💡 Полезные Советы

Недавно мне в руки попал Wi-Fi роутер Cudy WR300. Я брал его сугубо как точку доступа, с мыслью "куплю какое-то барахло на сдачу, лишь бы сеть раздавало". Но реальность превзошла ожидания настолько, что устройство однозначно заслуживает отдельного разбора.

Железо: скромно, но со вкусом

Аппаратная база здесь без претензий на гигабитные скорости, но для своих задач она сбалансирована идеально:

Процессор: MediaTek MT7628 (580 МГц)

Память: 64 МБ ОЗУ (DDR2) и 8 МБ Flash

Интерфейсы: 1x WAN и 3x LAN (все порты стандарта 10/100 Мбит/с)

Беспроводная сеть: Только 2.4 ГГц (802.11n, до 300 Мбит/с), работают две несъемные антенны с усилением 5 дБи.

Дизайн потрясающий - устройство выглядит гораздо дороже своей реальной стоимости. Производитель не поскупился даже на упаковку: красивая коробка, аккуратно уложенная документация - распаковывать действительно приятно.

Программная оболочка: Скрытый OpenWRT

Интерфейс и софт заслуживают твердые 10 из 10. Настраивается роутер практически в автоматическом режиме, что огромный плюс. Но самое интересное кроется под капотом - прошивка базируется на OpenWRT.

Да, она урезана и сильно адаптирована под рядового пользователя, но стабильность ядра OpenWRT никуда не делась. Роутер работает как швейцарские часы и из коробки поддерживает современные VPN-протоколы (WireGuard, L2TP, PPTP).

Киллер-фичи для своей цены

• MESH из коробки. Был приятно удивлен тем, что этот малыш поддерживает бесшовный роуминг. Если покрытия одной точки не хватит, можно легко докупить еще один роутер Cudy и в пару кликов собрать единую сеть.
• Умный редирект при обрыве. Если отходит интернет-кабель (как случилось у меня) или пропадает линк от провайдера, роутер не просто оставляет вас перед неработающим браузером. При потере связи он автоматически выкидывает вас на окно авторизации/статуса устройства. Это невероятно удобно для быстрого траблшутинга - сразу понимаешь, на чьей стороне проблема.

Результаты:

• Программная оболочка: 10 из 10
• Дизайн: 10 из 10
• Комплектация: 10 из 10

Это превосходный роутер для создания точки доступа, покрытия умного дома или работы на тарифах до 100 Мбит/с. Тот самый случай, когда железка отрабатывает каждый вложенный рубль.

Многие пользователи OpenWrt сталкиваются с одной и той же проблемой: плагин adblock-fast установлен, списки (Hagezi или OISD) выбраны, служба запущена, но реклама на сайтах и в приложениях продолжает пролезать. Тесты показывают удручающий результат блокировки - около 40-45%.

Причина кроется не в плохих списках, а в недостатке инструментов для их обработки.

В чем проблема?

По умолчанию OpenWrt использует облегченный набор утилит (BusyBox). Когда вы скармливаете роутеру огромный список блокировки (например, Hagezi Pro), встроенные "урезанные" утилиты просто захлебываются. Они не могут корректно отсортировать и очистить сотни тысяч доменов, из-за чего в память загружается лишь малая часть правил или процесс завершается с ошибкой.

На скриншотах изображен экран настроенного AdBlock-Fast:

Решение

Для корректной работы adblock-fast на современных прошивках (включая 24.xx) критически важно доустановить полноценные версии инструментов обработки текста.

Что нужно установить:

• gawk

• grep

• sed

• coreutils-sort

Инструкция (Терминал)

Самый быстрый способ исправить ситуацию - выполнить две команды в терминале (SSH):

opkg update
opkg install gawk grep sed coreutils-sort

Инструкция (Веб-интерфейс LuCI)

1. Перейдите в System → Software.

2. Нажмите Update lists.

3. По очереди найдите и установите пакеты: gawk, grep, sed и coreutils-sort.

