирующие органы со стороны государства, когда хотят ограничить доступ к той или иной информации. В данном случае блокировка осуществляется не с определенных адресов, а к определенным адресам.
В обоих случаях блокировок случаются ошибки и поэтому вы можете потерять доступ к нормальному сайту. Я ранее описывал свой случай, когда вся подсеть моего провайдера была заблокирована на каком-то шлюзе безопасности и у меня пропал доступ к сайту популярного интернет магазина М.Видео.
Прошу не считать этот пост ни рекламой, ни антирекламой М.Видео. Эта статья совсем о другом.
Как настроить обход блокировок на маршрутизаторах Keenetic
Первым делом нужно обзавестись VPN сервером у которого есть доступ к забокированному ресурсу. Это может быть свой собственный сервер (виртуальный, выделенный), платный VPN или совершенно бесплатный WARP.
Далее нужно настроить VPN тоннель между вашим маршрутизатором и VPN сервером. Тип туннеля особой роли не играет. Тут стоит отталкиваться от возможностей VPN сервера и ваших знаний.
Если вы настраиваете свой собственный сервер на Debian, то это может быть тоннель PPTP или WireGuard. Главное не забыть пустить подключившихся по VPN пользователей в интернет — https://moonback.ru/page/debian-vpn-client-to-inernet.
Либо воспользуйтесь VPN Warp от CloudFlare, о котором я рассказывал совсем недавно — https://moonback.ru/page/keenetic-warp. В большинстве случаев он отлично справляется с предоставлением доступа к заблокированным сайтам, хотя и не предназначен для этого.
Следующий шаг — это настройка статической маршрутизации в вашем роутере. То есть нужно настроить таблицу маршрутизации так, чтобы запросы к необходимому ресурсу шли не через вашего провайдера, а через VPN сервер.
На этом этапе нам понадобиться узнать все IP адреса интересующего нас сайта. В Windows это можно сделать с помощью команды nslookup . Ниже пример для сайта yandex.ru:
Подробнее как узнать все IP адреса сайта можно в этой статье — https://moonback.ru/page/kak-uznat-ip-adres-sayta.
После того как вы узнали IP адрес(а) необходимого сайта нужно зайти в веб-панель управления маршрутизатором в раздел «Сетевые правила > Маршрутизация» и добавить статический маршрут:
После чего маршрут должен появиться в списке:
В моем примере все адреса и названия из предыдущей статьи про Warp на маршрутизаторе Keenetic.
- Warp — название подключения (тоннеля);
- Адрес шлюза — адрес вашего тоннеля из его настроек;
- Адрес узла назначения — в моем случае это IP адрес сайта M.Video;
- Описание — любое описание понятное вам;
- Тип маршрута — если нужен маршрут к одному IP адресу, то выбираем «Маршрут до узла».
Если у сайта несколько IP адресов, то необходимо настроить статические маршруты для каждого адреса.
Как проверить, что маршрутизация через VPN работает
В Windows можно воспользоваться командой tracert . Пример прохождения пакетов без использования VPN:
После того как вы подключите статическую маршрутизацию через VPN список промежуточных узлов будет другой, и на втором месте будет уже не оборудование вашего провайдера, а адрес устройства из VPN тоннеля:
Обратите внимание на значение ping у второго устройства после вашего роутера. Общее время ответа конечного сервера через VPN так же будет больше.
После правильной настройки заблокированный сайт должен спокойно открываться в окне вашего браузера.
Минусы и плюсы выборочного обхода блокировок
Минус предложенного метода в том, что все операции нужно делать вручную. Что несложно сделать для одного или пары сайтов, даже если у них несколько IP адресов. Но если вам необходимо получить доступ к десяткам сайтов, то приготовьтесь к большой кропотливой работе.
Если сайт сменит свой IP адрес, то все настройки нужно будет повторить уже для нового адреса. Если сайт часто меняет адреса, то процедура настройки маршрутизации превратится в кошмар.
Плюс описанного метода в том, что вы сами полностью контролируете процесс маршрутизации.
Для реализации описанного метода обхода блокировки на роутере не нужно устанавливать дополнительно ПО в виде OPKG и т.п., достаточно свежей стабильной прошивки.
P.S.
Стоит ли весь трафик пускать через VPN? Нет не стоит. Скорость передачи данных через VPN в большинстве случаев меньше, чем напрямую через провайдера.
Помощь
Включите роутер в сеть питания. Подключите сетевой кабель из подъезда в разъем WAN (Internet).
Соедините роутер с компьютером коротким сетевым кабелем, который идет в комплекте с роутером.
Один разъем установите в сетевую карту компьютера, другой в один из LAN портов роутера.
Далее необходимо проверить «Состояние подключения по локальной сети» на компьютере.
1. Для входа в настройки роутера в адресной строке браузера (Internet Explorer, Mozilla Firefox, Opera, Google Chrome)
наберите IP-адреc маршрутизатора 192.168.0.1 либо 192.168.1.1 (с обратной стороны роутера указан адрес или доменное имя для входа в настройки) и нажмите Enter.
