настройка sstp vpn между двумя роутерами keenetic

настройка sstp vpn между двумя роутерами keenetic

SSTP между двумя Keenetic: когда это работает, а когда — ловушка

настройка sstp vpn между двумя роутерами keenetic — задача не для новичков, но выполнимая даже без Windows Server. В этом материале разберём всё: от базовой конфигурации до скрытых рисков, о которых молчат производители.

Когда вообще нужен SSTP между роутерами?

Это не про анонимность в интернете. Это про объединение сетей. Представьте:

1. Удалённая работа из дачного домика с доступом к корпоративным ресурсам
2. Объединение сетей двух офисов через интернет без аренды выделенной линии
3. Защита IoT-устройств в загородном доме через централизованный шлюз
4. Обход географических ограничений на медиаконтент (например, YouTube)
5. Резервное соединение при отказе основного канала связи

Такие задачи решают корпоративные MPLS-сети. Но если бюджет ограничен, SSTP — один из немногих вариантов, который может работать «из коробки» с роутерами Keenetic и Windows-инфраструктурой.

Как SSTP устроен внутри (и почему это важно)

SSTP (Secure Socket Tunneling Protocol) — проприетарный протокол от Microsoft. Он инкапсулирует PPP-трафик в SSL/TLS, что даёт два ключевых преимущества:

• Использует порт TCP/443, который редко блокируют (выглядит как обычный HTTPS).
• Наследует всю мощь TLS: forward secrecy, современные шифры, защиту от MITM при валидных сертификатах.

Но есть и подводные камни:

• Зависимость от Windows. Полноценный SSTP-сервер есть только в Windows Server. На Linux придётся ставить SoftEther или аналоги.
• TCP meltdown. Инкапсуляция TCP в TCP (а PPP поверх SSTP — это TCP) вызывает коллапс производительности при потерях пакетов.
• Отсутствие поддержки на мобильных ОС. iOS и Android SSTP не понимают.

SSTP vs другие протоколы: таблица для тех, кто выбирает

* На канале 100 Мбит/с с сервером в Европе.

Чего вам НЕ говорят в других гайдах

Большинство инструкций сводятся к: «введите логин, пароль, IP сервера — готово». Но реальность сложнее:

1. Бесплатные SSTP-серверы — это ловушка
2. Продажа истории посещений рекламным сетям
3. Подмена контента (реклама, фишинговые страницы)
4. Использование устройства в ботнете (Hola VPN скандал 2015)
5. Отсутствие шифрования (даже при наличии значка «замок»)

6. Логирование IP-адресов и времени сессий

7. Kill switch на роутере — не волшебная таблетка

   🛡️Безопасный интернет

В Keenetic нет встроенного kill switch для SSTP. Если туннель оборвётся, весь трафик пойдёт в открытый интернет. Чтобы этого избежать, нужно вручную настроить правила iptables, блокирующие WAN-интерфейс при отсутствии активного PPP-соединения. Это требует CLI-доступа и знаний Linux.

1. Утечки DNS и WebRTC — даже в туннеле

SSTP маршрутизирует только IPv4-трафик. Если ваш роутер или устройство использует IPv6 — запросы пойдут мимо туннеля. То же с DNS: если клиент сам отправляет DNS-запросы на публичные серверы (8.8.8.8), ваш провайдер (Ростелеком, МТС) увидит, какие сайты вы посещаете.

1. Юрисдикция и логи

Даже если вы подняли свой SSTP-сервер на VPS в Германии, хостинг-провайдер может по закону сохранять логи подключений. В России с 1 июля 2026 года все организаторы распространения информации обязаны хранить данные пользователей 6 месяцев. Ваш VPS — тоже ОРИ, если вы предоставляете доступ третьим лицам.

А что, если не свой сервер, а коммерческий VPN?

Если цель — не site-to-site, а просто защита, проще взять коммерческий сервис. Но выбирайте с умом:

Пошаговая настройка SSTP на Keenetic (клиентская часть)

Предположим, у вас уже есть SSTP-сервер (Windows Server или SoftEther). На роутере Keenetic делаем следующее:

1. Зайдите в веб-интерфейс Keenetic (обычно http://192.168.1.1).
2. Перейдите в Интернет → Подключение к интернету → Добавить.
3. Выберите тип подключения VPN-клиент (PPPoE/SSTP/L2TP).
4. Укажите:
5. Тип VPN: SSTP
6. Сервер: IP или домен вашего SSTP-сервера
7. Имя пользователя и Пароль
8. В разделе Дополнительно отметьте Использовать это подключение как основное только если хотите весь трафик гнать через туннель.
9. Сохраните.

Важно: если сервер использует самоподписанный сертификат, соединение не установится. Keenetic не позволяет игнорировать ошибки SSL. Решение — использовать сертификат от Let's Encrypt или доверенный CA.

Как проверить, что всё работает (и ничего не утекает)

• Проверка IP: зайдите на ipleak.net. Должен отображаться IP вашего SSTP-сервера.
• DNS-утечки: на том же сайте проверьте DNS. Все серверы должны принадлежать вашему VPN.
• WebRTC: в Chrome/Edge откройте chrome://webrtc-internals и убедитесь, что в отчётах нет вашего реального IP.
• IPv6: отключите IPv6 в настройках роутера, если не используете его в туннеле.
• Kill switch: имитируйте обрыв туннеля (выключите сервер) и проверьте, есть ли доступ в интернет. Если есть — настройте правила фаервола.

Глубокая настройка: как обойти ограничения Keenetic

Стандартный веб-интерфейс Keenetic не даёт доступа ко всем параметрам SSTP. Чтобы усилить безопасность и стабильность, используйте CLI (командную строку):

1. Включите SSH в разделе Система → Администрирование.
2. Подключитесь через PuTTY или терминал:
   bash ssh admin@192.168.1.1
3. Проверьте статус PPP-соединения:
   bash ndmcli show interface ppp*
4. Чтобы принудительно отключить IPv6 (предотвратить утечки):
   bash ndmcli set network core ipv6 enabled false

Для реализации kill switch создайте скрипт, который будет проверять наличие активного туннеля и блокировать WAN при его отсутствии:

#!/bin/sh
if ! ip addr show dev ppp0 >/dev/null 2>&1; then
    iptables -I FORWARD -o eth0 -j DROP
else
    iptables -D FORWARD -o eth0 -j DROP 2>/dev/null
fi

Запускайте его каждые 30 секунд через cron. Это не идеально, но лучше, чем ничего.

Почему SSTP — плохой выбор для торрентов и публичных Wi-Fi

SSTP изначально проектировался для корпоративного удалённого доступа, а не для анонимности. Вот почему:

• Нет маскировки трафика. Хотя SSTP использует порт 443, его паттерны отличаются от обычного HTTPS. Системы DPI (например, у «Ростелеком») могут распознать и ограничить такой трафик.
• TCP вместо UDP. Торренты на TCP работают медленнее, особенно при высокой загрузке канала. WireGuard на UDP даёт на 30–40% больше скорости.
• Отсутствие split tunneling. В Keenetic нельзя направить только торрент-трафик через SSTP, оставив остальное в локальной сети. Придётся гнать всё через туннель, что убьёт скорость стриминга и игр.

Если вы подключаетесь к публичному Wi-Fi в кафе, SSTP защитит от перехвата на уровне провайдера, но не спасёт от атак Man-in-the-Middle, если сертификат сервера не проверен. Всегда сверяйте отпечаток сертификата!

Альтернатива: SoftEther VPN как сервер SSTP

Если у вас нет Windows Server, установите SoftEther VPN на VPS (от 300 руб/мес в РФ или $5 в Hetzner). Он:

• Поддерживает SSTP, OpenVPN, L2TP, даже EtherIP.
• Имеет встроенный NAT и DHCP — можно создать полноценную виртуальную сеть.
• Обходит DPI за счёт SSL-обфускации (выглядит как обычный трафик к Google).

Настройка SoftEther сложнее, чем щёлкать мышкой, но это единственный способ получить кроссплатформенный SSTP-сервер без лицензий Microsoft.

Правовые нюансы в России (на 2026 год)

Согласно ФЗ-242 и последующим поправкам:

• Использование VPN не запрещено, если он не используется для доступа к запрещённым ресурсам (реестр Роскомнадзора).
• Владелец VPS-сервера может быть признан организатором распространения информации (ОРИ), если предоставляет доступ к интернету третьим лицам.
• Хранение логов подключений более 30 минут без уведомления пользователя — нарушение закона о персональных данных.

Поэтому, если вы настраиваете SSTP для своей семьи или компании — проблем нет. Если делитесь доступом с друзьями — будьте готовы к запросам от регуляторов.

Вопросы и ответы

SSTP действительно безопасен?

SSTP использует SSL/TLS, что делает его защищённым от перехвата при условии использования валидных сертификатов. Однако Microsoft не раскрывает все детали реализации, что вызывает вопросы у экспертов.

Можно ли использовать SSTP на Keenetic без Windows Server?

Да, но только как клиент. Для полноценного site-to-site SSTP нужен сервер на Windows Server или сторонняя реализация (например, SoftEther). Роутеры Keenetic могут выступать только инициаторами соединения.

⚙️Технология доступа

VPN замедляет интернет на сколько реально?

Потери зависят от протокола и нагрузки сервера. При SSTP — обычно 15–25%, при WireGuard — 5–10%. На скоростях до 100 Мбит/с разница почти незаметна.

Меня найдёт спецслужба при использовании VPN?

Если ваш VPN-провайдер хранит логи и находится под юрисдикцией РФ или 14 Eyes, то да — по запросу суда. Выбирайте провайдеров с аудитированной no-log политикой вне этих юрисдикций.

WireGuard или OpenVPN — что безопаснее?

Оба безопасны при правильной настройке. WireGuard новее, быстрее и проще для аудита. OpenVPN проверен временем, но сложнее в конфигурации. Для роутеров Keenetic с NDMS v2.13+ предпочтителен WireGuard.

📖Свобода информации

Как проверить, не утекает ли мой реальный IP при обрыве SSTP?

Используйте сервисы вроде ipleak.net или browserleaks.com. Также настройте kill switch на роутере: в Keenetic это делается через правила межсетевого экрана, блокирующие весь трафик, кроме SSTP, при отсутствии активного туннеля.

Вывод

настройка sstp vpn между двумя роутерами keenetic возможна, но имеет жёсткие ограничения: нужен Windows-совместимый сервер, нет защиты от TCP meltdown, а kill switch требует ручной настройки. Для объединения двух локальных сетей в рамках одного хозяйства (офис–дача) это рабочее решение. Для задач анонимности, торрентов или обхода цензуры лучше выбрать WireGuard или OpenVPN на том же Keenetic — они быстрее, надёжнее и не привязаны к экосистеме Microsoft. Помните: VPN — это инструмент, а не панацея. Без правильной конфигурации он создаёт ложное чувство безопасности, которое опаснее отсутствия защиты.