Итого

Сразу после установки пакетов перезапустите службу Adblock. Роутер сможет корректно "переварить" тяжелые списки.

• Было: ~40% на тестах (d3ward / AdBlock Tester).

• Стало: 96-98% блокировки.

Важный нюанс про IPv6: Если даже после этого телефон продолжает показывать рекламу, проверьте, не использует ли он IPv6. Часто мобильные устройства обходят блокировку, получая "чистый" DNS адрес через протокол IPv6. В таком случае в настройках интерфейса LAN (DHCP Server -> IPv6 Settings) лучше выключить раздачу IPv6 (поставить в режим Disabled).

DoH(DNS over HTTPS) - это протокол, который шифрует ваши DNS-запросы с помощью HTTPS, того же протокола, что защищает соединения с банками и интернет-магазинами. Вместо отправки простого текстового запроса на порт 53 (как в классическом DNS), DoH "упаковывает" его в зашифрованное HTTPS-соединение и отправляет на порт 443.

DNS over HTTPS (DoH) на роутере даёт следующие преимущества:

• Конфиденциальность: Ваш интернет-провайдер, администратор публичной Wi-Fi сети или любой человек в той же сети не может видеть, какие доменные имена вы запрашиваете. Они видят лишь одно зашифрованное соединение с IP-адресом DoH-резолвера.

• Целостность данных: Шифрование предотвращает подмену DNS-ответов (DNS spoofing). Злоумышленник не может перенаправить вас на фишинговый сайт, манипулируя DNS-запросами.

• Обход цензуры: Поскольку провайдер не может анализировать или блокировать отдельные DNS-запросы, многие виды блокировок на уровне DNS становятся неэффективными.

Инструкция для версии прошивки OpenWrt 24.10.4:

1 . Сделайте бэкап прошивки и сохраните её на отдельном диске или флешке

2 . Установите: luci-app-https-dns-proxy (для отображения в Web интерфейсе) и https-dns-proxy

3 . Зайдите по SSH на роутер и проверьте командой nslookup openwrt.org localhost - если появился ip значит всё в порядке

4 . По умолчанию установлен Cloudflare и Google, в списке есть множество известных публичных DNS, например Adguard для дополнительной блокировки рекламы и прочее. Если необходимо исправить зайдите в web интерфейсеServices -> HTTPS DNS Proxy -> HTTPS DNS Proxy - Instances меняем у которого порт 5053 -> Edit -> выбираем Provider из списка -> Save -> внизу страницы Save and Apply.

5 . HTTPS DNS Proxy - Status указаны какие прокси на каком порту работают.

Что делать, если в Web интерфейсе не появились Services -> HTTPS DNS Proxy?

Скорее всего необходимо очистить кэш браузера (Ctrl+F5) или не установилось luci-app-https-dns-proxy. Или попробуйте выйти и заново войти в LuCI и перезагрузить роутер.

Важное уточнение:

Недостаток DoH заключается в том, что при использовании публичных DNS-сервисов (например, Cloudflare или Google DNS) вы перекладываете доверие с провайдера на крупную компанию. С одной стороны, она обещает не передавать вашу информацию третьим лицам, с другой — фактически вы отдаете статистику о своих запросах другому крупному игроку на рынке.

Не забудьте протестировать на утечки и защиту ваши настройки:

Тест на утечку DNS

Тест DNSSEC

Протокол SSTP (Secure Socket Tunneling Protocol) придумала и разработала компания Microsoft.

Когда говорят что у Keenetic или Mikrotik "свой SSTP", имеется в виду не свой протокол, а своя программная реализация этого протокола.

Например как с веб-браузерами:

1. Протокол: Есть стандарт HTTPS, по которому работают современные сайты.

2. Реализация: Есть Google Chrome, Mozilla Firefox, Apple Safari. Это разные программы (разные реализации), написанные разными компаниями, но все они "понимают" один и тот же протокол HTTP.