2. В открывшемся окне необходимо выбрать пункт «Веб-конфигуратор».
3. Во всплывающем окне установите пароль для дальнейшего доступа в настройки роутера.
4. После установки пароля, система попросит вас снова авторизоваться, для этого нужно ввести пароль, который вы назначали для входа в настройки.
5. Теперь необходимо обновить уже установленные пакеты и установить дополнительные (в нашем случае это пакет UDP proxy).
Для этого, нажимаем на значок «Система» и выбираем вкладку «Компоненты».
В открывшемся списке дополнительно установите галочку в поле UDP-HTTP прокси (udpxy).
После обновления роутер перезагрузится, и нужно будет снова авторизоваться для дальнейшей настройки роутера.
6. Далее, заходим в модуль «Интернет» и выбираем вкладку «PPPoE/VPN», нажимаем на кнопку «Добавить соединение».
7. В настройках соединения нужно выставить галочки в полях «Включить» и «Использовать для выхода в Интернет».
В поле «Описание» введите Televox. Тип протокола выберите «PPPoE».
В поле «Подключаться через» выберите подключение «Broadband connection (ISP)».
Далее в соответствующие поля нужно ввести логин и пароль для подключения к интернету (учётные данные, которые вам выдал провайдер).
Теперь, нажимаем на кнопку «Применить».
После этого у вас уже будет работать интернет.
8. Теперь переходим в модуль «Сеть Wi-Fi» и открываем вкладку «Точка доступа». Здесь нужно указать имя сети (SSID) либо оставить по умолчанию.
Далее выставить защиту сети и ввести ключ шифрования сети. Ключ шифрования – это ключ для подключения к беспроводной сети,
запрашиваемый вашим маршрутизатором при попытке подключится к интернету, например, через Wi-Fi карту ноутбука или Wi-Fi usb-карту стационарного компьютера.
Обеспечивает безопасность вашей сети, исключая возможность подключения к вашей беспроводной сети третьих лиц, не знающих данный пароль (ключ).
Ключ должен иметь вид от 8-и до 63-х символьного цифро-буквенного пароля. Рекомендуется использовать в качестве ключа серийный номер устройства
(указан на коробке вашего маршрутизатора, в виде S/N: ########). Но мы для примера установили ключ: 12345678 (не используйте данный ключ в своих настройках).
Далее нажимаем на кнопку «Применить».
9. Теперь переходим в модуль «Интернет» и нажимаем на подключение «Broadband connection».
В открывшемся окне с настройками подключения по Ethernet убираем «галочку» в поле «Использовать для выхода в Интернет».
Далее, в настройках параметров IP выбираем тип «Ручная». В поле IP-адрес вводим 10.0.0.1, маска подсети 255.255.255.0,
Основной шлюз 10.0.0.2 (можно ввести другой IP-адрес, главное чтобы он не пересекался в другими IP-адресами в сети).
Нажимаем на кнопку «Применить».
10. По умолчанию, на роутере включен сервис IGMP proxy. Поэтому, если у вас телевизор поддерживаем multicast поток,
либо установлена IPTV-приставка, то на этом настройка роутера закончена.
Если у вас телевизор модели, у которой нет поддержки multicast вещания, но есть функция SMART, и нет IPTV-приставки,
то на роутере zyxel можно настроить сервис UDP proxy. Для этого переходим в модуль «Приложения», открываем вкладку «Сервер udpxy».
В всплывающем окне нажимаем на кнопку «Остановить IGMP proxy и запустить udpxy сервер».
11. В открывшейся вкладке устанавливаем «галочку» в поле «включить» и в поле «Подключаться через» выбираем интерфейс ISP.
Далее нажимаем на кнопку «Применить».
12. Теперь открываем модуль «Интернет» и проверяем во вкладке «подключения» интерфейсы «PPPoE» и «ISP».
Они оба должны быть отмечены галочками (зеленой и серой). Если на интерфейсе «ISP» стоит «крестик» красного цвета,
то необходимо снова выполнить пункт 9 данной инструкции.
Теперь роутер настроен на сервис UDP proxy. Для настройки UDPxy на телевизоре, необходимо в настройках приложения для просмотра ТВ
указать следующий адрес и порт для вещания 192.168.1.1:4022 адрес плейлиста для просмотра IPTV
Если нужно обратно переключиться на сервис IGMP proxy, то заходим в модуль «Приложения» и в поле «Включить» убираем «галочку»,
после этого нажимаем на кнопку «Применить».
Далее, переходим в модуль «Домашняя сеть», открываем вкладку «IGMP Proxy». В поле «Включить функцию IGMP proxy» устанавливаем «галочку» и нажимаем на кнопку «Применить».
Теперь у вас снова включен сервис «IGMP proxy».
Настройка маршрутизатора завершена.