10 настроек маршрутизатора, которые следует сразу изменить

10 настроек маршрутизатора, которые следует сразу изменить

Ваш беспроводной маршрутизатор имеет множество полезных параметров, которые вы можете настроить. Они практически скрыты – многие пользователи даже не знают, что эти функции существуют, если не пробовали копаться в конфигурации маршрутизатора. Но о них стоит знать.

Имейте в виду, что разные маршрутизаторы имеют разные варианты настроек. Возможно, у вас даже не будет всех параметров, перечисленных здесь. Параметры также могут находиться в других местах под другими названиями.

Доступ к веб-интерфейсу маршрутизатора

Подавляющее большинство маршрутизаторов имеют веб-страницы конфигурации, доступ к которым вы можете получить через веб-браузер, если находитесь в той же локальной сети, что и маршрутизатор.

Чтобы получить доступ к веб-интерфейсу вашего маршрутизатора, сначала вам нужно найти локальный IP-адрес вашего маршрутизатора. В общем, вы можете просто открыть настройки своего сетевого подключения и поискать запись «шлюз по умолчанию», «шлюз» или «роутер».

После того, как у вас есть IP-адрес, всё, что вам нужно сделать, это ввести его в адресную строку браузера и нажать Enter . На большинстве маршрутизаторов вам будет предложено войти в систему с вашей комбинацией имени пользователя и пароля. Если вы их не знаете или никогда не меняли – ваш маршрутизатор, вероятно, использует свои учетные данные по умолчанию.

Проверьте руководство вашего маршрутизатора или выполните поиск в интернете по номеру модели и «пароль по умолчанию». Если вы ранее изменили пароль и не можете его запомнить, вы можете сбросить пароль своего маршрутизатора.

После входа в систему вы можете просматривать веб-страницу администрирования вашего маршрутизатора и настраивать его параметры.

Проверьте, кто подключен к сети

Вероятно, ваш маршрутизатор предоставляет возможность узнать, кто подключен к вашей беспроводной сети. Обычно этот параметр можно найти на общей странице состояния или в разделе беспроводной связи, и функция будет называться как «список клиентов», «подключенные устройства» или аналогично.

Если вы дадите имена устройствам и значимым компьютерам, это поможет вам убедиться, что подключены только одобренные устройства.

На страницах администрирования маршрутизатора также отображается другая информация о подключении к интернету, включая внешний IP-адрес (тот, который видит интернет), параметры беспроводной безопасности и т.д.

Беспроводной канал

Вы можете изменить различные параметры беспроводной сети в веб-интерфейсе вашего маршрутизатора, включая его беспроводной канал. Изменение беспроводного канала вашего маршрутизатора может ускорить работу вашего Wi-Fi. Если многие другие беспроводные сети в вашей области используют один и тот же беспроводной канал, помехи приведут к более медленному соединению.

Прежде чем менять свой беспроводной канал, используйте что-то вроде Wi-Fi Analyzer для Android или утилиту inSSIDer для Windows. Они сканируют сети в локальной области и находят лучший беспроводной канал с наименьшими помехами.

Расширение существующей сети

Если вам необходимо создать беспроводную сеть, охватывающую большую область, одного маршрутизатора может быть недостаточно. Кроме того, что вы можете использовать инструменты, предназначенные для расширения диапазона или сетей, – вы также можете использовать несколько беспроводных маршрутизаторов, если вам нужны дополнительные функции. Но вы должны будете создать отдельные беспроводные сети для каждого маршрутизатора. Это позволит вам создать одну большую сеть Wi-Fi из разных маршрутизаторов.

Включите QoS

Многие маршрутизаторы содержат функции качества обслуживания или QoS. Она определяет приоритет трафика, чтобы дать вам лучший опыт.

Например, QoS может снизить пропускную способность сети, доступную для передачи BitTorrent и приоритизировать веб-страницы, не позволяя вашим передачам BitTorrent замедлять просмотр веб-страниц. Это особенно полезно, если у вас есть сеть с несколькими людьми, и вы хотите предотвратить замедление работы из одного пользователя.

Функции QoS часто довольно конфигурируемы, поэтому вы даже можете уделить приоритетное внимание сетевым соединениям одного компьютера над другими.

Динамический DNS

Если на вашем компьютере размещен какой-то сервер, вам нужно будет подключиться к этому компьютеру через интернет. Однако, многие интернет-провайдеры назначают динамические IP-адреса, которые меняются регулярно.

Функция «Динамический DNS» позволяет присвоить компьютеру специальный адрес, например, mycomputer.service.com. Всякий раз, когда изменяется внешний IP-адрес, ваш маршрутизатор будет регистрироваться в службе динамического DNS и обновлять IP-адрес, связанный с вашим mycomputer.service.com, поэтому вы всегда сможете подключиться к своему компьютеру.

Обычно маршрутизаторы имеют динамические DNS или DDNS-страницы, где эта функция может быть настроена. Вам нужно будет создать учетную запись с поддерживаемой службой и выбрать имя хоста.

Port Forwarding, Port Triggering, DMZ & UPnP

Из-за того, как работает преобразование сетевых адресов (NAT), маршрутизаторы блокируют входящий трафик по умолчанию. Если вы хотите настроить компьютер в качестве сервера или использовать другие службы, для которых требуются входящие подключения, такие как передача файлов однорангового доступа или некоторые формы VoIP, вам могут понадобиться эти входящие соединения.

Маршрутизаторы предоставляют множество способов для этого. Вы можете перенаправить порты, чтобы входящие соединения на этих портах всегда отправлялись на определенный компьютер. Вы можете настроить запуск порта, поэтому переадресация портов будет автоматически включаться всякий раз, когда программа открывает соединение на определенном порту. Вы можете использовать демилитаризованную зону (DMZ) для автоматической отправки всех входящих соединений в вашей сети на один компьютер. UPnP также обычно включен по умолчанию. UPnP позволяет программам пересылать свои собственные порты по требованию, хотя это не очень безопасно.

Если вы настраиваете переадресацию портов или DMZ, вам также следует рассмотреть возможность назначения статического IP-адреса, чтобы IP-адрес внутреннего компьютера не изменялся и не нарушал правил перенаправления портов. Все эти параметры и многое другое доступны в веб-интерфейсе вашего маршрутизатора.

Настройка сетевого DNS-сервера

Вы можете изменить DNS-сервер для всей сети на маршрутизаторе. Это позволяет включать родительские элементы управления для каждого устройства в вашей сети или просто использовать более быстрый DNS-сервер. Существует много причин, по которым вы можете использовать сторонний DNS-сервер.

Родительский контроль, блокировка сайта и планирование доступа

Маршрутизаторы часто содержат функции родительского контроля, позволяющие блокировать определенные типы трафика или определенные веб-сайты. Вы также можете контролировать время, когда доступен интернет, чтобы не позволять детям пользоваться интернетом в 3 часа ночи.

На некоторых маршрутизаторах вы даже можете настроить это для каждого компьютера, ограничивая только определенные компьютеры.

Даже если ваш маршрутизатор не содержит родительский контроль, вы все равно можете настроить родительский контроль, изменив DNS-сервер на OpenDNS, как указано выше.

Перезагрузите маршрутизатор

Иногда перезагрузка маршрутизатора может помочь устранить проблемы с сетью. Вы можете сделать это, отключив маршрутизатор или нажав кнопку на нём, но маршрутизатор может находиться в труднодоступном месте.

Обычно вы найдете удобную кнопку для перезагрузки вашего маршрутизатора где-то на странице конфигурации, чтобы перезагрузить маршрутизатор, даже не вставая с места.

Прошивка сторонних маршрутизаторов

Если вы хотите получить больше от своего маршрутизатора, вы можете установить различные прошивки сторонних маршрутизаторов. Вам понадобится маршрутизатор, поддерживающий эти прошивки, поэтому это подходит не для всех. Фактически, если вы действительно хотите использовать эти прошивки маршрутизатора, вы должны учитывать это при покупке маршрутизатора и обеспечении его совместимости.

Популярные прошивки маршрутизатора включают DD-WRT, Tomato и OpenWRT. Все эти прошивки предоставляют дополнительные опции, которые вы не получите на своём маршрутизаторе. OpenWRT, в частности, представляет собой полный встроенный дистрибутив Linux с диспетчером пакетов, позволяющий вам получить доступ к оболочке Linux и установить программное обеспечение на вашем маршрутизаторе, эффективно позволяя использовать его как всегда работающий сервер с низким энергопотреблением.

Мы не рассмотрели всё, что вы можете сделать на веб-странице администрирования маршрутизатора. Не стесняйтесь просматривать веб-интерфейс вашего маршрутизатора и просматривать все параметры, которые вы можете настроить. Вы также можете обратиться к руководству вашего маршрутизатора за информацией, относящейся к вашей модели маршрутизатора.

Как настроить VPN на роутере

Специальные приложения VPN существуют для любых типов разнообразных устройств и операционных систем. Также его можно включить на домашнем либо офисном маршрутизаторе. Устанавливать его можно на роутерах разных моделей.

Содержание

Как настроить VPN на роутере: подключение к серверу

Специальные приложения VPN существуют для любых типов разнообразных устройств и операционных систем. Также его можно включить на домашнем либо офисном маршрутизаторе.

Устанавливать его можно на роутерах разных моделей:

• Zyxel Keenetic;
• Mikrotik;
• TP-Link;
• Xiaomi;
• D-Link;
• Асус.

Если вы пользуетесь сетевым оборудованием для интернета от Ростелеком, МГТС или другого провайдера, вы также сможете настроить на нем VPN. Ниже рассмотрим, как настроить VPN на роутере для интернета в Наро-Фоминском районе на даче.

VPN маршрутизатор: принципы работы

VPN-сервер – физический сервер для интернета, его аппаратный и программный функционал дает возможность выполнять подключение к виртуальным частным сетям. Сфера применения его достаточно широка. Он может организовать зашифрованное и по максимуму безопасное соединение между гаджетом и интернетом. Через VPN router трафик поступает на каждый подключенный гаджет через зашифрованный тоннель.

К роутеру с поддержкой VPN пользователи могут подключить любое устройство:

• ПК;
• ноутбук;
• смартфон;
• планшетный компьютер;
• приставку;
• телевизор.

Преимущества настройки VPN на роутере

• Возможность работать в интернете в офисе безопасно и конфиденциально. Зная, как установить VPN на маршрутизатор, пользователь всегда будет подключен к этому сервису. Соединение все время будет защищено. Ваши персональные данные будут под надежной защитой. В особенности это актуально в том случае, если человек использует приложения, связанные с финансами.
• Всесторонняя защита дома. Каждый гаджет, который подключен к домашнему роутеру, получает стабильное покрытие. VPN отлично защитит все новые гаджеты, подключаемые пользователем. Дополнительные настройки не понадобятся. Будут защищены даже гостевые устройства при подключении к вашей беспроводной сети.
• Безопасность гаджетов, не поддерживающих VPN. Есть разнообразные гаджеты, которые поддерживают беспроводные сети Wi-Fi, но не поддерживают VPN. Это могут быть различные медиа системы. Некоторые виды контента на Apple ТВ блокируют для зрителей в конкретных местах. На Apple TV поставить VPN не получится. Зато его можно установить на домашний роутер. Это даст возможность поменять место своего положения и получить доступ к заблокированному контенту.
• Возможность подключать множество гаджетов. Благодаря подключению к VPN серверу через роутер можно подсоединять множество устройств. Роутер с поддержкой VPN и все подключенные к нему девайсы технически считаются одним устройством.

Nord VPN

Nord VPN – популярный провайдер премиум-класса, предоставляющий соответствующие услуги. Данный сервис зарегистрирован в Панаме. Ему принадлежит более пяти тысяч серверов. Провайдер использует AES-шифрование. Качество и скорость подключения устраивают всех пользователей.

Сервис обновляется регулярно, руководства по настройкам максимально информативные и доступные. Nord VPN – это превосходное решение для маршрутизаторов. На официальном сайте данного сервиса можно изучить детальные инструкции, которые касаются настройки маршрутизаторов. Также здесь представлены подробные инструкции для работы с разными версиями прошивки. Сервис предоставляет тридцатидневную гарантию на услуги.

Как настроить ВПН на роутере

Специфика настройки на сетевом оборудовании будет зависеть от марки и конкретной модели.

Но в целом алгоритм действий общий для всех:

• Заходим в панель управления маршрутизатора. Заходим в любой браузер на компьютере и в адресной строке прописываем сетевой адрес своего маршрутизатора.
• Дальнейшие действия будут зависеть от версии прошивки, которая установлена на маршрутизаторе. Некоторые роутеры имеют встроенную функцию VPN. На других моделях пользователям нужно перенастраивать настройки.
• Выполните проверку подключения. После активации VPN проверьте, как работает интернет в Клину на разных гаджетах, которые подключены к роутеру.

Ориентируйтесь при выборе на надежность. Так, Nord VPN – это надежный и проверенный сервис. На сайте детально прописаны все шаги по инструкции.

Настройки для моделей Асус

Ниже рассмотрим алгоритм, по которому создается VPN на приборах Асус. Ничего сложно делать не придется:

• В веб-конфигураторе находим категорию, посвященную VPN.
• Заходим в одноименный подраздел, активируем PPTP.
• В подразделе «Логин и пароль» прописываем данные для аутентификации удаленных клиентов.
• В пункте «Подробнее» выбираем тип шифрования и задаем диапазон адресов. Здесь же вы можете включить DNS и WINS.
• Перед выходом кликаем на кнопку «Сохранить».

Настройка на D-Link

Панели управления в разных моделях маршрутизаторов D-Link отличаются. Но настраивается оборудование по одному и тому же принципу.

Рассмотрим поэтапно:

• Заходим в панель управления девайса. Выбираем категорию с расширенными настройками.
• Находим подраздел «Сеть», а затем «WAN».
• В параметрах соединения кликаем на «Добавить».
• Откроется новая вкладка, в которой вам нужно выбрать необходимый тип подключения.
• Далее находим подраздел «VPN». Здесь заполняем нужные графы. Вводим данные, которые предоставляет ваш провайдер. Не забудьте установить отметку возле поля автоматическое подключение.
• Сохраняем настройки и пробуем выйти в интернет в Троицке с новыми параметрами.

Как настраивать роутеры TP-Link

Веб-конфигуратор устройств бренда TP-Link предельно прост. Настройки конфигурации можно выполнить за пару минут.

Ниже рассмотрим, как правильно настраивать VPN-подключение:

• Через браузер на компьютере или ноутбуке заходим в панель управления.
• Выбираем категорию, посвященную настройкам сети.
• Далее выбираем раздел «WAN».
• В окошке с параметрами устанавливаем тип соединения, вводим логин и пароль. Также здесь в соответствующих полях прописываем адрес и название сервера. Все эти данные берем из письменного соглашения.
• Не забудьте включить «Динамический IP» и оставьте его всегда активированным.
• Сохраните новые параметры перед выходом из веб-интерфейса.

VPN-сервер в сетевом оборудовании – это очень удобная опция. С ее помощью пользователи могут организовать максимально надежное интернет-соединение. Оно будет защищено. Пользователи смогут получать доступ к заблокированному контенту в своем регионе.

Изоляция трафика на MikroTik с помощью VLAN

Технологию VLAN используют для изоляции клиентского трафика или трафика разных беспроводных базовых станций. Это позволяет уменьшить широковещательный трафик в сети и увеличить пропускную способность.

Принцип настройки VLAN в роутерах MikroTik отличается от того, как это делается в управляемых коммутаторах. В данной статье рассмотрим пример, как разделить трафик клиентских устройств и трафик для управления роутером MikroTik.

Виртуальный интерфейс VLAN работает точно также как и физический интерфейс. VLAN интерфейс можно привязать к физическому Ethernet порту, Bridge интерфейсу и даже EoIP туннелю.

Допустим, на первый порт роутера MikroTik приходит пять вланов со следующими номерами:

• 10 — предназначен для управления маршрутизатором;
• 20 — трафик для 2-го LAN порта;
• 30 — трафик для 3-го LAN порта;
• 40 — трафик для 4-го LAN порта;
• 50 — трафик для 5-го LAN порта.

Наша задача настроить роутер и решить следующие задачи:

1. Чтобы повысить безопасность сети, управление маршрутизатором должно выполняться только через VLAN с номером 10.
2. Трафик из VLAN с номерами 20, 30, 40, 50 должен выдаваться без тегирования в соответствующие сетевые порты.

Приступим к выполнению поставленных задач. Зайдите в настройки MikroTik и откройте меню Interface. Здесь отображаются пять сетевых портов ether1–ether5.

Перейдите на вкладку VLAN и добавьте пять VLAN интерфейсов:

• vlan_10 с VLAN ID:10 на порту ether1
• vlan_20 с VLAN ID:20 на порту ether1
• vlan_30 с VLAN ID:30 на порту ether1
• vlan_40 с VLAN ID:40 на порту ether1
• vlan_50 с VLAN ID:50 на порту ether1

На вкладке Interface в списке появились новые вланы, которые привязаны к интерфейсу ether1.
Для управления роутером через VLAN 10, нужно присвоить влану IP-адрес:

• Откройте меню IP→Address и нажмите красный плюсик;
• В поле Address введите IP-адрес, например 10.10.10.10/24;
• В списке Interface выберите интерфейс vlan_10.
• Нажмите кнопку OK.

Чтобы на IP-адрес управления 10.10.10.10/24 можно было попасть из любого места сети, настроим маршрутизацию:

• Откройте меню IP→Route и нажмите красный плюсик;
• В поле Dst. Address введите адрес 0.0.0.0/0;
• В поле Gateway укажите IP-адрес шлюза — это адрес центрального маршрутизатора в вашей сети, например 10.10.10.1;
• Нажмите OK.

На этом первую задачу управления роутером только через VLAN с номером 10 мы решили. Приступим к решению второй задачи.

Чтобы трафик из VLAN интерфейсов с номерами 20, 30, 40, 50 выдавался в соответствующие LAN порты без тегирования, нужно создать бридж интерфейсы и объединить в них соответствующие вланы и сетевые порты.

Сначала создадим четыре бридж интерфейса:

• Откройте меню Bridge и нажмите красный плюсик;
• В поле Name укажите название бридж интерфейса, например bridge_50 — это бридж для влана 50;
• Нажмите кнопку OK;
• Добавьте по аналогии интерфейсы bridge_20, bridge_30 и bridge_40.

Теперь нужно добавить в каждый бридж, соответствующий сетевой порт и VLAN интерфейс:

• В интерфейс bridge_20 добавляем порты ether2 и vlan_20
• В интерфейс bridge_30 добавляем порты ether3 и vlan_30
• В интерфейс bridge_40 добавляем порты ether4 и vlan_40
• В интерфейс bridge_50 добавляем порты ether5 и vlan_50

Добавление портов в бриджи выполняется следующим образом:

• Перейдите на вкладку Ports и нажмите красный плюсик;
• В списке Bridge выберите имя бридж интерфейса bridge_50;
• В списке Interface выберите соответствующий сетевой порт ether5;
• Нажмите OK;
• Нажмите еще раз красный плюсик для добавления VLAN интерфейса в bridge_50;
• В списке Bridge выберите имя бридж интерфейса bridge_50;
• В списке Interface выберите соответствующий VLAN интерфейс vlan_50;
• Нажмите OK.

Добавьте по аналогии порты в бриджи bridge_20, bridge_30 и bridge_40.

На этом мы решили вторую задачу, и трафик из каждого VLAN интерфейса будет выдаваться без тегирования в соответствующий сетевой порт маршрутизатора.

Усложним задачу. Теперь нам нужно в каждый сетевой порт выдавать VLAN с номером 10 для управления устройством. Для этого создаем на каждом бридже VLAN с номером 10:

• Bridge_20 — vlan2_10
• Bridge_30 — vlan3_10
• Bridge_40 — vlan4_10
• Bridge_50 — vlan5_10

В разделе Bridge создадим еще один интерфейс и назовем его bridge1_10.

Перейдите на вкладку Ports и добавьте в интерфейс bridge1_10 следующие порты:

• Vlan_10
• Vlan2_10
• Vlan3_10
• Vlan4_10
• Vlan5_10

Теперь VLAN с номером 10 будет доступен на всех сетевых портах маршрутизатора MikroTik.

Когда у вас есть любой интерфейс с установленным IP-адресом, и вы добавляете этот интерфейс в бридж, то на нем перестает работать IP-адрес. Поэтому для управления микротиком через IP-адрес 10.10.10.10/24 нужно его перенести с интерфейса vlan_10 на bridge1_10:

• Перейдите в меню IP -Address и откройте настройки интерфейса vlan_10;
• В списке Interface укажите интерфейс bridge1_10.
• Нажмите кнопку OK.

Теперь со всех портов через VLAN 10 можно получить доступ к настройке маршрутизатора по IP-адресу 10.10.10.10/24.

В заключении добавим, что MikroTik поддерживает создание вложенных вланов Q-in-Q, т.е. можно создавать влан во влане. Поддерживается 10 и более вложенных VLAN, однако с каждым вложением размер MTU уменьшается на 4 байта. Поэтому не рекомендуем делать более 2-4 вложений.

Wi-CAT LLC

Wireless Comprehensive Advanced Technology. Build your network now.

Фильтруем трафик по MAC/IP/портам. Нюансы Firewall.

В предыдущей статье был рассмотрен проброс портов и всё, что с ним связано. Теперь остановимся на фильтрации трафика (раздел Сетевой Экран / Firewall web-интерфейса) — как транзитного, так и обращенного к локальным сервисам маршрутизатора.

1. Настройки фильтрации транзитного трафика
Данный блок позволяет создать набор правил, регламентирующих (как запрещающих, так и разрешающих) прохождение трафика через маршрутизатор из глобальной сети в сторону клиентов и наоборот. Фильтрация может осуществляться по MAC адресам устройств, подключенных к роутеру, IP адресам устройств и внешних ресурсов, а также портам.
Чтобы начать работать с фильтрами, необходимо:

• Включить фильтрацию (по умолчанию опция отключена).
• Определиться, что будет происходить со всеми соединениями, не попадающими под правила. Варианта два: либо они пропускаются , либо блокируются. Грубо говоря, понять, какая задача стоит: разрешить доступ лишь к определенным ресурсам и определенному кругу лиц, а всё остальное — запретить; или напротив — в общем случае разрешать любые соединения всем пользователям, за определенными исключениями, оформленными в правила.

Включение фильтрации транзитного трафика на роутере

Далее, чтобы создать правило, необходимо, как и в случае с пробросом портов, внести ряд данных.

1. Интерфейс, на который поступил трафик, обрабатываемый правилом. Если цель — фильтровать соединения, инициированные пользователями локальной сети, необходимо указать LAN, в случае соединений извне — WAN либо VPN в зависимости от типа подключения роутера к операторской сети.
2. Протокол, на который будет распространяться правило. По умолчанию значение None, т.е любой трафик без уточнения. Но возможен выбор : TCP, UDP или ICMP.
3. Если фильтрация осуществляется по MAC адресу источника соединения, то необходимо его указать.
4. Также доступен вариант фильтрации по IP адресу источника соединения (как единственному, так и подсети).
5. Порт, с которого производится соединение. Для ICMP протокола это поле недоступно.
6. IP адрес назначения, т.е IP адрес, к которому устанавливается соединение. Это может быть как один адрес, так и подсеть.
7. Порт назначения, на который производится соединение. Для ICMP протокола это поле недоступно.
8. Политика, т.е определение того, что будет происходить с соединениями, попадающими под правило. Варианта два: правило может быть либо запрещающим, либо разрешающим.
9. Комментарий в свободнонй форме, позволяющий не держать в голове, какое правило и зачем было создано.
10. Действие, а именно — что вы хотите сделать с правилом: добавить (новое) либо удалить (уже существующее).

Настройка фильтрации трафика (firewall) на роутере

Важно: не обязательно заполнять все доступные поля. В этом случае, проверка соответствия не заполненному критерию просто не будет производиться.
Например, правило, рассмотренное на скриншоте, вида:

Интерфейс = LAN;
Протокол = ICMP;
MAC не указан;
IP источника (src) = 192.168.1.124, Маска не указана;
Порт ист. (src) / Порт назн. (dst) недоступны;
IP назначения (dst) = 8.8.8.8, Маска не указана;
Политика = Запретить;

приводит к тому, что мы теряем возможность пинговать адрес 8.8.8.8 (google dns) с устройства в локальной сети, расположенного по адресу 192.168.1.124 . К такому же результату приведет правило, в котором не будет указан IP источника, но будет указан MAC адрес этого устройства.

— Правила для LAN

Правила, созданные для интерфейса LAN, подразумевают, что в качестве источника выступает устройство, находящееся в локальной сети (т.е, инспектируемый трафик пришел на LAN интерфейс). Т.о, в качестве src (исходящего) IP будут выступать локальные IP адреса устройств , а src (исх) портами будут являться порты, с которых улетает пакет в сторону интерфейса LAN с локальных устройств.

Если необходимо ограничить доступ к определенным web-ресурсам пользователю или группе пользователей, то в IP источника (src) необходимо указать IP адрес пользователя, либо, если речь о группе, — маску, которая будет в себе содержать диапазон адресов пользователей, которых мы ограничиваем. В IP назначения (dst) необходимо будет указать адреса запрещаемого ресурса, также можно указать порты, соответствующие сервисам, которые стоит цель ограничить (например, стандартные 80, 8080 – http и 443 — https) — в случае, если заблокировать необходимо лишь часть сервисов, но не адрес целиком.
Важно: необходимо помнить, что одному доменному имени может соответствовать несколько IP адресов, а также — ограничиваемый сервис может быть доступен через не стандартные порты. Для определения IP адресов, соответствующих доменному имени, можно воспользоваться утилитой nslookup:

Аналогичным образом можно ограничить работу любых несанкционированных служб, если известны их IP адреса назначения, или же диапазоны портов (как тех, с которых происходят обращения со стороны локальных пользователей, так и тех, на которые пользователь обращается), характерные для работы этих служб / приложений.

Если же стоит задача ограничить свободу пользователя до определенного набора разрешеных ресурсов и сервисов, то необходимо выбрать значение «Блокированы» для параметра «пакеты, которые не подходят ни под одно правило, будут:» (т.е, политика по умолчанию – запрещающая). В IP и портах назначения (dst) указываются данные (адреса/подсети и порты) тех ресурсов, которые должны быть доступны. Что касается IP адресов источников (src), то их можно не указывать вообще (тогда правило распространится на всех пользователей, работающих в локальной сети маршрутизатора), либо указать конкретный IP адрес, на который действует разрешающее правило (в этом случае, на всех, для кого не создано такое правило, по умолчанию будет действовать запрещающая политика на любую активность). Либо же — указать подсеть, если правило создается для группы пользователей (по аналогии с указанием одного адреса, на всех, кто не попал в подсеть, будет действовать общая запрещающая политика).

Важно: если необходимо создать идентичные правила для нескольких IP адресов, то можно ограничиться одним правилом, если все адреса находятся в одной подсети. Например, указанный адрес 192.168.1.1 и маска 255.255.255.240 будут означать, что правило распространяется на адреса из диапазона 192.168.1.1-192.168.1.14. Если же невозможно объединить адреса, для которых распространяется правило, в подсеть, необходимо создавать несколько дублирующих правил для каждого IP-адреса.

— Правила для WAN / VPN

Правила, созданные для WAN или VPN интерфейса, регулируют политику относительно входящего трафика в сторону маршрутизатора из внешней сети.

Например, создавая запрещающее правило для интерфейса WAN, в котором выбран протокол TCP, указан исходящий адрес 217.118.91.73 и порт 433, мы подразумеваем, что все соединения в сторону маршрутизатора, устанавливаемые со стороны 217.118.91.73:433, будут отброшены (в том случае, если мы точно знаем, с какого порта будет устанавливаться соединение).

Аналогично, если необходимо запретить входящие соединения на конкретный адрес / к конкретной службе в локальной сети, правило будет содержать адрес и порт назначения, которые нам необходимо «закрыть» снаружи.

Запрещающее правило фильтрации транзитного трафика

Данное правило будет означать, что вне зависимости от исходящего адреса в глобальной сети, соединения, назначением которых является 80 порт устройства, проживающего по адресу 192.168.1.124, будут отброшены. В предыдущей статье мы настраивали проброс портов с WAN / 8888 на 192.168.1.124:80, таким образом отбрасываться будут соединения , устанавливаемые на 8888 порт глобального адреса маршрутизатора.

Важно: если добавленные правила противоречат друг другу , то применено будет первое, под которое попадет трафик. Порядок прохождения правил при фильтрации соответствует порядку следования этих правил в web интерфейсе.
Пример: мы хотим ограничить доступ к web интерфейсу устройства с адресом в локальной сети 192.168.1.124 (пример выше) для всех внешних соединений, кроме одного доверенного IP адреса источника. В этом случае, мы создаем два правила:

Создание двух противоречащих друг другу правил Firewall

первое из них разрешает доступ к web интерфейсу 192.168.1.124 с внешнего IP адреса 217.118.91.73, второе — запрещает все без исключения соединения извне. Таким образом, если мы с адреса 217.118.91.73 обратимся на http://my_ip:8888 (в предыдущей статье мы настроили проброс портов следующим образом: при обращении по адресу http://Ваш_IP_адрес:8888 либо http://Ваш_Домен:8888 весь TCP трафик будет перенаправляться на устройство, имеющее IP адрес 192.168.1.124 в Вашей локальной сети, а именно — на 80 порт), то на соединение распространится первое в списке правило (разрешающее) , и соединение будет установлено. Если же поменять правила местами, т.е , первым в списке сделать правило, запрещающее все соединения к 80 порту 192.168.1.124, то соединение с 217.118.91.73 будет отклонено , попросту не дойдя до разрешающего правила, под которое попадает.

2. Подключение к локальным сервисам

Для лимитирования доступа к локальным сервисам самого маршрутизатора (не транзитного трафика!) выделен блок настроек «Подключение к локальным сервисам». По умолчанию сервис выключен. Для включения необходимо перейти в Сетевой экран → Сетевой экран → Подключение к локальным сервисам → Разрешить подключение → Включить.

Включение фильтрации трафика, обращенного к локальным сервисам маршрутизатора

Как следует из названия, данный блок настроек позволяет создавать разрешающие правила определенным хостам для доступа с указанного интерфейса к службам, запущенным на самом маршрутизаторе, при общей запрещающей политике для этого интерфейса.

По аналогии с правилами для транзитного трафика необходимо указать данные:

1. Интерфейс, со стороны которого устанавливается соединение, которое необходимо разрешить. WAN, VPN или LAN.
2. Протокол, на который будет распространяться правило. По умолчанию значение None, т.е любой трафик без уточнения. Но возможен выбор : TCP, UDP или ICMP.
3. MAC адрес источника соединения.
4. IP адрес, с которого устанавливается соединение.
5. Подсеть, с которой устанавливается соединение.
6. Порт, с которого производится соединение (src / ист). Для ICMP протокола это поле недоступно.
7. Порт, на который устанавливается соединение (dst / назн). Для ICMP протокола это поле недоступно.
8. Комментарий в свободнонй форме.
9. Действие, а именно — что вы хотите сделать с правилом: добавить (новое) либо удалить (уже существующее).

Настройка правил подключения к локальным сервисам

Пример:
На маршрутизаторе запущен UDP Proxy (udpxy) на 81 порту. С целью обеспечения безопасности, соединение разрешено только со стороны LAN.

Включение UDPXY на роутере

При этом, стоит задача обеспечения работы iptv посредством нашего proxy для конкретного клиенского устройства, находящегося в глобальной сети. Здесь нам поможет создание правила доступа к локальным сервисам.

Правило, регулирующее доступ к локальному сервису маршрутизатора udpxy

Созданное правило означает, что соединения, устанавливаемые с WAN с IP адреса 217.118.91.120 на 81 порт маршрутизатора не будут отклоняться, несмотря на то, что в общем случае, политика доступа к udpxy на 81 порт доступны только для LAN интерфейса. Т.е, клиент находящийся на указанном IP-адресе сможет в порядке исключения пользоваться сервисом.

Важно: данный блок в частности призван управлять разрешениями доступа для сервисов, установленных из Entware, т.к по умолчанию все они имеют политику drop без каких-либо разрешающих правил и исключений. Следовательно, для сервисов из entware всегда необходимо создавать правила доступа, в противном случае доступ по умолчанию будет закрыт.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Как отключить пользователя от WiFi роутера — пошаговое руководство

Как отключить от вай-фая других пользователей — подобный вопрос является особенно актуальным, если обнаруживается, что кто-то на халяву решил попользоваться чужим интернетом. Существуют несколько вариантов, как можно обнаружить вора, а после удалить его из своей сети. Какие именно — рассказано далее.

Запретить подключение к роутеру

Как понять, что к сети Wi-Fi подключаются чужие устройства

Существует несколько косвенных признаков того, что посторонний пользователь подключился к сети вай-фай. Подозрение должны вызвать:

• уменьшение скорости интернета (по сравнению с прошлым);
• постоянно работает индикатор, свидетельствующий о передачи данных (даже когда все домашние устройства отключены от сети).

Постороннее соединение с сетью обладает массой негативных качеств. Помимо очевидной кражи трафика, это может вылиться и в то, что посторонний человек получит выход на личные данные.

Важно! Если некоторые документы, файлы или фотографии расположены в общем доступе, посторонний может подобраться к ним без особых проблем.

Если появились подозрения о незаконном проникновении и подключении к сети вай-фай, то действовать нужно незамедлительно. В первую очередь следует определить, действительно ли кто-то посторонний соединился с домашней точкой.

Способы отключения от вай-фая других пользователей

Если есть подозрения, что кто-то без разрешения подключился к сети, это нужно проверить. Существует два варианта разрешения ситуации: использовать настройки маршрутизатора или же специальные программы.

Отсоединение нежелательных устройств через web-интерфейс

Данный вариант того, как выявить и заблокировать пользователя Wi-Fi, является наиболее распространенным. Его преимущество заключается в том, что владельцу устройства не нужно будет скачивать и устанавливать на компьютер дополнительные программы, все делается через настройки роутера.

Поиск чужих устройств через web-интерфейс

Что нужно сделать:

1. Открыть на компьютере, ноутбуке, айфоне или любом другом телефоне браузер.
2. В адресную строку ввести IP-адрес роутера. Например, это может быть 192.168.1.1. Информацию можно посмотреть на обратной стороне самого устройства.
3. В появившемся окне ввести логин и пароль. При стандартных настройках на большинстве роутеров это слово «admin». Также указанные данные прописываются на самом устройстве. Рекомендуется, после того как устройство изначально было установлено в доме, сменить логин и пароль. Это поможет повысить уровень защиты.
4. В списке возможных действий необходимо найти раздел статистики маршрутизатора. Если установлен роутер TP-Link, то необходимо искать пункт под названием: «DHCP Clients List», «Status LAN», или «статистика беспроводного режима».
5. После нажатия на экране выйдет список подключенных устройств. Далее следует проводить фильтрацию МАС-адресов, чтобы определить чужака. Можно просто поочередно отключать домашние гаджеты и соответственно выявлять лишний.
6. Если установлен модем фирмы ASUS, то на главной страничке отображается раздел под названием «клиенты». При нажатии на него с правой стороны будет отображаться таблица со всеми подключенными устройствами. Далее также нужно будет фильтровать.
7. В настройках устройства D-Link необходимо будет зайти в раздел «расширенных настроек», далее выбрать подпункт «станционный список». После будет выведен список подсоединенных устройств. Там же их можно будет отключить, нажав кнопку «разъединить».
8. На роутерах Zyxel, следует открывать раздел «системный монитор», далее вкладка «домашняя сеть». Внизу будет выведен список подключенных устройств.

Работая через настройки модема, вопрос: как отключить пользователя от Wi-Fi роутера, решается достаточно просто. При обнаружении чужого подключения в списке МАС-адресов, достаточно его просто отсоединить или же заблокировать.

Важно! Обязательно нужно менять стандартные логин и пароль. В том числе это необходимо сделать, если факт взлома был установлен.

Специальные приложения

Как уже говорилось, блокировать связь между Wi-Fi и чужими устройствами можно также и при помощи специальных программ, которые есть в свободном доступе в интернете. В сети их достаточно много и каждая имеет как положительные, так и отрицательные стороны. Стоит рассмотреть наиболее популярные варианты утилит.

SoftPerfect Wi-Fi Guard

Данная программа выступает своего рода сканером для сетевых подключений, которые доступны на рабочей станции. Из-за простого и понятного интерфейса ее вполне можно использовать для домашнего применения.

Работа программы заключается в следующем: если устройство известно утилите, то оно будет помечаться зеленым цветом, в ином случае красным. При желании, можно включить функцию автоматического сканирования сети. В том случае, если во время проверки будет обнаружено постороннее соединение, пользователь получит соответствующее уведомление.

Важно! Можно настроить как звуковое уведомление, так и получение соответствующего сообщения на электронную почту.

Отвечая на вопрос: как заблокировать вай-фай от других пользователей при помощи SoftPerfect Wi-Fi Guard, ответ будет: никак. В изначальных задумках эта функция должна была присутствовать, однако в итоге ее так и нет. Однако утилиту можно использовать как хороший сканер, а уже после отключать нежелательные соединения самостоятельно или с помощью других программ.

Использование программы SoftPerfect Wi-Fi Guard

Утилита Wireless Network Watcher

Бесплатная программа, которую не нужно будет устанавливать на компьютер. Ее работа заключается в сканировании сети и выявлении подключенных на текущий момент устройств. Что удобно, в списке отображаются не только МАС-адреса, но и наименования производителя гаджета.

К сожалению, отключать чужаков при помощи утилиты также нельзя. Однако, при необходимости, полученные данные можно перенести в текстовый формат, чтобы использовать в дальнейшем.

Netcut

Приложение позволяет автоматически сканировать сеть, выявлять и блокировать незаконных пользователей. Постороннее устройство можно просто и быстро убрать из списка разрешенных. Достаточно просто выбрать в представленном списке «чужака» и нажать на кнопку Cut.

Кроме того, программа имеет такие полезные функции как: переключение между сетевыми картами, проверка скорости соединения, а также смена МАС-адреса.

Pixel NetCut

Данное приложение используется на гаджетах с системой Андроид. Формат работы точно такой же, как и в приложении, описанном ранее. Можно сканировать сеть, выявлять посторонние соединения и закрыть им соединение с роутером. Дополнительные функции также присутствуют.

Who’s On My Wi-fi

Еще одна утилита, которая помогает найти и отключить посторонние гаджеты от сети. После сканирования перед пользователем появляется список подключенных устройств, среди которых и можно выявить чужое.

Домашние гаджеты можно пометить как «известные», а посторонние как «неизвестные». Соответственно, последним программа уже самостоятельно запретит доступ. Блокировка работает и в дальнейшем.

Важно! Нужно внимательно относится к блокировке устройств. Иначе можно запретить доступ самому себе.

Сортировка пользователей в утилите Who’s On My Wi-fi

Как заблокировать чужие устройства через MAC-адреса

Если в ходе всех проведенных действий все же было обнаружено чужое подключение к сети, действовать нужно как можно скорее. Разумеется, устройство халявщика нужно выключить и позаботиться о том, чтобы оно больше не могло подсоединиться к роутеру. Все можно сделать при помощи отдельных приложений, но лучше всего будет воспользоваться настройками модема.

Что нужно сделать:

1. Открыть любой удобный браузер. Воспользоваться можно компьютером, ноутбуком, планшетом или иным устройством.
2. В поисковую строку ввести IP-адрес роутера.
3. На открывшейся странице ввести логин и пароль (можно найти на наклейке на самом устройстве).
4. Развернуть раздел, в котором имеется информация о подключенных на текущий момент устройствах. Следует помнить, что наименование указанного раздела может отличаться в зависимости от роутера, который установлен дома или в квартире.
5. Выбрав нужный (чужой) МАС-адрес в представленном списке, предварительно скопировать его, а после просто отключить, путем нажатия на соответствующую кнопку. При необходимости полностью все устройства могут быть отсоединены от сети.
6. Раскрыть подраздел с фильтрацией МАС-адресов.
7. Поместить скопированный МАС-адрес в данный подраздел. После этого система будет проводить автоматическую блокировку каждый раз, когда указанный адрес попытается подсоединиться к сети.

Важно! Если при введении стандартных логина и пароля для входа в настройки выпадает ошибка, или же пользователь забыл установленные ранее изменения, роутер можно сбросить до заводских настроек. Достаточно просто зажать на несколько секунд кнопку «reset», расположенную на корпусе.

Как уже говорилось, в зависимости от модели роутера , разделы и некоторые формы настроек будут другими. Чтобы заблокировать другого пользователя на Asus нужно:

1. Зайти на страницу настроек и работы с устройством.
2. С правой стороны найти и нажать на кнопку «клиенты».
3. Появится информация о подключенных МАС-адресах.
4. Чтобы провести блокировку следует открыть вкладку фильтрации, и ввести информацию о чужих пользователях.
5. Нажать на кнопку «ок», после чего адреса будут автоматически отсоединены и заблокированы.

TP-Link

Если в доме установлен роутер TP-Link, то действовать нужно по следующей инструкции:

1. Авторизироваться на странице.
2. Выбрать раздел «беспроводной режим», далее открыть подраздел «статистика беспроводного режима», если просто нужно выявить чужаков.
3. Для блокировки открывается подраздел «фильтрация МАС-адресов».
4. Устанавливается запрет на конкретный адрес.

Ростелеком

Для отсоединения посторонних пользователей от модема Ростелеком необходимо сделать следующее:

1. Зайти на страницу управления.
2. Открыть «список Wi-Fi клиентов», чтобы увидеть все подключенные устройства. Более подробную информацию можно увидеть во вкладке «DHCP»
3. В представленном списке выбрать ненужное устройство и нажать на кнопку «отключить».
4. Скопировать МАС-адрес для дальнейшей блокировки.
5. Открыть подраздел «фильтрация».
6. Добавить скопированный адрес и подтвердить действие.

Блокировка через SoftPerfect Wi-Fi Guard

Специальные утилиты также можно использовать для удаления и блокировки нежелательных пользователей. Программу SoftPerfect Wi-Fi Guard можно скачать на официальном сайте, а после уже запустить на компьютере. В первую очередь через нее выводится список подключенных приспособлений.

Что удобно, утилита работает в фоновом режиме и сообщает пользователю о новых подключениях. Так можно достаточно быстро найти и обезвредить «лазутчика». Запрет устанавливается достаточно просто. В списке просто выбирается интересующее устройство. Далее на него нужно нажать правой кнопкой мыши и выбрать необходимое действие.

Как повысить уровень безопасности своей сети

Если роутер установлен в многоквартирном доме, случаи чужих подключений могут происходить достаточно часто. Именно поэтому стоит сразу позаботиться о безопасности. Основные правила повышенной защиты заключаются в следующем:

• Необходимо устанавливать достаточно сложные пароли как на само Wi-Fi соединение, так и на роутер. Не стоит оставлять заводские логин и пароль от маршрутизатора, поскольку они всем и всегда известны так как являются стандартными.
• Поменять наименование SSID через панель управления.
• Сменить тип шифрования. Лучше всего в данном случае использовать WPA2. На текущий момент, это является наиболее надежным форматом защиты.
• Включить брандмауэр через настройки маршрутизатора.
• Отключить как WPS, так и UpnP. Делается это все через настройки роутера.
• Хотя бы 1 раз в 2-3 месяца обновлять прошивку устройства.

К выбору нового пароля, как на сеть, так и на сам роутер, следует подходить серьезно и основательно. Несколько правил:

• Использовать минимум 8 символов, которые бы содержали не только цифры, но и буквы.
• Добавить специальные символы для большей надежности, например: $, #. & и так далее.
• Не использовать в пароле свои персональные данные, такие как фамилия, имя, отчество, дата рождения.
• Периодически менять пароль. Рекомендуется проводить подобную процедуру по меньшей мере 1 раз в 6 месяцев. Можно и чаще.

Разумеется, при регулярной смены защитного кода, его можно забыть. Лучше всего записывать всю установленную информацию и хранить ее в специальном месте. При этом не стоит использовать текстовые файлы на самом компьютере. Бумажный вариант будет надежнее.

Кроме того, вне зависимости от того, какой способ обнаружения и обезвреживания от чужого вмешательства был использован, рекомендуется установить на ПК программу сканер, которая будет сообщать обо всех фактах подключения к сети. Так можно будет ликвидировать угрозу в самом начале и не допустить утечки личной информации и данных.

Стандартный пароль и IP-адрес записаны с обратной стороны роутера

Рассмотрев все возможные способы, как выявить и отключить чужое устройство от сети вай-фай пользователю остается только выбрать наиболее подходящий для себя. Стоит помнить, что подобные ситуации не стоит пускать на самотек, поскольку всегда можно встретить не простого любителя бесплатного интернета, а настоящего взломщика и мошенника. Защита цифровой информации в настоящее время является весьма важным фактом, которым не следует пренебрегать.