💡 Полезные Советы

DoH(DNS over HTTPS) - это протокол, который шифрует ваши DNS-запросы с помощью HTTPS, того же протокола, что защищает соединения с банками и интернет-магазинами. Вместо отправки простого текстового запроса на порт 53 (как в классическом DNS), DoH "упаковывает" его в зашифрованное HTTPS-соединение и отправляет на порт 443.

DNS over HTTPS (DoH) на роутере даёт следующие преимущества:

• Конфиденциальность: Ваш интернет-провайдер, администратор публичной Wi-Fi сети или любой человек в той же сети не может видеть, какие доменные имена вы запрашиваете. Они видят лишь одно зашифрованное соединение с IP-адресом DoH-резолвера.

• Целостность данных: Шифрование предотвращает подмену DNS-ответов (DNS spoofing). Злоумышленник не может перенаправить вас на фишинговый сайт, манипулируя DNS-запросами.

• Обход цензуры: Поскольку провайдер не может анализировать или блокировать отдельные DNS-запросы, многие виды блокировок на уровне DNS становятся неэффективными.

Инструкция для версии прошивки OpenWrt 24.10.4:

1 . Сделайте бэкап прошивки и сохраните её на отдельном диске или флешке

2 . Установите: luci-app-https-dns-proxy (для отображения в Web интерфейсе) и https-dns-proxy

3 . Зайдите по SSH на роутер и проверьте командой nslookup openwrt.org localhost - если появился ip значит всё в порядке

4 . По умолчанию установлен Cloudflare и Google, в списке есть множество известных публичных DNS, например Adguard для дополнительной блокировки рекламы и прочее. Если необходимо исправить зайдите в web интерфейсеServices -> HTTPS DNS Proxy -> HTTPS DNS Proxy - Instances меняем у которого порт 5053 -> Edit -> выбираем Provider из списка -> Save -> внизу страницы Save and Apply.

5 . HTTPS DNS Proxy - Status указаны какие прокси на каком порту работают.

Что делать, если в Web интерфейсе не появились Services -> HTTPS DNS Proxy?

Скорее всего необходимо очистить кэш браузера (Ctrl+F5) или не установилось luci-app-https-dns-proxy. Или попробуйте выйти и заново войти в LuCI и перезагрузить роутер.

Важное уточнение:

Недостаток DoH заключается в том, что при использовании публичных DNS-сервисов (например, Cloudflare или Google DNS) вы перекладываете доверие с провайдера на крупную компанию. С одной стороны, она обещает не передавать вашу информацию третьим лицам, с другой — фактически вы отдаете статистику о своих запросах другому крупному игроку на рынке.

Не забудьте протестировать на утечки и защиту ваши настройки:

Тест на утечку DNS

Тест DNSSEC

Протокол SSTP (Secure Socket Tunneling Protocol) придумала и разработала компания Microsoft.

Когда говорят что у Keenetic или Mikrotik "свой SSTP", имеется в виду не свой протокол, а своя программная реализация этого протокола.

Например как с веб-браузерами:

1. Протокол: Есть стандарт HTTPS, по которому работают современные сайты.

2. Реализация: Есть Google Chrome, Mozilla Firefox, Apple Safari. Это разные программы (разные реализации), написанные разными компаниями, но все они "понимают" один и тот же протокол HTTP.

Что значит свой SSTP на Keenetic?

Это значит, что инженеры Keenetic написали собственный код (свою программу-клиент и программу-сервер), который работает по правилам (стандарту) протокола SSTP от Microsoft.

Чем он отличается от других (например, от того, что в Windows)?

1. По протоколу - ничем. Он полностью совместим. Клиент SSTP на Windows 10/11 может без проблем подключиться к SSTP-серверу, поднятому на Keenetic. И наоборот, роутер Keenetic (как клиент) может подключиться к SSTP-серверу на Windows Server.

2. По реализации - всем. Он написан на другом языке программирования, оптимизирован для работы на оборудовании Keenetic (у роутеров меньше оперативной памяти и более слабые процессоры, чем у ПК) и встроен в их операционную систему KeeneticOS. Реализация Microsoft встроена в Windows.

А на Mikrotik есть SSTP? Там тоже свой SSTP?

Да, на Mikrotik (в RouterOS) есть SSTP. Он поддерживается уже много лет и отлично работает.

И да, там тоже "свой SSTP". Точно так же, как и Keenetic, компания Mikrotik написала свою собственную программную реализацию протокола SSTP, чтобы он работал в их операционной системе RouterOS. Эта реализация также полностью совместима со стандартом Microsoft.

Протокол (стандарт) один - его придумала Microsoft. А вот реализаций (программ, которые этот протокол используют) много.

В чем главная фишка SSTP?

Главная фишка SSTP - это его способность маскироваться под обычный HTTPS-трафик.

1 . Обход блокировок (Firewall/DPI): Это его основное преимущество. SSTP инкапсулирует VPN-трафик в HTTPS (SSL/TLS) соединение. Большинство межсетевых экранов (файрволов) и систем глубокого анализа пакетов (DPI - Deep Packet Inspection) пропускают HTTPS-трафик, так как это стандартный протокол для защищенных веб-сайтов (банков, магазинов, почты и т.д.). Для DPI трафик SSTP выглядит как обычный HTTPS.

• В отличие от OpenVPN, который может быть настроен на любой порт и легко идентифицируется DPI, если не применять обфускацию, SSTP по умолчанию "выглядит" как веб-трафик.

• WireGuard хоть и быстр, но его трафик также может быть идентифицирован DPI, если не использовать маскировку.

2 . Надежное шифрование: SSTP использует SSL/TLS для шифрования, что обеспечивает высокий уровень безопасности. Это те же криптографические стандарты, что используются для защиты банковских транзакций в интернете.

3 . Встроенная поддержка в Windows: Поскольку SSTP разработан Microsoft, он встроен во все современные версии Windows, что делает его очень простым в настройке для клиентов на Windows — не требуется установка дополнительного ПО.

4 . Удобство для администраторов (Windows-среда): Для организаций, полностью построенных на инфраструктуре Windows Server (Active Directory, RRAS), SSTP является естественным выбором для удаленного доступа, так как он легко интегрируется с этими системами.

Как работает SSTP?

1 . Инкапсуляция в HTTPS:

• SSTP устанавливает VPN-туннель через протокол HTTPS. Это означает, что он использует TCP-порт 443 (стандартный порт для HTTPS).

• Когда вы подключаетесь к SSTP-серверу, ваш клиент инициирует обычное HTTPS-соединение. Внутри этого HTTPS-соединения SSTP создает свой собственный туннель.

2 . SSL/TLS Handshake:

• Как и любое HTTPS-соединение, SSTP сначала выполняет SSL/TLS "рукопожатие" (handshake), чтобы установить защищенный канал. На этом этапе клиент и сервер обмениваются сертификатами (обычно сервер отправляет свой сертификат клиенту, чтобы клиент мог убедиться в подлинности сервера) и договариваются о параметрах шифрования.

• Это ключевой момент для обхода DPI: на данном этапе трафик выглядит идентично обычному HTTPS.

3 . Аутентификация и туннель:

• После установления защищенного TLS-канала, внутри него происходит аутентификация пользователя (по логину/паролю или другим методам).

• После успешной аутентификации устанавливается сам VPN-туннель, и весь сетевой трафик клиента начинает проходить через этот защищенный туннель.

SSTP является одним из наиболее эффективных протоколов для обхода DPI и файрволов, которые блокируют VPN-трафик. Его главный козырь - использование стандартного порта 443 и маскировка под HTTPS. Это делает его очень полезным в сетях с жесткими ограничениями или в странах, где VPN-трафик активно блокируется.

Золотое правило обновления OpenWrt: "Обновлять прошивку без сохранения настроек всех настроек". Иначе могут возникать различные проблемы и конфликты.

Вот полезная инструкция для тех, кто столкнется с такой же проблемой.

Симптомы(Это означает, что проблема на 100% в настройках роутера.):

• На компьютере ошибка "Не удается связаться с DNS-сервером".

• В интерфейсе OpenWrt (Network -> Interfaces) на wan-интерфейсе есть исходящие пакеты (TX), но нет входящих (RX: 0 B (0 Pkts.)).

• Если подключить кабель провайдера напрямую к компьютеру - интернет есть.

Небольшая инструкция:

1. Скачайте нужный файл прошивки с официального сайта OpenWrt. (Используйте образ Sysupgrade образ можно использовать с веб-интерфейсом LuCI или в терминале.)

2. Зайдите в System -> Backup / Flash Firmware.

3. Загрузите прошивку. В процессе обновления НИ в коем случае НЕ отключайте питание.

4. В процессе обновления ОБЯЗАТЕЛЬНО снимите галочку "Keep settings" (Сохранить настройки).

5. Роутер перезагрузится с настройками по умолчанию. (нужно будет настроить всё с нуля)

Это устраняет 90% всех проблем, связанных с обновлением, включая "призрачные" интерфейсы вроде br-wan, ошибки со значками из-за установки различных сторонних пакетов и прочее.

Защита по MAC-адресу (Media Access Control address) у провайдера - это мера безопасности, при которой провайдер разрешает доступ в интернет только устройствам с определенным, заранее зарегистрированным MAC-адресом (обычно это MAC-адрес вашего первого роутера или сетевой карты компьютера).

Этот механизм называется привязкой по MAC-адресу и используется для:

• Идентификации абонента: Устройство с привязанным MAC-адресом однозначно идентифицирует вас в сети провайдера.

• Ограничения несанкционированного доступа: Это предотвращает возможность подключения к вашей линии интернета других пользователей, например, соседей, если они просто воткнут кабель в свой роутер или компьютер.

При замене роутера на новый у него, естественно, будет другой MAC-адрес. Провайдер "видит" новый, незарегистрированный MAC-адрес и блокирует ему доступ к сети, поскольку считает его чужим или неавторизованным устройством. Поэтому интернет не появляется.

Какие настройки нужно изменить у провайдера?

Чтобы получить доступ в интернет с новым роутером, нужно, чтобы провайдер внес изменения в свою систему. Есть два основных способа:

1 . Сброс/Изменение привязки MAC-адреса у провайдера

• Вам нужно сообщить провайдеру (по телефону, в личном кабинете или чате) новый MAC-адрес WAN-порта вашего нового роутера.

• Провайдер удалит старый MAC-адрес из своей системы и зарегистрирует (пропишет) новый MAC-адрес вашего роутера. После этого ваш новый роутер получит доступ к сети.

2 . Клонирование MAC-адреса на новом роутере

• В этом случае вы сами в настройках нового роутера (в разделе WAN или Интернет, функция называется "Клонировать MAC-адрес" или "MAC Clone") прописываете MAC-адрес старого роутера или компьютера, который был привязан изначально.

• Новый роутер начнет "притворяться" старым устройством, используя его MAC-адрес. Поскольку для провайдера адрес не изменился, доступ в интернет восстанавливается без обращения в техподдержку.

RouterOS - это специализированная операционная система, разработанная латвийской компанией MikroTik. Она основана на ядре Linux и предназначена для превращения аппаратных платформ (как фирменных устройств MikroTik RouterBOARD, так и обычных компьютеров на базе архитектуры x86) в многофункциональные сетевые маршрутизаторы.

В чем преимущество RouterOS?

RouterOS славится своей гибкостью и широчайшим набором функций, что позволяет использовать её для решения самых разнообразных сетевых задач - от простого домашнего роутера до сложных провайдерских сетей.

• Маршрутизация. Поддерживаются все виды статической и динамической маршрутизации (включая OSPF, BGP, RIP), что позволяет строить сложные и отказоустойчивые сети.

• Брандмауэр (Firewall). Мощный и гибкий межсетевой экран позволяет детально настраивать правила фильтрации трафика, обеспечивая высокий уровень безопасности сети.

• VPN (Виртуальные частные сети). Система поддерживает множество протоколов VPN (IPsec, L2TP, OpenVPN, PPTP и другие), что даёт возможность безопасно объединять удалённые офисы или подключать сотрудников к корпоративной сети.

• Управление беспроводными сетями. RouterOS позволяет создавать и управлять беспроводными сетями Wi-Fi в качестве точки доступа, клиента или в составе сложных Mesh-сетей. Поддерживаются все современные стандарты Wi-Fi.

• Hotspot Gateway. Одна из самых популярных функций - организация публичных Wi-Fi сетей (в кафе, гостиницах, аэропортах) с возможностью аутентификации пользователей, ограничения скорости и учёта трафика.

• Контроль пропускной способности (QoS). Система позволяет эффективно управлять трафиком: устанавливать приоритеты для определённых видов данных (например, для видеозвонков), ограничивать скорость для отдельных пользователей или устройств.

• Мониторинг и администрирование. RouterOS предоставляет обширные инструменты для мониторинга состояния сети в реальном времени, ведения логов и диагностики неполадок.

Управлять устройствами на базе RouterOS можно несколькими способами, что делает её удобной как для новичков, так и для опытных сетевых инженеров:

• WinBox: Самый популярный способ - это специальная утилита с графическим интерфейсом для Windows, которая позволяет легко и наглядно настраивать все функции роутера.

• WebFig: Веб-интерфейс, доступный через любой браузер. По функциональности почти не уступает WinBox.

• Командная строка (CLI): Для продвинутых пользователей и автоматизации доступно управление через консоль по протоколам SSH или Telnet. Это самый мощный и гибкий способ конфигурации.

• API: Позволяет интегрировать управление устройствами MikroTik в сторонние системы мониторинга и автоматизации.

Благодаря своей стабильности, богатому функционалу и доступной цене, оборудование MikroTik под управлением RouterOS стало чрезвычайно популярным как среди интернет-провайдеров и системных администраторов, так и среди энтузиастов, желающих получить максимальный контроль над своей домашней сетью.

Коротко об OpenWrt

OpenWrt (сокращение от Open Wireless Router) - это бесплатная операционная система с открытым исходным кодом на базе Linux, предназначенная в первую очередь для встроенных сетевых устройств, таких как домашние маршрутизаторы (роутеры), точки доступа и шлюзы.

В отличие от стандартной прошивки, поставляемой производителем, OpenWrt предоставляет полностью перезаписываемую файловую систему с системой управления пакетами.

Официальный сайт проекта OpenWrt

Преимущества OpenWrt

• Полная настройка и расширяемость

• Можно устанавливать, обновлять и удалять дополнительные программные пакеты (их тысячи) с помощью менеджера пакетов opkg. Это позволяет добавлять такие функции, как поддержка VPN (OpenVPN, WireGuard), блокировка рекламы (Adblock, Pi-Hole), улучшенное управление качеством обслуживания (QoS/SQM), системы обнаружения вторжений, торрент-клиенты, создание гостевых сетей, расширенная настройка VLAN и многое другое.

• Проект активно поддерживается сообществом, что обеспечивает регулярные обновления безопасности и исправления ошибок, часто для устройств, которые давно перестали поддерживаться производителем.

• Настройка может производиться как через веб-интерфейс (LuCI), который включен в большинство стандартных сборок, так и через интерфейс командной строки (SSH).

• Поддерживает широкий спектр аппаратного обеспечения от разных производителей. Однако перед установкой всегда необходимо проверить совместимость конкретной модели на сайте проекта OpenWrt. Удобная таблица для поиска вашего устройства на сайте OpenWRT

Из необычного устройство на OpenWRT можно использовать:

• Для расширенных сетевых функций: Если вам требуются возможности, которых нет в стандартной прошивке (например, собственный VPN-сервер или клиент на роутере).

• Для создания специализированных устройств: Например, для настройки роутера в качестве сетевого хранилища (NAS) при наличии USB-порта, сервера печати или даже в качестве основы для устройств Интернета вещей (IoT).

• Для создания специализированных устройств: Например, для настройки роутера в качестве сетевого хранилища (NAS) при наличии USB-порта, сервера печати или даже в качестве основы для устройств Интернета вещей (IoT).