Todos los enrutadores de la marca Keenetic vienen equipados con el avanzado sistema operativo KeeneticOS, considerado uno de los más sofisticados en routers para uso doméstico que hemos evaluado. Una de sus características más destacadas es la capacidad de crear redes adicionales, tanto inalámbricas como cableadas, que pueden segmentarse mediante VLANs. Esto permite controlar el tráfico entre VLANs usando el firewall integrado, ideal para mantener redes de domótica, videovigilancia o de invitados completamente aisladas de la red principal. Si deseas aprender a configurar estas redes extras y explorar todas las opciones disponibles, a continuación te proporcionamos todos los detalles.
El sistema operativo KeeneticOS se encuentra en todos los routers de la compañía. En esta guía, utilizaremos el Keenetic Titan KN-1812 que hemos analizado en RedesZone. Sin embargo, esto es aplicable a todos los modelos, ya que ofrecen las mismas opciones y menús para segmentar la red tanto inalámbrica como cableada.
El primer paso es acceder a la interfaz de configuración web del router. Podemos hacerlo mediante el dominio my.keenetic.net o utilizando la dirección IP de la puerta de enlace predeterminada, que por defecto es https://192.168.1.1. Si has modificado esta dirección, será la IP de la red LAN principal. También es posible realizar esta configuración a través de la aplicación móvil de Keenetic, que ofrece las mismas funcionalidades que la interfaz web.
Al ingresar al router, encontraremos el «Panel del sistema», donde se muestra el estado general del router, incluida la conexión a Internet. Debemos enfocarnos en el menú de «Mis redes y Wi-Fi», donde aparecerán las distintas redes que hayamos creado. Por defecto, existe una red principal o LAN con dos SSID (uno para cada banda de frecuencia).
Es crucial que verifiquemos los puertos de red que estamos utilizando y aquellos que planeamos actualizar, ya que al crear redes adicionales con VLANs, podemos configurar uno de estos puertos como VLAN sin etiqueta o con etiqueta. Las diferencias son:
- VLAN sin etiqueta o «Untagged»: la VLAN se envía sin etiqueta, permitiendo la conexión de dispositivos finales (PC, impresoras, servidores NAS, cámaras IP, etc.). Un puerto solo puede tener una VLAN sin etiqueta.
- VLAN con etiqueta o «Tagged»: la VLAN se envía con etiqueta, y el dispositivo conectado debe «entender» dicha etiqueta. Aquí conectaremos generalmente un switch gestionable que soporte VLANs, aunque algunos servidores NAS también lo permiten. En un mismo puerto, se pueden tener múltiples VLANs etiquetadas sin inconvenientes.
- Sin miembro: en este puerto no habrá VLAN ni etiquetada ni sin etiqueta, simplemente no se asignará ninguna VLAN a través del puerto.
Te recomendamos consultar nuestro completo tutorial sobre qué es una VLAN y cómo se utilizan, para que conozcas todo sobre esta tecnología de segmentación de redes.
Configuración de la red principal o LAN
Por defecto, el router Keenetic creará una red «Principal», que denominaremos «LAN» a partir de ahora. Esta subred usa la dirección 192.168.1.0/24, que es habitual. En este menú podemos configurar en detalle esta red LAN y también crear más segmentos de red.
En cuanto a la configuración inalámbrica, podemos ajustar detalladamente tanto la banda de 2.4GHz como la de 5GHz. Las principales opciones y ajustes son:
- Nombre de red Wi-Fi: podemos establecer el nombre o SSID que deseemos para identificar esta red en el entorno inalámbrico.
- Ocultar SSID: podemos optar por ocultarlo, aunque no es recomendable hacerlo.
- Horario de funcionamiento: por defecto siempre estará activa; si queremos programar su encendido y apagado, primero debemos configurar un «calendario».
- Protección de red: elegiremos el método de seguridad Wi-Fi; se recomienda usar WPA3-SAE, pero si algunos dispositivos no son compatibles, opta por WPA2-PSK.
- Contraseña: estableceremos una contraseña de acceso a la red Wi-Fi si hemos seleccionado WPA2-PSK o WPA3-SAE.
- Permitir WPS, PIN WPS y funcionamiento MLO: se aconseja desactivar WPS, y habilitar el funcionamiento multienlace si los clientes lo permiten.
- Estándar Wi-Fi: es mejor dejarlo en automático, pero si deseas optimizar, selecciona solo los estándares más recientes y evita 802.11bg.
- Canal: podemos dejarlo en automático o elegir un canal fijo.
- Comportamiento del canal automático: escaneará el canal más óptimo disponible.
- Ancho de canal: podemos establecer el ancho máximo del canal; mayor ancho significa mayor rendimiento, pero también más interferencias de otras redes.
- Potencia: se puede ajustar la potencia máxima de la señal; por defecto está al 100%, que es lo recomendable.
- Opciones avanzadas: algunas opciones avanzadas de Wi-Fi pueden habilitarse, como DL y UL OFDMA; es importante entender estas tecnologías para saber cómo podrían afectar.
En la banda de 5GHz, las opciones de configuración son similares, con la principal diferencia en los estándares soportados y el ancho de canal máximo que puede llegar hasta 160MHz.
Además, si utilizas una red Mesh, en la sección de «Ajustes de puertos y VLAN» podrás definir desde qué puertos Ethernet se puede acceder a esta LAN. Por defecto, el acceso a la LAN está habilitado desde todos los puertos, excepto el que se utiliza como WAN de Internet, que no permite configuración y es el que está marcado en azul con el icono de Internet. En el caso de la LAN, no tendremos ningún VLAN ID, dado que es el VLAN ID 1, que es el nativo.
Lo que sí podemos modificar son los «Ajustes IP», donde podemos realizar las siguientes configuraciones:
- Retransmisión de DNS multidifusión: podemos activar el mDNS en todos los segmentos de red.
- Activar IPv4: definimos la dirección IP de la puerta de enlace predeterminada, además de la configuración del servidor DHCP del router y sus ajustes.
- Usar NAT: debe estar habilitado por defecto para permitir el acceso a Internet desde los dispositivos conectados.
- Activar IPv6: podemos configurar este protocolo de red, aunque no es obligatorio.
Keenetic también permite configurar una política de conexión predeterminada para esta subred, como salir a través de una VPN que hayamos configurado. Normalmente, elegiremos la política por defecto. Para crear otras políticas, debemos ir a «Prioridades de conexión» y establecer la política general allí. Otras opciones incluyen habilitar el Proxy IGMP, así como el PPPoE Pass-through.
Ahora que hemos revisado todas las opciones disponibles en la red Wi-Fi y cableada de la red principal o LAN, procederemos a crear una segunda red y te indicaremos qué debes configurar.
Crear un nuevo segmento de red (VLAN)
En RedesZone, vamos a implementar el siguiente esquema de red como ejemplo:
En el menú de «Mis redes y Wi-Fi», hacemos clic en el botón «+» en la parte superior. Primero, debemos asignar un nombre al nuevo segmento de red; en este caso, crearemos una red específica para domótica, a la que llamaremos «IoT». En la configuración de esta red realizaremos las siguientes configuraciones:
- Habilitaremos solo la banda de 2.4GHz, con la seguridad WPA2-PSK, que garantiza compatibilidad con todos los dispositivos de domótica.
- La subred principal será 192.168.2.0/24, junto con su correspondiente servidor DHCP.
- El VLAN ID será 2, aunque este es solo un identificador y podría ser cualquier número que no esté en uso.
- Configuraremos un puerto Ethernet que se usará para conectar dispositivos en esta VLAN específica.
Un ajuste recomendable por motivos de seguridad es el «Aislamiento de clientes», que impide que un dispositivo inalámbrico se comunique con otros, tanto inalámbricos como cableados. Si toda la domótica está basada en la nube, podemos activarlo sin problemas. Sin embargo, si planeas instalar un sistema como Home Assistant en la VLAN de domótica, necesitarás tener acceso local a él. Para evitar problemas con multicast y mDNS, es aconsejable colocar el sistema de Home Assistant en la misma VLAN de domótica.
En «Ajustes de puertos y VLAN» es fundamental configurar los puertos correctamente. En nuestro caso, el puerto número 4 se configurará como «Perteneciente a este segmento», que es la VLAN sin etiqueta o «Untagged». Así, si conectamos un equipo como un mini PC con Home Assistant, estará en la VLAN 2 para gestionar toda la domótica localmente. Si hacemos clic en «Mostrar otros segmentos», podemos ver el resto de VLANs y cómo están configurados los puertos.
Es esencial seguir una regla fundamental: solo se puede asignar una VLAN como «untagged» en un puerto.
Otras opciones disponibles en este nuevo segmento de red incluyen la posibilidad de acceder o no a los servicios del router, habilitar el mDNS y establecer la dirección IP de la subred para esta VLAN creada. En este caso, la dirección IP será 192.168.2.1 para la VLAN 2, con el servidor DHCP y NAT activados. Aunque no es obligatorio, es recomendable planificar las VLAN ID junto con las subredes para mantener claridad, por ejemplo:
- Si tenemos el VLAN ID 2, lo lógico es usar la subred 192.168.2.1. Si creamos otra red que sea VLAN ID 3, sería adecuado usar la subred 192.168.3.1.
- Si tenemos una VLAN ID 10, es común usar la dirección 192.168.10.1.
Configuración recomendada de VLANs domésticas
| VLAN ID | Nombre Sugerido | Subred Recomendada | Caso de Uso Típico | ¿Aislamiento de Clientes? |
|---|---|---|---|---|
| 1 | Red Principal (LAN) | 192.168.1.0/24 | Equipos de confianza: ordenadores, impresoras autorizadas | No (red de confianza) |
| 2 | Dispositivos IoT | 192.168.2.0/24 | Domótica, cámaras inteligentes, enchufes WiFi | Sí (recomendado) |
| 3 | Red de Invitados | 192.168.3.0/24 | Acceso temporal para visitantes | Sí (obligatorio) |
Esto facilita identificar en qué VLAN nos encontramos según la subred obtenida vía DHCP. Como mencionamos, no es obligatorio, pero ayuda a planificar las diferentes redes y evitar confusiones.
En este menú también podemos ajustar las reglas de manejo del tráfico de Internet, permitiendo que toda esta subred acceda a Internet mediante un túnel VPN, o aplicar políticas avanzadas. Por defecto, estará en «Política por defecto», pero se puede cambiar en cualquier momento, ya sea aquí o en «Prioridades de conexión». También hay opciones adicionales, como limitar la velocidad de los dispositivos conectados, habilitar el proxy IGMP y el PPPoE Pass-through.
Como has podido observar, crear un nuevo segmento de red para domótica, cámaras, invitados, etc., es realmente sencillo. Si decides crear una red de «Invitados», asegúrate de activar el aislamiento de clientes por razones de seguridad. Ahora, veamos cómo establecer reglas en el firewall para permitir o bloquear el tráfico entre VLANs.
Configuración de las reglas en el firewall
Keenetic permite configurar reglas en el firewall para cada interfaz física y lógica del dispositivo, lo que nos da la habilidad de crear reglas para «permitir» o «denegar» el tráfico. De manera predeterminada, no hay reglas creadas, pero existe un «denegar todo» implícito. Esto significa que, si intentamos comunicar un dispositivo de la LAN con uno de la red IoT, la comunicación fallará debido a que el firewall está bloqueando esas interacciones.
En este ejemplo, hemos colocado un mini PC con Home Assistant en la VLAN de IoT para gestionar toda la domótica. Desde la red principal o LAN, queremos acceder a Home Assistant, por lo que debemos crear reglas para permitir este tráfico entre VLANs.
- PC: ubicado en la red LAN
- Home Assistant: en la red IoT, con la IP 192.168.2.100 asignada por DHCP estático.
Para permitir el tráfico desde cualquier dispositivo de la LAN (o dispositivos específicos), necesitamos crear una regla en el firewall en la pestaña de LAN. El sentido del tráfico es crucial; siempre debemos crearlo desde el «origen» del tráfico. Por lo tanto, hacemos clic en «Crear norma» y completamos la siguiente información:
- Activar norma: marcado
- Nombre: Acceso a Home Assistant.
- Acción: Autorizar
- Fuente IP: Todo (toda la red LAN tendrá acceso).
- IP de destino: Dirección IP
- Dirección IP: 192.168.2.100
- Número del puerto de la fuente: Todo.
- Protocolo: TCP
- Número del puerto de destino: Igual a
- 8123 (puerto HTTP predeterminado de Home Assistant).
- Mover a: finalizar (posición actual)
- Horario laboral: Siempre activado.
Hacemos clic en «Guardar» y la regla ya estará creada.
Ahora que hemos creado la regla, solo podremos acceder desde la LAN al Home Assistant de la red IoT. El resto del tráfico, como los pings, permanecerá bloqueado.
Si deseas permitir el «ping» desde la LAN hasta el sistema de domótica, tendrás que crear una nueva regla que autorice el protocolo ICMP, asignando la misma dirección IP como destino.
Las dos reglas se establecerían de la siguiente manera:
Un aspecto importante a tener en cuenta es que en la pestaña de «IoT» no debemos crear ninguna regla. KeeneticOS emplea un firewall stateful (con estado), lo que significa que recuerda las conexiones activas. Por lo tanto, al crear una regla en la LAN que permita el tráfico hacia IoT, el firewall permite automáticamente el tráfico de respuesta (desde IoT hacia LAN) sin necesidad de una regla inversa. Esto implica que no es necesario duplicar reglas en ambas direcciones.
Si realizas una prueba rápida habilitando o deshabilitando la regla de ICMP, notarás que inicialmente hay comunicación, y luego se bloquea. Todo esto ocurre en tiempo real, sin necesidad de hacer clic en «Guardar» o reiniciar el router.
Como puedes observar, gracias al «Firewall» podemos permitir o denegar el tráfico de red entre diferentes subredes, lo que es ideal para segmentar y acceder a los recursos deseados.
Problemas comunes y cómo solucionarlos
Es posible que enfrentes algunos inconvenientes al realizar la configuración anterior. A continuación, se presentan los problemas más comunes y sus soluciones:
- Los dispositivos IoT no obtienen IP en la nueva VLAN: verifica que el servidor DHCP esté activado correctamente. Reinicia el router y prueba nuevamente.
- No puedo acceder a Home Assistant desde la LAN: asegúrate de que la regla de firewall esté en la pestaña correcta (LAN, no IoT) y que la IP de destino sea precisa. Es recomendable asignar a Home Assistant una dirección IP privada estática o fija para evitar cambios por el DHCP.
- El puerto Ethernet designado no funciona tras configurar VLAN: verifica que la VLAN esté definida como «untagged» o «Perteneciente al segmento».
- Los dispositivos no pueden resolver DNS: revisa la configuración de DNS en los «Ajustes IP» del segmento o nueva red.
Conclusiones
Keenetic ofrece una gran capacidad de configuración para crear VLANs, permitiendo la creación tanto en la red inalámbrica con un SSID específico como en la red cableada, utilizando los puertos Ethernet como VLAN «Untagged» que elijamos. Además, cuenta con un firewall que permite o deniega el tráfico entre VLANs; por defecto, la comunicación entre VLANs está bloqueada, permitiendo solo el acceso a Internet. Las mejores prácticas para la creación de VLANs y reglas en el firewall son las siguientes:
- Principio de mínimo privilegio: cada dispositivo accede solo a lo que necesita, denegando el resto como norma.
- Listas blancas: permitir explícitamente las conexiones necesarias y bloquear el resto.
- Documentar reglas: es recomendable registrar qué dispositivos requieren comunicarse entre segmentos.
Es fundamental planificar las subredes a crear para mantener todo organizado y asegurar un funcionamiento adecuado. KeeneticOS proporciona todas las herramientas y opciones necesarias para lograrlo de manera eficiente, permitiendo construir una red segmentada tanto en entornos domésticos como profesionales. Además, los segmentos de red que configuremos pueden tener diferentes políticas de enrutamiento, como redirigir su tráfico a Internet a través de una VPN.
Preguntas frecuentes
¿Cuántas VLANs puedo crear en un router Keenetic?
KeeneticOS permite crear múltiples segmentos de red adicionales además de la LAN principal. Se pueden crear hasta 7 redes Wi-Fi adicionales, lo que es más que suficiente para separar redes de domótica, videovigilancia, invitados y otras necesidades tanto domésticas como profesionales.
¿Qué diferencia hay entre VLAN tagged y untagged?
Una VLAN sin etiqueta (untagged) se envía sin identificador, permitiendo conectar directamente dispositivos finales como PC, impresoras o cámaras IP. Una VLAN con etiqueta (tagged) requiere que el dispositivo conectado «entienda» dicha etiqueta, siendo común para conectar switches gestionables o servidores NAS con soporte VLAN.
¿Puedo acceder a un Home Assistant en otra VLAN desde mi red principal?
Sí, pero debes crear reglas específicas en el firewall de Keenetic. Por defecto, el tráfico entre VLANs está bloqueado. Debes autorizar el acceso al puerto 8123 (HTTP de Home Assistant) desde la LAN hacia la IP del servidor en la VLAN de IoT.
¿Por qué se recomienda usar WPA2-PSK en lugar de WPA3 para la red de domótica?
Muchos dispositivos de domótica e IoT no son compatibles con el cifrado WPA3-SAE. Usar WPA2-PSK garantiza que todos los dispositivos puedan conectarse sin inconvenientes. Para la red principal con dispositivos modernos, se recomienda WPA3.
¿El aislamiento de clientes afecta a dispositivos en la misma VLAN?
Sí, al activar el aislamiento de clientes, los dispositivos inalámbricos en esa VLAN no pueden comunicarse entre sí ni con dispositivos cableados en la misma VLAN. Esto es útil para redes de invitados o IoT basadas en la nube, pero puede ser problemático si usas Home Assistant localmente.
En calidad de Afiliado de Amazon y otros programas similares, esta web obtiene ingresos por las compras adscritas que cumplen los requisitos aplicables