Что значит свой SSTP на Keenetic?

Это значит, что инженеры Keenetic написали собственный код (свою программу-клиент и программу-сервер), который работает по правилам (стандарту) протокола SSTP от Microsoft.

Чем он отличается от других (например, от того, что в Windows)?

1. По протоколу - ничем. Он полностью совместим. Клиент SSTP на Windows 10/11 может без проблем подключиться к SSTP-серверу, поднятому на Keenetic. И наоборот, роутер Keenetic (как клиент) может подключиться к SSTP-серверу на Windows Server.

2. По реализации - всем. Он написан на другом языке программирования, оптимизирован для работы на оборудовании Keenetic (у роутеров меньше оперативной памяти и более слабые процессоры, чем у ПК) и встроен в их операционную систему KeeneticOS. Реализация Microsoft встроена в Windows.

А на Mikrotik есть SSTP? Там тоже свой SSTP?

Да, на Mikrotik (в RouterOS) есть SSTP. Он поддерживается уже много лет и отлично работает.

И да, там тоже "свой SSTP". Точно так же, как и Keenetic, компания Mikrotik написала свою собственную программную реализацию протокола SSTP, чтобы он работал в их операционной системе RouterOS. Эта реализация также полностью совместима со стандартом Microsoft.

Протокол (стандарт) один - его придумала Microsoft. А вот реализаций (программ, которые этот протокол используют) много.

В чем главная фишка SSTP?

Главная фишка SSTP - это его способность маскироваться под обычный HTTPS-трафик.

1 . Обход блокировок (Firewall/DPI): Это его основное преимущество. SSTP инкапсулирует VPN-трафик в HTTPS (SSL/TLS) соединение. Большинство межсетевых экранов (файрволов) и систем глубокого анализа пакетов (DPI - Deep Packet Inspection) пропускают HTTPS-трафик, так как это стандартный протокол для защищенных веб-сайтов (банков, магазинов, почты и т.д.). Для DPI трафик SSTP выглядит как обычный HTTPS.

• В отличие от OpenVPN, который может быть настроен на любой порт и легко идентифицируется DPI, если не применять обфускацию, SSTP по умолчанию "выглядит" как веб-трафик.

• WireGuard хоть и быстр, но его трафик также может быть идентифицирован DPI, если не использовать маскировку.

2 . Надежное шифрование: SSTP использует SSL/TLS для шифрования, что обеспечивает высокий уровень безопасности. Это те же криптографические стандарты, что используются для защиты банковских транзакций в интернете.

3 . Встроенная поддержка в Windows: Поскольку SSTP разработан Microsoft, он встроен во все современные версии Windows, что делает его очень простым в настройке для клиентов на Windows — не требуется установка дополнительного ПО.

4 . Удобство для администраторов (Windows-среда): Для организаций, полностью построенных на инфраструктуре Windows Server (Active Directory, RRAS), SSTP является естественным выбором для удаленного доступа, так как он легко интегрируется с этими системами.

Как работает SSTP?

1 . Инкапсуляция в HTTPS:

• SSTP устанавливает VPN-туннель через протокол HTTPS. Это означает, что он использует TCP-порт 443 (стандартный порт для HTTPS).

• Когда вы подключаетесь к SSTP-серверу, ваш клиент инициирует обычное HTTPS-соединение. Внутри этого HTTPS-соединения SSTP создает свой собственный туннель.

2 . SSL/TLS Handshake:

• Как и любое HTTPS-соединение, SSTP сначала выполняет SSL/TLS "рукопожатие" (handshake), чтобы установить защищенный канал. На этом этапе клиент и сервер обмениваются сертификатами (обычно сервер отправляет свой сертификат клиенту, чтобы клиент мог убедиться в подлинности сервера) и договариваются о параметрах шифрования.

• Это ключевой момент для обхода DPI: на данном этапе трафик выглядит идентично обычному HTTPS.

