Как сделать подсеть на роутере keenetic

Обновлено: 24.01.2025

В маршрутизаторе Keenetic (с микропрограммой V2) на одном физическом LAN-порту можно настроить два разных VLAN, например, чтобы один VLAN имел полный доступ к ресурсам локальной сети и к Интернету, а другой VLAN (гостевой) имел бы доступ только в Интернет.

Для реализации данной задачи в маршрутизаторе Keenetic (с микропрограммой V2) требуется создать два VLAN, например:
VLAN 3 – для доступа к локальным ресурсам и Интернету,
VLAN 4 – для гостевого доступа.

Примечание: VLAN 2 является служебным. По умолчанию он используется для порта 5 (WAN).

Настройку маршрутизатора удобнее выполнять из режима командной строки (CLI) устройства.

1. Подключитесь к интернет-центру через telnet-подключение, используя его IP-адрес и пароль по умолчанию (если не меняли).

2. Создайте VLAN 3, VLAN 4 и привяжите их к LAN-порту 4 интернет-центра.

Trunk mode enabled

(config-if-port)> trunk vlan 3

Vlan added to trunk

(config-if-port)> trunk vlan 4
Vlan added to trunk

3. Установите IP-адрес для интерфейсов Switch0/VLAN3, Switch0/VLAN4 и активируйте созданные интерфейсы. В нашем примере для локальной сети назначаем подсеть 192.168.3.0/24, для гостевой – 192.168.4.0/24.

(config-if)> exit

(config)> interface Switch0/VLAN4

(config-if)> ip address 192.168.4.1/24
Network address saved.
(config-if)> security-level private
Interface set as private

(config-if)> up
Interface enabled.

5. Настройте межсетевой экран (Firewall) для блокировки доступа с VLAN 4 к управлению интернет-центром Keenetic и к ресурсам корпоративной сети.

(config-acl)>deny tcp 0.0.0.0 0.0.0.0 192.168.3.0 255.255.255.0

(config-acl)>deny udp 0.0.0.0 0.0.0.0 192.168.3.0 255.255.255.0

(config-acl)>deny icmp 0.0.0.0 0.0.0.0 192.168.3.0 255.255.255.0

(config-acl)>deny tcp 0.0.0.0 0.0.0.0 192.168.1.0 255.255.255.0

(config-acl)>deny udp 0.0.0.0 0.0.0.0 192.168.1.0 255.255.255.0

(config-acl)>deny icmp 0.0.0.0 0.0.0.0 192.168.1.0 255.255.255.0

(config-acl)>deny tcp 0.0.0.0 0.0.0.0 192.168.4.1 255.255.255.255

(config-acl)>deny udp 0.0.0.0 0.0.0.0 192.168.4.1 255.255.255.255

(config-acl)>deny icmp 0.0.0.0 0.0.0.0 192.168.4.1 255.255.255.255

(config-acl)>exit

(config)>interface Switch0/VLAN4

(config-if)>ip access-group _WEBADMIN_VLAN4 in

Access group applied

6. Включите NAT (функция трансляции сетевых адресов) для интерфейсов Switch0/VLAN3 и Switch0/VLAN4.

Сегодня практически в каждой квартире есть домашняя сеть, к которой подключаются стационарные компьютеры, ноутбуки, хранилища данных (NAS), медиаплееры, умные телевизоры, а также смартфоны, планшеты и другие носимые устройства. Используются либо проводные (Ethernet), либо беспроводные (Wi-Fi) соединения и протоколы TCP/IP. С развитием технологий Интернета вещей в Сеть вышла бытовая техника — холодильники, кофеварки, кондиционеры и даже электроустановочное оборудование. Благодаря решениям «Умный дом» мы можем управлять яркостью освещения, дистанционно настраивать микроклимат в помещениях, включать и выключать различные приборы — это здорово облегчает жизнь, но может создать владельцу продвинутых решений нешуточные проблемы.

К сожалению, разработчики подобных устройств пока недостаточно заботятся о безопасности своих продуктов, и количество найденных в них уязвимостей растёт как грибы после дождя. Нередки случаи, когда после выхода на рынок устройство перестаёт поддерживаться — в нашем телевизоре, к примеру, установлена прошивка 2016 года, основанная на Android 4, и производитель не собирается её обновлять. Добавляют проблем и гости: отказывать им в доступе к Wi-Fi неудобно, но и пускать в свою уютную сеть кого попало тоже не хотелось бы. Кто знает, какие вирусы могут поселиться в чужих мобильных телефонах? Всё это приводит нас к необходимости разделить домашнюю сеть на несколько изолированных сегментов. Попробуем разобраться, как это сделать, что называется, малой кровью и с наименьшими финансовыми издержками.

Изолируем сети Wi-Fi
В корпоративных сетях проблема решается просто — там есть управляемые коммутаторы с поддержкой виртуальных локальных сетей (VLAN), разнообразные маршрутизаторы, межсетевые экраны и точки беспроводного доступа — соорудить нужное количество изолированных сегментов можно за пару часов. С помощью устройства Traffic Inspector Next Generation (TING), например, задача решается буквально в несколько кликов. Достаточно подключить коммутатор гостевого сегмента сети в отдельный порт Ethernet и создать правила firewall. Для дома такой вариант не годится из-за высокой стоимости оборудования — чаще всего сетью у нас управляет одно устройство, объединяющее функции маршрутизатора, коммутатора, беспроводной точки доступа и бог знает чего ещё.

К счастью, современные бытовые роутеры (хотя их правильнее называть интернет-центрами) тоже стали очень умными и почти во всех из них, кроме разве что совсем уж бюджетных, присутствует возможность создать изолированную гостевую сеть Wi-Fi. Надёжность этой самой изоляции — вопрос для отдельной статьи, сегодня мы не будем исследовать прошивки бытовых устройств разных производителей. В качестве примера возьмём ZyXEL Keenetic Extra II. Сейчас эта линейка стала называться просто Keenetic, но в наши руки попал аппарат, выпущенный ещё под маркой ZyXEL.

Настройка через веб-интерфейс не вызовет затруднений даже у начинающих — несколько кликов, и у нас появилась отдельная беспроводная сеть со своим SSID, защитой WPA2 и паролем для доступа. В неё можно пускать гостей, а также включать телевизоры и плееры с давно не обновлявшейся прошивкой или других клиентов, которым вы не особенно доверяете. В большинстве устройств прочих производителей эта функция, повторимся, тоже присутствует и включается аналогично. Вот так, например, задача решается в прошивках роутеров D-Link с помощью мастера настройки.

Скриншот с сайта производителя

Добавить гостевую сеть можно, когда устройство уже настроено и работает.

Скриншот с сайта производителя

Как видите, всё достаточно просто, далее мы перейдём к обсуждению более тонких материй.

Изолируем сети Ethernet
Помимо подключающихся к беспроводной сети клиентов нам могут попасться устройства с проводным интерфейсом. Знатоки скажут, что для создания изолированных сегментов Ethernet используются так называемые VLAN — виртуальные локальные сети. Некоторые бытовые роутеры поддерживают эту функциональность, но здесь задача усложняется. Хотелось бы не просто сделать отдельный сегмент, нам нужно объединить порты для проводного подключения с беспроводной гостевой сетью на одном роутере. Это по зубам далеко не всякому бытовому устройству: поверхностный анализ показывает, что кроме интернет-центров Keenetic добавлять порты Ethernet в единый с сетью Wi-Fi гостевой сегмент умеют ещё модели линейки MikroTik, но процесс их настройки уже не столь очевиден. Если говорить о сравнимых по цене бытовых роутерах, решить задачу за пару кликов в веб-интерфейсе может только Keenetic.

Как видите, подопытный легко справился с проблемой, и здесь стоит обратить внимание на ещё одну интересную функцию — вы также можете изолировать беспроводных клиентов гостевой сети друг от друга. Это очень полезно: заражённый зловредом смартфон вашего приятеля выйдет в Интернет, но атаковать другие устройства даже в гостевой сети он не сможет. Если в вашем роутере есть подобная функция, стоит обязательно включить её, хотя это ограничит возможности взаимодействия клиентов — скажем, подружить телевизор с медиаплеером через Wi-Fi уже не получится, придётся использовать проводное соединение. На этом этапе наша домашняя сеть выглядит более защищённой.

Иногда сетевым администраторам необходимо настроить несколько подсетей на одном роутере zyxel keenetic: например, чтобы часть клиентов получала свободный доступ в интернет, а подключенные к другому порту пользователи имели только доступ к локальной сети.

И в данной статье будет рассмотрен пример настройки vlan на роутере zyxel keenetic и создания нескольких подсетей на основе одного маршрутизатора.

Также рекомендуем вам ознакомиться с материалом что такое VLAN и в чем заключается суть маршрутизации между VLAN.

Настройка vlan для доступа в интернет на zyxel

Для настройки vlan на zyxel keenetic вам понадобится доступ к маршрутизатору через консоль «Telnet». Если у вас операционная система Windows 7, то нужно активировать «Telnet клиент». Для этого зайдите в «Панель управления» через меню «Пуск» и кликните по вкладке «Программы и компоненты».

В открывшемся окне «Удаление или изменение программ» зайдите на вкладку «Включение компонентов Windows» в левом верхнем углу и в открывшемся окне поставьте галочку на строке «клиент Telnet».

Ваш telnet клиент активирован, теперь нужно зайти в программу и подключиться к маршрутизатору zyxel keenetic. Вновь заходим в меню «Пуск», в строке поиска пишем «cmd» и нажимаем «Enter»: отроется окно режима командной строки.

После проделанных действий, нужно правильно распределить ip адреса в вашей сети.

Читайте еще: Как подключить модем Мегафон: компьютер, макбук, планшет, антенна и другие устройства

В данном примере маршрутизатор zyxel keenetic будет иметь IP адрес 192.168.1.1, сегмент сети с доступом в интернет будет иметь IP адрес 192.168.0.1\24, а подсеть с доступом только к локальной сети будет иметь IP адрес 192.168.2.0.\24

То есть порты 1.2.3 будут подключены к первой VLAN, а порт 4 будет подключен ко второй.

Настройка сервера на zyxel keenetic для двух подсетей

Теперь вам нужно создать виртуальную сеть для четвертого порта. Для этого нужно ввести команды:

Теперь нужно задать IP вашей сети и добавить правило безопасности. Для этого вводим очередные команды.

Задаем активацию интерфейса командами:

Обратите внимание, что перед тем как настраивать zyxel keenetic в режиме моста и добавлять интерфейсы в «мост», следует удалить ваш Wi-Fi интерфейс, который именуется как Bridge0.

Теперь можно создать для вашей виртуальной сети под номером три свой мост, так как она уже не связана ни с одним из интерфейсов.

Теперь наш интерфейс надо привязать к диапазону IP адресов: для этого вводим следующие команды.

Потом даем разрешение между нашими сетями.

Теперь нужно, чтобы ваш роутер zyxel keenetic сохранил все ваши действия в памяти. Для этого введите команду:

Как видно из примера доступ в интернет на роутере zyxel keenetic блокируется через отключение NAT в локальной сети под номером два, если же интернет станет необходим для данной сети, то вам нужно будет просто включить NAT

После проделанных действий ваш маршрутизатор полностью настроен (не забудьте установить пароль, если он не установлен).

Zyxel keenetic: настройка iptv ростелеком vlan

Читайте еще: Настройка роутера tp link td w8961nd: пошаговая инструкция

Вся настройка будет осуществляться через web интерфейс роутера. Для этого пишем в адресной строке браузера IP адрес для авторизации нашего маршрутизатора

Затем кликните на вкладку «интернет», перейдите в окно «IPOE» и нажмите «добавить интерфейс»

Далее обозначаем наше подключение как «интернет», затем прописываем настройки интернета, который вам выдал ваш провайдер в строке «Идентификатор сети (VLAN ID)».

Обратите внимание, что данное подключение создаётся для нулевого разъёма.

Теперь нужно создать следующее соединение. Для этого опять добавляем новый интерфейс и прописываем его соответственно настройкам вашего IP телевидения, ставим галочку напротив порта под номером четыре, что означает включение этого порта для цифрового вещания (именно к нему и будет подключаться тв приставка).

И в завершении настроек кликните на вкладку «PPPoE/VPN», нажмите «добавить соединение» и внесите настройки.

Привет! Я уже запутался во всех этих режимах: мост, клиент, WDS, WISP. Зачем все так сложно делать, у каждого производителя ротеров все сделано по-своему. Да что там у разных производителей, тут на разных прошивках все разное:) Работает все примерно одинаково, но вот названия нужных нам функций как правило звучат по-разному, имеют разные настройки и т. д. Разве так сложно договорится, и сделать все для людей, что бы просто было и понятно.

Значит так, продолжаем разбираться с роутерами Zyxel Keenetic, которые в черном корпусе и работают на прошивке второго поколения. У меня это ZyXEL Keenetic Start, который я и буду мучить. А разбираться мы сегодня будем в настройке режима клиента, когда подключение к интернет провайдеру происходит по Wi-Fi. В панели управления этот режим называется WISP (Wireless Internet service provider) . Насколько я понял, это тот же режим беспроводного моста, просто в Zyxel Keenetic он называется иначе (если я не прав, можете написать об этом в комментариях) .

Что такое режим клиента (WISP)?

Объясняю очень просто. Это когда ваш роутер Zyxel Keenetic будет получать интернет не по кабелю, а от другой Wi-Fi сети. Это может быть сеть интернет-провайдера, сеть вашего роутера (еще одного, который уже настроен и работает) , Wi-Fi сеть вашего соседа, открытая сеть от какого-то кафе и т. д. Вот небольшая схема:

Здесь я думаю все понятно, ваш роутер будет получать интернет по Wi-Fi и раздавать его вам по той же беспроводной сети и сетевому кабелю. Для чего это вообще нужно? Вариантов много. Как я уже писал, есть провайдеры, которые таким способом предоставляют доступ к интернету. А еще, вы можете настроить свой Zyxel Keenetic в режиме клиента, брать интернет по Wi-Fi от какой-то открытой сети (в городе поймать такую сеть не проблема) , и раздавать интернет уже по своему дому. Хорошо это, или плохо (в плане того, что мы пользуемся чужим подключением) , решать вам 🙂 Но, если подключение открытое, то я думаю, что в этом нет ничего плохого.

Поэтому, этот режим и называется "Режим клиента". Если роутер получает интернет по Wi-Fi, значит он клиент. Правда, в Zyxel это все оформили немного иначе.

Несколько важных моментов:

Внимание, если вам необходимо увеличить радиус действия вашей Wi-Fi сети, усилить ее сигнал, то вам нужно использовать роутер в режиме "Усилитель". Для этого дела, он подходит лучше всего. Как его настроить, смотрите в статье: настройка Zyxel Keenetic в режиме репитера (усилитель). Можно все организовать и способом, который я опишу ниже, но это будет не удобно, да и сложнее. Если же роутер нужен вам для подключения к интернету устройств по кабелю (у которых нет возможности подключится по Wi-Fi) , то используйте его в режиме "Адаптер". Подробнее о настройке читайте в этой статье.

Zyxel: настройка в режиме моста, или подключаем интернет к роутеру по Wi-Fi

С некоторыми нюансами разобрались, давайте приступим к настройке.

Первое (и главное) , что нужно сделать, так это сменить подсеть вашего роутера (который будет клиентом) , или главного (к сети которого будем подключаться) , если у вас есть доступ к его настройкам. Если вы таким способ хотите подключится к интернет провайдеру, то возможно, вам IP менять не нужно.

Если этого не сделать, то подключения не будет.

Я покажу как сменить подсеть на Zyxel Keenetic, который у нас будет в роли клиента.

Первым делом, заходим в настройки. Наберите в браузере адрес 192.168.1.1 и перейдите по нему (вы должны быть подключены к роутеру) . Если появится запрос логина и пароля, то укажите их. Можете все делать по инструкции: как зайти в настройки Zyxel Keenetic.

В панели управления перейдите на вкладку Домашняя сеть (снизу) , и сверху откройте вкладку Сегменты. Выберите Home network.

Смените подсеть, как у меня на скриншоте ниже (просто замените цифру 1 на 2) , и нажмите кнопку Применить.

Настройки подвиснут, это нормально. Мы сменили IP адрес нашего роутера. Отключите компьютер от роутера, подключите обратно, и в новой вкладке снова откройте настройки набрав уже новый адрес 192.168.2.1. Вы снова попадете в панель управления.

Для настройки подключения к интернету по Wi-Fi (WISP) перейдите снизу на вкладку Интернет, а сверху откройте вкладку WISP, или Wi-Fi (в зависимости от прошивки) . Установите галочку возле Включить.

Дальше, нажимаем на кнопку Обзор сетей, и выбираем из списка сеть, к которой будем подключатся. Или, укажите имя сети вручную.

Теперь, нам нужно в поле Ключ сети, указать пароль к той сети, которую мы выбрали. Если выбранная нами сеть защищена паролем. Ставим галочку возле Использовать для выхода в интернет, и нажимаем на кнопку Применить.

Если все сделали правильно, то роутер подключится к интернету, и будет раздавать интернет. Перейдите на главный экран настроек. На вкладке Действующее подключение к Интернету вы увидите созданное нами подключение. Там будет отображаться вся информация по нему.

Обратите внимание, что на нашем роутере, который мы только что настроили, канал Wi-Fi сети будет точно такой же, как у сети главного роутера. Вручную канал сменить мы не сможем. А вот задать свое имя для сети Wi-Fi, или сменить пароль - это без проблем.

Что бы все работало, после перезагрузки главного роутера, возможно, понадобится перезагрузка нашего клиента (роутера Zyxel) .

Вот таким способом наш роутер получает интернет по Wi-Fi, и может раздавать его на другие устройства. Что бы вернуть маршрутизатор в нормальный режим работы, нужно отключить WISP, и обратно указать IP 192.168.1.1. А еще, можно просто сбросить настройки. Тогда роутер будет как новый, со стандартными параметрами.

Ребят! Сильно не пинать! В администрировании новичок.

Имеем: 2 офисных здания и в каждом здании имеется по роутеру Zyxel Keenetic Giga 2. В 1-м здании подсеть 192.168.2.X Во втором здании подсеть 192.168.3.X Во втором здании находится IP камера с подсетью 192.168.1.X Интернет на второе здание приходит через LAN порт с роутера в первом здании. Если быть подключенным к сети во втором здании, то можно подключится к админ-панели обеих роутеров (192.168.2.X и 192.168.3.X). А если подлючится к сети первого здания, то доступна только админ-панель первого здания (192.168.2.X), но нельзя зайти в админ-панель второго роутера.

Вопросы: *Как пробросить IP Камеру с подсетью 192.168.1.X, чтобы можно было подключиться к ней в любой подсети? *Как зайти в админ-панель к второму роутеру (192.168.3.X), если я подключен к первому (т.е. в подсети 192.168.2.X)?

Достаточно отключить NAT и firewall на втором роутере и добавить маршрут до 192.168.2.x в таблице маршрутизации первого роутера через интерфейс LAN (если есть такая настройка) и указать в качестве gateway IP адрес, который получает второй роутер в сети 192.168.1.X (желательно этот адрес сделать статическим в настройках DHCP).

Учитывая, что у зухелей кинетиков с какой-то версии есть консоль в стиле cisco, там можно сделать роуты куда угодно через что угодно.

Да мне просто вспомнился какой-то из Dlink-ов домашнего уровня (DIR-655, по-моему), в котором одно из обновлений прошивки унесло опцию LAN из select-а интерфейсов в веб-морде, а модифицировать прошивку нельзя было, потому что там какой-то чересчур хитроумный проц был, и вообще не linux внутри. Обходилось при помощи firebug.

Читайте также: