Статистика роутера
Доступно, просто и ничего не надо придумывать. Роутер – это устройство, которое раздает беспроводной интернет. Если вы это читаете, значит, он у вас есть. Для начала вспомним, как зайти в настройки. Затем на примере моделей разных производителей разберемся, куда необходимо посмотреть, чтобы узнать, кто подключен к роутеру.
Подключение
Абсолютно все модели управляются через веб-интерфейс. Исключение составляют только устройства производства Apple, для настройки которых необходимо специальное приложение. Для выполнения дальнейших операций нам потребуются браузер и адрес устройства. Есть несколько способов его узнать, но, если изначально настройки не менялись, достаточно посмотреть на нижнюю крышку роутера.
Большинство производителей использует 192.168.1.1 в качестве адреса по умолчанию и комбинацию admin – admin для пароля и логина. Таким образом, можно зайти в роутер и разобраться с имеющимися подключениями.
Популярные модели
На начало 2017 года наиболее востребованы модели следующих производителей сетевого оборудования:
- ASUSTeK;
- D-Link;
- TP-Link;
- ZyXEL Communications Corp.
Продукты этих компаний можно найти в любом магазине электроники. Выбор моделей большой и программный интерфейс у них несколько различается. Мы приведем настройки не всех устройств, но поняв общий принцип, вы сможете самостоятельно разобраться со своим оборудованием.
ASUS
Рассмотрим, как узнать кто подключен к моему Wi-Fi на роутерах ASUSTeK. Сеть, как видно на приведенном скриншоте, отображается в графическом режиме.
Для ее просмотра вам потребуется выбрать режим Network Map. Выбранное устройство подсвечивается оранжевым цветом. В правом поле можно просмотреть имя и текущий IP, который оно получило в момент подключения. Кнопочка «Block» позволяет вам избавиться от нежелательных клиентов.
Нажав «ОК», вы полностью заблокируете подключение к вашей вай-фай сети для данного устройства.
D-link
У этого производителя есть два режима интерфейса: легкий и расширенный. Первый выглядит стандартно, как обычная веб-страница с гиперссылками. Нажатие на них переводит в нужный раздел настроек.
На скриншоте показано основное окно в «легком» режиме. Как видите, все предельно просто: выбираем беспроводной режим и смотрим список подключенных клиентов. Нежелательных можно отключить немедленно, нажав на кнопку «Разъединить». Поле «MAC» отображает уникальный адрес сетевой карты. В разделе «MAC-фильтр» вы можете создать соответствующее правило, запретив использование вашей сети на постоянной основе.
Теперь посмотрим, как проверить кто подключен к моему Wi-Fi, используя другой интерфейс. Первым делом в нижней части экрана переключитесь в расширенные настройки.
Дальше переходим в сектор управления беспроводным соединением и с помощью двойной стрелочки проматываем горизонтальное меню, чтобы появилась гиперссылка «Список клиентов Wi-Fi».
По функциональности полный аналог «легкого режима», только с более сложной системой переходов по пунктам.
TP-Link
Удобство управления роутерами этого производителя заключается в наличии справочной области в правой части основного окна.
Просмотр подключенных к Wi-Fi устройств выполняется переходом в меню: «Сеть» – «Беспроводной режим». Статистика и справка откроются одновременно. Очень удобно, особенно если вы занимаетесь настройками первый раз.
Некоторые модели получили обновленный интерфейс с графической картой подключений.
Цифры возле иконок дают возможность просмотреть, сколько пользователей подключены к Wi-Fi. Нажав на кнопку Wireless Clients, вы получаете детализацию с именем устройства, MAC-адресом сетевой карты и назначенным ему IP.
ZyXEL
Производитель известен серией модемов Keenetic с достаточными простыми настройками и автоматическим обновлением внутренних прошивок.
Меню выполнено наполовину в графическом стиле. Чтобы посмотреть, кто подключен к моему Wi-Fi, в нижней части выбираем тип подключения, а в верхней – текущие соединения. Рядом находится список доступа, с помощью которого можно создавать «черный» список для нежелательных клиентов.
Маленькая «хитрость»
Если вы собрались покупать новый роутер, можете заранее его изучить. Большинство производителей известных марок позволяют воспользоваться для этой цели эмуляторами. Они представляют собой ссылки на страницы, воссоздающие графический интерфейс настроек. Поэтому перед покупкой можно заранее изучить интерфейс и возможности установленного программного обеспечения, чтобы не брать «кота в мешке».
VPN-сервер L2TP/IPSec
В настройке PPTP на кинетиках есть нюансы, почитайте специально написанную для этого . Но я рекомендую вам не использовать PPTP, а просто настроить L2TP/IPSec — более надежный протокол, и все работает из коробки.
Как видно, L2TP/IPSec даже на младшем Keenetic Omni выдает почти 30 Мбит/с, то есть действительно аппаратно ускоряется, как заявляют в Keenetic, хотя при этом загрузка процессора роутера составляет 100% и Web-интерфейс еле открывается. Много это или мало? Для работы 2-3 сотрудников с электронными документами и для мониторинга сетевых устройств, этого более чем достаточно, но для коллектива из 10-15 человек уже будет мало.
Совсем другое дело — Keenetic Giga, чей двухъядерный процессор аппаратно ускоряет чистый IPsec до теоретических 400 Мбит/с. Здесь скорости будет достаточно для того, чтобы работать по RDP в разрешении 1920×1080, подключать удаленные базы данных, синхронизировать резервные копии небольших серверов и перекачивать FullHD медиафайлы или 4K со сжатием. Говоря проще, скорее вы упретесь в медленный тариф интернет-провайдера, чем в возможности VPN-сервера Keenetic Giga. Да и загрузка процессора у Keenetic Giga даже в этом тесте не превышает 48%, так что все остальные сервисы продолжают работать как часы.
Помимо PPTP и L2TP/IPsec, во всех кинетиках есть чистый (site-to-site) IPsec, виртуальный сервер IPsec Xauth PSK (нативно поддерживается в iOS и Android), и даже OpenVPN. Кроме того, нас заинтересовал сравнительно редкий и свежий вариант SSTP, но прежде, чем о нем рассказывать, рассмотрим фирменный облачный сервис KeenDNS.
Настройка WiFi сети
Теперь, когда интернет на основном подключенном по кабелю компьютере есть, необходимо настроить раздачу его по WiFi через роутер Zyxel Keenetic Lite. Для этого идем в нижнем меню в раздел «WiFi» и задаем значения для
- Имени,
- Типа защиты (WPA2)
- Ключа сети (от 8 знаков)
Также ставим галочку на «Включить точку доступа».
Остальное можно пока оставить по умолчанию — о дополнительных параметрах уже неоднократно было написано на страницах блога в разговорах про другие модели роутеров.
Применяем и ждем перезагрузки, после которой новая беспроводная сеть с заданным нами именем появится в списке для коннекта.
Мы разобрали, как подключить роутер Zyxel Keenetic, зайти в личный кабинет и настроить WiFi — уверен, что теперь вы сами сможете сделать это самостоятельно. Как мы видели, в панели управления очень много всего, поэтому про другие возможности использования будем постепенно рассказывать на нашем сайте.
Сегментация сети
Сейчас, с распространением интернета вещей, все более остро встает вопрос безопасности даже маленьких домашних или офисных “сеточек”. Что делать, если “умная” лампочка или телевизор будут взломаны хакерами? Что делать, если пароль от Wi-Fi будет скомпрометирован, и злоумышленнику станет доступна внутренняя сеть, через которую он сможет скачать скрытые от чужих глаз данные? Как посадить камеры наблюдения и их сервер вообще в отдельную сеть? Как расширить гостевую сеть с описанной выше функцией Captive Portal, через коммутатор на несколько точек доступа по этажам небольшого отеля? В роутерах серии Keenetic имеется современный ответ на эти вызовы: вы можете создать не только гостевые или прочие утилитарные Wi-Fi-сегменты, но и объединить их с проводными портами. Например, выделить один порт под отдельную сеть и подключить туда через коммутаторы или точки доступа любые устройства.
Эти устройства в гостевой сети смогут беспрепятственно выходить в интернет, но будут изолированы от других устройств в вашей основной сети, в том числе и друг от друга. Конечно, им можно включить доступ к панели управления роутером, но это не обязательно. Контроль осуществляется с использованием ограничений на физический порт или с помощью виртуальных сетей (VLAN).
Как установить функцию усилителя wifi на маршрутизатор Zyxel Keenetic?
На моем Zyxel Keenetic Giga II компонент, отвечающий за работу в качестве усилителя wifi, не установлен, но его можно скачать.
Напомню, что есть некий базовый набор компонентов, который устанавливается по умолчанию на ту или иную модель. А есть дополнительные, которых из коробки нет, но вы их можете дозагрузить в процессе эксплуатации. Это очень удобно, так как если в какой-то функции надобности нет, например роутера Zyxel Keenetic в режиме репитера, ее можно просто удалить. И поставить другую, и тем самым не загружать излишне память маршрутизатора.
Для этого нужно зайти в раздел настроек системы маршрутизатора, который скрывается в меню за иконкой «шестеренки», и открыть вкладку «Обновление».
И видим как раз те самые модули — часть из них активна, а часть — не установлена. Здесь прокручиваем список вниз до значения «Режим усилителя» и ставим на нем «галочку» — в правой колонке появится надпись «Будет установлен».
Также можно сразу выбрать и другие функции, которые понадобятся при работе с локальной сетью. Теперь прокручиваем до самого конца и нажимаем на кнопку «Установить»
Авторизация Wi-Fi пользователей в соответствии с Постановлением Правительства №758 и №801
Хотите раздавать бесплатный Wi-Fi в вашей бургерной или барбершопе в подвальчике, где не ловит 4G, но вы никогда не слышали про: «Постановление Правительства №758 и №801», «ЕСИА», «СМЭВ», «97-ФЗ», «114-ФЗ», «304-ФЗ»? Ну так вот – ради нашей безопасности каждый клиент бесплатного Wi-Fi должен пройти аутентификацию, чтобы «большой брат» знал, кто именно сейчас пишет нелицеприятные комментарии «Вконтакте». Отсутствие аутентификации пользователя ведет к наложению штрафа на юр.лицо, раздающее открытый Wi-Fi в размере от 50 до 300 тысяч рублей. Это раньше Wi-Fi пароль можно было спросить у бармена, а сейчас все автоматизировано – захотел ваш клиент выйти в интернет, подключился к открытой точке доступа, получил SMS с кодом доступа – и пожалуйста, перед законом все чисты. Более того, сервис по авторизации гостей может сохранять у себя MAC-адрес Wi-Fi адаптера смартфона, чтобы гость, прошедший авторизацию в одном кафе, не проходил её заново в другом, подключенном к той же системе. Такую возможность имеет крупный сервис .
Все это кажется громоздко, сложно и дорого, но мы вам покажем, что это просто и почти бесплатно. Сначала, выбираем сервис авторизации – беглый поиск по Google посоветовал сайт ciawifi.ru. Регистрируемся и в личном кабинете создаем объект, где якобы располагается наш хот-спот. После этого там же переходим в раздел «точки доступа» и добавляем наш роутер, а в списке прошивок выбираем Keenetic (ZYXEL).
Здесь единственная сложность – это найти MAC-адрес именно того порта, которым роутер выходит в интернет. Что делать если у вас 2 интернета и соответственно 2 MAC-адреса? Просто менять сервис авторизации на другой – сотрудничество с сервисом авторизации вас ни к чему не обязывает.
Теперь в настройках Keenetic идем по списку: «Мои сети и Wi-Fi» – «Гостевая сеть» и пролистываем вниз до заголовка Captive Portal. Включаем и открываем список поставщиков услуги авторизации, в котором собраны 14 самых востребованных компаний, и наша ciawifi.ru там на первом месте. Бесплатность сервиса – весьма условная, абонентская плата составляет 450 рублей в месяц, что для барбершопа или бургерной – не такие уж и большие деньги. Данный сервис работает не без глюков, ну так на то он и бюджетный, не забываем, где живем.
Пришло время включить нашу гостевую Wi-Fi сеть на роутере, и перед законом мы чисты. Наши клиенты будут авторизованы в самом лучшем виде, им можно задать ограничение скорости (по умолчанию 5 Мбит/с), чтобы больше тратили на бургеры и меньше смотрели в телефоны, им выделяется отдельный пул IP-адресов вида 10.1.30.x, чтобы они не лезли во внутреннюю сеть кафешки, им можно включить изоляцию сетевых устройств, чтобы они не взламывали смартфоны и ноутбуки других посетителей, и, кстати, целиком гостевую Wi-Fi сеть можно выключать по расписанию, что будет очень хорошим поводом выпроводить посетителей после закрытия заведения.
Как видите, с точки зрения законопослушного Wi-Fi для клиентов, у роутеров Keenetic все очень лаконично и просто. У меня на настройку авторизации через Captive Portal (а делал я это первый раз в жизни) ушло около 15 минут, включая регистрацию и съемку скриншотов для статьи.
Кстати, в настройках профиля Captive Portal, вы можете указать сайты, доступ к которым возможен без авторизации. По умолчанию там установлены всякие Facebook-и, Яндексы и Вконтакты, но вы не забудьте отредактировать его, добавив HWP.ru – остальное можете смело удалять.
Внешний вид Keenetic Omni и GIga
Большинство современных роутеров имеют скучный дизайн, и в Keenetic взгляд цепляется за две вещи. Первая — это огромные прямоугольные антенны, разобрав которые, видишь — это не проволочка, как многие любят, а довольно замысловатые крупные печатные антенны. В старшей Keenetic Giga используется антенная группа 2 MU-MIMO с двумя пространственными потоками и коэффициентом усиления — 5 дБи.
Вторая вещь, достойная внимания — это SFP-порт в модели Giga. Он запараллелен с WAN-портом роутера, и служит для подключения к интернету удаленных отдельностоящих объектов, куда дотянуться можно только оптоволокном. Сегодня оптоволокно стоит очень дешево, а гигабитные SFP трансиверы — вообще продаются за копейки, так что расстояния для быстрого интернета уже не имеют значения.
Keenetic Giga состоит из 2-ядерного процессора MediaTek MT7621AT, одного чипа ОЗУ DDR3 объемом 256 Мб и радиомодуля MediaTek MT7615DN. Слот SFP не имеет дополнительного охлаждения, поэтому дальнобойные трансиверы сюда лучше не ставить. Конструкция роутеров семейства Keenetic всегда была простая, и любоваться здесь особо нечем, но придраться можно только к установленным конденсаторам: в таком дорогом продукте хотелось бы видеть емкости как минимум фирмы Nippon, а здесь непонятно чьи.
Настройка работы устройств только через VPN
Снова про VPN: ничего не поделаешь, но виртуальная частная сеть — это хит текущего сезона, и рассмотрим еще один сценарий. Допустим, у вас установлен сервер 1C, и вам очень хочется, чтобы он выходил в интернет только через VPN. Для чего это может быть нужно? Ну во-первых, чтобы гарантировать интернет-соединение с американскими облачными хостингами типа Microsoft Azure или Amazon S3, куда можно складывать резервные копии, плюс к этому — дополнительная защита данных при передаче через интернет для сотрудников в других городах или на удаленке. В прошивке 2.12 Beta для роутеров Keenetic появилась функция приоритетов подключения, благодаря которой, любому физическому устройству в вашей сети можно ограничить доступ в интернет: как полностью отключить, так и направить весь трафик строго через VPN сервер.
Здесь все настраивается еще проще: во вкладке «другие подключения» создаем VPN туннель для выхода в интернет. Если вы купили платный VPN на европейских хостингах, параметры настройки вам дадут в личном кабинете сервиса. Затем лучше всего перейти в список устройств и дать имя нашему сверхсекретному серверу, чтобы не запутаться в MAC-адресах. Мы назовем его «Проектная документация», а также обеспечим беспрепятственный доступ в интернет смартфону с “телеграммом”! После этого во вкладке «Приоритеты подключений» выбираем наши устройства и привязываем их к профилю VPN. Все, теперь никакие войны с мессенджерами не повлияют на работу нашего сервера.
Бонус: Подключение DECT-телефонов к роутеру
Интернет-центры серии Keenetic можно использовать как базовые станции для беспроводных стационарных DECT-телефонов, подключенных к провайдеру IP-телефонии. Только представьте себе – вам не нужно покупать стационарные IP-телефоны, тянуть PoE кабель по всему офису, разговаривать по скрипящим пластиком трубкам дешевых китайских IP-аппаратов… Вы можете пойти в М-Видео, купить . В том же DNS-е купить – и настроить вашего провайдера IP-телефонии, используя Keenetic как VoIP сервер.
Чем больше телефонных трубок в вашей компании, тем больше будет экономия на оборудовании, ведь если посмотреть на цены DECT VoIP трубок в магазинах (, ), в среднем беспроводной VoIP телефон с базовой станцией стартует от 6 тысяч рублей. Сам модуль Keenetic Plus DECT позволяет одновременно вести разговоры по четырем телефонным трубкам, подключенным к одному (!) номеру, то есть можно не бояться, что ваш клиент не дозвонится к вам в офис, если кто-то уже ведет важные переговоры.
У нас на HWP последний DECT-аппарат был торжественно выброшен лет 10 назад, поэтому протестировать работу данной функции мы не можем, но настройка очень подробно описана в базе знаний Keenetic, и судя по отзывам в блогах и на форумах, у людей все работает.
Два (три, четыре) интернет-канала с автоматическим переключением
Вообще, Keenetic поддерживает больше двух интернет-провайдеров, если есть желание — вы можете настроить их хоть четыре штуки, и роутер будет переключаться между ними, если у провайдера упала связь или просто закончились деньги на балансе. Заметьте — физический обрыв провода совсем не обязателен для того, чтобы роутер понял, что интернета нет и включил резерв.
Настройка двух интернет-провайдеров производится инстинктивно: в разделе «проводное подключение» выбираете основного провайдера, а затем добавляете еще одного по принципу «один провайдер на один сетевой порт». Новый провайдер по умолчанию считается резервным, а чтобы отслеживать работу основного канала, используется метод доступности портов в таких ресурсах, как Facebook или Google. Но для собственной сети куда важнее, чтобы были доступны свои сервисы в удаленных филиалах, потому что не редка ситуация, когда Google и Facebook работает, а “Хабаровск” — нет. Поэтому выбираем метод проверки связи — обычный Ping (ICMP-эхо) на наш IP-адрес. Если пинг не проходит в течение 10 секунд (время и частота настраиваются), роутер считает, что провайдер сломался, и переключается на резервный.
По собственному опыту могу сказать следующее: если ваша работа связана с интернетом, то два провайдера — это Must Have! Особенно, если они какие-то местечковые и непонятные, ведь обрыв связи на 3-4 дня — это, к сожалению, обычное дело.
Как отключить пользователя от WiFi
Теперь, давайте рассмотрим ситуацию, когда Вы уже смогли посмотреть и узнать все подключенные к Вай-Фай устройства и теперь нужно одно из них отключить от сети. Как это сделать?! В настройках практически любого современного беспроводного маршрутизатора есть возможность создать фильтр MAC-адресов или черный список, правила которого будут блокировать нежелательного клиента и не давать ему подцепиться к точке доступа. Рассмотрим как это делается на примере Keenetic.
Открываем раздел меню «Сетевые правила» и выбираем пункт «Контроль доступа к WiFi». В списке режимов блокировки выбираем вариант «Черный список». Ниже, в списке будут отображены зарегистрированные устройства. Выберите то, которое хотите отключить. Если его в списке нет, то нажмите на кнопку «Добавить» и пропишите в появившемся окне нежелательный МАК-адрес. Остаётся нажать на кнопку «Сохранить».
Если снова вернуться на статусную страничку от посмотреть подключенные к WiFi устройства, то у того, что мы добавили в черный список будет запрещён доступ в домашнюю сеть. Можно ещё для верности выставить ему профиль без доступа в Интернет.
P.S.: Если Вы для входа в настройки роутера используете его стандартный заводской пароль, то обязательно смените его. В противном случае Ваш незваный гость вполне может отредактировать правила безопасности вперёд Вас, после чего Вы вряд ли сможете изменить настройки не сбросив конфигурацию маршрутизатора к заводским.
Подключение к web-устройствам за серым IP-адресом через облако KeenDNS
Дальше, каждое из зарегистрированных домашних устройств мы можем вынести в это же облако со своим адресом вида nas.hwp.keenetic.pro, и вводя этот адрес в строке браузера, мы будем сразу попадать на web-интерфейс нашего девайса.
Все это работает по защищенному HTTPS протоколу с автоматическим получением и обновлением сертификата через сервис Let’s Encrypt (не надо никому платить за сертификат или заморачиваться с самоподписанными). Правда, если ваше устройство в домашней сети доступно только по 80-му порту и адресу http:// без «S» на конце, то и работа с ним через облако KeenDNS будет происходить по протоколу HTTP, что небезопасно.
Мы протестировали работу KeenDNS, выделив роутеру серый адрес домашней подсети и подключив к нему наш самосборный NAS по HTTP-соединению. Как вы можете видеть на скриншотах, все заработало как надо. Более того, второй, третий и четвертый NAS, а также IP-камеры, работающие по 80-му порту, тоже могут быть добавлены в этот сервис, что многократно упростит доступ извне, через интернет.
VPN через облако по протоколу SSTP
Если кислород перекрыли, провайдер-жмот не дает белый IP-адрес, VPN-порты и GRE закрыли, все на свете позаблокировали, то есть один шанс обойти все ограничения и получить доступ ко всем устройствам в сети удаленно, по всем портам и протоколам — использовать VPN через облако KeenDNS по протоколу SSTP. Дело в том, что SSTP работает на том же порту (443), что и защищенное HTTPS-соединение для доступа к веб-сайтам. Если запретить 443-й порт, то перестанут работать не только Yandex и Google, но и гордость российского интернета, портал «Госуслуги», так что этот протокол в нашей стране выглядит более надежным, чем PPTP или L2TP/IPsec. Windows 7/8/10/2016 уже имеет встроенную поддержку SSTP, что позволит легко работать из дома с офисной сетью.
В Keenetic встроенный SSTP-сервер намертво привязан к облачному сервису KeenDNS, о котором мы говорили выше, и при его включении ваш VPN-сервер будет иметь адрес вида hwp.keenetic.pro. При “сером” адресе через облако Keenetic проходит и весь трафик SSTP. Это хорошо тем, что имея под рукой VPN-клиент, вы можете из любой точки мира получить доступ к любому устройству в вашей сети, находящемуся за «серым» IP-адресом, даже если у вас для доступа в интернет используется модем Билайн, МТС или Мегафон. Серый IP — не проблема: мы видим все web-интерфейсы умных устройств, мы видим сетевые папки и принтеры нашей организации, но…
…но мы видим это не очень быстро. Наши тесты показали, что скорость SSTP через KeenDNS может достигать 15 Мбит/с, но может и проседать до 5 Мбит/с. Этого хватит разве что для обмена сообщениями и хождения электронной почты. Разные там интернет-вещи могут общаться на такой скорости, но сотрудники быстро начнут возмущаться.
Если у вас провайдер предоставляет “белый” IP-адрес, то в настройках облака KeenDNS вы можете указать это, и тогда при соединении с SSTP-сервером, облако будет использоваться только для идентификации клиента, а трафик пойдет напрямую, что гораздо быстрее, как видно на графиках выше: до 23 Мбит/с на Giga KN-1010.
Я, конечно, надеюсь, что Keenetic ускорит свое облако, потому что при текущих скоростях эта фишка выглядит как крайняя мера, и её следует вынести в отдельный пункт меню с надписью «в случае необходимости — разбить стекло!». Но как показывает практика, именно за такие «крайние меры» люди очень часто выкладывают очень большие деньги. Особенно, если провайдер решил «в одностороннем порядке изменить условия договора» в понедельник с утра, и вся работа встала. Тут за 5 мегабит в секунду многое отдашь.
Заключение
Если ваш бизнес только встает на ноги, но вам уже нужно обеспечить работу 5-10 человек в офисе и на удаленке, и очень хочется, чтобы все работало через защищенные VPN-каналы, роутеры серии Keenetic дадут вам эти возможности.
Какой кинетик выбрать?
- Omni KN-1410 – брутальное решение, когда за копейки вы получаете весьма функциональный маршрутизатор на входе, а вайфай и прочее собираетесь добавлять через коммутаторы. Ну, или просто хотите изучить возможности платформы Keenetic.
- Giga KN-1010 – когда необходимо подключение по активной оптике, нужна более высокая скорость VPN, когда посетители вашего кафе любят быстрый 5 ГГц Wi-Fi и когда вы понимаете, что рост вашего бизнеса не должен ограничиваться 100-мегабитной сетью.
Михаил Дегтярёв (aka LIKE OFF)12/07.2018