💡 Полезные Советы

На рынке бюджетных 4G-роутеров пополнение - компактная модель Cudy LT300. На первый взгляд это типичный представитель класса "N300", но при детальном рассмотрении у него обнаруживается пара козырей, которые делают его крайне интересным решением для резервирования интернета, выездной работы и подключения удаленных объектов.

Давайте разберем, что предлагает этот роутер и для каких задач он подойдет лучше всего. А так же как он показывает себя в реальных условиях эксплуатации.

Главные характеристики и интерфейсы

Cudy LT300 работает в сетях 4G LTE и раздает интернет по Wi-Fi на частоте 2.4 ГГц.

• Скорость 4G: до 150 Мбит/с на загрузку (Download) и до 50 Мбит/с на отдачу (Upload).
• Скорость Wi-Fi: до 300 Мбит/с (стандарт N300).
• Формат SIM-карты: Nano SIM с поддержкой Plug and Play (вставил и работает).

На задней панели расположился набор портов:

1. Разъем питания USB-C (POWER) - это, пожалуй, главная фишка устройства.
2. Кнопка WPS для быстрого подключения.
3. LAN/WAN порт - роутер можно использовать как обычный маршрутизатор с проводным провайдером, оставив 4G в качестве резервного канала. (в самом веб интерфейсе меню роутера есть переключатель)
4. LAN порт- для подключения стационарного ПК, коммутатора или, например, домашнего сервера.
5. Слот для Nano SIM и кнопка сброса (RESET).

Реальный опыт: стабильность важнее рекордов скорости

Процесс первого запуска максимально дружелюбный. SIM-карта (в моем тесте использовался Beeline) определяется абсолютно без "танцев с бубном", роутер сам подтягивает нужные настройки.

Особо хочется отметить качество встроенных антенн и радиомодуля. Там, где обычный смартфон ловит сеть на 2-3 деления и начинает "захлебываться", Cudy LT300 уверенно держит стабильный сигнал. Да, в моих условиях тестирования пиковые скорости не били рекордов и держались в пределах 5–10 Мбит/с (на скриншотах замеров можно увидеть около 3-5 Мбит/с на загрузку), однако роутер берет другим - железобетонной стабильностью соединения. Для резервного канала под умный дом или сервера этого вполне достаточно.

Есть и неочевидный, но крайне приятный плюс при выездной работе: смартфоны, подключенные к Wi-Fi сети роутера, намного меньше греются и значительно медленнее разряжаются, так как им не приходится тратить батарею на удержание слабого сигнала от удаленной вышки сотовой связи.

Программные фишки и богатый веб-интерфейс

Внутри нас встречает очень удобный и шустрый веб-интерфейс (опытный глаз сразу заметит знакомые черты LuCI). Производитель не стал урезать софт, насыпав настроек, которые обычно встречаются в более дорогих железках.

Что здесь есть полезного:

• Тонкая настройка сети: Легко поднимается гостевая сеть, прописывается DDNS, есть проброс портов (Port Forwarding) и DMZ.
• Безопасность и DNS: Можно настроить фильтрацию по MAC и IP, а также завернуть трафик через безопасный протокол DNS over TLS.
• Встроенный VPN (Server/Client): Роутер умеет подключаться к удаленным серверам или сам выступать в роли VPN-сервера для доступа в вашу локальную сеть извне. (ВАЖНО - ВСЕ ЭТИ ПРОТОКОЛЫ БЛОКИРУЕТСЯ РКН, БУДЬТЕ ВНИМАТЕЛЬНЕЕ ПРИ ПОКУПКЕ, я об этом знал заранее)
• Инструменты админа: В интерфейсе присутствуют такие приятные мелочи, как ручная фиксация TTL (полезно при работе с определенными тарифами операторов) и функция Wake-on-LAN для удаленного пробуждения устройств в сети.

Питание по USB-C: почему это круто?

Отказ от проприетарных круглых штекеров питания в пользу универсального Type-C кардинально меняет сценарии использования. Cudy LT300 можно запитать:

• От обычного повербанка (идеально для работы «в полях», настройки оборудования на строящихся объектах или при отключении электричества).
• От порта ноутбука.
• От любого современного зарядного устройства для смартфона.

Кому подойдет Cudy LT300?

• Системным администраторам и инженерам: Бросил в рюкзак вместе с повербанком - и у тебя всегда есть своя независимая Wi-Fi и LAN сеть для настройки клиентских ПК, видеорегистраторов или терминалов оплаты на выездах.
• Для дачи: Простая настройка Plug and Play позволяет организовать интернет там, где нет кабельных провайдеров.(но смотрите, какой у вас сигнал от вышки)
• В качестве резервного канала: Подключите основной интернет в WAN-порт, а SIM-карту держите на случай аварий у провайдера. Отличное решение, если у вас дома крутятся свои серверы, умный дом или Telegram-боты, которым нужен аптайм 24/7.

Cudy LT300 - это компактная, современный роутер. Он не бьет рекордов по скорости Wi-Fi (здесь нет 5 ГГц), но его утилитарность, питание от Type-C делают его отличным выбором для своей ниши.

Конечно, чудес мобильной связи не бывает. Если вам нужен канал, по скорости и отзывчивости не уступающий хорошему кабельному провайдеру, стоит смотреть в сторону более серьезного оборудования. Для таких задач используются мульти-WAN роутеры, которые работают одновременно с двумя-тремя SIM-картами, суммируя их пропускную способность (бондинг), обязательно в связке с мощными внешними направленными MIMO-антеннами на крыше или фасаде.

Но давайте будем реалистами: если ваша главная цель - получить недорогую и безотказную "запаску" для домашней сети, чтобы при аварии у основного провайдера не отвалился умный дом, видеонаблюдение или удаленный доступ к серверам, то возможностей Cudy LT300 хватит за глаза.

Купили новую Яндекс Станцию, крутую умную лампочку или датчик, а они в упор не видят вашу домашнюю сеть, хотя смартфон рядом работает идеально? Скорее всего, вы стали жертвой "прогресса" в настройках безопасности вашего роутера.

Сегодня разберем, почему современный стандарт WPA3 (и даже его "переходный" режим) - это главный враг дешевых Wi-Fi модулей, и почему для стабильной работы IoT-устройств нужно принудительно откатываться на WPA2-PSK.

Суть проблемы: Смешанный режим (Transition Mode)

В настройках современных роутеров часто красуется вариант WPA2-PSK/WPA3-SAE. На бумаге это выглядит идеально: новые устройства (iPhone, современные ноутбуки) используют защищенный WPA3, а старые - привычный WPA2.

Но на практике этот "микс" превращается в невидимую стену для умных устройств и старых говно-принтеров. И вот три технические причины, почему это происходит.

1. Конфликт защищенных кадров управления (PMF)

Для стандарта WPA3 обязательна технология PMF (Protected Management Frames, стандарт 802.11w). Она защищает служебный трафик между роутером и клиентом от перехвата.

В смешанном режиме роутер выставляет флаг PMF в состояние Optional (необязательно). Но микропрограммы (прошивки) многих бюджетных Wi-Fi модулей (например, на чипах ESP8266 или старых Realtek) написаны крайне негибко. Видя в эфире этот флаг, устройство часто просто не понимает, как начать «рукопожатие» (handshake), и впадает в ступор. Оно видит сеть, но не может к ней подключиться или вовсе считает её "битой".

2. Непонятные "теги" в эфире

Роутер постоянно рассылает служебные пакеты - Beacon frames (маяки), в которых сообщает: "Я такой-то роутер, умею вот такие шифрования". В смешанном режиме в эти пакеты добавляются новые информационные элементы (IE) для поддержки SAE (протокол аутентификации WPA3).

Старые сетевые стеки IoT-устройств, встречая в заголовке пакета неизвестный им тип авторизации, часто ведут себя неадекватно. Вместо того чтобы проигнорировать непонятный кусок кода и работать по старинке, они просто отбрасывают весь SSID. В итоге в приложении для настройки вы видите пустой список сетей.

3. Экономия на "железе"

Производители умных девайсов стремятся к максимальному удешевлению. В них стоят чипы, софт для которых писался 5–7 лет назад. Обновлять их под поддержку WPA3 дорого и технически сложно из-за малого объема памяти. В итоге мы имеем современный роутер за 900 рублей, вещающий на "языке будущего", и колонку Яндекс за ~3000-5000 рублей, которая понимает только "язык прошлого".

Как починить?

1. Если ваш умный дом капризничает, алгоритм действий простой:
2. Зайдите в админку роутера.
3. Найдите настройки беспроводного режима для частоты 2.4 ГГц (именно на ней работает 99% умных устройств).
4. В поле "Шифрование" или "Режим безопасности" выберите чистый WPA2-PSK.
5. Тип шифрования - строго AES (забудьте про TKIP, это уже история).
6. Сохраните настройки и перезагрузите роутер.

А как же безопасность?

Многих пугает отказ от WPA3. Но давайте будем реалистами:

• WPA2-PSK (AES) с длинным и сложным паролем по-прежнему остается крайне надежным стандартом. Взлом такой сети методом перебора в домашних условиях практически нецелесообразен.
• Большинство атак на домашние сети происходят через уязвимости в WPS (который лучше вообще выключить) или через фишинг, а не путем прямого взлома шифрования WPA2.

Если вы строите умный дом, стабильность важнее модных протоколов. Пока индустрия IoT не перейдет на новые чипы, WPA2-PSK остается "золотым стандартом", обеспечивающим коннект всего - от китайской розетки за 300 рублей до топовой Яндекс Станции.

Часто задаваемые вопросы (FAQ)

1. Пострадает ли скорость интернета на телефоне или ноутбуке, если я переключу роутер на WPA2-PSK?

Нет. Тип шифрования (WPA2 или WPA3) не влияет на пропускную способность. Ваш iPhone, современный Android или ноутбук будут скачивать файлы и грузить видео точно так же быстро. Разница заключается исключительно во внутренних протоколах безопасности, а не в скорости передачи данных.

2. У меня современный двухдиапазонный роутер. Обязательно ли переводить сеть 5 ГГц тоже на старый WPA2?

Абсолютно не обязательно! Умный дом почти всегда работает только на частоте 2.4 ГГц. Идеальный и самый безопасный сценарий настройки выглядит так:

• Сеть 5 ГГц оставьте на WPA3 (или в смешанном режиме) для современных смартфонов, планшетов и ПК.
• Сеть 2.4 ГГц жестко переведите в классический WPA2-PSK(AES) специально для колонок, лампочек и датчиков.
• Важно: при этом обязательно дайте сетям разные имена (SSID), отключив функцию Smart Connect (Band Steering), чтобы устройства не путались.

3. Я переключил роутер на WPA2, но Яндекс Станция (или пылесос) всё равно не видит сеть. Что еще проверить?

Если смена шифрования не помогла, проблема кроется в других настройках 2.4 ГГц:

• Канал Wi-Fi: Убедитесь, что роутер не перескочил на 12 или 13 канал. Многие китайские устройства аппаратно их не видят из-за региональных ограничений. Жестко зафиксируйте в настройках канал от 1 до 11.
• Ширина канала: Поменяйте ширину канала с 40 МГц на 20 МГц - это сделает сигнал более дальнобойным и стабильным для слабых антенн умного дома.
• Изоляция AP: Проверьте, что выключена изоляция клиентов (AP Isolation), иначе ваш смартфон просто не сможет "достучаться" до колонки в локальной сети, чтобы передать ей пароль.

4. Насколько вообще безопасно использовать WPA2 сегодня? Меня не взломают?

Вполне безопасно. Стандарт WPA2 с алгоритмом AES и надежным длинным паролем (от 12 символов, включающим буквы разного регистра и цифры) взломать "в лоб" прямым перебором практически нереально. Для домашней сети этого уровня защиты более чем достаточно. Гораздо важнее зайти в настройки роутера и навсегда отключить функцию WPS - именно через её уязвимости чаще всего и ломают домашние сети, независимо от того, WPA2 у вас или WPA3.

5. Можно ли подключить умный дом через гостевую Wi-Fi сеть?

Можно, и с точки зрения безопасности это отличная практика (вы изолируете китайские датчики и камеры от ваших личных компьютеров и NAS-хранилищ). Но есть нюанс: в гостевых сетях по умолчанию часто включена та самая "Изоляция клиентов". На время первичного подключения устройства через приложение на телефоне эту изоляцию придется временно отключить, а когда колонка появится в сети - можно включать обратно.
P.S: Но лучше создать отдельную VLAN-сеть для IoT с гибкими правилами межсетевого экрана, если ваш роутер поддерживает продвинутые функции.

Глоссарий

• AES (Advanced Encryption Standard): Современный, быстрый и криптографически стойкий алгоритм симметричного шифрования. Является стандартом по умолчанию для сетей WPA2. Обеспечивает высокую безопасность без потери скорости передачи данных.
• Beacon frame (Фрейм-маяк / Маячок): Регулярный служебный широковещательный пакет, который роутер постоянно отправляет в радиоэфир. Он сообщает устройствам вокруг: "Я здесь, моя сеть называется так-то, я поддерживаю такие-то типы шифрования и скорости".
• ESP8266 / ESP32: Крайне популярные, дешевые микроконтроллеры с поддержкой Wi-Fi. На их базе собирается подавляющее большинство бюджетных устройств умного дома (реле Sonoff, китайские смарт-розетки, датчики и лампочки).
• Handshake (Рукопожатие): Процесс первоначального обмена данными между клиентским устройством (например, колонкой) и роутером. Во время "рукопожатия" устройства подтверждают знание пароля и генерируют уникальные ключи для шифрования текущего сеанса связи. В WPA2 это называется 4-way handshake (четырехэтапное рукопожатие).
• IE (Information Elements / Информационные элементы): Специальные блоки данных внутри пакета Beacon frame. В них закодированы технические возможности роутера, которые он транслирует в эфир (например, поддержка протокола SAE).
• IoT (Internet of Things / Интернет вещей): Концепция вычислительной сети физических предметов, оснащенных технологиями для взаимодействия друг с другом. В бытовом понимании - это элементы умного дома (колонки, пылесосы, климат-контроль, датчики).
• PMF (Protected Management Frames / 802.11w): Стандарт защиты служебных кадров управления Wi-Fi (например, команд на подключение или отключение от сети). Исключает атаки типа деаутентификации. В WPA2 эта защита опциональна, а в WPA3 - обязательна.
• SAE (Simultaneous Authentication of Equals): Протокол аутентификации, используемый в стандарте WPA3 вместо устаревшего механизма PSK. Надежно защищает сеть от атак по словарю (брутфорса) и перехвата ключей, даже если пароль от Wi-Fi короткий или словарный.
• SSID (Service Set Identifier): Имя вашей Wi-Fi сети, которое отображается в списке доступных подключений на телефоне или компьютере.
• TKIP (Temporal Key Integrity Protocol): Устаревший и уязвимый протокол шифрования, использовавшийся в старом стандарте WPA. Сегодня использовать его категорически не рекомендуется из-за дыр в безопасности и ограничения скорости (режет скорость до 54 Мбит/с).
• Transition Mode (Смешанный режим / Переходный режим): Режим работы роутера (обычно обозначается как WPA2-PSK/WPA3-SAE), при котором он одновременно обслуживает старые устройства по стандарту WPA2 и новые по WPA3. Является главной причиной сбоев при подключении дешевых IoT-устройств и старых принтеров.
• WPA2-PSK (Wi-Fi Protected Access II - Pre-Shared Key): Классический стандарт защиты домашних беспроводных сетей, использующий предварительно согласованный ключ (пароль). Самый совместимый и стабильный стандарт на сегодняшний день для устройств умного дома.
• WPA3 (Wi-Fi Protected Access 3): Актуальный и самый современный стандарт безопасности Wi-Fi, пришедший на смену WPA2 в 2018 году. Обеспечивает максимальную защиту криптографии, но имеет плохую обратную совместимость со старым или дешевым оборудованием.
• WPS (Wi-Fi Protected Setup): Функция, позволяющая подключиться к Wi-Fi нажатием кнопки на роутере без ввода пароля. Известна своими критическими уязвимостями (взлом PIN-кода). Для безопасности домашней сети эту функцию рекомендуется полностью отключать в настройках роутера.
• Сетевой стек (Стек протоколов): Программный компонент внутри операционной системы или прошивки устройства, который отвечает за обработку сетевых данных и реализацию логики стандартов связи (например, Wi-Fi и TCP/IP). В бюджетных устройствах умного дома сетевой стек часто урезан для экономии памяти.
• AP Isolation (Изоляция клиентов / Изоляция точки доступа): Настройка безопасности роутера, которая запрещает устройствам, подключенным к одной Wi-Fi сети, обмениваться данными друг с другом. Каждое устройство может выходить только в интернет. Часто используется в публичных и гостевых сетях.
• Band Steering / Smart Connect (Интеллектуальное подключение): Функция современных роутеров, которая объединяет сети 2.4 ГГц и 5 ГГц под одним общим именем (SSID). Роутер сам решает, на какую частоту переключить устройство в зависимости от уровня сигнала и поддержки стандартов. Часто является причиной сбоев при подключении старых или дешевых IoT-устройств.
• NAS (Network Attached Storage / Сетевое хранилище): Домашний или офисный сервер для хранения файлов, резервных копий и медиа. Обычно находится в основной локальной сети и требует защиты от потенциально уязвимых устройств умного дома.
• Каналы Wi-Fi (1-11 vs 12-13): Диапазон частот 2.4 ГГц разделен на каналы. В США разрешены каналы с 1 по 11, а в Европе и России - с 1 по 13. Многие IoT-устройства, произведенные для глобального рынка или "серого" импорта, аппаратно не видят 12 и 13 каналы. Если роутер автоматически выберет один из них, устройство потеряет сеть.
• Ширина канала (20 МГц / 40 МГц): Параметр Wi-Fi сети, определяющий её пропускную способность. 40 МГц дает более высокую скорость, но сильнее подвержен помехам от соседских роутеров. 20 МГц обеспечивает меньшую скорость (которой с запасом хватает умному дому), но сигнал становится более плотным, дальнобойным и стабильным, что критически важно для слабых антенн в датчиках и розетках.

Источник: Авторский материал riopass.ru на основе практического опыта настройки сетей умного дома.
При подготовке технического обоснования использовались открытые спецификации Wi-Fi Alliance.

Подписывайтесь на наш Telegram https://t.me/riopass_ru, чтобы первыми узнавать о выходе новых полезных статей на riopass.ru.

Недавно мне в руки попал Wi-Fi роутер Cudy WR300. Я брал его сугубо как точку доступа, с мыслью "куплю какое-то барахло на сдачу, лишь бы сеть раздавало". Но реальность превзошла ожидания настолько, что устройство однозначно заслуживает отдельного разбора.

Железо: скромно, но со вкусом

Аппаратная база здесь без претензий на гигабитные скорости, но для своих задач она сбалансирована идеально:

Процессор: MediaTek MT7628 (580 МГц)

Память: 64 МБ ОЗУ (DDR2) и 8 МБ Flash

Интерфейсы: 1x WAN и 3x LAN (все порты стандарта 10/100 Мбит/с)

Беспроводная сеть: Только 2.4 ГГц (802.11n, до 300 Мбит/с), работают две несъемные антенны с усилением 5 дБи.

Дизайн потрясающий - устройство выглядит гораздо дороже своей реальной стоимости. Производитель не поскупился даже на упаковку: красивая коробка, аккуратно уложенная документация - распаковывать действительно приятно.

Программная оболочка: Скрытый OpenWRT

Интерфейс и софт заслуживают твердые 10 из 10. Настраивается роутер практически в автоматическом режиме, что огромный плюс. Но самое интересное кроется под капотом - прошивка базируется на OpenWRT.

Да, она урезана и сильно адаптирована под рядового пользователя, но стабильность ядра OpenWRT никуда не делась. Роутер работает как швейцарские часы и из коробки поддерживает современные VPN-протоколы (WireGuard, L2TP, PPTP).

Киллер-фичи для своей цены

• MESH из коробки. Был приятно удивлен тем, что этот малыш поддерживает бесшовный роуминг. Если покрытия одной точки не хватит, можно легко докупить еще один роутер Cudy и в пару кликов собрать единую сеть.
• Умный редирект при обрыве. Если отходит интернет-кабель (как случилось у меня) или пропадает линк от провайдера, роутер не просто оставляет вас перед неработающим браузером. При потере связи он автоматически выкидывает вас на окно авторизации/статуса устройства. Это невероятно удобно для быстрого траблшутинга - сразу понимаешь, на чьей стороне проблема.

Результаты:

• Программная оболочка: 10 из 10
• Дизайн: 10 из 10
• Комплектация: 10 из 10

Это превосходный роутер для создания точки доступа, покрытия умного дома или работы на тарифах до 100 Мбит/с. Тот самый случай, когда железка отрабатывает каждый вложенный рубль.

Многие пользователи OpenWrt сталкиваются с одной и той же проблемой: плагин adblock-fast установлен, списки (Hagezi или OISD) выбраны, служба запущена, но реклама на сайтах и в приложениях продолжает пролезать. Тесты показывают удручающий результат блокировки - около 40-45%.

Причина кроется не в плохих списках, а в недостатке инструментов для их обработки.

В чем проблема?

По умолчанию OpenWrt использует облегченный набор утилит (BusyBox). Когда вы скармливаете роутеру огромный список блокировки (например, Hagezi Pro), встроенные "урезанные" утилиты просто захлебываются. Они не могут корректно отсортировать и очистить сотни тысяч доменов, из-за чего в память загружается лишь малая часть правил или процесс завершается с ошибкой.

На скриншотах изображен экран настроенного AdBlock-Fast:

Решение

Для корректной работы adblock-fast на современных прошивках (включая 24.xx) критически важно доустановить полноценные версии инструментов обработки текста.

Что нужно установить:

• gawk

• grep

• sed

• coreutils-sort

Инструкция (Терминал)

Самый быстрый способ исправить ситуацию - выполнить две команды в терминале (SSH):

opkg update
opkg install gawk grep sed coreutils-sort

Инструкция (Веб-интерфейс LuCI)

1. Перейдите в System → Software.

2. Нажмите Update lists.

3. По очереди найдите и установите пакеты: gawk, grep, sed и coreutils-sort.

Итого

Сразу после установки пакетов перезапустите службу Adblock. Роутер сможет корректно "переварить" тяжелые списки.

• Было: ~40% на тестах (d3ward / AdBlock Tester).

• Стало: 96-98% блокировки.

Важный нюанс про IPv6: Если даже после этого телефон продолжает показывать рекламу, проверьте, не использует ли он IPv6. Часто мобильные устройства обходят блокировку, получая "чистый" DNS адрес через протокол IPv6. В таком случае в настройках интерфейса LAN (DHCP Server -> IPv6 Settings) лучше выключить раздачу IPv6 (поставить в режим Disabled).

DoH(DNS over HTTPS) - это протокол, который шифрует ваши DNS-запросы с помощью HTTPS, того же протокола, что защищает соединения с банками и интернет-магазинами. Вместо отправки простого текстового запроса на порт 53 (как в классическом DNS), DoH "упаковывает" его в зашифрованное HTTPS-соединение и отправляет на порт 443.

DNS over HTTPS (DoH) на роутере даёт следующие преимущества:

• Конфиденциальность: Ваш интернет-провайдер, администратор публичной Wi-Fi сети или любой человек в той же сети не может видеть, какие доменные имена вы запрашиваете. Они видят лишь одно зашифрованное соединение с IP-адресом DoH-резолвера.

• Целостность данных: Шифрование предотвращает подмену DNS-ответов (DNS spoofing). Злоумышленник не может перенаправить вас на фишинговый сайт, манипулируя DNS-запросами.

• Обход цензуры: Поскольку провайдер не может анализировать или блокировать отдельные DNS-запросы, многие виды блокировок на уровне DNS становятся неэффективными.

Инструкция для версии прошивки OpenWrt 24.10.4:

1 . Сделайте бэкап прошивки и сохраните её на отдельном диске или флешке

2 . Установите: luci-app-https-dns-proxy (для отображения в Web интерфейсе) и https-dns-proxy

3 . Зайдите по SSH на роутер и проверьте командой nslookup openwrt.org localhost - если появился ip значит всё в порядке

4 . По умолчанию установлен Cloudflare и Google, в списке есть множество известных публичных DNS, например Adguard для дополнительной блокировки рекламы и прочее. Если необходимо исправить зайдите в web интерфейсеServices -> HTTPS DNS Proxy -> HTTPS DNS Proxy - Instances меняем у которого порт 5053 -> Edit -> выбираем Provider из списка -> Save -> внизу страницы Save and Apply.

5 . HTTPS DNS Proxy - Status указаны какие прокси на каком порту работают.

Что делать, если в Web интерфейсе не появились Services -> HTTPS DNS Proxy?

Скорее всего необходимо очистить кэш браузера (Ctrl+F5) или не установилось luci-app-https-dns-proxy. Или попробуйте выйти и заново войти в LuCI и перезагрузить роутер.

Важное уточнение:

Недостаток DoH заключается в том, что при использовании публичных DNS-сервисов (например, Cloudflare или Google DNS) вы перекладываете доверие с провайдера на крупную компанию. С одной стороны, она обещает не передавать вашу информацию третьим лицам, с другой — фактически вы отдаете статистику о своих запросах другому крупному игроку на рынке.

Не забудьте протестировать на утечки и защиту ваши настройки:

Тест на утечку DNS

Тест DNSSEC

Протокол SSTP (Secure Socket Tunneling Protocol) придумала и разработала компания Microsoft.

Когда говорят что у Keenetic или Mikrotik "свой SSTP", имеется в виду не свой протокол, а своя программная реализация этого протокола.

Например как с веб-браузерами:

1. Протокол: Есть стандарт HTTPS, по которому работают современные сайты.

2. Реализация: Есть Google Chrome, Mozilla Firefox, Apple Safari. Это разные программы (разные реализации), написанные разными компаниями, но все они "понимают" один и тот же протокол HTTP.

Что значит свой SSTP на Keenetic?

Это значит, что инженеры Keenetic написали собственный код (свою программу-клиент и программу-сервер), который работает по правилам (стандарту) протокола SSTP от Microsoft.

Чем он отличается от других (например, от того, что в Windows)?

1. По протоколу - ничем. Он полностью совместим. Клиент SSTP на Windows 10/11 может без проблем подключиться к SSTP-серверу, поднятому на Keenetic. И наоборот, роутер Keenetic (как клиент) может подключиться к SSTP-серверу на Windows Server.

2. По реализации - всем. Он написан на другом языке программирования, оптимизирован для работы на оборудовании Keenetic (у роутеров меньше оперативной памяти и более слабые процессоры, чем у ПК) и встроен в их операционную систему KeeneticOS. Реализация Microsoft встроена в Windows.

А на Mikrotik есть SSTP? Там тоже свой SSTP?

Да, на Mikrotik (в RouterOS) есть SSTP. Он поддерживается уже много лет и отлично работает.

И да, там тоже "свой SSTP". Точно так же, как и Keenetic, компания Mikrotik написала свою собственную программную реализацию протокола SSTP, чтобы он работал в их операционной системе RouterOS. Эта реализация также полностью совместима со стандартом Microsoft.

Протокол (стандарт) один - его придумала Microsoft. А вот реализаций (программ, которые этот протокол используют) много.

В чем главная фишка SSTP?

Главная фишка SSTP - это его способность маскироваться под обычный HTTPS-трафик.

1 . Обход блокировок (Firewall/DPI): Это его основное преимущество. SSTP инкапсулирует VPN-трафик в HTTPS (SSL/TLS) соединение. Большинство межсетевых экранов (файрволов) и систем глубокого анализа пакетов (DPI - Deep Packet Inspection) пропускают HTTPS-трафик, так как это стандартный протокол для защищенных веб-сайтов (банков, магазинов, почты и т.д.). Для DPI трафик SSTP выглядит как обычный HTTPS.

• В отличие от OpenVPN, который может быть настроен на любой порт и легко идентифицируется DPI, если не применять обфускацию, SSTP по умолчанию "выглядит" как веб-трафик.

• WireGuard хоть и быстр, но его трафик также может быть идентифицирован DPI, если не использовать маскировку.

2 . Надежное шифрование: SSTP использует SSL/TLS для шифрования, что обеспечивает высокий уровень безопасности. Это те же криптографические стандарты, что используются для защиты банковских транзакций в интернете.

3 . Встроенная поддержка в Windows: Поскольку SSTP разработан Microsoft, он встроен во все современные версии Windows, что делает его очень простым в настройке для клиентов на Windows — не требуется установка дополнительного ПО.

4 . Удобство для администраторов (Windows-среда): Для организаций, полностью построенных на инфраструктуре Windows Server (Active Directory, RRAS), SSTP является естественным выбором для удаленного доступа, так как он легко интегрируется с этими системами.

Как работает SSTP?

1 . Инкапсуляция в HTTPS:

• SSTP устанавливает VPN-туннель через протокол HTTPS. Это означает, что он использует TCP-порт 443 (стандартный порт для HTTPS).

• Когда вы подключаетесь к SSTP-серверу, ваш клиент инициирует обычное HTTPS-соединение. Внутри этого HTTPS-соединения SSTP создает свой собственный туннель.

2 . SSL/TLS Handshake:

• Как и любое HTTPS-соединение, SSTP сначала выполняет SSL/TLS "рукопожатие" (handshake), чтобы установить защищенный канал. На этом этапе клиент и сервер обмениваются сертификатами (обычно сервер отправляет свой сертификат клиенту, чтобы клиент мог убедиться в подлинности сервера) и договариваются о параметрах шифрования.

• Это ключевой момент для обхода DPI: на данном этапе трафик выглядит идентично обычному HTTPS.

3 . Аутентификация и туннель:

• После установления защищенного TLS-канала, внутри него происходит аутентификация пользователя (по логину/паролю или другим методам).

• После успешной аутентификации устанавливается сам VPN-туннель, и весь сетевой трафик клиента начинает проходить через этот защищенный туннель.

SSTP является одним из наиболее эффективных протоколов для обхода DPI и файрволов, которые блокируют VPN-трафик. Его главный козырь - использование стандартного порта 443 и маскировка под HTTPS. Это делает его очень полезным в сетях с жесткими ограничениями или в странах, где VPN-трафик активно блокируется.