pfSense: легенда, проверенная десятилетиями

03.11.2025

pfSense — танк в мире файрволов.
Обновляется реже, но работает годами без сюрпризов.

🏢 Кому подойдёт pfSense

• Корпорация от 100 пользователей
• Нужна официальная поддержка
• Есть старое, но надёжное железо
• Цените стабильность

📚 Возможности pfSense

• Multi-WAN и автоматический Failover
• Traffic Shaping — управление полосой
• Captive Portal — авторизация гостей
• OpenVPN и IPsec — шифрованные туннели

⚙️ Установка

1. ISO → USB
2. Установить → настроить WAN/LAN
3. Через 10 минут — готовый файрвол

Пример конфига HAProxy:

OPNsense: файрвол будущего, который ставят новички

02.11.2025

OPNsense — это как pfSense, но красивее, быстрее и с API.
Хотите офисный файрвол, который не стыдно показать начальнику? Вот он.

💼 Кому нужен OPNsense

• Офис 10–50 человек
• VPN для всех сотрудников
• Резервный интернет-канал
• Современный веб-интерфейс

🎨 Интерфейс как у Apple

• Тёмная тема
• Графики в реальном времени
• REST API для автоматизации
• WireGuard из коробки

⚙️ Установка за 5 минут

1. Скачайте ISO с opnsense.org
2. Запишите на флешку (dd или Rufus)
3. Загрузитесь → назначьте интерфейсы → готово!

Автообновление через API:

OpenWRT: превращаем старый роутер в супермашину

01.11.2025

Представьте: старый роутер за 2000 ₽ блокирует рекламу, раздаёт VPN, работает как Mesh-система и не тормозит даже на 50 устройствах.
Это не магия — это OpenWRT.

🏠 Кому нужен OpenWRT

OpenWRT превращает обычный роутер в мини-сервер. Если у вас есть хотя бы один пункт из списка — вам точно пора попробовать:

• Хотите AdBlock на всём доме
• Нужен VPN без подписки
• Остался старый роутер
• Любите покопаться в настройках

90 % пользователей ставят OpenWRT — и забывают про роутер навсегда.

Направляем трафик из локальной подссети через удаленный сервер (IPIP + Policy Routing)

29.10.2025

Это руководство покажет, как настроить два Linux-сервера, чтобы весь интернет-трафик из определенной локальной подсети (например, 10.100.10.0/24) направлялся не через её шлюз по умолчанию, а через IPIP-туннель на удаленный сервер, который уже будет выпускать этот трафик в интернет.

Это полезно, если вам нужно, чтобы сервисы в одной подсети выходили в мир с IP-адреса другого сервера — например, для обхода блокировок, централизованного NAT или маскировки источника.

Действующие лица (вымышленные)

• Подсеть для маршрутизации: 10.100.10.0/24
• Имя туннеля: ipip0
• Туннельная сеть: 10.254.0.0/30

Шаг 1: Настройка Сервера Б (Удалённый Узел Выхода)

Цель: Принять IPIP-туннель от Сервера А и выпускать трафик из подсети 10.100.10.0/24 в интернет через NAT с использованием внешнего IP 203.0.113.20.

MikroTik + Keenetic: FAQ и пошаговая диагностика

21.09.2025

Эта статья собрана как «шпаргалка» для SOHO/SMB-сетей: частые проблемы, их симптомы, причины, быстрые решения и чек-листы диагностики. Подойдёт как для инженеров, так и для админов, кто поддерживает связку MikroTik ↔ Keenetic.

📑 Навигация

• EoIP «замирает» при передаче больших файлов
• Site-to-Site VPN поднят, но трафик не ходит
• NAT ломает VPN/EoIP
• MTU/MSS: как подобрать правильно
• Policy Routing (RouterOS 7)
• SMB из другой подсети не работает
• Чек-лист быстрой диагностики
• Шпаргалки команд
• Типовые MTU для туннелей
• Матрица NAT/Firewall исключений
• Частые «грабли»
• Визуализации
• Ресурсы и документация

1) EoIP «замирает» при передаче больших файлов

Симптомы: SMB/FTP зависает, скорость «пилит», RDP рвётся.
Причины: неверный MTU/MSS, fast-path с IPsec, ошибки NAT/Firewall.

OpenVPN: настройка Ubuntu-сервера и клиента Keenetic

11.09.2025

В этой инструкции разберём, как поднять OpenVPN-сервер на Ubuntu и подключить к нему роутер Keenetic. Такой сценарий удобен, если нужно дать доступ к домашней сети или пробросить сервисы (например, PBX или веб-сервер) через VPN.

1. Подготовка Ubuntu-сервера

1.1 Установка пакетов

sudo apt update
sudo apt install -y openvpn easy-rsa iptables-persistent

1.2 Создание PKI (Easy-RSA v3)

make-cadir ~/easy-rsa
cd ~/easy-rsa
./easyrsa init-pki
./easyrsa build-ca nopass

Серверные ключи

./easyrsa gen-req server nopass
./easyrsa sign-req server server
./easyrsa gen-dh

Клиентские ключи (для Keenetic)

./easyrsa gen-req keenetic nopass
./easyrsa sign-req client keenetic

TLS-ключ (именно tls-auth, а не tls-crypt)

openvpn --genkey secret ta.key

1.3 Разложить ключи

• В /etc/openvpn/server/:

094 | OpenVPN + Keycloak: Современная аутентификаця

27.08.2025

Проблема сертификатов в большом масштабе

В предыдущих статьях мы обсуждали, что OpenVPN использует сертификаты для аутентификации. Этот метод надёжен, но имеет существенные недостатки:

• Неудобство для пользователей: Каждому пользователю нужно вручную передать и установить свой сертификат.
• Сложность управления: При увольнении сотрудника необходимо отозвать его сертификат, что требует дополнительных действий.
• Отсутствие централизации: У каждого сервиса, куда нужен доступ, своя система авторизации.

Решение этой проблемы — использование централизованного провайдера идентификации, такого как Keycloak.

093 | OpenVPN Setup: Объяснение основ работы

26.08.2025

VPN: Не только кнопка “Включить”

Для многих пользователей VPN — это просто кнопка “Включить”. Однако, когда речь идёт о создании собственного защищённого туннеля, важно понимать его архитектуру. OpenVPN строится на двух ключевых идеях: сервер-клиентской модели и инфраструктуре открытых ключей (PKI).

Сервер-клиентская модель

Концепция проста:

• Сервер — это точка входа в вашу защищённую сеть. Он постоянно “слушает” входящие запросы и готов к подключению.
• Клиент — это ваше устройство (ноутбук, телефон), которое инициирует подключение к серверу.

После того как сервер и клиент “договорились”, между ними создаётся защищённый туннель, и весь трафик проходит через него.

092 | OpenVPN: Один протокол - разные клиенты

25.08.2025

OpenVPN: Проверенный временем стандарт

Введение

В мире, где скорость и простота WireGuard стали новым стандартом, OpenVPN остается одним из самых надёжных и гибких VPN-протоколов. Он работает как на классических компьютерах, так и на сетевом оборудовании, обеспечивая кроссплатформенную совместимость и высокий уровень безопасности. Однако, чтобы понять, как его использовать, важно различать сам протокол и его клиентские приложения.

OpenVPN: Движок

OpenVPN — это, в первую очередь, open-source проект и протокол. Это “движок” VPN-туннеля. Протокол использует SSL/TLS для шифрования данных и создания защищённого канала между клиентом и сервером. Его главное преимущество — невероятная гибкость. Вы можете настроить практически любой аспект работы:

091 | DIY Mesh VPN: Headscale и самостоятельный WireGuard

23.08.2025

Когда контроль важнее всего

Сервисы вроде Tailscale и NetBird удобны, но они полагаются на сторонний сервер управления, который отвечает за аутентификацию, распределение ключей и обмен информацией о маршрутах. Для тех, кто по соображениям безопасности или приватности не хочет доверять эту функцию никому, существует два пути: Headscale и “чистый” WireGuard.

Headscale: Ваш собственный Tailscale

Headscale — это полностью open-source реализация сервера управления Tailscale. Она позволяет развернуть собственный аналог Tailscale на своём VPS или сервере, используя официальные клиенты Tailscale.