VPN‑сервер Keenetic Giant: сертификаты, DMZ и ускорение

Подключить к Keenetic Giant VPN‑сервер, который обеспечивает сертификатную аутентификацию без паролей, изолирует клиентские сети в отдельном диапазоне и работает с минимальной нагрузкой, можно с помощью OpenVPN (или SSTP) и простых правил сети. Ниже – пошаговый план, рекомендации и ссылки на официальные руководства.

Содержание

• Выбор протокола
• Генерация сертификатов
• Настройка VPN‑сервера на Keenetic Giant
• Создание DMZ‑сети и ограничение доступа
• Конфигурация Windows‑клиентов
• Оптимизация производительности и аппаратное ускорение
• Практическая инструкция
• Заключение
• Источники

---

Выбор протокола

Для небольшого количества клиентов (≤ 10) OpenVPN предпочтительнее: он полностью открытый, легко масштабируется, а в Keenetic уже есть готовый модуль и подробные инструкции.
Ссылка на официальное руководство по OpenVPN:
OpenVPN с двухсторонней TLS‑аутентификацией

---

Генерация сертификатов

1. На настольном ПК установите EasyRSA (уже включён в пакет OpenVPN).
2. В каталоге C:\Program Files\OpenVPN\easy-rsa запустите init‑pki.
3. Создайте CA: easyrsa init-pki && easyrsa build-ca.
4. Создайте сертификат сервера:
   bash

   easyrsa build-server-full server nopass
   

5. Сгенерируйте клиентские сертификаты:
   bash

   easyrsa build-client-full client1 nopass
   

6. Получите dh2048.pem (или dh4096.pem для большей безопасности).
7. Всё готово:
   • ca.crt – корневой сертификат
   • server.crt, server.key – сертификат сервера
   • client1.crt, client1.key – сертификат клиента

Ссылка на подробную инструкцию:
Конфигурация OpenVPN с TLS‑аутентификацией

---

Настройка VPN‑сервера на Keenetic Giant

1. В веб‑конфигураторе → VPN → OpenVPN.
2. Включите OpenVPN и задайте:
   • Тип сервера: UDP (лучше по скорости)
   • Порт: 1194 (или любой свободный)
   • Криптография: AES‑256‑CBC + SHA‑256
   • Сертификаты: загрузите ca.crt, server.crt, server.key.
   • DH‑параметры: dh2048.pem.
3. Включите TLS‑аутентификацию (tls-auth или tls-crypt), а также Hardware crypto acceleration (если доступно).
4. В разделе Network задайте VPN‑сеть: 192.168.2.0/24 – это будет DMZ‑сеть.
5. Включите “Разрешить подключение только из DMZ‑сети” (если есть такая опция).

Ссылка на руководство по настройке сервера:
Клиент и сервер OpenVPN – Keenetic

---

Создание DMZ‑сети и ограничение доступа

1. В роутере создайте отдельный VLAN (если поддерживается) или просто выделите диапазон 192.168.2.0/24.
2. В Firewall настройте правила:
   • Разрешить трафик из 192.168.2.0/24 в 192.168.1.0/24 (если нужен доступ к отдельным сервисам).
   • Запретить любые маршруты из 192.168.2.0/24 в 192.168.1.0/24 и обратно, если цель – полная изоляция.
3. В VPN‑сете отключите NAT (если не требуется) и настройте только нужные маршруты.

Это гарантирует, что устройства из DMZ не смогут видеть основную локальную сеть, но всё равно получат доступ к интернету через роутер.

---

Конфигурация Windows‑клиентов

1. Установите клиент OpenVPN (например, OpenVPN GUI).
2. Создайте конфигурационный файл client.ovpn:
   text

   client
   dev tun
   proto udp
   remote your-gateway-public-ip 1194
   resolv-retry infinite
   nobind
   persist-key
   persist-tun
   ca ca.crt
   cert client1.crt
   key client1.key
   tls-auth ta.key 1
   cipher AES-256-CBC
   auth SHA256
   comp-lzo
   verb 3
   

3. Для Windows 10/11 можно использовать встроенный клиент SSTP:
   • В «Настройки VPN» добавьте тип SSTP.
   • В поле «Сертификат клиента» выберите клиентский сертификат.
   • В поле «Сертификат сервера» укажите сертификат сервера.
   • Отключите пароль (Windows сразу запросит сертификат).

Ссылки на Windows‑руководства:
Подключение по протоколу SSTP из Windows 10

---

Оптимизация производительности и аппаратное ускорение

• UDP предпочтительнее TCP – меньше накладных расходов.
• AES‑256‑CBC + tls-crypt обеспечивает хорошую защиту и совместимость.
• В Keenetic включите Hardware crypto acceleration (если модуль поддерживает).
• Ограничьте число клиентских соединений до 10 – это не создаст нагрузки на процессор.
• Используйте QoS (если доступно) для выделения полосы пропускания VPN‑трафику.

Таким образом, нагрузка на CPU будет минимальной, а скорость соединения останется высокой.

---

Практическая инструкция

1. Подготовка

   • Установите EasyRSA, сгенерируйте CA, серверные и клиентские сертификаты.
   • Скопируйте ca.crt, server.crt, server.key, dh2048.pem на роутер (через FTP/SSH).

2. Настройка роутера

   • Включите OpenVPN, загрузите сертификаты, задайте сеть 192.168.2.0/24.
   • Включите TLS‑аутентификацию и аппаратное ускорение.

3. Настройка DMZ

   • Создайте VLAN/подсеть 192.168.2.0/24.
   • Настройте правила firewall: только интернет, без доступа к LAN.

4. Настройка клиентов

   • Создайте .ovpn для каждого пользователя.
   • Установите клиент OpenVPN и импортируйте конфиг.
   • Или настройте SSTP через встроенный клиент Windows.

5. Тестирование

   • Подключитесь с одного из клиентов, проверьте IP и доступ к интернету.
   • Убедитесь, что из DMZ нельзя получить доступ к основной сети.

---

Заключение

• OpenVPN – надёжный, гибкий вариант, поддерживает сертификатную аутентификацию без паролей.
• DMZ‑сеть (192.168.2.0/24) изолирует подключённые устройства от основной сети.
• UDP + аппаратное ускорение обеспечивает низкую нагрузку и высокую скорость.
• Для Windows 10/11 можно использовать либо клиент OpenVPN, либо встроенный SSTP‑клиент – оба поддерживают сертификатную аутентификацию.

Следуя приведённым шагам и руководствам, вы получите надёжный VPN‑сервер на Keenetic Giant, который удовлетворит все требования.

---

Источники

1. OpenVPN с двухсторонней TLS‑аутентификацией
2. Конфигурация OpenVPN с TLS‑аутентификацией
3. Клиент и сервер OpenVPN – Keenetic
4. Подключение по протоколу SSTP из Windows 10
5. VPN‑типы в устройствах Keenetic