Маршрутизация Keenetic: практическое руководство по Multi-WAN, VLAN и VPN для SOHO

Маршрутизация в Keenetic — это мощный инструмент для построения сложных, отказоустойчивых и безопасных сетей в условиях малого офиса или дома. В отличие от базовой настройки, она позволяет контролировать путь каждого пакета: отправлять трафик определенных устройств через VPN, балансировать нагрузку между двумя провайдерами или полностью изолировать подсети. Это руководство предоставляет готовые, проверенные на практике конфигурации для типовых сценариев, объясняет логику работы KeeneticOS и дает четкие шаги для избегания ошибок, которые могут нарушить работоспособность сети. Вы получите не просто теорию, а конкретные инструкции со скриншотами, которые можно применить сразу после прочтения.

Основы маршрутизации в KeeneticOS: как роутер выбирает путь для трафика

Прежде чем добавлять сложные правила, необходимо понять, как KeeneticOS принимает решения о маршрутизации трафика. В основе лежит таблица маршрутизации — внутренняя «карта дорог» роутера. Для каждого пакета система последовательно проверяет адрес назначения, выбирая наиболее специфичный маршрут (принцип Longest Prefix Match), и использует метрику как показатель «стоимости» пути при наличии нескольких равнозначных вариантов. В таблицу попадают маршруты из разных источников: статические (заданные вами вручную), динамические (полученные по протоколу RIP или от провайдера через DHCP), а также автоматически созданные для локальных интерфейсов и VPN-туннелей.

Таблица маршрутизации: карта дорог вашей сети

Просмотреть текущую таблицу маршрутизации можно в веб-интерфейсе KeeneticOS: перейдите в раздел «Система» → «Маршрутизация». Типичная таблица для домашней сети содержит несколько ключевых записей:

• Маршрут к локальной сети (LAN): Например, 192.168.1.0/24 dev Home. Указывает, что трафик в эту подсеть должен отправляться непосредственно через интерфейс «Home».
• Маршрут к интернету (default route): 0.0.0.0/0 via 100.64.0.1 dev ISP1 metric 10. Это маршрут по умолчанию, куда отправляется весь трафик, не подпадающий под более специфичные правила. Шлюз 100.64.0.1 — это адрес, выданный вашим провайдером.
• Маршруты к VPN-туннелям: 10.8.0.0/24 dev WireGuard0. Показывает сеть на удаленном конце VPN-подключения.

Метрика (например, metric 10) — это числовое значение, определяющее предпочтение маршрута. Чем меньше метрика, тем более предпочтительным считается маршрут. Это критически важно для настройки Multi-WAN.

Статическая vs динамическая маршрутизация (RIP): что выбрать для вашего сценария

Для управления маршрутами в Keenetic доступны два основных подхода:

• Статическая маршрутизация: Вы вручную прописываете каждый маршрут в таблице. Это идеально для стабильных сетей с небольшим количеством постоянных путей, например, для доступа к подсети за вторым роутером с IP-камерами или сервером. Она проста, надежна и не создает служебного трафика. Подробная инструкция по настройке статического маршрута доступна в отдельном руководстве.
• Динамическая маршрутизация (RIP): Роутеры автоматически обмениваются информацией о доступных сетях. В Keenetic реализован протокол RIP v2. Его стоит использовать в SOHO-среде, где топология сети часто меняется (например, между несколькими офисами с VPN-соединениями). RIP избавляет от необходимости вручную обновлять маршруты на всех устройствах при добавлении новой подсети. Однако для большинства домашних и малых офисных сетей статическая маршрутизация является более простым и достаточным решением.

Настройка статических маршрутов и политик маршрутизации: контроль трафика по IP и порту

Когда базовых маршрутов недостаточно, на помощь приходят политики маршрутизации — гибкий инструмент для управления трафиком на основе условий (исходный IP, порт, протокол).

Создание статического маршрута: пошаговый пример

Рассмотрим задачу: за вторым роутером в сети 192.168.2.0/24 находится сервер NAS. Чтобы получить к нему доступ с основной сети 192.168.1.0/24, нужно добавить статический маршрут на основном Keenetic.

1. Перейдите в «Система» → «Маршрутизация» и нажмите «Добавить маршрут».
2. Заполните поля:
   • Сеть назначения: 192.168.2.0/24
   • Шлюз: 192.168.1.2 (IP-адрес второго роутера в вашей основной сети).
   • Интерфейс: «Home» (или ваш основной LAN-интерфейс).
   • Метрика: Оставьте значение по умолчанию (например, 0).
3. Нажмите «Сохранить». Новый маршрут появится в таблице.
4. Проверьте доступность: используйте встроенную утилиту «Система» → «Пинг» и выполните ping до адреса сервера, например, 192.168.2.10.

Политика маршрутизации по исходному IP: отправляем трафик устройства через VPN

Более сложная задача: направить весь трафик с конкретного устройства (например, медиасервера с IP 192.168.1.100) через VPN-туннель WireGuard для обхода географических ограничений, не настраивая VPN на самом устройстве.

1. Предварительное условие: Убедитесь, что VPN-туннель WireGuard настроен и активен. В таблице маршрутизации должен присутствовать маршрут по умолчанию или специфичный маршрут через интерфейс этого туннеля.
2. Перейдите в «Система» → «Политики маршрутизации» и нажмите «Добавить политику».
3. Настройте условие:
   • Тип условия: «Исходный адрес».
   • Адрес/маска: 192.168.1.100/32 (один адрес).
4. Настройте действие:
   • Действие: «Использовать маршрут».
   • В выпадающем списке выберите маршрут, связанный с вашим VPN-туннелем (например, «Через интерфейс WireGuard0»).
5. Сохраните политику. Теперь весь исходящий трафик с медиасервера будет принудительно отправляться через VPN.

Важное предупреждение: Убедитесь, что для ответного трафика с удаленного VPN-сервера к вашему медиасерверу также существует корректный маршрут. Обычно он создается автоматически.

Multi-WAN: балансировка и резервирование нескольких интернет-каналов

Использование нескольких интернет-каналов (Multi-WAN) решает две ключевые задачи: повышение отказоустойчивости (резервирование) и увеличение общей пропускной способности (балансировка). Управление осуществляется через настройку метрик маршрутов по умолчанию для каждого интерфейса WAN.

Резервирование канала: настройка основного и резервного провайдера

Сценарий: основной канал — оптоволокно (ISP1), резервный — 4G/LTE модем (ISP2). При падении основного канала трафик должен автоматически переключиться на резервный.

1. Настройте подключение к обоим провайдерам в разделе «Интернет». Для каждого будут созданы свои интерфейсы (например, PPPoE_ISP1 и LTE_ISP2).
2. Перейдите в «Система» → «Маршрутизация». Найдите два маршрута по умолчанию (0.0.0.0/0), каждый через свой интерфейс.
3. Измените метрики:
   • Для основного канала (ISP1) оставьте низкую метрику, например, 10.
   • Для резервного канала (ISP2) установите более высокую метрику, например, 200.
4. Сохраните изменения. Теперь в таблице маршрутизации будет активен только маршрут с метрикой 10. Маршрут с метрикой 200 находится в резерве.
5. Проверка отказоустойчивости: Отключите кабель основного провайдера. Через несколько секунд проверьте таблицу маршрутизации — активным должен стать маршрут через ISP2 с метрикой 200. Диагностировать процесс переключения поможет утилита traceroute.

Типичная ошибка: Если оставить метрики одинаковыми, роутер будет использовать оба канала одновременно для балансировки, что не обеспечит чистого резервирования.

Балансировка нагрузки: распределение трафика между двумя каналами

Чтобы использовать суммарную пропускную способность двух каналов, необходимо установить для их маршрутов по умолчанию одинаковые или близкие метрики (например, оба 10).

В этом режиме KeeneticOS будет распределять новые сетевые сессии (TCP/UDP-подключения) между доступными каналами. Важно понимать, что это балансировка на уровне сессий, а не пакетов. Одна загрузка файла или видеопоток пойдет через один канал. Такой подход эффективен для увеличения общей пропускной способности при множестве одновременных подключений (раздача Wi-Fi, фоновые обновления).

Рекомендация: Не используйте балансировку для критичных к стабильности соединений, таких как VoIP или онлайн-игры, так как сессии разных пакетов могут пойти разными путями, что иногда вызывает проблемы.

Интеграция с VLAN и VPN: комплексный кейс сегментации сети

Максимальную гибкость и безопасность дает комбинация VLAN (логическая сегментация) и политик маршрутизации. Рассмотрим кейс: создание сегмента «Умный дом» с полным выходом в интернет через VPN для повышения приватности.

Шаг 1: Создание VLAN и назначение подсети

1. В «Домашняя сеть» → «Интерфейсы» создайте новый VLAN-интерфейс. Укажите ID (например, 20) и имя («SmartHome»).
2. Назначьте этот VLAN физическому порту роутера или отдельному SSID Wi-Fi.
3. Перейдите в «Домашняя сеть» → «DHCP-сервер», найдите созданный интерфейс «SmartHome» и настройте для него DHCP:
   • Включите сервер.
   • Задайте пул адресов, отличный от основной сети, например, 192.168.20.100 - 192.168.20.200.
   • Укажите сеть/маску: 192.168.20.0/24.

После этого устройства, подключенные к этому порту или SSID, будут получать адреса из подсети 192.168.20.0/24. Keenetic автоматически добавит в таблицу маршрутизации маршрут к этой сети через интерфейс «SmartHome». Принципы маршрутизации между VLAN универсальны и подробно разобраны на примере TrueNAS.

Шаг 2-4: Настройка VPN и политики маршрутизации для VLAN

1. Настройте VPN-туннель (например, WireGuard или IKEv2) к вашему VPN-провайдеру или корпоративному серверу в разделе «Интернет» → «VPN-клиент».
2. Создайте политику маршрутизации в соответствующем разделе.
   • Условие: «Исходный адрес» = 192.168.20.0/24 (вся подсеть VLAN).
   • Действие: «Использовать маршрут» → выберите маршрут через созданный VPN-туннель.
3. Сохраните политику.

В результате все устройства в VLAN «Умный дом» будут выходить в интернет через защищенный VPN-туннель, оставаясь при этом изолированными от основной домашней сети.

Диагностика проблем и лучшие практики: не сломать рабочую сеть

Работа с маршрутизацией требует аккуратности. Следующий подход минимизирует риски.

Инструменты диагностики в KeeneticOS: ping, traceroute и логи

• Ping (раздел «Система» → «Пинг»): Первый инструмент проверки. Если после добавления маршрута ping до целевого адреса не проходит, проверьте доступность шлюза, указанного в маршруте.
• Traceroute: Показывает путь пакета. Незаменим для понимания, по какому маршруту и где именно обрывается трафик при сложных схемах с Multi-WAN или VPN.
• Логи: В разделе «Система» → «Журнал» можно фильтровать сообщения по тегу «routes» для отслеживания событий добавления или удаления маршрутов.

Порядок действий и типичные ошибки при настройке маршрутизации

Чек-лист безопасной настройки:

1. Сделайте бэкап конфигурации («Система» → «Конфигурация» → «Сохранить»).
2. По возможности тестируйте изменения в изолированной тестовой подсети или в нерабочее время.
3. Вносите изменения поэтапно: сначала базовые подключения (интерфейсы, VLAN), затем проверяйте автоматические маршруты, после чего добавляйте статические маршруты и политики.

Типичные ошибки и их решение:

1. Неверный шлюз в статическом маршруте: Шлюз должен быть IP-адресом следующего прыжка, находящегося в одной из сетей, напрямую подключенных к роутеру. Проверьте доступность шлюза командой ping.
2. Политика маршрутизации для несуществующей в таблице подсети: Если вы создали политику для исходной сети 192.168.30.0/24, но сам роутер «не знает», как доставить пакеты в эту сеть (нет соответствующего маршрута в таблице), политика не сработает. Сначала должен существовать локальный маршрут к этой сети (через интерфейс или другой шлюз).
3. Одинаковые метрики в режиме резервирования Multi-WAN: Как уже упоминалось, это приводит к балансировке, а не к резервированию. Четко разделяйте метрики для основного и резервного каналов.

Понимание основных принципов IP-маршрутизации значительно упрощает диагностику подобных проблем и позволяет осознанно проектировать сетевую инфраструктуру.