keenetic соединить два роутера по vpn

keenetic соединить два роутера по vpn

Как соединить два роутера Keenetic по VPN: технический гайд без иллюзий

keenetic соединить два роутера по vpn — задача, с которой сталкиваются владельцы частных домов, фрилансеры с удалённым офисом и ИТ-специалисты, настраивающие корпоративную сеть. Это не просто «подключил и забыл». Здесь важны тип протокола, устойчивость к обрывам, защита от утечек и понимание, что делает ваш трафик уязвимым даже при активном туннеле. В этом материале разберём всё: от выбора протокола до проверки, что DNS-запросы не уходят мимо шифрования.

Почему обычный «интернет через VPN» — это не то же самое

Подключение одного устройства к коммерческому VPN-сервису решает личные задачи: скрыть историю от провайдера, обойти блокировку YouTube или Telegram. Но когда вы хотите соединить две локальные сети — например, домашнюю и офисную — нужны другие инструменты.

Роутер Keenetic умеет работать в двух режимах:

• Клиент VPN: подключается к внешнему серверу (например, ProtonVPN). Весь трафик из LAN уходит через туннель.
• Сервер + клиент одновременно: один роутер принимает входящие соединения, второй к нему подключается. Так создаётся site-to-site туннель — полный аналог арендованного канала связи.

Именно второй сценарий позволяет:
- Доступ к NAS, IP-камерам, принтерам в другой локальной сети без проброса портов.
- Объединение сетей для совместной работы с базами данных или 1С.
- Безопасный доступ к домашней сети из командировки — как будто вы дома.

Но здесь начинаются подводные камни, о которых молчат большинство «гайдов».

Чего вам НЕ говорят в других гайдах

Большинство инструкций сводятся к: «Зайди в интерфейс → выбери OpenVPN → загрузи конфиг → готово». Это опасно упрощённо. Вот что скрывают:

Бесплатные VPN — это сборщики данных
Многие советуют использовать «бесплатные серверы OpenVPN» для тестирования. На деле такие сервисы:
- Продают ваши логи рекламным сетям.
- Подменяют HTTPS-трафик для вставки баннеров (MITM-атака).
- Иногда являются ботнетами (как Hola VPN в 2015 году).

Аренда одного сервера в Европе стоит от $5/мес. Если сервис бесплатный — вы и есть продукт.

Fake kill switch
Некоторые роутеры заявляют наличие «аварийного отключения интернета», но на практике:
- При перезагрузке роутера трафик идёт напрямую до старта VPN-клиента.
- При потере соединения с сервером некоторые прошивки продолжают пропускать трафик в обход туннеля.

Проверьте это сами: отключите кабель от WAN-порта на 30 секунд и запустите curl ifconfig.me с любого устройства в LAN. Если IP изменился — у вас утечка.

Юрисдикция и обязательства по раскрытию данных
Даже если ваш VPN-провайдер заявляет «no logs», он может быть обязан хранить метаданные по закону. Страны 14 Eyes (включая Германию, Францию, Великобританию) обмениваются данными спецслужб. Швейцария, Швеция, Панама — более нейтральные юрисдикции, но и там возможны судебные запросы.

Утечки WebRTC и DNS — даже через роутер
Если на компьютере включён WebRTC (в Chrome, Edge, Firefox по умолчанию), сайт может определить ваш реальный IP независимо от VPN. Аналогично — если DNS-запросы отправляются не через туннель, а напрямую провайдеру (например, Ростелеком или МТС). Это особенно актуально при использовании торрентов.

Отсутствие независимых аудитов
Многие провайдеры пишут «мы не храним логи», но не проходят проверку у Cure53 или Quarkslab. Без аудита — это просто слово.

Выбор протокола: WireGuard vs OpenVPN vs IPsec

Keenetic поддерживает все три протокола (в зависимости от модели и прошивки NDMS v2/v3). Вот объективное сравнение:

Вывод:
- Для скорости и простоты — WireGuard (если ваша модель поддерживает).
- Для совместимости и стабильности — OpenVPN.
- IPsec лучше не использовать в связке Keenetic–Keenetic: сложная настройка, частые обрывы при NAT.

Пошаговая настройка site-to-site туннеля между двумя Keenetic

Предположим: у вас два роутера — Keenetic Giga (офис) и Keenetic Ultra (дом). Оба на NDMS v3.

Шаг 1. Подготовка сервера (офис)
1. Зайдите в веб-интерфейс → Интернет → VPN-сервер.
2. Включите WireGuard.
3. Создайте новый туннель:
- Имя: home-office
- Локальная сеть: 192.168.1.0/24
- Разрешённые IP: 192.168.2.0/24 (сеть дома)
4. Сохраните. Система сгенерирует публичный ключ и порт (например, 51820/UDP).

Шаг 2. Настройка клиента (дом)
1. В интерфейсе домашнего роутера: Интернет → VPN-клиент → WireGuard.
2. Добавьте новый профиль:
- Имя: office-tunnel
- Адрес сервера: публичный IP офиса (или домен, если есть DDNS)
- Порт: 51820
- Публичный ключ сервера: скопируйте из офисного интерфейса
- Приватный ключ: сгенерируйте новый
- Разрешённые IP: 192.168.1.0/24
3. Включите опцию «Перенаправлять весь трафик» только если нужно. Для site-to-site достаточно маршрутизации конкретных сетей.

