Добавить в корзинуПозвонить
Найти в Дзене
Партнёр TP-Link - Россия
144 подписчика

Блокировка сайтов и ресурсов на роутерах TP-Link

118
8 мин
Главная мысль: блокировка сайтов и приложений на роутерах TP-Link — это не одна «галочка», а набор инструментов: фильтрация по доменам (URL Filter/Parental Controls/HomeShield), принудительный DNS (чтобы обходы через DoH/DoT не работали), правила расписаний, изоляция гостей, а при необходимости — запрет VPN и перенаправление любых попыток уйти на «левый» DNS обратно на ваш. Чем тщательнее вы комбинируете эти уровни, тем устойчивее работает запрет — даже против продвинутых «обходчиков». В TP-Link функции называются по-разному в зависимости от серии и прошивки: Золотое правило: всегда обновите прошивку перед настройкой — в последних версиях лучше работают фильтры SNI/категорий и исправлены ошибки DNS-редиректа. Реально эффективный сценарий — комбинация 1–3 + точечные запреты 5 при необходимости. Даже если вы запретите домены, «продвинутый» пользователь может переключить DNS на публичный (1.1.1.1, 8.8.8.8) или использовать DoH/DoT. Решение — форсировать DNS: Итог: любые запросы DNS остаю
Оглавление
Главная мысль: блокировка сайтов и приложений на роутерах TP-Link — это не одна «галочка», а набор инструментов: фильтрация по доменам (URL Filter/Parental Controls/HomeShield), принудительный DNS (чтобы обходы через DoH/DoT не работали), правила расписаний, изоляция гостей, а при необходимости — запрет VPN и перенаправление любых попыток уйти на «левый» DNS обратно на ваш. Чем тщательнее вы комбинируете эти уровни, тем устойчивее работает запрет — даже против продвинутых «обходчиков».

Какой у вас роутер и где «живут» блокировки

В TP-Link функции называются по-разному в зависимости от серии и прошивки:
  • Archer (веб-интерфейс + приложение Tether)

    Обычное расположение: Advanced →     Parental Controls (или HomeShield) и Access Control / Security → Firewall / URL Filtering. На новых моделях — вкладка HomeShield с профилями.
  • Deco (приложение Deco)

    Главная →     HomeShield (семейные правила, фильтрация категорий), Block List у каждого клиента, Blacklist (быстрая блокировка сайта/приложения на профиль), Bedtime/Расписания. На бизнес-линейке Omada — свои политики (EAP/ER/OC).
  • Модемы/4G (MR-серия)

    Базовые Parental Controls + Access Control, часто без «глубоких» IPS/категорий, но с белыми/чёрными списками и расписанием.
Золотое правило: всегда обновите прошивку перед настройкой — в последних версиях лучше работают фильтры SNI/категорий и исправлены ошибки DNS-редиректа.
-2

Основные подходы к блокировке и их сильные/слабые стороны

  1. По домену (URL/hostname):

    Запрещаем example.com, *.example.com.

    Плюсы: просто и точечно. Минусы: не работает против IP-адресов/зеркал, у некоторых приложений домены меняются.
  2. По категории (HomeShield/Parental Controls):

    Одна галочка — и сразу блок «Adult/Drugs/Gambling/Social Media» и т. п.

    Плюсы: охватывает множество доменов. Минусы: возможны ложные срабатывания/пропуски, зависит от подписки.
  3. Принудительный DNS (DNS-Enforce):

    Любые запросы на 53/853 (DoT) перекидываем на ваш DNS (роутера/провайдера/семейный).

    Плюсы: ломает попытки уйти на «внешний» DNS. Минусы: DoH (DNS over HTTPS) идёт по 443/TLS — потребуется расширенная блокировка DoH-эндпоинтов.
  4. Блокировка по IP/подсетям:

    Устаревающий, но полезный для «жёстких» ресурсів. Минусы: CDN/Anycast/IP часто меняются, можно перекрыть «лишнее».
  5. Запрет VPN/прокси:

    Ограничить распространённые порты/протоколы (L2TP/IPsec/OpenVPN/WireGuard), отключить/ограничить QUIC/DoH-хосты.

    Плюсы: мешает обходам. Минусы: риск затронуть легальные сервисы (работа/банкинг).
Реально эффективный сценарий — комбинация 1–3 + точечные запреты 5 при необходимости.

Быстрый старт на Archer (веб-интерфейс)

Создаём профиль контроля (HomeShield/Parental Controls)

  1. Войти в веб-панель: http://tplinkwifi.net → Advanced → HomeShield / Parental Controls.
  2. Создать Профиль («Дети», «Гости»). Привязать к нему устройства (можно по MAC/имени).
  3. Включить Content Filter: категории (Adult, Gambling, Social, Games), при необходимости — «Custom».
  4. Добавить Blocked Websites: список доменов (см. §7).
  5. Настроить Bedtime (сон) и Time Limits (допустимое время в сети).
  6. Включить Notifications — чтобы видеть попытки доступа и новые устройства.

URL Filtering / Access Control (если нет HomeShield)

  1. Advanced → Security → Access Control → включить.
  2. Создать правило Blacklist на домены/ключевые слова (tiktok, vk.com, minecraft.net и т. п.).
  3. Применить к нужным устройствам/всем/расписанию.
  4. Сохранить и проверить из клиента.

Быстрый старт на Deco (приложение)

  1. Открыть Deco → вкладка HomeShield.
  2. Создать Профиль (например, «Школа», «Гости»), привязать устройства.
  3. Включить категории — Content Filter → выбрать возрастной уровень/кастом.
  4. В Blocked Content → Websites внести домены.
  5. Настроить Bedtime, Offtime (окна без интернета), Time Limits.
  6. В карточке конкретного клиента доступна кнопка Block (мгновенная блокировка устройства или ресурса).
  7. Включить Activity Report — отчёт о посещениях/попытках (на новых версиях HomeShield).

Принудительный DNS и запрет DoH/DoT: почему это важно

Даже если вы запретите домены, «продвинутый» пользователь может переключить DNS на публичный (1.1.1.1, 8.8.8.8) или использовать DoH/DoT. Решение — форсировать DNS:

  1. На Archer: Advanced → Network → Internet / DHCP:
    Задать     Static DNS (например, семейные DNS: Cloudflare Family 1.1.1.3/1.0.0.3, или провайдерские с фильтрами).
    В     Security/Access Control добавить правило Redirect/Block портов 53 (UDP/TCP) наружу, кроме IP самого роутера (если поддерживается). На некоторых моделях это делается в NAT Forwarding/Firewall — «перехват» 53 на локальный DNS.
    Если доступно, включить     DNS Rebind Protection.
  2. DoT (853/TCP): запретить наружу, если в вашей сети нет устройств, которым нужен DoT.
  3. DoH (443/TLS):
    Добавить в     URL Filtering список популярных DoH-хостов (mozilla.cloudflare-dns.com, dns.google, dns.quad9.net, doh.opendns.com, и т. п.).
    На некоторых прошивках HomeShield сам учитывает DoH-категории для детских профилей.
    В отчёте Deo/Archer отслеживайте попытки к этим хостам.
Итог: любые запросы DNS остаются под вашим контролем, и доменная фильтрация реально работает.

Расписания, профили и «мгновенная пауза»

  • Bedtime / Sleep: отключение интернета у профиля ночью.
  • Offtime: окна без интернета (например, «уроки» с 16:00 до 18:00).
  • Time Limits: суммарное время онлайн в день/неделю.
  • Pause Internet: мгновенная блокировка конкретного устройства/профиля (в Deco/ Tether).
Расписания — мощный детский инструмент: даже если ресурс «проскочил», по времени ребёнок всё равно не выйдет в сеть.

Практика доменных списков: как писать правильно

Примеры доменов (вводите без схемы https://)

  • Социальные:

    vk.com, *.vk.com, *.vk.ru, ok.ru, *.ok.ru, instagram.com, *.instagram.com, tiktok.com, *.tiktok.com, telegram.org, *.telegram.org, web.telegram.org, *.whatsapp.com.
  • Видео/игры:

    youtube.com, *.youtube.com, ytimg.com, *.ytimg.com, netflix.com, *.netflix.com, roblox.com, *.roblox.com, minecraft.net, *.minecraft.net, playstation.com, xboxlive.com.
  • «Взрослые»/азартные (категории HomeShield перекрывают большую часть, но добавьте явные домены, которые встречались в отчётах).
  • DoH-узлы:

    dns.google, cloudflare-dns.com, mozilla.cloudflare-dns.com, doh.opendns.com, use-application-dns.net, dns.quad9.net.

Шаблоны

  • Используйте маску *.домен для поддоменов.
  • Для «семейств» ресурсов — добавляйте домены CDN (например, ytimg.com для YouTube).
  • Сначала включите правило в «тестовом» профиле и проверьте отчёт — чтобы не «перерезать» лишнее.

Блокировка приложений: где тонко и что реально сделать

Современные приложения (TikTok, Instagram, мессенджеры) часто:

  • меняют домены/подсети;
  • работают поверх TLS/QUIC (UDP/443), прячут DNS (DoH) и используют SNI лишь частично;
  • уходят в IP-пулы CDN (Akamai, CloudFront).

Подход:

  1. Категории в HomeShield: включить «Соцсети», «Видео», «Чаты» для нужного профиля.
  2. Доменные списки с расширением на CDN-домены.
  3. QUIC off (если доступно в расширенных настройках): запрет UDP/443 для «стримовых» профилей — заставляет приложения перейти на TCP/443, где фильтры могут работать стабильнее.
  4. VPN-запреты (ниже).
  5. Принудительный DNS + DoH-блок.
Полной «гарантированной» блокировки без DPI/NGFW не бывает, но комбинация выше закрывает 95% бытовых кейсов.

Anti-bypass: как помешать обходам (VPN, релей, приватный MAC)

  1. VPN-протоколы: заблокируйте исходящие к Internet порты/протоколы, не используемые вами:
    L2TP/IPsec: UDP 500/4500;
    PPTP: TCP 1723 (и GRE 47);
    OpenVPN: UDP/TCP 1194 (и кастомные);
    WireGuard: UDP 51820 (и кастомные).

    Если работа требует VPN — делайте исключение     для конкретного устройства/профиля.
  2. Private Relay (Apple), прокси-расширения: добавьте известные домены служб обхода в блок-лист (по логам).
  3. Private/Randomized MAC на детских устройствах:

    Выключите эту опцию     именно для вашей сети, иначе правила по MAC не сработают.
  4. Мобильные данные: Wi-Fi-блокировка не перекроет LTE. На смартфонах — семейные/родительские функции OS, либо правила на уровне оператора.

Логи, уведомления и отладка

  • Включите Notifications: новые устройства, превышение лимитов, попытки к запрещённым категориям.
  • Раз в неделю заглядывайте в Activity/Usage: какие домены чаще всего «блокируются», где были «прорывы».
  • Если сайт «не ловится», проверьте:
    работает ли ваш принудительный DNS;
    не уходит ли клиент в DoH/QUIC/VPN;
    нет ли у правила слишком узкой маски (нужен *.домен);
    не попали ли вы на     ECH (Encrypted Client Hello) в новых браузерах (скрывает SNI; частично помогает запрет известных DoH и принудительный DNS + категории HomeShield).

Пример «боевой» конфигурации за 30–40 минут (дом+дети)

  1. Обновить прошивку.
  2. Создать профили Kids и Guest (HomeShield).
  3. Kids: включить категории (Adult/Gambling/Drugs/Social/Video), добавить блок-домены из §7, включить Bedtime и Time Limits.
  4. Guest: изоляция клиентов, запрет доступа к локалке, ограничение скорости (если поддерживается).
  5. В сетевых настройках: задать семейный DNS (Cloudflare Family/OpenDNS Family), включить перехват 53 (если доступен), запретить 853/TCP, добавить DoH-хосты в блок-лист.
  6. (Опционально) Запретить UDP/443 для Kids/Guest.
  7. Включить Notifications и проверять недельный отчёт.
  8. Закрепить DHCP Reservation для детских устройств (чтобы MAC/IP не «гуляли»).
  9. Сделать бэкап конфигурации.

Частые вопросы

- Можно ли заблокировать YouTube «на 100%»?
Почти — да, при комбинации категорий + доменов (youtube.com, ytimg.com, googlevideo.com) + принудительного DNS + запрета DoH. Но смарт-ТВ могут использовать встроенные сервисы/CDN — добавляйте по логам. Для детских профилей удобнее включить «Уровень возраста» в HomeShield и правила времени.

- Сработает ли блок Telegram?
Частично. Мессенджер использует IP-пулы/CDN/прокси. Блок доменов + запрет VPN + принудительный DNS закрывает большинство бытовых случаев, но абсолютной гарантии без DPI нет.

- Нужно ли ставить сторонний DNS-фильтр?
Если ваш роутер умеет перехватывать 53/853 и блокировать DoH-хосты, достаточно провайдерского/семейного DNS. Иначе — подключите семейный фильтр (OpenDNS/Cloudflare Family) и принудительно гоните все DNS туда.

- Как не «перерезать» рабочие сервисы?
Делайте белый список доменов для профиля Work/Parent, не применяйте к нему запреты VPN/DoH. Или заведите отдельный SSID/профиль без жёстких фильтров.

Итоги

Надёжная блокировка на TP-Link — это слоёный пирог:

  • Профили HomeShield/Parental Controls и категории + собственный блок-лист доменов.
  • Принудительный DNS и запрет DoH/DoT (или их явных хостов).
  • Расписания и «пауза» как кнопка «паник».
  • При необходимости — частичный запрет VPN-протоколов и QUIC для «детских»/гостевых профилей.
  • Регулярный взгляд в отчёты и точечные правки списков.
Такой подход дисциплинирует трафик без «кирпичей» и оставляет взрослым доступ к работе, а детям — безопасную и дозированную сеть.