Crea varias redes separadas en tu router Keenetic: guía para configurar VLAN y el firewall

Todos los routers del fabricante Keenetic incorporan el avanzado sistema operativo KeeneticOS, uno de los sistemas operativos para routers domésticos más avanzados que hemos probado hasta la fecha. Una de las principales características de este sistema, es que podemos crear redes adicionales tanto en Wi-Fi como cableadas, y segmentadas entre sí mediante VLANs, para posteriormente permitir o denegar el tráfico entre VLAN usando el firewall incorporado. Esta función es perfecta para tener redes de domótica, videovigilancia o de invitados, totalmente separada de la red principal. Si quieres saber cómo configurar estas redes adicionales, y todas las opciones que tenemos disponibles, a continuación, tenéis todos los detalles.

El sistema operativo KeeneticOS está incorporado en todos los routers de la marca, nosotros vamos a utilizar el Keenetic Titan KN-1812 que hemos analizado en RedesZone para la realización de esta completa guía de configuración, no obstante, esto es válido también para el resto de routers ya que tendremos a nuestra disposición las mismas opciones y menús para segmentar correctamente la red inalámbrica y cableada.

Keenetic Titan KN-1812

Keenetic Titan KN-1812

* Precios actualizados en el momento de publicar o revisar este artículo. Pueden variar con el tiempo.

Lo primero que debemos hacer es acceder a la interfaz de configuración web del router, podemos hacerlo a través del dominio my.keenetic.net o bien usando la dirección IP de la puerta de enlace predeterminada, por defecto es https://192.168.1.1, no obstante, si la has cambiado, será la IP de la red LAN principal. Esta configuración también puede realizarse desde la aplicación móvil de Keenetic, que ofrece las mismas opciones que la interfaz web.

Una vez que entremos en el router, veremos el «Panel del sistema» donde podemos ver el estado general del router, con la conexión a Internet, pero nosotros debemos centrarnos en el menú de «Mis redes y Wi-Fi«, es aquí donde aparecerán las diferentes redes que hayamos creado. De forma predeterminada, tendremos una red principal o LAN con dos SSID (uno por cada banda de frecuencias).

Panel de control de KeeneticOS mostrando gráficas de tráfico de internet, estado de la red Wi-Fi y configuración de puertos.
Panel principal de KeeneticOS con la monitorización de tráfico y estado de las conexiones inalámbricas. Foto: Captura propia de RedesZone

También es muy importante que nos fijemos en los puertos de red que estamos usando actualmente, y los que vayamos a actualizar, porque cuando creamos redes adicionales con VLANs, podemos hacer que uno de estos puertos esté como VLAN sin etiqueta o con etiqueta. La diferencia entre ambas es:

  • VLAN sin etiqueta o «Untagged»: la VLAN se envía sin etiqueta y en este puerto podemos conectar dispositivos finales (PC, impresoras, servidores NAS, cámara IP cableada etc.). En un mismo puerto, solamente podemos poner una VLAN sin etiqueta.
  • VLAN con etiqueta o «Tagged»: la VLAN se envía con etiqueta, y el dispositivo que conectemos al puerto debe «entender» la VLAN etiquetada. Normalmente aquí tendremos que conectar un switch gestionable con soporte para VLANs, no obstante, hay servidores NAS que también permiten gestionar esto. En un mismo puerto, podemos múltiples VLAN con etiqueta sin problema.
  • Sin miembro: en este puerto no habrá VLAN con etiqueta ni sin etiqueta, simplemente no se proporcionará esa VLAN a través del puerto.

Os recomendamos visitar nuestro completo tutorial sobre qué es una VLAN y cómo se utilizan, para que sepáis todo sobre esta tecnología para segmentar redes cableadas e inalámbricas.

 

Configuración de la red principal o LAN

De manera predeterminada, el router de Keenetic creará una red «Principal«, que llamaremos «LAN» a partir de ahora. Esta subred es la predeterminada y usa la subred 192.168.1.0/24 como suele ser habitual. En este menú es donde podemos configurar en detalle esta red LAN, y también crear más segmentos de red.

Panel de configuración de redes y WiFi en el sistema operativo KeeneticOS de un router Keenetic Titan.
Interfaz de usuario de KeeneticOS mostrando los ajustes de las bandas de 2,4 GHz y 5 GHz. Foto: Captura propia de RedesZone

A nivel inalámbrico, podemos configurar con mucho detalle tanto la banda de 2.4GHz como de 5GHz, las principales opciones y ajustes que podemos realizar son:

  • Nombre de red Wi-Fi: podemos definir el nombre de red o SSID que nosotros queramos, para identificar esta red inalámbrica entre todas las redes inalámbricas.
  • Ocultar SSID: podemos activar o no la ocultación, no es recomendable ocultarla.
  • Horario de funcionamiento: por defecto siempre estará encendida, si queremos programar su encendido y apagado debemos configurar primero un «calendario».
  • Protección de red: elegiremos la seguridad Wi-Fi, es recomendable usar WPA3-SAE, pero si todos tus dispositivos no soportan este tipo de cifrado, entonces elige WPA2-PSK.
  • Contraseña: pondremos la contraseña de acceso a la red Wi-Fi si hemos elegido WPA2-PSK o WPA3-SAE.
  • Permitir WPS, PIN WPS y funcionamiento MLO: es recomendable desactivar el WPS siempre, y el funcionamiento multienlace podemos habilitarlo si los clientes lo permiten.
  • Estándar Wi-Fi: es recomendable dejarlo por defecto, pero si quieres mayor optimización, elige solamente los últimos estándares, y no uses 802.11bg.
  • Canal: podemos dejarlo en automático, o bien elegir un canal fijo.
  • Comportamiento del canal automático: escaneará el mejor canal disponible en el espacio.
  • Ancho de canal: podemos definir el ancho de canal máximo, cuanto mayor ancho de canal más rendimiento, pero más interferencias con otras redes inalámbricas.
  • Potencia: podemos configurar la potencia máxima de la señal, por defecto es 100% y debemos dejarlo así.
  • Opciones avanzadas: algunas opciones avanzadas del Wi-Fi podemos habilitarlas, como el DL y UL OFDMA, es importante leer bien qué son estas tecnologías, para saber cómo podrían afectar.

En la banda de los 5GHz tenemos similares opciones de configuración, la principal diferencia radica en los estándares soportados y en el ancho de canal máximo que es de hasta 160MHz.

Interfaz de configuración de KeeneticOS mostrando los ajustes de una red Wi-Fi de 2,4 GHz, incluyendo seguridad WPA3 y selección de canal.
Interfaz de configuración de red Wi-Fi de 2,4 GHz en el sistema operativo KeeneticOS, mostrando opciones de canal, ancho de banda y tecnologías como MU-MIMO.
Panel de configuración de red Wi-Fi de 5 GHz en la interfaz de un router Keenetic Titan mostrando detalles de SSID, seguridad y canales.
Panel de configuración de red inalámbrica de 5 GHz en el sistema operativo KeeneticOS mostrando ajustes de canal, ancho de banda y tecnologías MU-MIMO.

Otras opciones que tenemos disponibles son las relacionadas con el roaming Wi-Fi entre nodos si usamos una red Mesh, podemos habilitar el estándar 802.11r o Fast-Roaming, y también los estándares 802.11k/v y el funcionamiento del band-steering.

En la sección de «Ajustes de puertos y VLAN» es donde vamos a poder definir desde qué puertos Ethernet podemos conectarnos a esta LAN. Por defecto el acceso a la LAN es desde todos los puertos, excepto el puerto que se usa como WAN de Internet que no permite configuración, y está puesto en azul y con el icono de Internet. En el caso de la LAN, no vamos a tener ningún VLAN ID porque es el VLAN ID 1 que es la nativa.

Interfaz de configuración KeeneticOS mostrando los ajustes de puertos, segmentación VLAN y parámetros IP para redes inalámbricas.
Menú de administración de Keenetic para la gestión avanzada de puertos y segmentación de redes mediante VLAN. Foto: Captura propia de RedesZone

Lo que sí podemos editar es la zona de «Ajustes IP«, aquí nos permite realizar las siguientes configuraciones:

  • Retransmisión de DNS multidifusión: podemos activar el mDNS en todos los segmentos de red.
  • Activar IPv4: definimos la dirección IP de la puerta de enlace predeterminada. También tenemos la correspondiente configuración del servidor DHCP del router y sus ajustes.
  • Usar NAT: por defecto debe estar habilitado, para poder salir a Internet correctamente desde los clientes conectados.
  • Activar IPv6: podemos configurar este protocolo de red, no es obligatorio.
Interfaz de configuración de ajustes IP y reglas de tráfico de Internet en el panel de administración de KeeneticOS.
Menú de gestión de direcciones IP y control de tráfico de Internet en un router Keenetic Titan. Foto: Captura propia de RedesZone

Keenetic nos permite configurar una política de conexión predeterminada para esta subred, por ejemplo, para salir por una VPN que hayamos configurado. En circunstancias normales debemos elegir la política por defecto. Para crear otras políticas debemos irnos a «Prioridades de conexión» y crear ahí la política general. Otras opciones son las de activar el Proxy IGMP, y también el PPPoE Pass-through.

Interfaz de configuración de un router Keenetic Titan mostrando opciones de reglas de manejo del tráfico de internet, Proxy IGMP y PPPoE pass-through.
Opciones avanzadas para la gestión del tráfico y protocolos de red en el sistema operativo KeeneticOS. Foto: Captura propia de RedesZone

Ahora que ya habéis visto todas las opciones que tenemos disponibles en la red Wi-Fi y cableada de la red principal o LAN, vamos a crear una segunda red y os indicaremos lo que tenéis que configurar.

 

Crear un nuevo segmento de red (VLAN)

En RedesZone vamos a realizar el siguiente esquema de red a modo de ejemplo:

Diagrama de arquitectura de red segmentada con un router Keenetic que separa una LAN principal de una VLAN IoT mediante reglas de firewall.
Configuración de red Keenetic que muestra la segmentación entre dispositivos críticos y entorno IoT con reglas de firewall específicas. Foto: Captura propia de RedesZone

En el menú de «Mis redes y Wi-Fi«, pinchamos en el botón de «+» de la zona superior. Lo primero que debemos hacer es darle un nombre al segmento de red, en nuestro caso, vamos a crear una red específica para la domótica, por lo que la hemos llamado «IoT«. En la configuración de esta red vamos a realizar las siguientes configuraciones:

  • Habilitaremos solamente la banda de 2.4GHz, con su correspondiente seguridad WPA2-PSK para que todos los dispositivos de domótica sean compatibles.
  • La subred principal será 192.168.2.0/24 con su correspondiente servidor DHCP.
  • El VLAN ID será el 2, no obstante, esto es un identificador, y podría ser cualquiera menos uno que ya esté «cogido».
  • Configuraremos un puerto Ethernet para colocar el dispositivo conectado en esta VLAN en concreto.
Interfaz de configuración 'Mis redes y wifi' en el sistema operativo KeeneticOS de un router Keenetic Titan.
Menú de ajustes para redes inalámbricas y segmentación LAN en el sistema KeeneticOS. Foto: Captura propia de RedesZone

Un ajuste muy recomendable por seguridad es el «Aislamiento de clientes» en ciertas circunstancias, esto permite que, un cliente inalámbrico, no pueda conectarse con otros clientes inalámbricos ni cableados. Si toda la domótica está basada en la nube, podemos habilitarlo sin problemas. Si vas a instalar un sistema como Home Assistant en la VLAN de domótica, sí tendremos que tener acceso local a él. Además, para evitar problemas con multicast y mDNS, es recomendable ubicar el sistema de Home Assistant en la misma VLAN de domótica.

En «Ajustes de puertos y VLAN» es muy importante configurar adecuadamente los puertos. En nuestro caso, el puerto número 4 lo configuraremos como «Perteneciente a este segmento«, que es la VLAN sin etiqueta o «Untagged». De esta forma, si conectamos un equipo como un mini PC con Home Assistant, estará en la VLAN 2 para gestionar toda la domótica de forma local. Si pinchamos en «Mostrar otros segmentos» podemos ver el resto de VLANs y cómo están configurados los puertos.

Hay una regla fundamental que debemos cumplir: solamente podemos poner una VLAN como «untagged» o sin etiqueta en un puerto.

Panel de configuración de KeeneticOS mostrando la sección de ajustes de puertos y VLAN para la gestión de redes locales.
Menú de administración de un router Keenetic donde se configuran los segmentos de red y la asignación de puertos VLAN. Foto: Captura propia de RedesZone

Otras opciones que tenemos disponibles en este nuevo segmento de red, son las de poder acceder a los servicios del propio router o no, habilitar el mDNS, y también la subred que tendremos en esta VLAN que hemos creado. En este caso, tendremos la dirección IP 192.168.2.1 para esta VLAN 2, y el servidor DHCP activado y la NAT también. Aunque no es una «regla», siempre es recomendable planificar las VLAN ID junto con las subredes, para tenerlo todo claro, por ejemplo:

RELATED ARTICLESMORE FROM AUTHOR