Logo RedesZone
Navega gratis con cookies…

Navegar por redeszone.net con publicidad personalizada, seguimiento y cookies de forma gratuita. i

Para ello, nosotros y nuestros socios i necesitamos tu consentimiento i para el tratamiento de datos personales i para los siguientes fines:

Las cookies, los identificadores de dispositivos o los identificadores online de similares características (p. ej., los identificadores basados en inicio de sesión, los identificadores asignados aleatoriamente, los identificadores basados en la red), junto con otra información (p. ej., la información y el tipo del navegador, el idioma, el tamaño de la pantalla, las tecnologías compatibles, etc.), pueden almacenarse o leerse en tu dispositivo a fin de reconocerlo siempre que se conecte a una aplicación o a una página web para una o varias de los finalidades que se recogen en el presente texto.

La mayoría de las finalidades que se explican en este texto dependen del almacenamiento o del acceso a la información de tu dispositivo cuando utilizas una aplicación o visitas una página web. Por ejemplo, es posible que un proveedor o un editor/medio de comunicación necesiten almacenar una cookie en tu dispositivo la primera vez que visite una página web a fin de poder reconocer tu dispositivo las próximas veces que vuelva a visitarla (accediendo a esta cookie cada vez que lo haga).

La publicidad y el contenido pueden personalizarse basándose en tu perfil. Tu actividad en este servicio puede utilizarse para crear o mejorar un perfil sobre tu persona para recibir publicidad o contenido personalizados. El rendimiento de la publicidad y del contenido puede medirse. Los informes pueden generarse en función de tu actividad y la de otros usuarios. Tu actividad en este servicio puede ayudar a desarrollar y mejorar productos y servicios.

La publicidad que se presenta en este servicio puede basarse en datos limitados, tales como la página web o la aplicación que esté utilizando, tu ubicación no precisa, el tipo de dispositivo o el contenido con el que está interactuando (o con el que ha interactuado) (por ejemplo, para limitar el número de veces que se presenta un anuncio concreto).

  • Un fabricante de automóviles quiere promocionar sus vehículos eléctricos a los usuarios respetuosos con el medioambiente que viven en la ciudad fuera del horario laboral. La publicidad se presenta en una página con contenido relacionado (como un artículo sobre medidas contra el cambio climático) después de las 18:30 h a los usuarios cuya ubicación no precisa sugiera que se encuentran en una zona urbana.
  • Un importante fabricante de acuarelas quiere realizar una campaña publicitaria en Internet para dar a conocer su última gama de acuarelas con la finalidad de llegar tanto a artistas aficionados como a profesionales y, a su vez, se evite mostrar el anuncio junto a otro contenido no relacionado (por ejemplo, artículos sobre cómo pintar una casa). Se detectará y limitará el número de veces que se ha presentado el anuncio a fin de no mostrarlo demasiadas veces.

La información sobre tu actividad en este servicio (por ejemplo, los formularios que rellenes, el contenido que estás consumiendo) puede almacenarse y combinarse con otra información que se tenga sobre tu persona o sobre usuarios similares(por ejemplo, información sobre tu actividad previa en este servicio y en otras páginas web o aplicaciones). Posteriormente, esto se utilizará para crear o mejorar un perfil sobre tu persona (que podría incluir posibles intereses y aspectos personales). Tu perfil puede utilizarse (también en un momento posterior) para mostrarte publicidad que pueda parecerte más relevante en función de tus posibles intereses, ya sea por parte nuestra o de terceros.

  • En una plataforma de redes sociales has leído varios artículos sobre cómo construir una casa en un árbol Esta información podría añadirse a un perfil determinado para indicar tuinterés en el contenido relacionado con la naturaleza, así como en los tutoriales de bricolaje (con el objetivo de permitir la personalización del contenido, de modo que en el futuro, por ejemplo, se te muestren más publicaciones de blogs y artículos sobre casas en árboles y cabañas de madera).
  • Has visualizado tres vídeos sobre la exploración espacial en diferentes aplicaciones de televisión. Una plataforma de noticias sin relación con las anteriores y con la que no has tenido contacto en el pasado crea un perfil basado en esa conducta de visualización marcando la exploración del espacio como un tema de tu posible interés para para otros vídeos.

El contenido que se te presenta en este servicio puede basarse en un perfilde personalización de contenido que se haya realizado previamente sobre tu persona, lo que puede reflejar tu actividad en este u otros servicios (por ejemplo, los formularios con los que interactúas o el contenido que visualizas), tus posibles intereses y aspectos personales. Un ejemplo de lo anterior sería la adaptación del orden en el que se te presenta el contenido, para que así te resulte más sencillo encontrar el contenido (no publicitario) que coincida con tus intereses.

