2 сегмента сети настройка маршрутизатора

Обновлено: 30.06.2024

Сегодня практически в каждой квартире есть домашняя сеть, к которой подключаются стационарные компьютеры, ноутбуки, хранилища данных (NAS), медиаплееры, умные телевизоры, а также смартфоны, планшеты и другие носимые устройства. Используются либо проводные (Ethernet), либо беспроводные (Wi-Fi) соединения и протоколы TCP/IP. С развитием технологий Интернета вещей в Сеть вышла бытовая техника — холодильники, кофеварки, кондиционеры и даже электроустановочное оборудование. Благодаря решениям «Умный дом» мы можем управлять яркостью освещения, дистанционно настраивать микроклимат в помещениях, включать и выключать различные приборы — это здорово облегчает жизнь, но может создать владельцу продвинутых решений нешуточные проблемы.

К сожалению, разработчики подобных устройств пока недостаточно заботятся о безопасности своих продуктов, и количество найденных в них уязвимостей растёт как грибы после дождя. Нередки случаи, когда после выхода на рынок устройство перестаёт поддерживаться — в нашем телевизоре, к примеру, установлена прошивка 2016 года, основанная на Android 4, и производитель не собирается её обновлять. Добавляют проблем и гости: отказывать им в доступе к Wi-Fi неудобно, но и пускать в свою уютную сеть кого попало тоже не хотелось бы. Кто знает, какие вирусы могут поселиться в чужих мобильных телефонах? Всё это приводит нас к необходимости разделить домашнюю сеть на несколько изолированных сегментов. Попробуем разобраться, как это сделать, что называется, малой кровью и с наименьшими финансовыми издержками.

Изолируем сети Wi-Fi
В корпоративных сетях проблема решается просто — там есть управляемые коммутаторы с поддержкой виртуальных локальных сетей (VLAN), разнообразные маршрутизаторы, межсетевые экраны и точки беспроводного доступа — соорудить нужное количество изолированных сегментов можно за пару часов. С помощью устройства Traffic Inspector Next Generation (TING), например, задача решается буквально в несколько кликов. Достаточно подключить коммутатор гостевого сегмента сети в отдельный порт Ethernet и создать правила firewall. Для дома такой вариант не годится из-за высокой стоимости оборудования — чаще всего сетью у нас управляет одно устройство, объединяющее функции маршрутизатора, коммутатора, беспроводной точки доступа и бог знает чего ещё.


К счастью, современные бытовые роутеры (хотя их правильнее называть интернет-центрами) тоже стали очень умными и почти во всех из них, кроме разве что совсем уж бюджетных, присутствует возможность создать изолированную гостевую сеть Wi-Fi. Надёжность этой самой изоляции — вопрос для отдельной статьи, сегодня мы не будем исследовать прошивки бытовых устройств разных производителей. В качестве примера возьмём ZyXEL Keenetic Extra II. Сейчас эта линейка стала называться просто Keenetic, но в наши руки попал аппарат, выпущенный ещё под маркой ZyXEL.


Настройка через веб-интерфейс не вызовет затруднений даже у начинающих — несколько кликов, и у нас появилась отдельная беспроводная сеть со своим SSID, защитой WPA2 и паролем для доступа. В неё можно пускать гостей, а также включать телевизоры и плееры с давно не обновлявшейся прошивкой или других клиентов, которым вы не особенно доверяете. В большинстве устройств прочих производителей эта функция, повторимся, тоже присутствует и включается аналогично. Вот так, например, задача решается в прошивках роутеров D-Link с помощью мастера настройки.



Скриншот с сайта производителя

Добавить гостевую сеть можно, когда устройство уже настроено и работает.



Скриншот с сайта производителя



Скриншот с сайта производителя

Как видите, всё достаточно просто, далее мы перейдём к обсуждению более тонких материй.

Изолируем сети Ethernet
Помимо подключающихся к беспроводной сети клиентов нам могут попасться устройства с проводным интерфейсом. Знатоки скажут, что для создания изолированных сегментов Ethernet используются так называемые VLAN — виртуальные локальные сети. Некоторые бытовые роутеры поддерживают эту функциональность, но здесь задача усложняется. Хотелось бы не просто сделать отдельный сегмент, нам нужно объединить порты для проводного подключения с беспроводной гостевой сетью на одном роутере. Это по зубам далеко не всякому бытовому устройству: поверхностный анализ показывает, что кроме интернет-центров Keenetic добавлять порты Ethernet в единый с сетью Wi-Fi гостевой сегмент умеют ещё модели линейки MikroTik, но процесс их настройки уже не столь очевиден. Если говорить о сравнимых по цене бытовых роутерах, решить задачу за пару кликов в веб-интерфейсе может только Keenetic.



Как видите, подопытный легко справился с проблемой, и здесь стоит обратить внимание на ещё одну интересную функцию — вы также можете изолировать беспроводных клиентов гостевой сети друг от друга. Это очень полезно: заражённый зловредом смартфон вашего приятеля выйдет в Интернет, но атаковать другие устройства даже в гостевой сети он не сможет. Если в вашем роутере есть подобная функция, стоит обязательно включить её, хотя это ограничит возможности взаимодействия клиентов — скажем, подружить телевизор с медиаплеером через Wi-Fi уже не получится, придётся использовать проводное соединение. На этом этапе наша домашняя сеть выглядит более защищённой.


Читайте о том, как подключить два и более роутеров в одну сеть, как усилить сигнал вашей Wi-Fi сети или создать ещё одну точку доступа внутри сети. Рассмотрим два способа – соединение роутеров кабелем или по Wi-Fi.

connection-of-2-routers-in-one-network-wifi-gain-shared-resources.jpg

Зачем соединять несколько роутеров в одну сеть

В некоторых ситуациях, для постройки сети или качественного Wi-Fi покрытия, одного роутера может не хватать. В том смысле, что он не сможет обеспечить желаемый радиус покрытия Wi-Fi сети или необходимое количество портов для сетевых устройств. К каким-то комнатам или помещениям может не доставать сигнал Wi-Fi. Это знакомо тем, кто делал Wi-Fi сеть в большом доме, квартире или многокомнатном офисе. В такой ситуации нужно устанавливать дополнительное оборудование и каким-то образом расширять сеть. Сделать это не сложно.

Есть несколько вариантов, которые мы и рассмотрим в данной статье:

  • Первый – это соединение двух и более роутеров с помощью кабеля. Необходимо будет проложить сетевой кабель от одного роутера к другому. Это не всегда удобно. Но, это самый надежный и стабильный способ. Если вам нужна стабильная сеть с хорошей скоростью и для большого количества устройств, то лучше всего соединить маршрутизаторы именно кабелем.
  • Второй способ – это соединение маршрутизаторов по Wi-Fi. В таком случае, используется соединение в режиме моста (WDS), клиента, или в режиме репитера. По сути, это одно и то же. Просто на роутерах разных производителей, эти настройки реализованы по-разному.

router.jpg

Итак, у нас есть главный роутер, к которому подключен Интернет, и он раздает Wi-Fi сеть. Нам нужно установить еще один роутер, например, в другой комнате или на другом этаже. Этот второй роутер будет как-бы усиливать Wi-Fi сеть основного роутера и служить для расширения одной сети в удалённых помещениях.

Второй роутер мы можем подключить к первому по кабелю или по Wi-Fi.

Давайте теперь детально рассмотрим оба способа соединения.

Как соединить роутеры по Wi-Fi

Чаще всего, роутеры связывают именно по Wi-Fi. Это понятно, ведь не нужно долбить стены и прокладывать кабель.

У меня в роли главного роутера выступает TP-link TL-WR841N. Он раздает Wi-Fi сеть с названием “hetmansoftware”.

tp-link.jpg

Обратите внимание, что роутер, к которому мы будем подключаться в режиме моста, должен быть настроен. То есть, Интернет должен работать, он должен раздавать Wi-Fi сеть.

О том, как сделать такие настройки у нас есть отдельная статья и детальное видео. Можете ознакомиться с ними.

tp-link-02.jpg

Прежде чем перейти к настройке второго роутера, нам нужно в настройках беспроводной сети главного роутера установить не автоматический, а статический канал для беспроводной сети.

Если у вас, например, в качестве основного роутера так же TР-Link, то канал можно сменить в настройках, на вкладке «Wireless» (или «Беспроводной режим»). В поле «Канал» («Channel») укажите статический канал. Например: 1, или 9, любой. И сохраните настройки.

tp-link-03.jpg

Статический канал установили. Из настроек основного маршрутизатора можно выходить.

Переходим к настройке роутера, который будет у нас настроен в режиме моста – WDS. У меня это модель TР-Link Archer C20. Заходим в настройки роутера.

tp-link-04.jpg

Для начала, нужно сменить IP-адрес нашего второго роутера. Это нужно для того, чтобы в сети не было двух устройств с одинаковыми IP. Например, если у главного IP-адрес 192.168.0.1, и у второго – 192.168.0.1, то получится конфликт адресов. Перейдите на вкладку Сеть / LAN. В поле IP-адрес замените, например, последнюю цифру с 1 на 2. Или, как в моём случае, с 192.168.1.1 на 192.168.0.2. Сохраните внесённые настройки.

tp-link-05.jpg

Почему так? Нужно знать, какой IP адрес у главного роутера, к которому мы собрались подключатся. Если у него 192.168.1.1, то на роутере, который хотим подключить по WDS меняем адрес на 192.168.1.2. А если у главного адрес 192.168.0.1, то второму задаем 192.168.0.2. Важно, чтобы они были в одной подсети.

Снова зайдите в настройки, только IP-адрес будет уже другой – 192.168.0.2. Который мы указали выше.

tp-link-06.jpg

Перейдите на вкладку «Беспроводной режим» / «Основные настройки». В поле «Имя беспроводной сети» можете указать имя второй беспроводной сети. А в поле «Канал» обязательно укажите такой-же канал, который установили в настройках главного роутера. У меня – это 9-ый канал.

tp-link-07.jpg

Дальше, установите галочку возле «Включить WDS». И нажмите на кнопку «Поиск».

tp-link-08.jpg

Выберите из списка нужную сеть, с которой роутер будет получать Интернет. Напротив нужной сети нажмите на ссылку “Подключить”.

tp-link-09.jpg

Нам осталось только в поле «Пароль» указать пароль к этой основной сети. Введите его и для сохранения, нажмите на кнопку «Сохранить».

tp-link-10.jpg

После перезагрузки, снова заходим в настройки второго роутера. И прямо на главном экране (вкладка Состояние), смотрим раздел «Беспроводной режим». Напротив «Состояние WDS» должно быть написано «Включено». Это значит, что наш второй роутер уже подключится к главному роутеру и должен раздавать Интернет по Wi-Fi.

tp-link-11.jpg

Но, Интернет будет работать только по Wi-Fi, а при подключении к роутеру (который в режиме WDS) устройств по кабелю, Интернет работать не будет.

Для правильной настройки данной функции необходимо обязательно отключать DHCP-сервер на том роутере, на котором настроен WDS-мост – то есть на том, который в моём случае второй. Также необходимо, чтобы его локальный IP-адрес был в той же подсети, что и изначальный роутер.

Поэтому, переходим в меню DHCP второго роутера и отключаем данную функцию.

tp-link-12.jpg

На этом соединение двух роутеров по Wi-Fi закончено.

Выберите правильное место для установки второго роутера, чтобы он был в радиусе действия главного. Установите на нём желаемое имя беспроводной сети и пароль. О том, как сделать это, мы уже детально рассказывали в статье о настройке беспроводного Wi-Fi режима роутера.

Как создать сеть из нескольких роутеров соединенных кабелем

Есть два способа соединить несколько роутеров в одной сети с помощью сетевого кабеля. Это:

Так называемое LAN/LAN подключение. То есть, создание сети из нескольких роутеров, соединяя сетевым кабелем их LAN порты.

lan.jpg

И LAN/WAN подключение. То есть, создание сети из нескольких роутеров, соединяя сетевым кабелем LAN порт главного роутера с WAN/Internet портом второго, подключаемого к основному роутера.

wan.jpg

Давайте рассмотрим их детально.

LAN/LAN подключение

При LAN/LAN подключении, берем два роутера, и определяем для себя, который из них будет первым. Обычно это тот роутер, к которому приходит кабель с Интернетом от провайдера.

Соединяем сетевым кабелем LAN порты основного роутера, с дополнительным.

tp-link-13.jpg

tp-link-14.jpg

Будем считать, что первый роутер у нас уже с настроенным соединением интернета, поэтому этот шаг пропускаем. Если же интернета на нём нет, то о том, как его настроить читайте нашу статью о базовых настройках Wifi роутера.

Подключаемся к первому устройству

и проверяем активирован ли на нём DHCP сервер. По умолчанию он обычно включен. Для этого переходим в его настройки, меню «DHCP»/ «Настройки DHCP».

tp-link-15.jpg

Включаем, если DHCP-сервер отключен.

Не забываем сохранить изменения.

Затем подключаемся ко второму устройству.

И отключаем DHCP сервер, так как все адреса мы будем получать от первого роутера. Для этого переходим в его настройки, меню «DHCP»/ «Настройки DHCP».

tp-link-16.jpg

Отключаем, если DHCP-сервер включен.

В разделе «Сеть»/«LAN» меняем IP-адрес, чтобы он не совпадал с первым роутером. Например, на 192.168.0.2. Так как на первом 192.168.0.1

tp-link-17.jpg

После перезагрузки второго роутера он должен работать в сети с первым. Получать от него Интернет, и работать как беспроводная точка доступа.

LAN/WAN подключение

Второй способ соединения двух роутеров в одну сеть, с помощью сетевого кабеля.

При LAN/WAN подключении, соединяем сетевым кабелем LAN порт основного роутера, с WAN/Internet портом второго.

tp-link-18.jpg

tp-link-19.jpg

Подключаемся к первому устройству:

и проверяем активирован ли на нём DHCP сервер. По умолчанию он обычно включен. Для этого переходим в его настройки, меню «DHCP»/ «Настройки DHCP».

tp-link-15.jpg

Включаем, если DHCP-сервер отключен.

Не забываем сохранить изменения.

Затем подключаемся ко второму устройству.

На втором устройстве в разделе «Сеть» / «WAN», выставляем Тип подключения «Динамический IP-адрес». Сохраняем изменения.

tp-link-21.jpg

В разделе «DHCP» оставляем включенным DHCP-сервер.

tp-link-22.jpg

Если на ведомом маршрутизаторе будут задействованы LAN-порты, также убедитесь, что их IP-адреса не конфликтуют с адресами ведущего.

То есть, если на основном роутере у нас задан диапазон от 192.168.0.100 до 192.168.0.199, то на ведомом лучше задать от 192.168.0.200 до 192.168.0.299, но обязательно в рамках основной подсети.

После этого на каждом из роутеров может быть запущена отдельная точка доступа. Если все сделано верно, оба роутера будут подключены к Интернет, будут находиться в одной сети и иметь доступ к сетевым устройствам.

Это были все способы подключения нескольких роутеров в одну сеть: проводную или беспроводную.

Если в процессе настройки подключения нескольких роутеров в одну сеть у вас возникли какие-то вопросы, то можете задавать их в комментариях.

Полную версию статьи со всеми дополнительными видео уроками смотрите в источнике.

Предисловие.
В сети встречается множество инструкций как присоединить сегмент к основной локальной сети так что углубляться в дебри мы не будем, расскажу в двух словах как это реализовать. Задача: Объединить два сегмента локальной сети разделённых в пространстве некоторым расстоянием. Что бы не тянуть многие метры провода будем использовать беспроводной Wi-Fi мост (WDS).

Примерная схема организации WiFi моста.

Часть 1. Оборудование.
Для реализации этой идеи нам понадобился два Wi-Fi маршрутизатора с поддержкой технологии WDS, или столько же Wi-Fi точек доступа с поддержкой той же технологии.
Мы экспериментировали с Беспроводным маршрутизатором TP-Link TL-MR3220 (далее маршрутизатор 2) для подключаемого, сегмента сети, и маршрутизатором ASUS RT-N12 (номер 1) для основного, уже имеющегося сегмента. Из за того что реализация технологии WDS может отличатся у устройств разных производителей правильнее было бы по возможности использовать одинаковые устройства. Но в данном случае у нас проблем не возникло.

Часть 2. Локальная Сеть.
Маршрутизатор 2 будет у нас отвечать за активацию моста. Сперва нужно настроить на нём параметры локальной сети. Отключаем встроенный dhcp сервер, он нам не пригодится. Устанавливаем ему (маршрутизатору) статичный ip адрес. Адрес должен принадлежать основной сети и быть свободным, а также не выдаваться dhcp сервером в основной сети ( в случае конфликта адресов мост скорее всего перестанет функционировать).

TP-Link TL-MR3220 - Установка IP адреса

Часть 3. Беспроводная сеть.

Настраивать сам беспроводной мост начинаем с исследования радио эфира на предмет работающих точек доступа. Для стабильной работы моста нужно выбрать никем не занятый канал т.е. на котором не ведут передачу другие точки доступа. Если произошло совсем невероятное и все каналы заняты просто выбираем наименее загруженный. Настраиваем беспроводную сеть на маршрутизаторе 2 с параметрами полностью аналогичными параметрам беспроводной сети основного маршрутизатора ( с учётом исправленного канала разумеется ).

TP-Link TL-MR3220 - Настройка беспроводного режима

Далее начинается настройка непосредственно самого беспроводного моста (WDS). В параметрах беспроводной сети находим пункт "использовать wds" и включаем его. Указываем mac адрес bssid (это адрес точки доступа/маршрутизатора с которым мы будем создавать мост), и остальные параметры которые за требует настройка WDS.
После применения всех настроек система перезагрузится и мост запустится самостоятельно. Проверить это можно командой ping с указанием адреса маршрутизатора 1.
Все с сетевыми настройками покончено. Мост работает.

TP-Link TL-MR3220 - Диагностика соединения (ping)

Часть последняя. Проблемы с которыми нам довелось столкнуться.
Высокий пинг - обычное дело например при сильно загруженном канале, переносите свою сеть на свободный канал (лично наблюдал пинг 200-300ms, после выбора свободного канала 10 - 20ms) . Так же причиной может стать большая удалённость точек друг от друга, решить можно с помощью использования направленных антенн нацеленных друг на друга.
Частый обрыв канала - если мост регулярно отваливается скорее всего причина как и в пункте первом, высокая загруженность канала. Лечится также как и в первом случае. Также причиной может быть плохая совместимость оборудования.

Разделяй и властвуй или как просто разделить сеть на сегменты, ограничив трафик между ними?

Любительский

Аватар пользователя

При работе в домашней компьютерной сети или сети малого офиса встречается необходимость в ограничении доступа к некоторым устройствам сети отдельным пользователям или группам пользователей этой сети. Например, необходимо ограничить сетевой доступ детей к компьютерам родителей, или же ограничить взаимный доступ между компьютерами бухгалтерии и менеджеров, или же изолировать камеры видеонаблюдения от остальных пользователей и т.п. Иногда подобную задачу можно решить без использования дорогих специализированных межсетевых экранов средствами современного домашнего маршрутизатора. Именно о таком варианте я расскажу в этой статье, а также приведу пример настройки популярной модели домашнего маршрутизатора.

В моём маршрутизаторе DIR-825/AC/G1A от компании D-Link, решить поставленную задачу поможет функция «Сегментация трафика» в разделе меню «Дополнительно». Как сказано в описании этой функции, она используется для ограничения трафика от одного порта к группе других портов, т.е. именно то, что нам необходимо.

Для настройки функции открываем страницу WEB-интерфейса «Сегментация трафика» в разделе меню «Дополнительно». Определяемся, к каким LAN портам маршрутизатора будут подключены те или иные компьютеры пользователей или коммутаторы отделов. Убираем необходимые галочки в настройках каждого порта. Далее нажимаем кнопку «ПРИМЕНИТЬ».


Например, решаем, что компьютеры родителей будут подключаться к 1 и 2 LAN портам маршрутизатора, а компьютеры детей к 3 и 4 LAN портам. Тогда убираем галочки напротив «LAN1» и «LAN2» в настройках «LAN3» и «LAN4». После нажимаем кнопку «ПРИМЕНИТЬ».


К сожалению, настройка сегментации распространяется только на проводные подключения через LAN порты маршрутизатора. А что же тогда делать с беспроводными подключениями, да ещё и в двух частотных диапазонах, как на моём маршрутизаторе? Ведь по умолчанию, беспроводным пользователям разрешён доступ ко всем LAN портам.

Для добавления гостевой беспроводной сети в разделе меню «Wi-Fi» на странице «Основные настройки» нажмите справа кнопку «Добавить».


На открывшейся странице сделайте необходимые настройки гостевой сети (имя сети SSID, настройки безопасности), активируйте пункт снизу «Включить гостевую сеть», и, если надо, пункт «Изоляция клиентов». После нажмите кнопку снизу «ПРИМЕНИТЬ».


Аналогичным образом настройте гостевую сеть и в диапазоне 5 ГГц.

В итоге мы получаем сегментированную сеть с простым распределением прав доступа.

Читайте также: