Как сделать маршрутизацию между двумя сетями keenetic

Обновлено: 08.01.2025

Вопрос: Что такое Mesh Wi-Fi-система от Keenetic?
Ответ: Mesh Wi-Fi-система — это технология объединения интернет-центров Keenetic в единую бесшовную сеть по всему дому или офису, с централизованным управлением, мониторингом и с возможностью перехода клиентов между точками доступа по стандартам 802.11r/k/v (бесшовный роуминг Wi-Fi). Для расширения сети используются дополнительные роутеры Keenetic в режиме Ретранслятора. В Mesh Wi-Fi-системе ретрансляторы с главным роутером могут соединяться как по Ethernet-кабелю, так и по Wi-Fi (без использования проводов). Дополнительная информация: Пример создания Wi-Fi-системы на базе двух интернет-центров Keenetic

Вопрос: Какие модели подойдут для организации Mesh Wi-Fi-системы?
Ответ: Mesh Wi-Fi работает на всех актуальных моделях Keenetic (с индексом KN-xxxx и с версией операционной системы роутера KeeneticOS не ниже 3.1) + несколько моделей предыдущего поколения (Giga III, Ultra II, Air, Extra II).
Для организации Wi-Fi-системы достаточно двух устройств. Один роутер должен выполнять роль главного устройства — контроллера системы, а к нему подключается дополнительный роутер в режиме ретранслятора. Любая модель может быть главным роутером или ретранслятором.

Вопрос: Чем Mesh Wi-Fi от Keenetic лучше простых репитеров?
Ответ: Преимуществами нашей реализации является:

Централизованное управление
Мониторинг трафика и правила для клиентов
Расширение сразу нескольких Wi-Fi-сетей
Бесшовное переключение клиентов по протоколам 802.11r/k/v
Регулируемые антенны с усилением 5 дБи
Управляемые сетевые и USB-порты
Автоматически работает по проводу или Wi-Fi

Вопрос: Если нет возможности проложить провод, можно ретрансляторы подключить к главному роутеру по воздуху (по Wi-Fi)?
Ответ: Да, ретрансляторы можно подключить к контроллеру не только по проводу, а также по Wi-Fi, используя Mesh-технологию.

Вопрос: Сколько ретрансляторов можно подключать в Wi-Fi-систему?
Ответ: В Wi-Fi-систему можно добавить столько ретрансляторов Keenetic, сколько вам нужно, расширяя Wi-Fi, пробрасывая его на любые расстояния в пределах одной локальной сети. В Кинетиках нет установленных ограничений. Но это относится к схеме сети с проводным способом подключения ретрансляторов.
При подключении ретрансляторов по проводу можно использовать промежуточные Ethernet-коммутаторы. В нашей лаборатории мы тестируем Wi-Fi-систему из 15 ретрансляторов, соединенных в систему по проводу.

Важно! Если для подключения ретрансляторов используется промежуточный коммутатор, то он должен полностью прозрачно пропускать трафик на уровне L2. При работе Wi-Fi-системы используется протокол STP, и если коммутатор обладает поддержкой протоколов MSTP / RSTP / STP, эти настройки нужно отключить на портах, задействованных для Wi-Fi-системы.

Если вы хотите организовать Mesh Wi-Fi-систему, подключая ретрансляторы исключительно по Wi-Fi, максимальное число ретрансляторов в сети желательно ограничить пятью, включая главный роутер-контроллер.

Вопрос: Почему на роутере контроллере предыдущего поколения c версией KeeneticOS 2.15 (это последний релиз для моделей Keenetic Start II, Lite III Rev.B и 4G III Rev.B) не получается захватить ретранслятор на новой модели Keenetic с индексом KN-xxxx (на котором используется более новая версия 3.x)?
Ответ: Для корректной работы Wi-Fi-системы мы рекомендуем на контроллере и ретрансляторах использовать одинаковые версии операционной системы KeeneticOS или чтобы на контроллере была новее версия ПО. В этом случае нужно по возможности поменять контроллер и ретранслятор местами. Роутер с актуальной версией микропрограммы 3.x используйте в роли контроллера (главного устройства), а роутер с версией 2.15 в роли ретранслятора.

Вопрос: Нужно ли на ретрансляторах устанавливать компонент "Контроллер Wi-Fi-системы"?
Ответ: Нет, на ретрансляторах данный компонент устанавливать не нужно. Специальный системный компонент "Контроллер Wi-Fi-системы" должен быть установлен только на главном интернет-центре, который и будет работать в роли контроллера.

Вопрос: Увеличивается ли покрытие не только Домашней сети Wi-Fi, но и Гостевой сети?
Ответ: Да. Помимо Домашней сети также расширяется покрытие Гостевой сети и других дополнительных сегментов.

Вопрос: Что за скрытые сети Wi-Fi вещает роутер?
Ответ: Для работы Mesh Wi-Fi включается скрытая служебная сеть (беспроводная транспортная сеть, backhaul-сеть) для связи между контроллером и ретрансляторами. Вещание скрытых сетей необходимо для корректной работы Mesh Wi-Fi-системы (подключения ретрансляторов по Wi-Fi).

Вопрос: При использовании ретранслятора с USB-портом, можно ли подключить к нему внешний жесткий диск и использовать в домашней сети в качестве сетевого ресурса?
Ответ: Да, на ретрансляторах сохраняется работа всех USB-приложений (подключение внешних накопителей, дисков, принтеров, медиатеки DLNA, встроенного торрент-клиента Transmission, CIFS/SMB, FTP, SFTP, WebDAV, аппаратного модуля IP-телефонии Keenetic Plus Dect).

Вопрос: Возможно ли к ретранслятору подключить USB-модем для организации резервного подключения?
Ответ: Нет. В режиме ретранслятора роутер становится обычным коммутатором 2-го уровня, на котором могут работать только USB-приложения. Работа USB-модемов в этом режиме не поддерживается.
В дополнении к вышесказанному, также невозможно работа VPN-сервера, т.к. для его работы необходим NAT и маршрутизация между клиентами сервера и сегментами локальной сети, что в режиме ретранслятора отсутствует.

Вопрос: Возможно ли на ретрансляторе менять основные настройки беспроводной сети?
Ответ: Нет. Изменить основные параметры сети можно только на главном роутере-контроллере, и после изменения они автоматически передаются на ретрансляторы.
На ретрансляторе будут недоступны для редактирования следующие настройки беспроводной сети — "Имя сети" (SSID), "Защита сети" (протокол безопасности), "Пароль" (ключ безопасности), настройки бесшовного роуминга, номер беспроводного канала (при подключении ретранслятора по технологии Mesh Wi-Fi), параметры IP, списки контроля доступа (Белый / Черный). Изменить их можно только на контроллере Wi-Fi-системы (главном интернет-центре). Но на ретрансляторе можно менять "Мощность сигнала".

Вопрос: Возможно ли на ретрансляторе изменить номер канала сети Wi-Fi?
Ответ: Зависит от нескольких факторов. Когда ретранслятор подключен по Mesh Wi-Fi, то будет заблокирован этот параметр в том диапазоне, в котором контроллер держит Mesh-соединение с ретрансляторами. В двухдиапазонных устройствах этот параметр блокируется в сети 5 ГГц, а в однодиапазонных - в сети 2.4 ГГц.
Другими словами: если контролер соединен с ретранслятором по Wi-Fi, то он установит с ним backhaul (служебное соединение) и заблокирует канал, в том диапазоне, в котором работает; если контроллер соединен с ретранслятором по проводу, то в этом случае backhaul можно выключить и тогда можно будет менять каналы на ретрансляторе. Но при выключенном backhaul вы потеряете часть функциональности резервирования подключения: В Mesh Wi-Fi возможно одновременное подключение ретранслятора по Ethernet-кабелю и по сети Wi-Fi. Соединение по проводу будет являться приоритетным. Если же произойдет отключение кабеля или потеря соединения с контроллером, ретранслятор установит подключение по Wi-Fi. Чтобы произошло переключение, на контроллере должна быть включена Беспроводная транспортная сеть (backhaul).

Вопрос: Возможно ли изменить IP-адрес на ретрансляторе?
Ответ: Да, если нужно изменить адрес ретранслятора и назначить его вручную, обратитесь к инструкции: Назначение постоянного IP-адреса на ретрансляторах Wi-Fi-системы

Вопрос: Возможно ли ретрансляторы подключить через простой неуправляемый сетевой Ethernet-коммутатор?
Ответ: Да. Можно подключить ретранслятор к главному роутеру через дополнительный коммутатор, "звездой" или последовательно "цепочкой".

Вопрос: На интернет-центрах Keenetic организована Wi-Fi-система и включен бесшовный роуминг для автоматического перехода между точками доступа. Но телефон не переходит на ближнюю точку доступа, а упорно держится за ту, к которой подключился изначально. Почему такое происходит?
Ответ: Mesh Wi-Fi-система интернет-центров Keenetic использует протоколы 802.11r/k/v для автоматического перехода клиентов между точками доступа, но в реальности качество работы бесшовного роуминга Wi-Fi очень зависит от оборудования клиента и наличия/отсутствия поддержки указанных протоколов. Для корректной работы бесшовного перехода между точками доступа клиент должен поддерживать протоколы 802.11r/k/v. Протокол 802.11r ускоряет переход между точками, а два других протокола просто информируют клиентов о точках доступа в домене роуминга и рекомендуют переход между смежными диапазонами.
На устройствах без поддержки протокола быстрого роуминга 802.11r интернет-центры Keenetic умеют использовать переход по PMK-кэшу.

Вопрос: Будет ли работать Mesh Wi-Fi-система с бесшовным роумингом Wi-Fi от Keenetic с маршрутизаторами других производителей?
Ответ: В интернет-центрах Keenetic используется собственная реализация Mesh Wi-Fi-системы и механизма бесшовного роуминга Wi-Fi. У каждого вендора свой механизм дистрибуции PMK R1, это не оговорено стандартом. Поэтому точки доступа разных вендоров не смогут работать в одном мобильном домене 802.11r.
Наша Mesh-система разрабатывалась для работы в рамках собственной технологической "экосистемы". Тестирование на совместимость с оборудованием других производителей не производилось. В нашей лаборатории тестирование работоспособности Mesh Wi-Fi-системы выполняется на моделях Keenetic. Если вы хотите организовать единую Wi-Fi-систему с бесшовным роумингом и добиться полной совместимости устройств и доступного функционала, то для построения локальной сети используйте интернет-центры Keenetic.

Вопрос: При подключении к веб-интерфейсу ретранслятора появляется окно авторизации, хотя я не устанавливал пароль на этом устройстве. Какой пароль нужно вводить?
Ответ: Если ретранслятор захвачен в "Wi-Fi-систему", то на нём устанавливается пароль учетной записи администратора (admin), который используется на контроллере.

Вопрос: Предположим, что в уже существующей сети есть свой главный роутер с DHCP. Возможно ли подключить Кинетики к этой сети и развернуть на них Wi-Fi-систему? При этом нужно, чтобы контроллер Wi-Fi-системы выполнял роль обычной автономной точки доступа Wi-Fi. Можно ли так использовать Keenetic?
Ответ: Да, это возможно, несмотря на то что данная схема подключения не является штатной. Конечно в этом случае вы теряете большой функционал, не используя Keenetic в роли главного роутера в вашей сети, но практически такая схема возможна.

Защита информации в 21 веке стоит наиболее остро, ведь хищение данных может осуществляться совершенно незаметно для пользователя компьютера. Чтобы предотвратить утечку, достаточно правильно настроить цифровое оборудование, в том числе устройства, предназначенные для подключения к сети Интернет. В этой статье пойдет речь о настройке на роутере Keenetic надежного VPN-сервера.

Для чего может понадобиться настройка VPN на роутере

Наиболее часто выполнять операцию по настройке VPN возникает необходимость, когда требуется настроить защищенную сеть для работы сотрудников фирмы из дома. Таким образом, каждый работник, вне зависимости от способа подключения к интернету и своего местонахождения, получает возможность получить доступ к защищенной информации.

Организация защищенной сети передачи данных может понадобиться не только крупным корпорациям. Каждый человек, который заботиться о сохранности данных, может использовать такой способ подключения к сети интернет. В этом случае, он получит возможность работать в защищенной домашней сети даже с мобильного устройства.

Первоначальная настройка роутера

Подготовительный этап является обязательной составляющей при организации защищенной сети с использованием роутера Keenetic. Для установки первоначальных настроек необходимо вначале подключить роутер к сети питания. Затем, используя патч-корд, осуществляется соединение роутера с компьютером. Кабель поставщика услуг связи необходимо подключить к разъему WAN роутера.

На следующем этапе рекомендуется обновить микропрограмму сетевого устройства. Настройка VPN-сервера PPTP роутера Keenetic возможна только на приборах с программой NDMS V 2.04.B2.

Перед настройкой защищенной сети следует также определить тип IP-адреса, предоставляемого оператором интернета. Для использования VPN на оборудовании Keenetic потребуется приобрести у провайдера статический айпи.

Установка VPN-подключения

После подключения и настройки роутера можно приступить к организации на устройстве ZyXEL VPN-сервера. Эту процедуру рекомендуется выполнять в такой последовательности:

На этом внесение необходимых изменений в настройку PPTP-сервера роутера Keenetic можно считать завершенным. Но для правильной работы оборудования потребуется также отредактировать учетные данные пользователей, которые смогут подключаться к защищенной сети.

Настройка учетных записей пользователей

Для того чтобы отредактировать учетные записи пользователей, необходимо также зайти в настройки роутера Keenetic и осуществить следующие действия:

Сохранить изменения, нажав на соответствующую кнопку.

После проведения вышеописанных операций оборудование с внесенными в разрешенный список клиентами может быть использовано для организации сети.

Распределение приоритетов

Если программное обеспечение роутера Keenetic обновлено до версии 2.0, то каждому владельцу маршрутизатора этого типа доступна опция распределения приоритета. В обновленном ПО можно создавать каналы, которые будут использовать физические либо виртуальные порты. Вне зависимости от способа организации сети каждому такому каналу можно присваивать тот или иной приоритет.

Эта функция позволяет сделать более стабильным процесс подключения к интернету. Например, в качестве основного способа подключения к сети Интернет можно выбрать кабельного провайдера, но в случае наличия нестабильной связи будет задействован резервный способ, например, беспроводной 4G.

VPN-туннель IPsec

Стандарт VPN-соединения IPSec является одним из самых безопасных. Высокий уровень надежности обеспечивается за счет протоколов, которые добавляют заголовки к IP-пакету (инкапсуляции). Кроме того, такой способ подключения позволяет получить:

Симметричные алгоритмы.
Криптографический способ проверки целостности данных.
Возможность идентификации узла.

Многие модели роутеров Keenetic позволяют создавать VPN-туннели этого типа. Например, новые устройства Keenetic GIGA не только обладают высоким уровнем защиты передаваемых данных, но и обеспечивают скорость до 400 Мб/с. Для первого поколения устройств функция VPN недоступна.

Если ранее передача данных не осуществлялась таким образом, то следует настроить роутер. Для этой цели потребуется выполнить обновление управляющей программы. Чтобы загрузить необходимую опцию, следует обязательно выбрать в настройках загрузки новых функций IPsec.

Описание соединения может быть любым, этот параметр необходим для идентификации соединения. При указании пароля и секретного ключа следует ввести последовательность символов без ошибок, иначе новый канал связи невозможно будет активировать. Если соединение будет использоваться для выхода в интернет, то следует не забыть отметить галочкой этот пункт при настройке соединения.

Как правило, во всех устройствах, поддерживающих возможность создания VPN-туннеля IPsec, адрес сервера и DNS-адрес формируются в автоматическом режиме.

После создания подключения его можно будет выбрать в соответствующем списке управляющей программы роутера.

Советы и рекомендации

В процессе настройки и использования маршрутизации VPN на роутерах Keenetic не лишним будет знать о некоторых нюансах, например:

Для проверки наличия пользователя в ОС роутера можно использовать альтернативный доступ в интернет Open VPN.
Следует не забывать о том, что максимальное количество соединений на оборудовании этого типа не должно превышать 10.
Секретные данные для входа в сеть (логин и пароль) не следует сохранять на компьютере или мобильном устройстве.

Заключение

Благодаря возможности установки VPN-сети с помощью Keenetic можно осуществлять безопасный вход в домашнюю или рабочую сеть, используя любые подходящие для этой цели устройства. Если настройка оборудования была выполнена правильно, то можно не сомневаться в надежности защиты и бесперебойности работы устройства.

В маршрутизаторе Keenetic (с микропрограммой V2) на одном физическом LAN-порту можно настроить два разных VLAN, например, чтобы один VLAN имел полный доступ к ресурсам локальной сети и к Интернету, а другой VLAN (гостевой) имел бы доступ только в Интернет.

Для реализации данной задачи в маршрутизаторе Keenetic (с микропрограммой V2) требуется создать два VLAN, например:
VLAN 3 – для доступа к локальным ресурсам и Интернету,
VLAN 4 – для гостевого доступа.

Примечание: VLAN 2 является служебным. По умолчанию он используется для порта 5 (WAN).

Для каждой VLAN требуется настроить свой DHCP Pool (диапазон IP-адресов, назначаемых по DHCP).
Ограничить доступ к локальным ресурсам и управлению маршрутизатором можно с помощью встроенного межсетевого экрана (Firewall).
Настройку VLAN произведем, например, на 4-м физическом LAN-порту встроенного Ethernet -коммутатора Keenetic’а. Настройки LAN-портов 1-3 и беспроводной сети Wi-Fi в процессе создания VLAN не затрагиваются.

Настройку маршрутизатора удобнее выполнять из режима командной строки (CLI) устройства.

1. Подключитесь к интернет-центру через telnet-подключение, используя его IP-адрес и пароль по умолчанию (если не меняли).

2. Создайте VLAN 3, VLAN 4 и привяжите их к LAN-порту 4 интернет-центра.

Trunk mode enabled

(config-if-port)> trunk vlan 3

Vlan added to trunk

(config-if-port)> trunk vlan 4
Vlan added to trunk

3. Установите IP-адрес для интерфейсов Switch0/VLAN3, Switch0/VLAN4 и активируйте созданные интерфейсы. В нашем примере для локальной сети назначаем подсеть 192.168.3.0/24, для гостевой – 192.168.4.0/24.

(config-if)> exit

(config)> interface Switch0/VLAN4

(config-if)> ip address 192.168.4.1/24
Network address saved.
(config-if)> security-level private
Interface set as private

(config-if)> up
Interface enabled.

4. Создайте DHCP Pool для VLAN 3 (192.168.3.33 — 192.168.3.43) и VLAN 4 (192.168.4.33 — 192.168.4.43).

5. Настройте межсетевой экран (Firewall) для блокировки доступа с VLAN 4 к управлению интернет-центром Keenetic и к ресурсам корпоративной сети.

(config-acl)>deny tcp 0.0.0.0 0.0.0.0 192.168.3.0 255.255.255.0

(config-acl)>deny udp 0.0.0.0 0.0.0.0 192.168.3.0 255.255.255.0

(config-acl)>deny icmp 0.0.0.0 0.0.0.0 192.168.3.0 255.255.255.0

(config-acl)>deny tcp 0.0.0.0 0.0.0.0 192.168.1.0 255.255.255.0

(config-acl)>deny udp 0.0.0.0 0.0.0.0 192.168.1.0 255.255.255.0

(config-acl)>deny icmp 0.0.0.0 0.0.0.0 192.168.1.0 255.255.255.0

(config-acl)>deny tcp 0.0.0.0 0.0.0.0 192.168.4.1 255.255.255.255

(config-acl)>deny udp 0.0.0.0 0.0.0.0 192.168.4.1 255.255.255.255

(config-acl)>deny icmp 0.0.0.0 0.0.0.0 192.168.4.1 255.255.255.255

(config-acl)>exit

(config)>interface Switch0/VLAN4

(config-if)>ip access-group _WEBADMIN_VLAN4 in

Access group applied

6. Включите NAT (функция трансляции сетевых адресов) для интерфейсов Switch0/VLAN3 и Switch0/VLAN4.

Если в вашей сети оконечным оборудованием является роутер Zyxel Keenetic, но авторизацию пользователей Wi-Fi по каким-либо причинам вы хотите настроить на другом оборудовании (например, у вас несколько Zyxel Keenetic и вы хотите сделать бесшовный роуминг), то вам необходимо использовать механизм VLAN 802.1q. Использование VLAN позволит отделить служебный трафик от гостевого.

Перевод Keenetic в режим Точка доступа/Ретранслятор

Перед началом настройки необходимо перевести роутер в режим Точка доступа/Ретранслятор.

Устройство по умолчанию получит IP-адрес по DHCP от вышестоящего роутера. Если IP-адрес не был получен, то устройству назначается служебный статический IP-адрес 192.168.1.3. При появлении DHCP-сервера в сети служебный IP-адрес автоматически сбрасывается и подключиться к WEB-конфигуратору будет можно только по новому IP-адресу, который будет получен от главного роутера по DHCP.

После необходимо выполнить перезагрузку системы.

Настройка сегмента и VLAN

Подключитесь на точку доступа через WEB-интерфейс и перейдите в раздел Мои сети и Wi-Fi, создайте новый сегмент сети. Укажите имя и выполните необходимые настройки этого сегмента.

В разделе Разьемы сегмента и VLAN укажите разъем в который входит VLAN и его тэг. В нашем случае это разъем SFP и тэг 100.

В параметрах IP-адрес укажите IP-адрес из рабочей сети для подключения к ней через WEB интерфейс.

Настройка VLAN на точке доступа окончена, теперь необходимо выполнить настройку VLAN на оборудовании, на котором будет терминироваться гостевой трафик.

Читайте также: