Keenetic: настройка роутера для офиса от 10 до 50 рабочих мест
Привет! Меня зовут Семёнов Евгений Сергеевич, и я директор ITFresh. В нашем деле, когда речь заходит об офисном роутере для малого и среднего бизнеса, мой выбор всегда однозначен — Keenetic. За 15 лет в IT я чего только не повидал и не попробовал, поверьте мне! Через мои руки прошли и обычные домашние TP-Link, и мощнейшие MikroTik, и серьёзные Cisco RV, и даже ZyXEL USG, не говоря уже о замороченном pfSense на отдельном сервере. Но, если честно, среди всего этого многообразия Keenetic занимает совершенно особое место. Почему? Он достаточно функционален для большинства задач, у него невероятно понятный интерфейс, при этом он чертовски надёжен и, что немаловажно, стоит совершенно адекватных денег. В этой статье я подробно расскажу и покажу, как мы настраиваем Keenetic Giga для стандартного офиса: это и VLAN, и Wi-Fi, и VPN, и, конечно же, резервный канал связи. Готовы?
Почему я выбираю Keenetic для офиса
Сравнивать Keenetic с конкурентами интересно: он всегда предлагает тот самый уникальный баланс, который так нужен бизнесу.
- Веб-интерфейс на русском, понятный даже клиенту. Не нужно звать инженера, чтобы поменять Wi-Fi пароль.
- KeeneticOS — свой обширный репозиторий дополнений (entware, OPKG), устанавливаются одной галкой.
- KeenDNS — бесплатный динамический DNS, работает «из коробки» без проводов с провайдером.
- VPN-серверы: IKEv2/IPsec, WireGuard, OpenVPN, SSTP, L2TP/IPsec, PPTP. Клиенты и серверы.
- Производительность: Giga и Ultra спокойно прокачивают 900-1000 Мбит/с с включённым VPN.
- Доступность: на складе в России, быстрая замена по гарантии.
Конечно, для очень крупного офиса — скажем, где больше 50 человек, да ещё и с серьёзными запросами вроде BGP, QoS или сложного файрвола, — мы скорее всего поставим MikroTik. Но для подавляющего большинства, для 90% наших заказов, Keenetic хватает с головой. И это круто!
Выбор модели под офис
| Модель | Офис | WAN | Wi-Fi | Цена 2026 |
|---|---|---|---|---|
| Keenetic Giga (KN-1011) | 10-40 РМ | 1 Гбит | Wi-Fi 6 AX1800 | 12-14 тыс руб |
| Keenetic Ultra (KN-1811) | 30-70 РМ | 1 Гбит | Wi-Fi 6 AX3200 | 19-22 тыс руб |
| Keenetic Peak (KN-2710) | 50-100 РМ | 2.5 Гбит | Wi-Fi 6 AX6000 | 28-32 тыс руб |
| Keenetic Hero 4G (KN-2311) | Резервный 4G | 4G/LTE | Wi-Fi 6 | 14-16 тыс руб |
Первичная настройка
Вот он, Keenetic, только что из коробки. Подключил провод — и всё, через каких-то три минуты можно работать! Я, конечно, по старой привычке всегда иду через CLI (SSH) — так быстрее и контроля больше. Но и веб-интерфейс работает отлично, он интуитивно понятен.
# Подключение по SSH (после включения в веб Общие настройки → Разрешить SSH)
ssh admin@192.168.1.1
# Смена пароля администратора
(config)> user admin password
New password:
Retype new:
# Имя устройства
(config)> system name gw-corp-msk
(config)> system configuration save
WAN — подключение к провайдеру
Есть три стандартных сценария подключения, и они все одинаково просты в настройке: динамический IP (это когда провайдер сам выдает адрес через DHCP), статический IP или PPPoE. Никаких сложностей.
# Статический IP на WAN
(config)> interface ISP address 203.0.113.10/24
(config)> interface ISP gateway 203.0.113.1
(config)> ip name-server 77.88.8.8
(config)> ip name-server 1.1.1.1
(config)> interface ISP up
# PPPoE (ростелеком и др.)
(config)> interface PPPoE0 authentication identity your-login
(config)> interface PPPoE0 authentication password your-password
(config)> interface PPPoE0 up
# DHCP от провайдера
(config)> interface ISP ipaddress dhcp
(config)> interface ISP up
VLAN и сегментация сети
В любом офисе мы всегда стараемся разделить сеть на сегменты. Keenetic это умеет делать несколькими способами: либо через привычные VLAN-интерфейсы, либо, что особенно удобно в новых версиях KeeneticOS 3.0+, через встроенные сегменты. Очень удобно, кстати.
# Создание сегмента для серверов (VLAN 20)
(config)> interface Home
(config-if)> segment name "Office"
(config-if)> exit
(config)> interface GigabitEthernet0/Vlan20
(config-if)> ipaddress 10.10.20.1/24
(config-if)> security-level private
(config-if)> segment name "Servers"
(config-if)> dhcp-server enable
(config-if)> dhcp-server range 10.10.20.100 10.10.20.200
(config-if)> up
# Изоляция гостевого Wi-Fi
(config)> interface WifiMaster0/AccessPoint2 ssid "Corp-Guest"
(config)> interface WifiMaster0/AccessPoint2 segment name "Guest"
(config)> isolate-private
Обычно, когда мы настраиваем сеть, то используем вот такую стандартную схему сегментов:
- Home (VLAN 10) — офисные рабочие станции, 192.168.10.0/24.
- Servers (VLAN 20) — серверы, 10.10.20.0/24.
- IoT (VLAN 30) — принтеры, камеры, умные девайсы, 192.168.30.0/24.
- Guest (VLAN 40) — гостевой Wi-Fi с интернетом, но без доступа в LAN.
- VoIP (VLAN 50) — SIP-телефония, QoS с высоким приоритетом.
Wi-Fi: корпоративный и гостевой
Keenetic запросто умеет создавать несколько Wi-Fi сетей (SSID) с разными параметрами, да ещё и привязывать их к разным сегментам. Мы обычно делаем два: один корпоративный — его защищаем WPA2-Enterprise с аутентификацией через RADIUS, а второй — гостевой, ему хватает WPA2-Personal.
# Корпоративный Wi-Fi с RADIUS-аутентификацией
(config)> interface WifiMaster0/AccessPoint0 ssid "Corp-Office"
(config)> interface WifiMaster0/AccessPoint0 security-level private
(config)> interface WifiMaster0/AccessPoint0 authentication wpa2 enterprise
(config)> interface WifiMaster0/AccessPoint0 radius server 10.10.20.10 secret SharedKey
(config)> interface WifiMaster0/AccessPoint0 up
# Гостевой Wi-Fi
(config)> interface WifiMaster0/AccessPoint2 ssid "Corp-Guest"
(config)> interface WifiMaster0/AccessPoint2 authentication wpa2 psk
(config)> interface WifiMaster0/AccessPoint2 authentication wpa2 password WelcomeGuest2025
(config)> interface WifiMaster0/AccessPoint2 segment name "Guest"
(config)> interface WifiMaster0/AccessPoint2 isolate-private
(config)> interface WifiMaster0/AccessPoint2 up
VPN: удалёнка для сотрудников
Что касается удалёнки, то тут я обычно предлагаю IKEv2/IPsec: он уже встроен в Windows 10/11 и macOS, так что никаких дополнительных клиентов не нужно. А для наших технических специалистов, кто требует максимум скорости и гибкости, мы можем настроить WireGuard.
# IKEv2 сервер
(config)> ip hotspot rule vpn-ikev2
(config)> ikev2 server enable
(config)> ikev2 server subnet 10.20.0.0/24
(config)> ikev2 server certificate letsencrypt vpn.corp.ru
# Создаём пользователей
(config)> user ivan password SuperPass123!
(config)> user ivan tag ikev2
(config)> user petr password AnotherPass456!
(config)> user petr tag ikev2
# WireGuard для админов
(config)> interface Wireguard0 up
(config)> interface Wireguard0 ipaddress 10.30.0.1/24
(config)> interface Wireguard0 peer "admin1" public-key xxxxxx
Резервный канал: второй провайдер + 4G
Для офисов, где любая остановка — это катастрофа, мы всегда предусматриваем двух провайдеров, а сверху ещё и 4G-модем на случай полного апокалипсиса. Keenetic справляется с этим на раз-два, используя Policy-Based Routing и грамотно настроенные приоритеты.
# Политики маршрутизации
(config)> ip policy Policy0
(config-pol)> description "Main channel"
(config-pol)> permit global UsbDsl0
(config-pol)> permit global ISP
(config-pol)> permit global UsbLte0
# Проверка доступности канала
(config)> interface ISP ping-check profile check-main
(config)> ip ping-check profile check-main host 8.8.8.8
(config)> ip ping-check profile check-main timeout 3
(config)> ip ping-check profile check-main count 3
Представьте: основной канал вдруг падает. Что будет? Keenetic самостоятельно, без всяких ваших вмешательств, переключит трафик на резервный канал всего за 10-15 секунд. А как только основной провайдер снова заработает, роутер аккуратно вернёт всё на свои места. Это ли не надёжность?
Kейс: сеть для торговой компании
Помню, как-то в августе 2025 года к нам обратился один клиент. Это была торговая компания, офис и склад у них располагались прямо в одном здании, на Востоке Москвы. Там работало 42 человека. А старый роутер, TP-Link Archer C1200, уже просто не справлялся с нагрузкой! Wi-Fi постоянно отваливался, сотрудники нервничали, а VPN-соединения то и дело рвались на полуслове. Просто беда.
Мы тогда не долго думая решили поставить им Keenetic Ultra (модель KN-1811), который, кстати, мы всегда берём только у официального дилера. И вот что мы там настроили, чтобы забыть о проблемах:
- Основной канал WAN у нас всегда на статическом IP от «Ростелекома». А что, если основной канал ляжет? Мы предусмотрели резерв. На этот случай подключаем резервный 4G, используя надёжный USB-модем Huawei E3372. Так что вы всегда будете онлайн.
- Мы тщательно разделили всю сеть на 5 ключевых сегментов. Почему? Для безопасности и удобства управления! Офисные компьютеры? Это VLAN 10. Сервера у нас в VLAN 20. Отдельно вынесли принтеры — это 30-й VLAN. Гостевой Wi-Fi, само собой, сидит в 40-м, а голосовая связь VoIP — в 50-м. Всё чётко.
- У нас есть два отдельных SSID. Сотрудники подключаются к Corp-Office — здесь полная защита! Мы используем WPA2-Enterprise с аутентификацией через RADIUS, а за всё это отвечает наш Windows Server. Для гостей, конечно, предусмотрен Corp-Guest — он попроще, но отдельный.
- Как мы обеспечиваем безопасную работу удалёнщиков? У нас стоит IKEv2 VPN-сервер. Он позволяет двенадцати нашим сотрудникам надёжно подключаться к корпоративной сети. И, конечно, для максимальной безопасности и доверия, мы используем актуальный сертификат от Let's Encrypt.
- Что делать, если нет белого IP, но нужно получить доступ к веб-интерфейсу извне? Наше решение — KeenDNS! Благодаря ему, внешний доступ к веб-интерфейсу работает стабильно, даже когда у нас нет статического публичного IP-адреса. Очень удобно и практично.
- QoS с приоритетом для VoIP и 1С-трафика.
Итог спустя полгода работы? Ни одного падения сети! Wi-Fi теперь покрывает весь этаж, а это 450 квадратных метров, без «мёртвых зон». Резервный 4G-канал, кстати, срабатывал дважды — у Ростелекома были обрывы. Сотрудники даже ничего не заметили, всё прошло бесшовно. Весь проект обошёлся в 48 000 рублей (это без учёта самого роутера, других точек Wi-Fi и, конечно, их стоимости).
Мониторинг и управление
Keenetic ещё и дружит с облаком! Вы можете подключить его к Keenetic.Cloud — там сразу видно все ваши устройства, кто к ним подключен, какой трафик идёт. А для тех, кто любит покопаться поглубже, есть поддержка SNMP и syslog на внешний сервер. Очень удобно для мониторинга!
# SNMP v2c
(config)> snmp-server enable
(config)> snmp-server community public
# Syslog на внешний сервер (Grafana Loki или Graylog)
(config)> system log server 10.10.20.50 port 514
(config)> system log server protocol udp
# Проверка состояния через CLI
(config)> show system
(config)> show interface ISP
(config)> show ip dhcp bindings
(config)> show running-config
Настроим Keenetic для вашего офиса
Подбираем модель под задачи, настраиваем VLAN, Wi-Fi, VPN, резервный канал, политики маршрутизации. Приедем в офис по Москве и области, удалённо по России. От 8 000 руб за стандартную настройку.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — частые вопросы по Keenetic
- Подходит ли Keenetic для офиса?
- Да, Keenetic Giga, Ultra и Peak уверенно тянут офисы до 50-70 рабочих мест. Поддерживают VLAN, VPN (IKEv2, WireGuard, OpenVPN, SSTP), резервный канал, KeenDNS, работают стабильно.
- Чем Keenetic отличается от MikroTik?
- Keenetic дружелюбнее в настройке — красивый веб-интерфейс на русском, готовые мастера. MikroTik мощнее по функциям (BGP, OSPF, сложные скрипты), но требует глубоких знаний RouterOS.
- Можно ли использовать Keenetic для site-to-site VPN?
- Да, через IKEv2 IPsec или WireGuard. Два Keenetic в двух филиалах легко соединяются в один канал, трафик бизнес-приложений идёт напрямую.
- Какую модель выбрать для офиса на 30 человек?
- Keenetic Giga (KN-1011) — хватает для 30-50 рабочих мест, гигабитный порт WAN, 2.5 Гбит производительности, Wi-Fi 6. Для больших офисов — Keenetic Peak или Ultra с поддержкой Mesh.
- Как организовать отказоустойчивый интернет?
- Подключаете два провайдера на WAN и USB-модем 4G. В KeeneticOS настраиваете политики маршрутизации: основной канал — первый провайдер, резервный — второй, аварийный — 4G с автопереключением.
