Введение
В последнее время удручающе регулярно прилетали вопросы из серии "что сделать, чтобы Youtube на (не-шибко) умном телевизоре опять заработал?". Если ограничиться сугубо техническими аспектами возникшей неурядицы, то на достаточно широко распространённых домашних роутерах Keenetic есть возможность порешать проблему мышкой-менюшкой.
В общем-то вся инструкция сводится к фразе "поднимите с роутера WireGuard соединение КУДА_НИБУДЬ и настройке отдельную WiFi сеть с этим WireGuard как внешним соединением", но зачастую спрашивающие хотели бы видеть скучную пошаговую инструкцию.
Чтобы не плодить сущности – подготовил статейку с пошаговой инструкцией.
(В общем-то на фоне когтеточек – вполне себе технический материал, хотя и простейший :)))
Предварительные условия
Вначале – необходимо понимать, куда именно собираетесь подключаться.
Внешний WireGuard сервер УЖЕ должен быть настроен (Вами или тем, кто предоставляет Вам услугу) и у Вас в наличии должен быть файл WireGuard конфигурации для клиента (например – wg1.conf)
Вы должны вспомнить/найти/посмотреть снизу на роутере его админский пароль (нет – это не пароль от WiFi :)
Устанавливаем необходимые компоненты в системе
Подключаемся через веб-интерфейс к вашему домашнему роутеру с админским паролем.
Заходим в Management – System Setting
Заходи в пункт "Component"
Находим "WireGuard VPN" и ставим галочку.
Система устанавливает этот компонент.
И, при необходимости - перезагружается.
Создаём Wireguard соединение
В левом меню заходим – Internet – Other Connections
Если на предыдущем шаге всё было сделано правильно, должен виднеться пункт меню "WireGuard"
Выбираем " Import from a file"
Указываем путь до файла конфигурации, который упоминался в "предварительных требованиях" (например – wg1.conf)
Создастся соединение wg1
Заходим в настройки этого соединения (просто кликнув по нему)
Обязательно ставим галочку "Use for accessing the Internet"
И дописываем "Peer name" (например – wg1a)
Нажимаем Save
Вернувшись в раздел "Other connection" – активируем это новое соединение wg1
Около имени в поле Peer должен появиться зелёные огонёк (ага - такси свободно :)
Делаем политику :)
Заходим в основном меню в Internet – "Connection Policies"
И в появившемся разделе "Policy Configuration" нажимаем крестик "+Add policy"
Даём новосозданной политике имя
"Например – "Wg1-pol"
И привязываем к ней ранее созданное WireGuard соединение wg1
Нажимаем Save
Создаём сегмент домашней сети
Заходим в главном (левом) меню в "My Networks and Wi-Fi" – "Home segment"
И создаём новый сегмент
Назовём, например – WgSegment
Если телевизор подключён по WiFi (что не очень здорово, но я понимаю – ремонт, не проложенный вовремя кабель и всё такое), то включаем в этом сегменте WiFi.
Даём имя беспроводной сети (SSID) этому WiFi, WPA2-PSK (если телевизор умеет WPA3 – лучше его), задаём пароль (СЛОЖНЫЙ! :)
Если ТВ (или другие потребители нашего WireGuard) подключены по кабелю – прокручиваем далее и настраиваем Ethernet порт на Keenetic'е, который будет всех подключенных к нему закидывать в WireGuard
Выбираем порт и ставим ему галочку "Belong to segment"
Остальные порты – должны остаться с прочерками "Doesn't belong to segment"
Проверяем, что понастраивали и нажимаем Save
Привязываем политику - upd.
Заходим в основном меню Internet - Connection Policies - Policy Binding
и привязываем политику :)
(мышкой перетягиваем ранее созданный WgSegment в Wg-pol1)
в Соответственно, если ТВ подключен по кабелю – то он автоматом должен перейти на работу через WireGuard
Если по WiFi – надо перенастроить на новую WiFi сеть.
Послесловие
Настройка выполнялась для версии прошивки 4.17
Со всякими увлекательными более современными протоколами типа X2Ray/Vless простая настройка (путём кликанья мышкой), по крайне мере с текущей версией прошивок для Keenetic'а – не возможна.
Комментарии (27)
usan
02.08.2024 10:50+3Шаг "Создаём сегмент домашней сети" не нужен.
На предыдущем шаге, где создавали политику, переходим на вкладку "Policy Bindings (ру. Применение политик)" и привязываем телевизор (предварительно зарегистрированный) к новой политике.
Komrus Автор
02.08.2024 10:50+1Если использовать более мягкую формулировку "не обязателен" - то может быть и не обязателен.
Но на мой вкус для целевой аудитории проще один раз настроить дополнительную WiFi сеть, чтобы в дальнейшем иметь возможность инструктировать по телефону: "Бабушка, если хочешь и на смартфончике посмотреть Yoputube - просто подключи его вооон к той WiFi сети"А не лазать по настройкам...
Alanter
02.08.2024 10:50"Если телевизор подключён по WiFi (что не очень здорово, но я понимаю – ремонт, не проложенный вовремя кабель и всё такое)"
Вот не соглашусь про ремонт и кабель. У современных ТВ в приоритете как раз Wi-Fi банально мой Samsung Frame 22 года имеет AC Wi-Fi но пр этом LAN порт 100Мб. И это много где встречается на ТВ.
Komrus Автор
02.08.2024 10:50+1Я конечно, очень рад за производителей телевизоров и их маркетологов.
А также пользоаателей телевизоров, живущих в отдельных домах...