  • Has leído unos artículos sobre comida vegetariana en una plataforma de redes sociales. Posteriormente has usado una aplicación de cocina de una empresa sin relación con la anterior plataforma. El perfil que se ha creado sobre tu persona en la plataforma de redes sociales se utilizará para mostrarte recetas vegetarianas en la pantalla de bienvenida de la aplicación de cocina.
  • Has visualizado tres vídeos sobre remo en páginas web diferentes. Una plataforma de video, no relacionada con la página web en la que has visualizado los vídeos sobre remo, pero basandose en el perfil creado cuando visistaste dicha web, podrá recomendarte otros 5 vídeos sobre remo cuando utilices la plataforma de video a través de tu televisor .

La información sobre qué publicidad se te presenta y sobre la forma en que interactúas con ella puede utilizarse para determinar lo bien que ha funcionado un anuncio en tu caso o en el de otros usuarios y si se han alcanzado los objetivos publicitarios. Por ejemplo, si has visualizado un anuncio, si has hecho clic sobre el mismo, si eso te ha llevado posteriormente a comprar un producto o a visitar una página web, etc. Esto resulta muy útil para comprender la relevancia de las campañas publicitarias.

  • Has hecho clic en un anuncio en una página web/medio de comunicación sobre descuentos realizados por una tienda online con motivo del “Black Friday” online y posteriormente has comprado un producto. Ese clic que has hecho estará vinculado a esa compra. Tu interacción y la de otros usuarios se medirán para saber el número de clics en el anuncio que han terminado en compra.
  • Usted es una de las pocas personas que ha hecho clic en un anuncio que promociona un descuento por el “Día de la madre”de una tienda de regalos en Internet dentro de la aplicación de una web/medio de comunicación. El medio de comunicación quiere contar con informes para comprender con qué frecuencia usted y otros usuarios han visualizado o han hecho clic en un anuncio determinado dentro de la aplicación y, en particular, en el anuncio del “Día de la madre” para así ayudar al medio de comunicación y a sus socios (por ejemplo, las agencias de publicidad) a optimizar la ubicación de los anuncios.

La información sobre qué contenido se te presenta y sobre la forma en que interactúas con él puede utilizarse para determinar, por ejemplo, si el contenido (no publicitario) ha llegado a su público previsto y ha coincidido con sus intereses. Por ejemplo, si hasleído un artículo, si has visualizado un vídeo, si has escuchado un “pódcast” o si has consultado la descripción de un producto, cuánto tiempo has pasado en esos servicios y en las páginas web que has visitado, etc. Esto resulta muy útil para comprender la relevancia del contenido (no publicitario) que se te muestra.

  • Has leído una publicación en un blog sobre senderismo desde la aplicación móvil de un editor/medio de comunicación y has seguido un enlace a una publicación recomendada y relacionada con esa publicación. Tus interacciones se registrarán para indicar que la publicación inicial sobre senderismo te ha resultado útil y que la misma ha tenido éxito a la hora de ganarse tu interés en la publicación relacionada. Esto se medirá para saber si deben publicarse más contenidos sobre senderismo en el futuro y para saber dónde emplazarlos en la pantalla de inicio de la aplicación móvil.
  • Se te ha presentado un vídeo sobre tendencias de moda, pero tu y otros usuarios habéis dejado de visualizarlo transcurridos unos 30 segundos. Esta información se utilizará para valorar la duración óptima de los futuros vídeos sobre tendencias de moda.

Se pueden generar informes basados en la combinación de conjuntos de datos (como perfiles de usuario, estadísticas, estudios de mercado, datos analíticos) respecto a tus interacciones y las de otros usuarios con el contenido publicitario (o no publicitario) para identificar las características comunes (por ejemplo, para determinar qué público objetivo es más receptivo a una campaña publicitaria o a ciertos contenidos).

  • El propietario de una librería que opera en Internet quiere contar con informes comerciales que muestren la proporción de visitantes que han visitado su página y se han ido sin comprar nada o que han consultado y comprado la última autobiografía publicada, así como la edad media y la distribución de género para cada uno de los dos grupos de visitantes. Posteriormente, los datos relacionados con la navegación que realizas en su página y sobre tus características personales se utilizan y combinan con otros datos para crear estas estadísticas.
  • Un anunciante quiere tener una mayor comprensión del tipo de público que interactúa con sus anuncios. Por ello, acude a un instituto de investigación con el fin de comparar las características de los usuarios que han interactuado con el anuncio con los atributos típicos de usuarios de plataformas similares en diferentes dispositivos. Esta comparación revela al anunciante que su público publicitario está accediendo principalmente a los anuncios a través de dispositivos móviles y que es probable que su rango de edad se encuentre entre los 45 y los 60 años.

La información sobre tu actividad en este servicio, como tu interacción con los anuncios o con el contenido, puede resultar muy útil para mejorar productos y servicios, así como para crear otros nuevos en base a las interacciones de los usuarios, el tipo de audiencia, etc. Esta finalidad específica no incluye el desarrollo ni la mejora de los perfiles de usuario y de identificadores.

  • Una plataforma tecnológica que opera con un proveedor de redes sociales observa un crecimiento en los usuarios de aplicaciones móviles y se da cuenta de que, en funciónde sus perfiles, muchos de ellos se conectan a través de conexiones móviles. La plataforma utiliza una tecnología nueva para mostrar anuncios con un formato óptimo para los dispositivos móviles y con un ancho de banda bajo a fin de mejorar su rendimiento.
  • Un anunciante está buscando una forma de mostrar anuncios en un nuevo tipo de dispositivo. El anunciante recopila información sobre la forma en que los usuarios interactúan con este nuevo tipo de dispositivo con el fin de determinar si puede crear un nuevo mecanismo para mostrar la publicidad en ese tipo de dispositivo.

El contenido que se presenta en este servicio puede basarse en datos limitados, como por ejemplo la página web o la aplicación que esté utilizando, tu ubicación no precisa, el tipo de dispositivo o el contenido con el que estás interactuando (o con el que has interactuado) (por ejemplo, para limitar el número de veces que se te presenta un vídeo o un artículo en concreto).

  • Una revista de viajes, para mejorar las experiencias de viaje en el extranjero, ha publicado en su página web un artículo sobre nuevos cursos que ofrece una escuela de idiomas por Internet. Las publicaciones del blog de la escuela se insertan directamente en la parte inferior de la página y se seleccionan en función de la ubicación no precisa del usuario (por ejemplo, publicaciones del blog que explican el plan de estudios del curso para idiomas diferentes al del país en el que este te encuentras).
  • Una aplicación móvil de noticias deportivas ha iniciado una nueva sección de artículos sobre los últimos partidos de fútbol. Cada artículo incluye vídeos alojados por una plataforma de streaming independiente que muestra los aspectos destacados de cada partido. Si adelantas un vídeo, esta información puede utilizarse para determinar que el siguiente vídeo a reproducir sea de menor duración.

Se puede utilizar la localización geográfica precisa y la información sobre las características del dispositivo

Al contar con tu aprobación, tu ubicación exacta (dentro de un radio inferior a 500 metros) podrá utilizarse para apoyar las finalidades que se explican en este documento.

Con tu aceptación, se pueden solicitar y utilizar ciertas características específicas de tu dispositivo para distinguirlo de otros (por ejemplo, las fuentes o complementos instalados y la resolución de su pantalla) en apoyo de las finalidades que se explican en este documento.

Elección de cookies
O sin cookies desde 1.67€ al mes

Por solo 1.67 al mes, disfruta de una navegación sin interrupciones por toda la red del Grupo ADSLZone: adslzone.net, movilzona.es, testdevelocidad.es, lamanzanamordida.net, hardzone.es, softzone.es, redeszone.net, topesdegama.com y más. Al unirte a nuestra comunidad, no solo estarás apoyando nuestro trabajo, sino que también te beneficiarás de una experiencia online sin publicidad ni cookies de seguimiento.

Consulta nuestra Política de Privacidad.
KeeneticKeenetic

Crea varias redes separadas en tu router Keenetic: guía para configurar VLAN y el firewall

Router inalámbrico blanco con cuatro antenas junto a un portátil que muestra las siglas VLAN y un smartphone con una aplicación de gestión de red.
Gestión de redes locales virtuales y seguridad mediante cortafuegos en un entorno doméstico o de oficina. Foto: Montaje de RedesZone

Todos los routers del fabricante Keenetic incorporan el avanzado sistema operativo KeeneticOS, uno de los sistemas operativos para routers domésticos más avanzados que hemos probado hasta la fecha. Una de las principales características de este sistema, es que podemos crear redes adicionales tanto en Wi-Fi como cableadas, y segmentadas entre sí mediante VLANs, para posteriormente permitir o denegar el tráfico entre VLAN usando el firewall incorporado. Esta función es perfecta para tener redes de domótica, videovigilancia o de invitados, totalmente separada de la red principal. Si quieres saber cómo configurar estas redes adicionales, y todas las opciones que tenemos disponibles, a continuación, tenéis todos los detalles.

El sistema operativo KeeneticOS está incorporado en todos los routers de la marca, nosotros vamos a utilizar el Keenetic Titan KN-1812 que hemos analizado en RedesZone para la realización de esta completa guía de configuración, no obstante, esto es válido también para el resto de routers ya que tendremos a nuestra disposición las mismas opciones y menús para segmentar correctamente la red inalámbrica y cableada.

Keenetic Titan KN-1812
Keenetic Titan KN-1812
Amazon 189,99 EURPC Componentes 199,14 EUR
* Precios actualizados en el momento de publicar o revisar este artículo. Pueden variar con el tiempo.

Lo primero que debemos hacer es acceder a la interfaz de configuración web del router, podemos hacerlo a través del dominio my.keenetic.net o bien usando la dirección IP de la puerta de enlace predeterminada, por defecto es https://192.168.1.1, no obstante, si la has cambiado, será la IP de la red LAN principal. Esta configuración también puede realizarse desde la aplicación móvil de Keenetic, que ofrece las mismas opciones que la interfaz web.

Una vez que entremos en el router, veremos el «Panel del sistema» donde podemos ver el estado general del router, con la conexión a Internet, pero nosotros debemos centrarnos en el menú de «Mis redes y Wi-Fi«, es aquí donde aparecerán las diferentes redes que hayamos creado. De forma predeterminada, tendremos una red principal o LAN con dos SSID (uno por cada banda de frecuencias).

Panel de control de KeeneticOS mostrando gráficas de tráfico de internet, estado de la red Wi-Fi y configuración de puertos.
Panel principal de KeeneticOS con la monitorización de tráfico y estado de las conexiones inalámbricas. Foto: Captura propia de RedesZone

También es muy importante que nos fijemos en los puertos de red que estamos usando actualmente, y los que vayamos a actualizar, porque cuando creamos redes adicionales con VLANs, podemos hacer que uno de estos puertos esté como VLAN sin etiqueta o con etiqueta. La diferencia entre ambas es:

  • VLAN sin etiqueta o «Untagged»: la VLAN se envía sin etiqueta y en este puerto podemos conectar dispositivos finales (PC, impresoras, servidores NAS, cámara IP cableada etc.). En un mismo puerto, solamente podemos poner una VLAN sin etiqueta.
  • VLAN con etiqueta o «Tagged»: la VLAN se envía con etiqueta, y el dispositivo que conectemos al puerto debe «entender» la VLAN etiquetada. Normalmente aquí tendremos que conectar un switch gestionable con soporte para VLANs, no obstante, hay servidores NAS que también permiten gestionar esto. En un mismo puerto, podemos múltiples VLAN con etiqueta sin problema.
  • Sin miembro: en este puerto no habrá VLAN con etiqueta ni sin etiqueta, simplemente no se proporcionará esa VLAN a través del puerto.

Os recomendamos visitar nuestro completo tutorial sobre qué es una VLAN y cómo se utilizan, para que sepáis todo sobre esta tecnología para segmentar redes cableadas e inalámbricas.

 

Configuración de la red principal o LAN

De manera predeterminada, el router de Keenetic creará una red «Principal«, que llamaremos «LAN» a partir de ahora. Esta subred es la predeterminada y usa la subred 192.168.1.0/24 como suele ser habitual. En este menú es donde podemos configurar en detalle esta red LAN, y también crear más segmentos de red.

Panel de configuración de redes y WiFi en el sistema operativo KeeneticOS de un router Keenetic Titan.
Interfaz de usuario de KeeneticOS mostrando los ajustes de las bandas de 2,4 GHz y 5 GHz. Foto: Captura propia de RedesZone

A nivel inalámbrico, podemos configurar con mucho detalle tanto la banda de 2.4GHz como de 5GHz, las principales opciones y ajustes que podemos realizar son:

  • Nombre de red Wi-Fi: podemos definir el nombre de red o SSID que nosotros queramos, para identificar esta red inalámbrica entre todas las redes inalámbricas.
  • Ocultar SSID: podemos activar o no la ocultación, no es recomendable ocultarla.
  • Horario de funcionamiento: por defecto siempre estará encendida, si queremos programar su encendido y apagado debemos configurar primero un «calendario».
  • Protección de red: elegiremos la seguridad Wi-Fi, es recomendable usar WPA3-SAE, pero si todos tus dispositivos no soportan este tipo de cifrado, entonces elige WPA2-PSK.
  • Contraseña: pondremos la contraseña de acceso a la red Wi-Fi si hemos elegido WPA2-PSK o WPA3-SAE.
  • Permitir WPS, PIN WPS y funcionamiento MLO: es recomendable desactivar el WPS siempre, y el funcionamiento multienlace podemos habilitarlo si los clientes lo permiten.
  • Estándar Wi-Fi: es recomendable dejarlo por defecto, pero si quieres mayor optimización, elige solamente los últimos estándares, y no uses 802.11bg.
  • Canal: podemos dejarlo en automático, o bien elegir un canal fijo.
  • Comportamiento del canal automático: escaneará el mejor canal disponible en el espacio.
  • Ancho de canal: podemos definir el ancho de canal máximo, cuanto mayor ancho de canal más rendimiento, pero más interferencias con otras redes inalámbricas.
  • Potencia: podemos configurar la potencia máxima de la señal, por defecto es 100% y debemos dejarlo así.
  • Opciones avanzadas: algunas opciones avanzadas del Wi-Fi podemos habilitarlas, como el DL y UL OFDMA, es importante leer bien qué son estas tecnologías, para saber cómo podrían afectar.

En la banda de los 5GHz tenemos similares opciones de configuración, la principal diferencia radica en los estándares soportados y en el ancho de canal máximo que es de hasta 160MHz.

Interfaz de configuración de KeeneticOS mostrando los ajustes de una red Wi-Fi de 2,4 GHz, incluyendo seguridad WPA3 y selección de canal.
Interfaz de configuración de red Wi-Fi de 2,4 GHz en el sistema operativo KeeneticOS, mostrando opciones de canal, ancho de banda y tecnologías como MU-MIMO.
Panel de configuración de red Wi-Fi de 5 GHz en la interfaz de un router Keenetic Titan mostrando detalles de SSID, seguridad y canales.
Panel de configuración de red inalámbrica de 5 GHz en el sistema operativo KeeneticOS mostrando ajustes de canal, ancho de banda y tecnologías MU-MIMO.

Otras opciones que tenemos disponibles son las relacionadas con el roaming Wi-Fi entre nodos si usamos una red Mesh, podemos habilitar el estándar 802.11r o Fast-Roaming, y también los estándares 802.11k/v y el funcionamiento del band-steering.

En la sección de «Ajustes de puertos y VLAN» es donde vamos a poder definir desde qué puertos Ethernet podemos conectarnos a esta LAN. Por defecto el acceso a la LAN es desde todos los puertos, excepto el puerto que se usa como WAN de Internet que no permite configuración, y está puesto en azul y con el icono de Internet. En el caso de la LAN, no vamos a tener ningún VLAN ID porque es el VLAN ID 1 que es la nativa.

Interfaz de configuración KeeneticOS mostrando los ajustes de puertos, segmentación VLAN y parámetros IP para redes inalámbricas.
Menú de administración de Keenetic para la gestión avanzada de puertos y segmentación de redes mediante VLAN. Foto: Captura propia de RedesZone

Lo que sí podemos editar es la zona de «Ajustes IP«, aquí nos permite realizar las siguientes configuraciones:

  • Retransmisión de DNS multidifusión: podemos activar el mDNS en todos los segmentos de red.
  • Activar IPv4: definimos la dirección IP de la puerta de enlace predeterminada. También tenemos la correspondiente configuración del servidor DHCP del router y sus ajustes.
  • Usar NAT: por defecto debe estar habilitado, para poder salir a Internet correctamente desde los clientes conectados.
  • Activar IPv6: podemos configurar este protocolo de red, no es obligatorio.
Interfaz de configuración de ajustes IP y reglas de tráfico de Internet en el panel de administración de KeeneticOS.
Menú de gestión de direcciones IP y control de tráfico de Internet en un router Keenetic Titan. Foto: Captura propia de RedesZone

Keenetic nos permite configurar una política de conexión predeterminada para esta subred, por ejemplo, para salir por una VPN que hayamos configurado. En circunstancias normales debemos elegir la política por defecto. Para crear otras políticas debemos irnos a «Prioridades de conexión» y crear ahí la política general. Otras opciones son las de activar el Proxy IGMP, y también el PPPoE Pass-through.

Interfaz de configuración de un router Keenetic Titan mostrando opciones de reglas de manejo del tráfico de internet, Proxy IGMP y PPPoE pass-through.
Opciones avanzadas para la gestión del tráfico y protocolos de red en el sistema operativo KeeneticOS. Foto: Captura propia de RedesZone

Ahora que ya habéis visto todas las opciones que tenemos disponibles en la red Wi-Fi y cableada de la red principal o LAN, vamos a crear una segunda red y os indicaremos lo que tenéis que configurar.

 

Crear un nuevo segmento de red (VLAN)

En RedesZone vamos a realizar el siguiente esquema de red a modo de ejemplo:

Diagrama de arquitectura de red segmentada con un router Keenetic que separa una LAN principal de una VLAN IoT mediante reglas de firewall.
Configuración de red Keenetic que muestra la segmentación entre dispositivos críticos y entorno IoT con reglas de firewall específicas. Foto: Captura propia de RedesZone

En el menú de «Mis redes y Wi-Fi«, pinchamos en el botón de «+» de la zona superior. Lo primero que debemos hacer es darle un nombre al segmento de red, en nuestro caso, vamos a crear una red específica para la domótica, por lo que la hemos llamado «IoT«. En la configuración de esta red vamos a realizar las siguientes configuraciones:

  • Habilitaremos solamente la banda de 2.4GHz, con su correspondiente seguridad WPA2-PSK para que todos los dispositivos de domótica sean compatibles.
  • La subred principal será 192.168.2.0/24 con su correspondiente servidor DHCP.
  • El VLAN ID será el 2, no obstante, esto es un identificador, y podría ser cualquiera menos uno que ya esté «cogido».
  • Configuraremos un puerto Ethernet para colocar el dispositivo conectado en esta VLAN en concreto.
Interfaz de configuración 'Mis redes y wifi' en el sistema operativo KeeneticOS de un router Keenetic Titan.
Menú de ajustes para redes inalámbricas y segmentación LAN en el sistema KeeneticOS. Foto: Captura propia de RedesZone

Un ajuste muy recomendable por seguridad es el «Aislamiento de clientes» en ciertas circunstancias, esto permite que, un cliente inalámbrico, no pueda conectarse con otros clientes inalámbricos ni cableados. Si toda la domótica está basada en la nube, podemos habilitarlo sin problemas. Si vas a instalar un sistema como Home Assistant en la VLAN de domótica, sí tendremos que tener acceso local a él. Además, para evitar problemas con multicast y mDNS, es recomendable ubicar el sistema de Home Assistant en la misma VLAN de domótica.

En «Ajustes de puertos y VLAN» es muy importante configurar adecuadamente los puertos. En nuestro caso, el puerto número 4 lo configuraremos como «Perteneciente a este segmento«, que es la VLAN sin etiqueta o «Untagged». De esta forma, si conectamos un equipo como un mini PC con Home Assistant, estará en la VLAN 2 para gestionar toda la domótica de forma local. Si pinchamos en «Mostrar otros segmentos» podemos ver el resto de VLANs y cómo están configurados los puertos.

Hay una regla fundamental que debemos cumplir: solamente podemos poner una VLAN como «untagged» o sin etiqueta en un puerto.

Panel de configuración de KeeneticOS mostrando la sección de ajustes de puertos y VLAN para la gestión de redes locales.
Menú de administración de un router Keenetic donde se configuran los segmentos de red y la asignación de puertos VLAN. Foto: Captura propia de RedesZone

Otras opciones que tenemos disponibles en este nuevo segmento de red, son las de poder acceder a los servicios del propio router o no, habilitar el mDNS, y también la subred que tendremos en esta VLAN que hemos creado. En este caso, tendremos la dirección IP 192.168.2.1 para esta VLAN 2, y el servidor DHCP activado y la NAT también. Aunque no es una «regla», siempre es recomendable planificar las VLAN ID junto con las subredes, para tenerlo todo claro, por ejemplo:

  • Si tenemos el VLAN ID 2, lo lógico es usar una subred 192.168.2.1. Si creamos una red adicional que sea VLAN ID 3, lo lógico es usar una subred 192.168.3.1.
  • Si tenemos una VLAN ID 10, es bastante habitual usar la dirección 192.168.10.1.
Configuración recomendada de VLANs domésticas
VLAN IDNombre SugeridoSubred RecomendadaCaso de Uso Típico¿Aislamiento de Clientes?
1Red Principal (LAN)192.168.1.0/24Equipos de confianza: ordenadores, impresoras autorizadasNo (red de confianza)
2Dispositivos IoT192.168.2.0/24Domótica, cámaras inteligentes, enchufes WiFiSí (recomendado)
3Red de Invitados192.168.3.0/24Acceso temporal para visitantesSí (obligatorio)

Esto permite saber fácilmente en qué VLAN estamos en función de la subred obtenida vía DHCP. Como indicamos, no es obligatorio ni una regla, pero es para tener una cierta planificación de las diferentes redes y no equivocarnos luego.

Interfaz de configuración de ajustes IP y reglas de tráfico de Internet en el panel de administración de KeeneticOS.
Menú de gestión de direcciones IP y control de tráfico de Internet en un router Keenetic Titan. Foto: Captura propia de RedesZone

En este mismo menú también podemos configurar las reglas de manejo del tráfico de Internet, podemos hacer que toda esta subred acceda a Internet mediante un túnel VPN previo, o aplicar otras políticas avanzadas. Por defecto, lo tendremos en «Política por defecto«, pero la podemos cambiar en cualquier momento, ya sea aquí o directamente en «Prioridades de conexión«. Además, tenemos opciones adicionales como limitar la velocidad de los clientes conectados, habilitar el proxy IGMP y el PPPoE Pass-through.

Interfaz de configuración de KeeneticOS mostrando las reglas de manejo del tráfico de internet y firewall.
Opciones de configuración avanzadas para el tráfico de red y reglas de firewall en un router Keenetic. Foto: Captura propia de RedesZone

Como podéis ver, crear un nuevo segmento de red, ya sea para domótica, cámaras, invitados, es realmente sencillo. Por supuesto, si creas una red de «Invitados» es necesario que actives el aislamiento de los clientes por motivos de seguridad. Ahora vamos a ver cómo crear reglas en el firewall para permitir o denegar el tráfico entre VLANs.

 

Configuración de las reglas en el firewall

Keenetic nos permite configurar reglas en el firewall en cada interfaz física y lógica del equipo, de esta forma, vamos a poder crear reglas para «permitir» o «denegar» el tráfico. De manera predeterminada no tenemos ninguna regla creada, pero sí tenemos un «denegar todo» implícito. Esto significa que, si intentamos hacer comunicación desde un equipo de la LAN hasta un dispositivo de la red de IoT, no funcionará la comunicación, porque el firewall está denegando esas comunicaciones.

Interfaz de configuración del Firewall en el sistema KeeneticOS mostrando la pestaña de red local LAN.
Menú de configuración de reglas de cortafuegos para redes locales en un router Keenetic. Foto: Captura propia de RedesZone

En el siguiente ejemplo, hemos puesto un mini PC con Home Assistant en la VLAN de IoT para gestionar toda la domótica. Desde la red principal o LAN queremos acceder a ese Home Assistant, así que tenemos que crear ciertas reglas para permitir este tráfico entre VLANs.

  • PC: está en la red LAN
  • Home Assistant: está en la red de IoT, y tiene la IP 192.168.2.100 asignada por el DHCP estático.

Si queremos permitir el tráfico desde cualquier equipo de la LAN (o bien dispositivos específicos), debemos crear una regla en el firewall en la pestaña de LAN. El sentido del tráfico es fundamental, debemos crearlo siempre en el «origen» del tráfico. En este caso, tendremos que pinchar en «Crear norma» y rellenar la siguiente información:

  • Activar norma: marcado
  • Nombre: Acceso a Home Assistant.
  • Acción: Autorizar
  • Fuente IP: Todo (toda la red de la LAN podrá acceder).
  • IP de destino: Dirección IP
  • Dirección IP: 192.168.2.100
  • Número del puerto de la fuente: Todo.
  • Protocolo: TCP
  • Número del puerto de destino: Es igual a
  • 8123 (es el puerto HTTP predeterminado de Home Assistant).
  • Mover a: finalizar (posición actual)
  • Horario laboral: Siempre activado.

Pinchamos en «Guardar» y ya tendremos la regla creada.

Interfaz de configuración de una norma del firewall en el sistema operativo KeeneticOS mostrando campos para IP de origen y destino.
Menú de KeeneticOS para la creación y personalización de reglas de filtrado en el firewall. Foto: Captura propia de RedesZone

En estos momentos, ya tendremos la regla creada y funcionando, solamente podemos acceder desde la LAN hasta el Home Assistant de la red de IoT. El resto del tráfico como el «ping» está deshabilitado.

Interfaz de configuración del Firewall en KeeneticOS mostrando una regla aplicada a una red local con parámetros de dirección IP y puertos.
Gestión de reglas y permisos de red en el panel de control de un router Keenetic Titan. Foto: Captura propia de RedesZone

Si queremos permitir el «ping» desde la LAN hasta el sistema de domótica, tendremos que crear una nueva regla permitiendo el protocolo ICMP, y poniendo como destino la misma dirección IP.

Interfaz de configuración de una norma de firewall en KeeneticOS para la gestión de tráfico de red.
Menú de configuración para establecer reglas de seguridad y filtrado de paquetes en un router Keenetic. Foto: Captura propia de RedesZone

Las dos reglas quedarían de la siguiente forma:

Interfaz de configuración del firewall en KeeneticOS mostrando reglas para segmentos de red LAN y VLAN.
Panel de gestión de reglas de firewall en un router Keenetic Titan para el control de tráfico entre segmentos de red. Foto: Captura propia de RedesZone

Un aspecto muy importante, es que en la pestaña de «IoT» no tenemos que crear ninguna regla. KeeneticOS utiliza un firewall stateful (con estado), lo que significa que recuerda las conexiones activas. Por este motivo, cuando creamos una regla en la LAN para permitir tráfico hacia IoT, el firewall reconoce automáticamente el tráfico de respuesta (desde IoT hasta LAN) y lo permite sin necesidad de crear una regla inversa. Debido a esto, no necesitas duplicar reglas en ambas direcciones.

Interfaz de configuración del firewall en el sistema operativo KeeneticOS de un router Keenetic Titan.
Vista del panel de control para la gestión de reglas de firewall en un router Keenetic. Foto: Captura propia de RedesZone

Si hacemos una prueba rápida habilitando o deshabilitando la regla de ICMP, podemos ver que al principio sí tenemos comunicación, y luego la comunicación está denegada. Todo ello es en tiempo real, no tenemos que pinchar en «Guardar» ni reiniciar el router.

Interfaz de configuración del firewall en KeeneticOS mostrando reglas de acceso y una ventana de terminal con comandos de red.
Panel de administración de KeeneticOS donde se gestionan las reglas del firewall y la conectividad entre segmentos de red. Foto: Captura propia de RedesZone

Como podéis ver, gracias al «Firewall» vamos a poder permitir o denegar el tráfico de red entre diferentes subredes, perfecto para segmentar adecuadamente la red y que podamos acceder a los recursos que queramos.

 

Problemas comunes y cómo solucionarlos

Es posible que te encuentres con algunos problemas a la hora de realizar la configuración anterior, a continuación, podéis ver los principales problemas y cómo solucionarlos:

  • Los dispositivos IoT no obtienen IP en la nueva VLAN: es necesario que compruebes que el servidor DHCP está activado correctamente. Reinicia el router y vuelve a probar.
  • No puedo acceder a Home Assistant desde la LAN: comprueba la regla de firewall está en la pestaña correcta (LAN, no IoT) y que la IP destino es correcta. Es recomendable que Home Assistant tenga una dirección IP privada estática o fija, para que no cambie por el DHCP.
  • El puerto Ethernet designado no funciona tras configurar VLAN: asegúrate de que la VLAN está definida como «untagged» o «Perteneciente al segmento».
  • Los dispositivos no pueden resolver DNS: verificar configuración de DNS en «Ajustes IP» del segmento creado o nueva red.
 

Conclusiones

Keenetic nos va a permitir una gran configurabilidad a la hora de crear VLANs, ya que podemos crearlas tanto en la red inalámbrica con un SSID en concreto, como también en la red cableada con los puertos Ethernet como VLAN «Untagged» que nosotros queramos. Además, tenemos un firewall para permitir o denegar el tráfico entre las VLANs, por defecto la comunicación entre las VLAN que creemos está denegada, solamente está permitido el acceso a Internet y nada más. Las mejores prácticas para crear VLANs y reglas en el firewall son las siguientes:

  • Principio de mínimo privilegio: cada dispositivo solo accede a lo que necesita, y todo lo demás se deniega de forma predeterminada.
  • Listas blancas: permitir explícitamente conexiones necesarias, y el resto se bloquean.
  • Documentar reglas: es recomendable documentar qué dispositivos necesitan comunicarse entre segmentos

Es muy importante planificar bien las subredes a crear, para luego tenerlo todo muy bien ordenado, y que todo funcione adecuadamente. KeeneticOS dispone de todas las herramientas y opciones para hacerlo de forma eficiente, y montar una red segmentada tanto en entornos domésticos como también profesionales. Además, los segmentos de red que configuremos, podremos aplicarles diferentes políticas de routing, como sacar su tráfico de Internet mediante una VPN.

Preguntas frecuentes

¿Cuántas VLANs puedo crear en un router Keenetic?
KeeneticOS permite crear múltiples segmentos de red adicionales además de la LAN principal. Permite crear hasta 7 redes Wi-Fi adicional como máximo, más que suficiente para separar redes de domótica, videovigilancia, invitados y otras necesidades domésticas o profesionales.
¿Qué diferencia hay entre VLAN tagged y untagged?
Una VLAN sin etiqueta (untagged) se envía sin el identificador, por lo que puedes conectar directamente dispositivos finales como PC, impresoras o cámaras IP. Una VLAN con etiqueta (tagged) requiere que el dispositivo conectado "entienda" esa etiqueta, siendo típico para conectar switches gestionables o servidores NAS con soporte VLAN.
¿Puedo acceder a un Home Assistant en otra VLAN desde mi red principal?
Sí, pero debes crear reglas específicas en el firewall de Keenetic. Por defecto, el tráfico entre VLANs está denegado. Necesitas autorizar el acceso al puerto 8123 (HTTP de Home Assistant) desde la LAN hacia la IP del servidor en la VLAN de IoT.
¿Por qué se recomienda usar WPA2-PSK en lugar de WPA3 para la red de domótica?
Muchos dispositivos de domótica e IoT no son compatibles con el cifrado WPA3-SAE. Usar WPA2-PSK garantiza que todos los dispositivos puedan conectarse sin problemas. Para la red principal con dispositivos modernos, sí es recomendable WPA3.
¿El aislamiento de clientes afecta a dispositivos en la misma VLAN?
Sí, cuando activas el aislamiento de clientes, los dispositivos inalámbricos de esa VLAN no pueden comunicarse entre sí ni con dispositivos cableados de la misma VLAN. Esto es útil para redes de invitados o IoT basada en la nube, pero problemático si usas Home Assistant localmente.
En calidad de Afiliado de Amazon y otros programas similares, esta web obtiene ingresos por las compras adscritas que cumplen los requisitos aplicables
Información y noticias sobre tecnología. Mantente informado de toda la actualidad en redes, ciberseguridad, domótica, energía y mucho más. Consulta nuestros análisis de producto, tutoriales de configuración, y manuales de uso.
ADSLZoneMovil ZonaSoft ZoneHard ZoneTopes de GamaLa Manzana MordidaTest de velocidad