3 . Аутентификация и туннель:

• После установления защищенного TLS-канала, внутри него происходит аутентификация пользователя (по логину/паролю или другим методам).

• После успешной аутентификации устанавливается сам VPN-туннель, и весь сетевой трафик клиента начинает проходить через этот защищенный туннель.

SSTP является одним из наиболее эффективных протоколов для обхода DPI и файрволов, которые блокируют VPN-трафик. Его главный козырь - использование стандартного порта 443 и маскировка под HTTPS. Это делает его очень полезным в сетях с жесткими ограничениями или в странах, где VPN-трафик активно блокируется.

Золотое правило обновления OpenWrt: "Обновлять прошивку без сохранения настроек всех настроек". Иначе могут возникать различные проблемы и конфликты.

Вот полезная инструкция для тех, кто столкнется с такой же проблемой.

Симптомы(Это означает, что проблема на 100% в настройках роутера.):

• На компьютере ошибка "Не удается связаться с DNS-сервером".

• В интерфейсе OpenWrt (Network -> Interfaces) на wan-интерфейсе есть исходящие пакеты (TX), но нет входящих (RX: 0 B (0 Pkts.)).

• Если подключить кабель провайдера напрямую к компьютеру - интернет есть.

Небольшая инструкция:

1. Скачайте нужный файл прошивки с официального сайта OpenWrt. (Используйте образ Sysupgrade образ можно использовать с веб-интерфейсом LuCI или в терминале.)

2. Зайдите в System -> Backup / Flash Firmware.

3. Загрузите прошивку. В процессе обновления НИ в коем случае НЕ отключайте питание.

4. В процессе обновления ОБЯЗАТЕЛЬНО снимите галочку "Keep settings" (Сохранить настройки).

5. Роутер перезагрузится с настройками по умолчанию. (нужно будет настроить всё с нуля)

Это устраняет 90% всех проблем, связанных с обновлением, включая "призрачные" интерфейсы вроде br-wan, ошибки со значками из-за установки различных сторонних пакетов и прочее.

Защита по MAC-адресу (Media Access Control address) у провайдера - это мера безопасности, при которой провайдер разрешает доступ в интернет только устройствам с определенным, заранее зарегистрированным MAC-адресом (обычно это MAC-адрес вашего первого роутера или сетевой карты компьютера).

Этот механизм называется привязкой по MAC-адресу и используется для:

• Идентификации абонента: Устройство с привязанным MAC-адресом однозначно идентифицирует вас в сети провайдера.

• Ограничения несанкционированного доступа: Это предотвращает возможность подключения к вашей линии интернета других пользователей, например, соседей, если они просто воткнут кабель в свой роутер или компьютер.

При замене роутера на новый у него, естественно, будет другой MAC-адрес. Провайдер "видит" новый, незарегистрированный MAC-адрес и блокирует ему доступ к сети, поскольку считает его чужим или неавторизованным устройством. Поэтому интернет не появляется.

Какие настройки нужно изменить у провайдера?

Чтобы получить доступ в интернет с новым роутером, нужно, чтобы провайдер внес изменения в свою систему. Есть два основных способа:

1 . Сброс/Изменение привязки MAC-адреса у провайдера

• Вам нужно сообщить провайдеру (по телефону, в личном кабинете или чате) новый MAC-адрес WAN-порта вашего нового роутера.

• Провайдер удалит старый MAC-адрес из своей системы и зарегистрирует (пропишет) новый MAC-адрес вашего роутера. После этого ваш новый роутер получит доступ к сети.

2 . Клонирование MAC-адреса на новом роутере

• В этом случае вы сами в настройках нового роутера (в разделе WAN или Интернет, функция называется "Клонировать MAC-адрес" или "MAC Clone") прописываете MAC-адрес старого роутера или компьютера, который был привязан изначально.

• Новый роутер начнет "притворяться" старым устройством, используя его MAC-адрес. Поскольку для провайдера адрес не изменился, доступ в интернет восстанавливается без обращения в техподдержку.