Настройка на Zyxel Keenetic Ultra

Настроил OpenVPN на своём стареньком Zyxel Keenetic Ultra.

Столкнулся с парой нюансов.

В конфиг при copy-paste дополнительно добавляется параметр
pull-filter ignore “block-outside-dns”
иначе не заработает

Второй нюанс.
Есть известная проблема: хотя DNS-сервера OpenVPN-подключения и находятся первыми по списку, но резолвинг адресов идёт с DNS-серверов провайдера.
Их нужно отключить.
Я делал так:
отключаем получение адресов DNS-серверов от провайдера (в моём случае - на интерфейсе PPPoE) через CLI
(config)> interface PPPoE0
(config-if)> ipcp no name-servers
Not using remote name servers.
после делаем
(config-if)> exit
и сохраняем конфигурацию
(config)> copy running-config startup-config
ну или можно проще, где-то находил, но сам не пробовал:
(config)> interface ISP no ip dhcp client name-servers
(config)> system configuration save

Третий нюанс.
Если сейчас роутер перезагрузить, то кина не будет: dns отключены, а так как в конфиге параметр прописан как
remote vpn.antizapret.prostovpn.org
то пришлось прописать его через ip

Ну и тогда после перезагрузки всё ОК.

В связи с этим несколько вопросов:
• часто ли меняются/блокируются ip-адреса vpn.antizapret.prostovpn.org, потому что если OpenVPN-соединение упадёт, то интернет будет недоступен при отключенных других dns
• по опыту знаю, что нередко OpenVPN на роутере отваливается. для этого можно настроить проверку по пингу, но из-за особенностей реализации данного OpenVPN Антизапрета пинговать внешний ресурс (например 1.1.1.1) через них не получится, поэтому принял решение пинговать DNS 192.168.104.1
В данном случае я получаю адрес из подсети 192.168.104.0/21 (2046 хостов). Это весь диапазон Антизапрета, или в другой раз я получу адрес из другой подсети и DNS уже будет не 192.168.104.1, и по недоступности роутер будет постоянно перезагружать соединение?

Ответы на все вопросы есть на форуме Keenetic:

https://forum.keenetic.net/topic/4621-как-использовать-antizapretprostovpnorg-на-роутере/page/4/?tab=comments#comment-87973

благодарю!

а по второму вопросу (последний абзац)?
192.168.104.1 - всегда DNS? 192.168.104.0/21 единственная подсеть, или есть другие?

На данный момент 192.168.104.0/21 — единственная подсеть, а 192.168.104.1 — единственный DNS-сервер.
В инструкции по ссылке указано, как сделать правильно, чтобы DNS никогда не ломался, и чтобы не пришлось его прописывать руками — следует добавить маршрут до каких-то рабочих DNS-адресов в интернете через VPN, трафик будет перехватываться и перенаправляться до DNS-сервера АнтиЗапрета. При такой настройке, в случае разрыва соединения трафик пойдет на DNS-серверы в интернете, и интернет останется работоспособным.

благодарю, я понял принцип работы

я же немножко про другое.
если упадёт само OpenVPN-соединение, то чтобы его вручную не перезапускать, можно дать в терминале
(config)> ping-check profile _WEBADMIN_OpenVPN0 restart-interface
PingCheck::Profile: Profile “_WEBADMIN_OpenVPN0” enabled restarting interface.
(config)> system configuration save
это автоматически перезагрузит OpenVPN0-интерфейс при недоступности по пингу 192.168.104.1, если настроить в той же вебморде

Соединение OpenVPN переподключается самостоятельно, в OpenVPN есть встроенный keep-alive.

Здравствуйте. А можно поподробнее о настройке vpn antizapret для KeeneticIII? Чтото я не догоняю, подключения нет. Или дайте ссылку на гайд. Спасибо

Спасибо за ссылку, но уже второй день не могу зарегистрироваться на форуме Кинетика - не приходит подтверждающее письмо.

Итак, корректная настройка VPN АнтиЗапрета на Keenetic.
Тестировалось на прошивке 3.1.10.

Шаг 1: в настройках вашего основного подключения интернета (обычно это проводное подключение), в пункте «Параметры IP и DNS» нажмите на «Показать дополнительные настройки IP».
В появившихся опциях установить галочку на «Игнорировать DNS».
В DNS1 и DNS2 ввести либо DNS-серверы вашего провайдера (узнать их можно на главной странице маршрутизатора, нажав кнопку «подробнее о соединении»), либо публичные серверы, например, Google и Yandex: 8.8.8.8 и 77.88.8.8 соответственно.

Шаг 2: устанавливаем OpenVPN-клиент. Переходим на страницу Управление → Общие настройки, нажимаем кнопку «Изменить набор компонентов», отмечаем галочкой «Клиент OpenVPN» и устанавливаем его.

Шаг 3: настраиваем OpenVPN-клиент. Переходим на страницу Интернет → Другие подключения, нажимаем кнопку «Добавить подключение».

  • Использовать для выхода в Интернет: галочка не установлена
  • Имя подключения: antizapret
  • Тип (протокол): OpenVPN
  • Получать маршруты от удаленной стороны: галочка установлена
  • Конфигурация OpenVPN:
##############################################
# ProstoVPN.AntiZapret                       #
# http://antizapret.prostovpn.org            #
##############################################

nobind
client

remote vpn.antizapret.prostovpn.org

remote-cert-tls server

dev tun
proto tcp
cipher AES-128-CBC

resolv-retry infinite
persist-key
persist-tun

pull-filter ignore block-outside-dns
route 8.8.8.8 255.255.255.255 vpn_gateway
route 77.88.8.8 255.255.255.255 vpn_gateway