Но вот при использовании ТВ в обычном многоквартирном доме радиэфира на всех может и не хватать... Особенно занятно в свежепостроенной)м и постепенно заселяемом многоквартирном доме. Вначале - всё супер. А потом, по мере появления соседних WiFi сетей (а потом - десятков соседних стей) картинка начинает сыпаться...
K_AA
02.08.2024 10:50Такое только на 2.4 ГГц наблюдается. 5 ГГц работает без проблем уже 5 лет. Все 866 мбит выжимает без проблем. Главное в кинетике для телека запретить работу 2.4 ГГц подключения.
В современных ремонтах вообще провода лишний раз не прокладывают. 5 ГГц и mesh всё вывозит даже на старом АС стандарте. Причём соседи не мешают, так как волны этой частоты просто не проникают толком через стены.
proffking
02.08.2024 10:50+1Для этих целей я лично приобрел юсб-езернет донгл из списка подходящих к моему телевизору и воткнул кабель в него. Теперь у меня на ТВ полные 1000 Мбит по кабелю без использования радиоэфира. Рекомендую для стриминга по сети DLNA.
Именно поэтому я не понял автора статьи, зачем делать выделенную сеть, если ТВ все равно идёт по кабелю, надо именно что каждому устройству выделять политику выхода в сеть
dfgkesfge
02.08.2024 10:50У меня почему то не подключается к впн (не появляется зеленая иконка). И как будто даже не пытается подключиться, судя по цифрам 0 у "Отпрвлено" и "Получено". Хотя этот впн точно работает на устройствах. Может есть где-нибудь лог подключения?
dfgkesfge
02.08.2024 10:50Нужно ещё в настройках VPN (если он у вас пустой) указать значение параметра "Проверка активности", например, 30 секунд. По сути это keepalive
DonAlPAtino
02.08.2024 10:50А можно вопрос не совсем по теме спецам по Кинетикам? Учитывая гибкость настроек - у них нет способа одну сеть с несколькими ssid'ами сделать? Мне на даче надо 3 ssid из разных квартир анонсировать, чтобы всякие Алисы безшовно переезжали.
Ranger21
02.08.2024 10:50А оборудование какое? У keeneticов же своя wifi mesh сеть поддерживается, работает хорошо.
Если это три сторонние сети, то кинетик может к одной по 2.4гц подключаться, к другой по 5ггц, а вот третья сеть хз. Из трёх сетей стороннего оборудования собрать одну меш сеть достаточно проблематично будет на любом домашнем роутере мне кажется.
DonAlPAtino
02.08.2024 10:50Keenetic Giga (KN-1011)
Но я другое имел в виду. Три семьи сьезжаются на дачу. У всех Алисы привязанные к домашним ssid. На дачу хочу поднять все три ssid на одном Кинетике. Если конечно так можно. Циски умеют так например.
NickNickls
02.08.2024 10:50Добрый день, спасибо за инструкцию. Настроил на OpenVPN, поскольку его поднял на VDS пару лет назад. Работает, но вот осбенность: если устройство зарегистрировано на Keenetic, то для устройства прописывается политика доступа и она не меняется при подключении к WiFi сети с другой привязанной политикой. Если убрать регистрацию - всё ОК. Если кто знает, как это обойти не удаляя регистрацию устройства - буду рад советам.
Atamah
02.08.2024 10:50Спасибо за статью.
Также проблема с зарегистрированным устройством. Убрал регистрацию и IP адреса почему-то задублировались в UI роутера.
Переключение сети в этом случае не меняет сегмент сети, почему-то.
Ranger21
02.08.2024 10:50Есть ещё вариант пустить трафик на сервера Гугла через отдельный маршрут в wg, если нужна инструкция могу скинуть. Только ipv6 надо отключить от провайдера, если он даёт айпи адрес ipv6, если у вас нет ipv6 адреса wg туннеля, т.к. маршрутизацию в кинетике можно настроить только по ipv4 в таком случае. Кому надо могу скинуть инструкцию.
Хотя я хочу попробовать ещё фильтрацию под поддомену попробовать настроить
TriSSS91
02.08.2024 10:50Было бы круто пускать не весь трафик через VPN по сегментам, а все устройства на часть доменов напрямую, а на часть через VPN. Но, как я понимаю, по-простому у Keenetic такое не реализовать... или я отстал от жизни и такое уже делается без перепрошивок?
rusted_mind
02.08.2024 10:50Спасибо за гайд. Осталась одна проблема - новая WiFi сеть не коннектится к интернету. При этом коннект по туннелю есть (смотрел на сервере) и на роутере. В чем может быть дело? Не надо файрвол на роутере настраивать?
ghosthope
02.08.2024 10:50В моем случае соединение с WG не заводилось пока не выставил свойство keepalive, поставил значение 30, всегда серый значок был.
Sazonov
А что делать когда WG по протоколу будут резать? Уже были прецеденты.
Komrus Автор
Как вариант - понастраивать на Keenetic'е OpenConnect (опенсорсный аналог Cisco AnyConnect).
Но, увы - через командную строку, сложно и долго...
spa34
Обновится на dev ветку, в 4.2 уже завезли и в гуи настройку.
Nday001
Можно через wg подключаться к промежуточному серверу, который будет принимать подключения по wg, а выходить в "чистый интернет" через vless, vmess, shadowsocks и прочие.
Таким промежуточным сервером умеет быть xray. Это даже через панель X-UI настраивается кликами мышкой.
Пока внутри страны не режут wg, такой сервер можно хостить на vps.
Или размещать xray сервер внутри своей локальной сети.