Мы начали обзор шлюза безопасности GL.inet GL-MT2500A, также известного как Brume 2, с распаковки и разборки, и у нас было время протестировать маршрутизатор более детально, поэтому мы расскажем о нашем опыте использования маршрутизатора с OpenVPN и WireGuard VPN, Tor, Adguard Home и многое другое. Устройство очень легко использовать, если не возникнет проблем с вашим интернет-провайдером, с чем мы и столкнулись.
Подключение Brume 2 и первоначальная настройка
Мы подключили порт WAN маршрутизатора Brume 2 к модемному маршрутизатору 3BB (3BB — интернет-провайдер в Таиланде), порт LAN к своему ноутбуку и, наконец, блок питания USB-C (потребляемая мощность составляет 2,3 Вт в режиме ожидания).
Теперь перейдем к приборной панели, используя IP-адрес по умолчанию (192.168.8.1).
Затем перейдем в мастер настройки, чтобы выбрать язык и установить пароль администратора. Затем появилось приветствие «Напоминание об обновлении», и мы без проблем выполнили обновление прошивки OTA.
После этого у нас появился доступ к панели администратора, теперь версии 4.1.1.
Есть еще один последний шаг, который вы можете выполнить, прежде чем считать первоначальную настройку завершенной: выбор часового пояса.
Варианты Brume 2 VPN
В разделе VPN есть шесть подменю: панель управления, клиент/сервер OpenVPN, клиент/сервер WireGuard и Tor.
Начнем с Tor, так как в нашем случае его было проще всего настроить, так как нам просто нужно было переключить ползунок «Включить».
Легко проверить, работает ли это, просто посетив Google, и нас перенаправили на Google Norway…
При посещении веб-сайтов, стоящих за CloudFlare, таких как CNX Software, вы можете увидеть страницу «проверка безопасности подключения к сайту», прежде чем перейти на страницу запроса…
… и мы получили необычную активность Microsoft…
и даже были вынужден сменить пароль… Анонимный просмотр через Tor — это здорово, но есть небольшие неудобства.
Мы не подписаны на другую службу VPN и не настроили свой собственный VPN-сервер, поэтому быстро перейдем к настройкам для клиента OpenVPN, поддерживающего NordVPN по умолчанию,
и клиенту WireGuard, поддерживающий AzireVPN и Mullvad по умолчанию.
Но вы, очевидно, можете использовать любую другую службу VPN с клиентом OpenVPN или WireGuard. Это может потребовать немного больше усилий для настройки.
Что мы пробовали, так это серверы OpenVPN и WireGuard. Начнем с сервера OpenVPN.
Панель администратора GL.iNet может автоматически генерировать конфигурацию для маршрутизатора Brume 2, используя порт UDP 1194.
Если мы прокрутим вниз, мы можем нажать «Экспортировать конфигурацию клиента» и выбрать «Использовать домен DDNS», поскольку у большинства людей будет общедоступный IP-адрес, а не фиксированный общедоступный IP-адрес.
Файл client.ovpn содержит все необходимые параметры, включая требуемые сертификаты.
Мы также включили динамический DNS в разделе «Приложения» панели администратора.
Теоретически мы мог бы установить приложение OpenVPN Connect на наш Android и импортировать файл client.opvn, чтобы начать работу. Но не так быстро, так как шлюз безопасности Brume 2 находится за нашим роутером с модемом 3BB, мы его тоже добавили в зону DMZ.
Мы быстро обнаружили, что IP-адрес, предоставляемый маршрутизатором 3BB через DHCP, будет меняться после каждой перезагрузки, поэтому мы просто установили его на 192.168.1.8 в качестве MAC-адреса WAN-порта Brume 2. Мы могли видеть то, что выглядело как общедоступный IP-адрес, но не смогли его пропинговать. Затем мы поняли, что IP-адрес в приборной панели маршрутизатора 3BB был другим, а наше интернет-соединение было внутри VLAN.
Другими словами, у нас не было общедоступного IP-адреса. Представители GL.iNet сказали нам, что единственным решением было использование обратного прокси-сервера, такого как служба компании Astrorelay, для использования маршрутизатора в качестве VPN-сервера. Поэтому мы зарегистрировали бесплатную пробную учетную запись для службы, предоставляющей 1 ГБ данных. Мы следили за старой документацией для панели администратора 3.x и создали агента, но нам не удалось найти ничего для маршрутизатора Brume 2/GL-MT2500, так как он слишком новый. Поэтому мы выбрали другой роутер с OpenWrt 21.02.
Инструкции для маршрутизатора GL-AX1800 требуют доступа к терминалу через SSH и позволяют нам установить демон Astrorelay для 32-битной системы Arm Cortex-A7, но Brume 2 работает на двухъядерном процессоре MediaTek MT7981B (Filogic 820) 64-битный процессор Arm Cortex-A53.
Но есть и хорошие новости: есть также 64-битная страница Aarch64 arc_1.0.0-2102_aarch64_cortex-a53.ipk , которая будет работать на вашем маршрутизаторе. Таким образом, нам удалось успешно установить Astrorelay с помощью команд, представленных на панели инструментов Astrorelay, после замены ссылки на пакет ipk.
В этот момент приборная панель AstroRelay показала, что наш Brume 2 правильно подключен. Следующим шагом было создание ссылки для OpenVPN, и в конце концов мы сделали ее и для WireGuard, используя порты по умолчанию 1194 и 51820.
Мы по-прежнему не могли подключиться через OpenVPN Connect, кнопка становилась оранжевой менее одной секунды, и больше ничего не происходило. В конце концов мы обнаружили, что не можем просто деактивировать Blokada на нашем телефоне из приложения, но для этого нам пришлось перейти в настройки VPN в Android.
Нам просто нужно было изменить поле remote в файле конфигурации client.ovpn на ссылку и порт, определенные в AstroRelay: Brume2.arlab1.cc:48415. При первом подключении появляется предупреждение, а затем все готово. Это заняло огромное количество времени, но в конце концов нам удалось заставить его работать. Было бы намного проще с публичным IP-адресом…
Как только нам удастся заставить это работать, настроить WireGuard Server будет довольно просто.
Важной частью является создание профилей для каждого из устройств, которые вы хотите подключить к сети.
Затем вы можете нажать на значок со стрелкой, чтобы получить QR-код или файл конфигурации для каждого устройства. Мы использовали QR-код с приложением WireGuard в Android и файлы конфигурации с Ubuntu.
|
1 2 3 4 5 6 7 8 9 10 11 12 |
[Interface] Address = 10.0.0.4/24 ListenPort = 2666 PrivateKey = <hidden> DNS = 64.6.64.6 MTU = 1420 [Peer] AllowedIPs = 0.0.0.0/0,::/0 Endpoint = Brume2.arlab1.cc:59506 PersistentKeepalive = 25 PublicKey = <hidden> |
Важная часть — если вы используете AstroRelay — изменить конечную точку на ссылку WireGuard.
В Ubuntu 20.04 нам пришлось установить пакет wireguard и одну зависимость:
|
1 |
sudo apt install wireguard |
Создайте файл конфигурации /etc/wireguard/wg0.conf с содержимым, показанным выше, и запустите интерфейс:
|
1 |
sudo wg-quick up wg0 |
Интерфейс должен появиться с командой ifconfig или ip:
|
1 2 3 4 5 6 7 8 |
$ ifconfig wg0 wg0: flags=209<UP,POINTOPOINT,RUNNING,NOARP> mtu 1420 inet 10.0.0.4 netmask 255.255.255.0 destination 10.0.0.4 unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 txqueuelen 1000 (UNSPEC) RX packets 0 bytes 0 (0.0 B) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 7 bytes 1036 (1.0 KB) TX errors 0 dropped 492 overruns 0 carrier 0 collisions 0 |
и мы не можем пропинговать маршрутизатор Brume 2 в нашей VLAN:
|
1 2 3 4 5 |
$ ping 10.0.0.1 PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data. 64 bytes from 10.0.0.1: icmp_seq=1 ttl=64 time=0.494 ms 64 bytes from 10.0.0.1: icmp_seq=2 ttl=64 time=0.575 ms 64 bytes from 10.0.0.1: icmp_seq=3 ttl=64 time=0.560 ms |
Вы можете отключить интерфейс с помощью:
|
1 |
sudo wg-quick down wg0 |
Нам хотелось проверить производительность нашего телефона по сотовым данным, поскольку у нас есть SIM-карта DTAC с «МАКСИМАЛЬНОЙ скоростью» до 60 ГБ данных в месяц.
Все отлично. Должны признаться, у нас было несколько иное представление о значении «МАКСИМАЛЬНОЙ скорости». Но в любом случае, поскольку мы используем AstroRelay, мы полагаем, что трафик идет через выбранный нами японский сервер (для азиатской зоны), поэтому может не иметь особого смысла тестировать производительность… Что более важно, мы сейчас не можем получить любой интернет-трафик, несмотря на возможность подключения к VPN, и мы не уверены, что могло произойти, поскольку мы не меняли никаких настроек. Сервер AstroRelay, похоже, тоже не отвечает на ping-запросы… Возможно, мы попробуем позже в другом доме с другим интернет-провайдером.
Удаленное управление GoodCloud
Если вы планируете управлять маршрутизатором Brume 2 за пределами вашей локальной сети, вам нужно включить GoodCloud.
Поскольку панель инструментов будет иметь ограниченные возможности, вы можете включить удаленный SSH и/или веб-доступ, если вам это нужно. После регистрации на https://www.goodcloud.xyz/ вы должны увидеть свои устройства.
Если вы нажмете на определенное устройство, вы увидите его статус, список клиентов и сможете перезагрузить его или обновить прошивку.
Значок «Internet Explorer» слева предназначен для доступа в Интернет, а значок рядом с ним — для доступа по SSH.
Это чрезвычайно просто и удобно, и вы можете отключить его для дополнительной безопасности, если считаете, что вам не нужны эти функции.
Главная страница Adguard
Шлюз безопасности Brume 2 также поставляется с Adguard Home для блокировки отслеживания и рекламы на всех устройствах, подключенных к маршрутизатору. Это также очень легко включить с помощью одного переключателя.
Это означает, что вам не нужно устанавливать плагины, такие как Adblock Ultimate, или приложения, такие как Blokada, на все ваши устройства, чтобы блокировать рекламу. Рендеринг немного отличается, так как будут пробелы для удаленных баннеров, из-за чего веб-сайт будет выглядеть немного загроможденным. Некоторые баннеры также не блокируются, но вы всегда можете щелкнуть ссылку «Страница настроек» в верхней части панели администратора, чтобы внести в черный или белый список определенные веб-сайты или строки.
Если вы разместите маршрутизатор перед точкой доступа Wi-Fi, он также будет фильтровать отслеживание и рекламу для мобильных устройств без необходимости запуска отдельной программы, которая может сократить срок службы батареи вашего мобильного устройства.
Заключительные слова
Brume 2 — это отличный небольшой шлюз безопасности для VPN, блокировки рекламы и удаленного управления, который в большинстве случаев очень прост в использовании. Сказав это, стоит упомянуть, что мы имели проблемы с VPN-сервером, поскольку наш интернет-провайдер не предоставляет общедоступный IP-адрес, а документацию по использованию обратного прокси-сервера, такого как AstroRelay, можно было бы улучшить. Почему-то даже после того, как оказалось, что мы нашли решение, оно оказалось ненадежным и на следующий день наш сервер WireGuard или OpenVPN перестал работать. Мы уверены, что было бы лучше, если бы у нас был общедоступный IP-адрес. У нас не было проблем с Adguard Home на протяжении примерно 10 дней использования роутера.
Мы получили модель GL-MT2500A с металлическим корпусом, но мы не уверены, что стоит доплачивать дополнительные 20 долларов по сравнению с более легкой GL-MT2500 с пластиковым корпусом. Компания не удосужилась добавить термопрокладку на процессор, чтобы использовать металлический корпус в качестве радиатора, поскольку, судя по их тестированию, в этом не было необходимости. Для справки: температура корпуса составляла около 40°C при температуре окружающей среды около 28°C.
Нам хотелось бы поблагодарить GL.iNet за отправку Brume 2 (GL-MT2500A) для обзора. Его можно предварительно заказать за 79 долларов, но, как уже было упомянуто выше, возможно вам будет достаточно GL-MT2500 с пластиковым корпусом и стоимостью 59 долларов. Поставки планируется начать в следующем месяце.
Выражаем свою благодарность источнику из которого взята и переведена статья, сайту cnx-software.com.
Оригинал статьи вы можете прочитать здесь.