# Keys
<ca>
-----BEGIN CERTIFICATE-----
MIIEKzCCA5SgAwIBAgIJAJuJfmHjR7wuMA0GCSqGSIb3DQEBBQUAMIHAMQswCQYD
VQQGEwJSVTELMAkGA1UECBMCUlUxETAPBgNVBAcTCEludGVybmV0MRUwEwYDVQQK
EwxQcm9zdG9WUE4ucnUxEzARBgNVBAsTCkFudGlaYXByZXQxIDAeBgNVBAMTF1By
b3N0b1ZQTi5BbnRpWmFwcmV0IENBMSAwHgYDVQQpExdQcm9zdG9WUE4uQW50aVph
cHJldCBDQTEhMB8GCSqGSIb3DQEJARYSYWRtaW5AcHJvc3RvdnBuLnJ1MB4XDTEz
MDMyMjEzNDYzMFoXDTIzMDMyMDEzNDYzMFowgcAxCzAJBgNVBAYTAlJVMQswCQYD
VQQIEwJSVTERMA8GA1UEBxMISW50ZXJuZXQxFTATBgNVBAoTDFByb3N0b1ZQTi5y
dTETMBEGA1UECxMKQW50aVphcHJldDEgMB4GA1UEAxMXUHJvc3RvVlBOLkFudGla
YXByZXQgQ0ExIDAeBgNVBCkTF1Byb3N0b1ZQTi5BbnRpWmFwcmV0IENBMSEwHwYJ
KoZIhvcNAQkBFhJhZG1pbkBwcm9zdG92cG4ucnUwgZ8wDQYJKoZIhvcNAQEBBQAD
gY0AMIGJAoGBALD87/nnrvAvOv3GDSpmYUgdDy34rVjFtlKmigu24qyFKp4dGlfx
x+JWurQcxzMZSBUajNgIqwb0ltJgK2fYtnIMZwRFX3aOdm7n6U0ec0rEotWx09ZY
15dGLwy3KYIRlom+CKjc9I8h95peI9CRBeKnIPLk76figBos8qU/jk9bAgMBAAGj
ggEpMIIBJTAdBgNVHQ4EFgQUa1zT3sc+JvPmjh9Cq3pVA0m++GwwgfUGA1UdIwSB
7TCB6oAUa1zT3sc+JvPmjh9Cq3pVA0m++GyhgcakgcMwgcAxCzAJBgNVBAYTAlJV
MQswCQYDVQQIEwJSVTERMA8GA1UEBxMISW50ZXJuZXQxFTATBgNVBAoTDFByb3N0
b1ZQTi5ydTETMBEGA1UECxMKQW50aVphcHJldDEgMB4GA1UEAxMXUHJvc3RvVlBO
LkFudGlaYXByZXQgQ0ExIDAeBgNVBCkTF1Byb3N0b1ZQTi5BbnRpWmFwcmV0IENB
MSEwHwYJKoZIhvcNAQkBFhJhZG1pbkBwcm9zdG92cG4ucnWCCQCbiX5h40e8LjAM
BgNVHRMEBTADAQH/MA0GCSqGSIb3DQEBBQUAA4GBAKMzBQ9qWk+eAFz4WrcIsVqA
Mgh9Vu1BTvDLH0vKJkFdL23yH7DHnXPs8UqkLHQtzAswaFAMNrINJAYP10MpQx8K
M0orrNKF/Jv+jnuu0yq16UoBFxJCKsdmetoCZz1HuK+5Sop140BRBu1bNOdQ9uNK
Ou4wOSFpotTP2gVFxctw
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
MIIE7DCCBFWgAwIBAgIBBjANBgkqhkiG9w0BAQUFADCBwDELMAkGA1UEBhMCUlUx
CzAJBgNVBAgTAlJVMREwDwYDVQQHEwhJbnRlcm5ldDEVMBMGA1UEChMMUHJvc3Rv
VlBOLnJ1MRMwEQYDVQQLEwpBbnRpWmFwcmV0MSAwHgYDVQQDExdQcm9zdG9WUE4u
QW50aVphcHJldCBDQTEgMB4GA1UEKRMXUHJvc3RvVlBOLkFudGlaYXByZXQgQ0Ex
ITAfBgkqhkiG9w0BCQEWEmFkbWluQHByb3N0b3Zwbi5ydTAeFw0xNzA2MzAxMTM5
NDVaFw0yNzA2MjgxMTM5NDVaMIG3MQswCQYDVQQGEwJSVTELMAkGA1UECBMCUlUx
ETAPBgNVBAcTCEludGVybmV0MRYwFAYDVQQKEw1Qcm9zdG9WUE4ub3JnMRMwEQYD
VQQLEwpBbnRpWmFwcmV0MR8wHQYDVQQDExZhbnRpemFwcmV0LXVzZXJhY2Nlc3My
MREwDwYDVQQpEwhjaGFuZ2VtZTEnMCUGCSqGSIb3DQEJARYYYW50aXphcHJldEBw
cm9zdG92cG4ub3JnMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA9fHj
vzoLAqXL8N+xWUKcHPdIdi/OOr/lkFXfPG4lkcDiFupFwB81c8aM1H0IQaWD/P50
wjsDOCAJOgdZFf8rqlxIMMxgL0lwdBJDUAmUWE3fUm3Zk6Ele23w48rZuygWs6LS
TUueYw+Zk0o202C5z+RLYURFxaS+B7CvYH+Y2nnLVU8TxFiAh86j8GyHiRNrO34H
6cl1IWWHxnLJXB4zZmPuW9Ff5tPjjLdpcBPSsmC4e/VNjaZe3nqvxkaU6ygIKhTP
tKjZf3w6wO4kKPnwAhzUC+h3PCRack7YVBBGn5yO/bRX1y/kbgdV+tzhg0HDspq1
EL6m4By4R3qNog7okwIDAQABo4IBdzCCAXMwCQYDVR0TBAIwADAtBglghkgBhvhC
AQ0EIBYeRWFzeS1SU0EgR2VuZXJhdGVkIENlcnRpZmljYXRlMB0GA1UdDgQWBBRx
zBuNpVmdllM2ZhILCIkoZFvcVjCB9QYDVR0jBIHtMIHqgBRrXNPexz4m8+aOH0Kr
elUDSb74bKGBxqSBwzCBwDELMAkGA1UEBhMCUlUxCzAJBgNVBAgTAlJVMREwDwYD
VQQHEwhJbnRlcm5ldDEVMBMGA1UEChMMUHJvc3RvVlBOLnJ1MRMwEQYDVQQLEwpB
bnRpWmFwcmV0MSAwHgYDVQQDExdQcm9zdG9WUE4uQW50aVphcHJldCBDQTEgMB4G
A1UEKRMXUHJvc3RvVlBOLkFudGlaYXByZXQgQ0ExITAfBgkqhkiG9w0BCQEWEmFk
bWluQHByb3N0b3Zwbi5ydYIJAJuJfmHjR7wuMBMGA1UdJQQMMAoGCCsGAQUFBwMC
MAsGA1UdDwQEAwIHgDANBgkqhkiG9w0BAQUFAAOBgQCtvr8gtRUCMruJGTpwazE/
4fp/kzbavg2UzTxHFyrBA1fRSAPLnNyQELxAdGB9Y0BR4A3soRKBtfPICtdkEgjf
lGGSnrEH/QRoiDJVSuig5F/C2GP5Yl0Z6CUEm6ZJsu6HTxahBkowJ7YIoXVcf8cs
LIQi0TktJeL7LvexVYHVYg==
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----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-----END PRIVATE KEY-----
</key>

Если вы ввели в шаге 1 DNS-серверы вашего провайдера, замените адреса 77.88.8.8 и 8.8.8.8 в директиве route на адреса вашего провайдера.

Настройка завершена. Сохраните подключение и попробуйте подключиться к нему. Если всё настроено правильно, заблокированные сайты должны открываться.

Добрый день, поставил антизапрет все как здесь, все было хорошо не долго, интернет стал отваливается как только я захожу смотреть фильмы на ТВ боксе, подключен по проводу через кинетик гига 1010. Прошивка 3.5.2
Роултер откатывал прошивки и на заводские настройки возвращался, не помогло. Все перепробовал, вариантов у меня больше нет. Интернет Билайн.
Может кто знает в чем проблема?

Где-то прочитал что dns должны быть 1.1.1.1 и 8.8.8.8
setenv FRIENDLY_NAME “AntiZapret VPN TCP”
route 1.1.1.1 255.255.255.255 vpn_gateway
route 8.8.8.8 255.255.255.255 vpn_gateway
pull-filter ignore “block-outside-dns”

Здравствуйте ! Не работает VPN antizapret на keenetik 1210 при этом подключение через опенвпн есть не знаю что уже делать на заблокированых сайтах заглушка провайдера .Настраивал опенвпн антизапрет по мануалу уважаемого ValdikSS. До 22.12.2020 еще работал а последние дни не хочет.Интернет JustLan.Через прокси антиапрет в браузере сайты разблокируються

Если у вас PPPoE-соединение, полагаю, нужно проделать следующие действия:

https://forum.keenetic.net/topic/4621-как-использовать-antizapretprostovpnorg-на-роутере/page/3/?tab=comments#comment-76574

Попробуйте эти команды:

interface PPPoE0
ipcp no name-servers
system configuration save

Не помогло.Да соедение PPPoE провайдер квант-телеком.Может это провайдер чудит?

Это особенность настройки на Keenetic — он не умеет правильно работать с DNS внутри VPN, поэтому приходится использовать подобные обходные команды.

И что теперь делать? может есть еще варианты как заставить его (антизапрет) работать?

Прежде всего убедитесь, что у вас на компьютере используется DNS маршрутизатора, а не прописан DNS провайдера (или какой-либо публичный) непосредственно в настройках компьютера. Также в браузере должен быть отключен DNS over HTTPS.
Если у вас с компьютера заблокированные сайты резолвятся в их настоящие адреса, а не в адреса из диапазона 10.244.x.x, который используется в VPN АнтиЗапрета, то проблема в настройках DNS на Keenetic. Почитайте сообщения темы, попробуйте решения, которые представлены там для PPPoE.

Если не поможет — пожалуйста, обратитесь в поддержку Keenetic, они должны подсказать.

Вы меня извините за мой тупой вопрос а что писать в поддержку Keenetic ? У меня знаний про эти ВПН только на Ctrl+C Ctrl+V

Напишите, что не получается настроить VPN таким образом, чтобы использовались DNS-серверы из VPN. Проблема заключается в том, что продолжают использоваться DNS-серверы провайдера, а должны использоваться из VPN. Укажите, что используете PPPoE, я подозреваю, что именно этот тип соединения обрабатывается как-то по-особому, что мешает работе OpenVPN.

Можете приложить ссылку на тему на форуме Keenetic в сообщении в поддержку, пусть они ответят непосредственно там, метод корректной настройки был доступен публично.