Шаг 3. Маршрутизация
На обоих роутерах добавьте статический маршрут:
- Сеть назначения: 192.168.2.0/24 (дом) → шлюз: интерфейс VPN
- Сеть назначения: 192.168.1.0/24 (офис) → шлюз: интерфейс VPN

Это делается в разделе Сеть → Маршрутизация.

Шаг 4. Проверка
С домашнего ПК выполните:

ping 192.168.1.10  # IP устройства в офисе
tracert 192.168.1.10

Если пинг проходит — туннель работает.

Как проверить утечки: DNS, WebRTC, IP

Даже при работающем туннеле данные могут уходить в обход. Проверяйте регулярно:

1. DNS-утечка:
   Откройте ipleak.net. В разделе DNS Leaks должен отображаться IP вашего VPN-сервера, а не провайдера (Ростелеком, МТС и др.).

2. WebRTC-утечка:
   На том же сайте — внизу страницы. Если показывает ваш реальный IP — отключите WebRTC в браузере или используйте расширение (uBlock Origin блокирует его частично).

3. IP-адрес:
   Зайдите на browserleaks.com/ip. Убедитесь, что все IP-адреса соответствуют VPN.

   🛠️Инструмент для работы

4. Торренты:
   Запустите торрент-клиент и скачайте тестовый торрент (например, от ipMagnet). Проверьте IP на checkmyip.net. Если виден ваш домашний IP — значит, трафик не идёт через туннель.

Сравнение надёжных провайдеров для ручной настройки на Keenetic

Если вы не хотите строить свой туннель, а используете коммерческий VPN — вот проверенные варианты с поддержкой ручной конфигурации:

Все перечисленные прошли независимый аудит в 2023–2025 гг. и позволяют загружать .ovpn или .conf файлы напрямую в интерфейс Keenetic.

Типичные ошибки и как их избежать

• Ошибка 1: Использование одинаковых подсетей (192.168.1.0/24 везде).
  → Решение: сделайте дома 192.168.2.0/24, в офисе — 192.168.1.0/24.

  📖Свобода информации

• Ошибка 2: Не открыт порт на сервере.
  → Убедитесь, что на офисном роутере проброшен порт (например, 51820/UDP) на внутренний IP Keenetic.

• Ошибка 3: Динамический IP без DDNS.
  → Подключите бесплатный DDNS (например, через No-IP) на серверном роутере.

• Ошибка 4: Отсутствие автоматического переподключения.
  → В настройках клиента включите «Автоматически восстанавливать соединение».

  📖Свобода информации

• Ошибка 5: Забыли про MTU.
  → При обрывах загрузки больших файлов уменьшите MTU на туннельном интерфейсе до 1380.

Как проверить, что трафик действительно идёт через VPN на Keenetic?

Зайдите в «Мониторинг» → «Трафик» в веб-интерфейсе. При активном туннеле вы увидите рост трафика на интерфейсе wg0 (WireGuard) или tun0 (OpenVPN). Также проверьте внешний IP с устройства в LAN через ipleak.net.

Что будет, если один из роутеров перезагрузится — соединение восстановится?

Да, если в настройках клиента включена опция «Автоматически подключаться» (по умолчанию включена в NDMS v3). Однако первые 10–30 секунд после старта трафик может идти напрямую — это риск утечки. Чтобы этого избежать, настройте строгие правила iptables, блокирующие весь WAN-трафик, кроме VPN.

🛡️Безопасный интернет

Можно ли использовать бесплатный OpenVPN-сервер для межсайтового туннеля?

Технически — да. Но это крайне небезопасно. Бесплатные серверы часто логируют трафик, внедряют рекламу и могут быть скомпрометированы. Для site-to-site туннеля лучше использовать собственный VPS (от $3/мес) или доверенный платный провайдер.

Почему мой торрент-клиент всё равно видит реальный IP при подключении через роутер?

Возможны две причины: 1) DNS-запросы уходят мимо туннеля (проверьте на ipleak.net); 2) торрент-клиент использует UPnP или DHT вне туннеля. Отключите DHT, Peer Exchange и Local Peer Discovery в настройках клиента. Убедитесь, что весь трафик маршрутизируется через интерфейс VPN.

WireGuard или IPsec — что стабильнее для 24/7 соединения между офисом и домом?

WireGuard. Он легче, быстрее и не теряет соединение при смене IP (актуально для домашних провайдеров с динамическим IP). IPsec чувствителен к NAT и часто требует keepalive-пакетов каждые 20 секунд, что увеличивает нагрузку.

🛡️Безопасный интернет

Блокирует ли Ростелеком трафик VPN между двумя своими абонентами?

Нет, Ростелеком не блокирует UDP-трафик на произвольных портах. Однако если вы используете общедоступные порты (например, 443/TCP для OpenVPN), возможна глубокая проверка пакетов (DPI). Чтобы избежать этого, используйте нестандартный порт (например, 51820/UDP для WireGuard) или маскировку под TLS (только для OpenVPN).

Вывод

keenetic соединить два роутера по vpn — это технически выполнимо, но требует понимания не только настроек интерфейса, но и основ информационной безопасности. Выбор протокола, проверка утечек, корректная маршрутизация и защита от аварийных отключений — всё это определяет, будет ли ваш туннель надёжным или очередной «дырявой трубой». Не экономьте на аудитах, не верьте бесплатным сервисам и всегда тестируйте конфигурацию в реальных условиях. Только так вы получите действительно защищённое соединение между домом и офисом.