Изоляция точки доступа в Wi-Fi (AP Isolation): для чего нужна, как включить и выключить

ВОПРОС! Привет! В настройках роутера в разделе настройки Wi-Fi столкнулся с настройкой «Enable AP Isolation». Если переключить на русский, то будет – «Изоляция точки доступа». Что это за конфигурация и нужна ли она?

БЫСТРЫЙ ОТВЕТ! Изоляция точки доступа – это функция, которая запрещает напрямую общаться устройствам, подключенным к одной Wi-Fi сети. Посмотрите на картинку выше. До включения этой функции оба ноутбука могут видеть друг друга в сети и общаться между собой. Если включить эту функцию, то они станут изолированы друг от друга, но интернет у них обычно останется. Чаще всего такая настройка нужна в общественных местах, офисах, кафе, гостиницах и гостевых сетях, чтобы клиенты не видели друг друга, сетевые папки, принтеры и другие устройства. Но тут есть важный нюанс: на разных роутерах функция работает немного по-разному. На одних прошивках она блокирует только связь между Wi-Fi клиентами одной и той же сети, а доступ в локалку или к проводным устройствам настраивается отдельно. Ниже я расскажу, когда ее стоит включать, когда не стоит, и что еще реально повышает безопасность Wi-Fi дома.

Если объяснить совсем по-человечески, то «AP Isolation» или «Client Isolation» – это режим, при котором телефон, ноутбук, телевизор и другие устройства, сидящие на одном Wi-Fi, перестают видеть друг друга как соседей по сети. Например, ноутбук уже не найдет сетевой принтер, телефон не увидит папку на компьютере, а телевизор может перестать видеть трансляцию с телефона. Но при этом сайты, YouTube и мессенджеры чаще всего продолжат работать, потому что доступ в интернет обычно не ломается. Поэтому функция полезная, но включать ее надо с пониманием, а не просто потому, что «так безопаснее».

Когда эта функция реально нужна?

На сегодня изоляция клиентов нужна не только в кафе или гостинице. Я бы включал ее в любой сети, где есть чужие или временные устройства: арендаторы, гости, клиенты, посетители, устройства для детей, гаджеты для умного дома, которым не нужно видеть ваши компьютеры. Еще она хорошо подходит для гостевой сети, когда вы даете интернет знакомым, но не хотите, чтобы они случайно увидели ваш NAS, принтер, камеры или общие папки на ноутбуке. То есть сама идея простая – интернет есть, а доступ к вашим домашним устройствам сильно урезан.

• Гостевая сеть в квартире, доме или офисе.
• Общественный Wi-Fi в кафе, салоне, гостинице, коворкинге.
• Отдельная сеть для умного дома, камер, розеток, датчиков.
• Сеть для арендаторов, соседей по офису или временных пользователей.

Важно! Изоляция точки доступа не является «волшебной кнопкой безопасности». Она помогает отрезать клиентов друг от друга, но не заменяет нормальное шифрование, свежую прошивку роутера, сильный пароль Wi-Fi и отключение лишних функций. То есть это полезная мера, но только одна из нескольких. Если сеть настроена слабо, одна лишь изоляция клиентов не спасет.

Когда дома ее лучше не включать?

А вот в обычной домашней сети эту настройку очень часто включают зря, а потом начинается путаница. Вдруг перестает работать печать по Wi-Fi, телефон не находит телевизор, ноутбук не видит сетевое хранилище, не проходит трансляция на Chromecast или AirPlay, ломаются локальные игры, умные колонки и некоторые сценарии умного дома. Человек думает, что проблема в телевизоре, принтере или приложении, а на деле он сам изолировал все устройства друг от друга. Поэтому если у вас дома техника должна «общаться» между собой, эту опцию на основной сети обычно лучше оставить выключенной.

• Не включайте ее на основной домашней сети, если у вас есть принтер по Wi-Fi.
• Не включайте ее, если используете DLNA, сетевые папки, NAS, общий доступ к файлам или медиасервер.
• Не включайте ее, если часто отправляете экран на телевизор, колонку или приставку.
• Не включайте ее без необходимости, если дома все устройства ваши и вам как раз нужна локальная сеть.

Если хочется и безопасность, и удобство, лучший путь обычно такой: основную домашнюю сеть оставить обычной, а для гостей или IoT сделать отдельную гостевую сеть. Более подробно про пароль и базовую настройку беспроводной сети можете почитать тут: как поставить пароль на Wi-Fi. В таком сценарии ваши домашние устройства остаются в своей сети, а все временные гаджеты живут отдельно. На практике это намного удобнее, чем включать изоляцию сразу везде и потом искать, почему ничего не находится.

Как включить и выключить изоляцию точки доступа?

Обычно этот пункт находится в подразделе «Расширенные» в разделе «Wi-Fi». Может также называться как: «Изоляция клиентов», «Client Isolation», «AP Isolation», «Separate Clients», «Peer Isolation». Не на всех прошивках есть подобная настройка, но найти ее достаточно легко. Опять же уточню, что включать ее дома на основной сети чаще всего не имеет смысла, так как в противном случае устройства не смогут передавать данные друг другу. Ниже вы можете посмотреть, где можно включить эту настройку на разных роутерах.

И сразу важное замечание по интерфейсам. На текущий день у одного и того же производителя может быть сразу несколько видов прошивок: старая, новая, мобильная, провайдерская, урезанная и т.д. Поэтому путь к настройке может слегка отличаться. Если вы не находите нужный пункт по шагам ниже, просто откройте раздел Wi-Fi, «Дополнительные», «Профессионально», «Guest Network» или воспользуйтесь поиском по настройкам роутера, если он есть. Очень часто функция находится рядом с гостевой сетью или рядом с дополнительными параметрами SSID.

D-Link

«Беспроводной режим» – «Дополнительные настройки беспроводного режима».

ASUS

«Беспроводная сеть» – «Профессионально».

TP-Link

На классической прошивке переходим в «Беспроводной режим», открываем раздел «Дополнительные настройки».

На новой прошивке данная функция часто включается в настройках «Гостевой сети», а сам пункт может называться: «Разрешить гостевым пользователям доступ друг к другу».

У TP-Link как раз хорошо видно важное отличие, о котором я говорил выше. Есть отдельная настройка, разрешать ли гостям видеть друг друга, и есть отдельная настройка, разрешать ли гостям доступ к локальной сети. Это не одно и то же. То есть если вам нужно, чтобы гости выходили только в интернет и не видели ваши домашние устройства, обычно нужно не просто включить изоляцию клиентов, а еще и запретить доступ гостевой сети к локальной сети. На части моделей именно второй переключатель играет даже более важную роль.

Netis

Переходим в главный раздел «Advanced». После этого слева кликаем по той Wi-Fi сети, которую вы хотите ограничить – их тут может быть 2,4 и 5 ГГц. После этого заходим в «Расширенные» настройки.

Cudy

Откройте «General Settingsa» – «Wireless» – напротив нужной сети раскройте подпункт «Advanced».

Включаем «Separate Clients».

Keenetic

Найдите подраздел, связанный с гостевой сетью или сегментом Wi-Fi. В зависимости от версии интерфейса опция может называться «Изоляция клиентов» или «Изоляция беспроводных клиентов». Включите ее для нужного сегмента.

ZyXEL Keenetic

Настройку можно включить только в гостевой сети. Переходим в раздел «Настройка сегмента сети» и включаем галочку «Изоляция беспроводных клиентов».

Полезная мысль. На Keenetic и похожих роутерах я бы вообще не сводил все только к одной галочке «изоляция клиентов». Там логичнее мыслить сегментами: домашняя сеть, гостевая сеть, IoT-сегмент. Это удобнее и безопаснее. То есть вы не просто запрещаете клиентам видеть друг друга, а реально разводите устройства по разным зонам. Для дома это часто лучший вариант, чем пытаться одной настройкой решить все сразу.

Что будет после включения?

После включения изоляции чаще всего происходит следующее: интернет остается, сайты открываются, мессенджеры работают, а вот локальное взаимодействие между устройствами пропадает. Например, ноутбук перестает пинговать другой ноутбук по Wi-Fi, телефон не видит общий диск на компьютере, приложение для принтера не находит принтер, телевизор перестает обнаруживаться в списке трансляции. Поэтому после активации не пугайтесь, если какие-то «домашние удобства» внезапно сломаются. Это обычно не баг, а как раз ожидаемое поведение.

• Работает интернет.
• Не работают или работают хуже локальные сервисы между устройствами в одной Wi-Fi сети.
• Может пропасть обнаружение принтеров, NAS, DLNA, Chromecast, AirPlay и других сервисов.
• На некоторых роутерах гости все еще могут иметь доступ к проводной локальной сети, если это разрешено отдельной настройкой.

Вот почему я почти всегда советую сначала понять задачу, а потом уже щелкать галочку. Если вам нужно именно «гости только в интернет», то лучше смотреть не только на AP Isolation, но и на гостевую сеть, и на запрет доступа к локальной сети. А если вам нужно просто сделать домашний Wi-Fi безопаснее от соседа, то изоляция клиентов тут вообще не первая по важности мера. Намного больше пользы дают нормальный пароль, отключение лишнего WPS PIN, обновление прошивки и правильный тип шифрования.

Поговорим о безопасности Wi-Fi

Как уже и было сказано, для предприятия и компании лучше всего просто организовать гостевую беспроводную сеть. Настраивается она достаточно легко. По умолчанию устройства гостевой сети часто не имеют доступ к основной локалке, что очень удобно и безопасно. Там же и стоит включать изоляцию клиентов.

На практике гостевая сеть почти всегда полезнее, чем попытка «изолировать все подряд» в основной сети. Гостям нужен интернет, а не ваш принтер, роутер, сетевое хранилище и камеры. Поэтому для дома я бы советовал именно такое разделение: свои устройства – в основной сети, чужие – в гостевой. Если у вас дома много умных лампочек, камер, розеток и прочей IoT-техники, им тоже часто лучше выделить отдельную сеть. Это и удобнее, и понятнее, и безопаснее в долгую.

Если же вы хотите обезопасить свою домашнюю сеть, или вы боитесь, что вас взломает злой сосед, то есть несколько рекомендаций, которые вам должны помочь. Давайте пройдемся по всем моментам.

WPS

Эта функция позволяет быстро подключаться к беспроводной сети, минуя ручной ввод сложного пароля. Если вы замечали, то на роутере есть такая маленькая кнопочка. При запросе пароля можно на нее нажать, и устройство подключится к Wi-Fi.

Вроде бы ничего особенного, ведь сосед не сможет проникнуть к вам в квартиру и нажать на нее. Но есть еще один момент – это WPS PIN-код, который состоит из 8 цифр. Именно режим PIN исторически считается слабым местом. На уязвимых роутерах его можно пытаться подобрать перебором, находясь в радиусе действия сети. Про возможности взлома по WPS можете почитать статью тут.

Тут важно объяснить аккуратно. Не любой роутер с WPS взламывается «в один клик», и кнопочный режим сам по себе не так опасен, как PIN. Но если вы WPS вообще не пользуетесь, то безопаснее его просто отключить. Особенно это касается старых роутеров и прошивок, где PIN включен по умолчанию. Если хотите подробнее разобраться с этой функцией и где она живет в настройках, можете дополнительно почитать: что такое WPS на роутере и что такое WPS PIN.

Мой совет. Если дома нет реальной необходимости подключать устройства через WPS, лучше отключить именно WPS PIN, а если прошивка не разделяет режимы – отключить WPS целиком. Это простое действие, которое реально убирает лишнюю поверхность атаки. Особенно полезно для старых роутеров, которые давно не обновлялись.

Использование шифрования

На сегодня самым популярным типом защиты в домашних сетях до сих пор остается WPA2-PSK. Но тут важно уточнить: WPA3 – это уже не какая-то редкая экзотика только для Wi-Fi 6. Некоторые роутеры и устройства с Wi-Fi 5 тоже поддерживают WPA3, а в диапазоне 6 ГГц WPA3 вообще обязателен. Если у вас роутер и все устройства поддерживают WPA3 – смело включайте его. Если часть техники старая, то обычно имеет смысл выбрать смешанный режим WPA2/WPA3. В любом случае обычный WPA и тем более WEP использовать не стоит.

И еще один практический нюанс. Многие видят в настройках длинный список вроде «WPA/WPA2 Mixed», «TKIP/AES», «WPA2-PSK», «WPA2/WPA3» и теряются. Для дома я бы ориентировался так: если есть WPA3 – отлично, пробуем его. Если часть гаджетов старая и не подключается – ставим смешанный режим WPA2/WPA3. Если WPA3 нет, то оставляем WPA2-PSK с AES. Более подробно про все эти режимы и названия можно почитать тут: что такое WPA, WPA2 PSK и WPA3.

Про пароли

На самом деле не нужно придумывать какой-то космический пароль, который потом никто не сможет ввести. Самое главное – не использовать очевидные варианты, типа:

1234567890
Qwertyuiop

И т.д. Также я не рекомендую использовать чисто цифровые пароли, номера телефонов, дату рождения, имена и клички животных. А то сосед, зная эту информацию, может подобрать пароль намного быстрее, чем вам кажется.

Хороший домашний пароль – это не обязательно набор из безумных символов, который вы сами забудете через два дня. Намного важнее, чтобы он был длинным, неочевидным и не связанным с вами напрямую. Например, фраза из нескольких случайных слов или буквенно-цифровая комбинация уже будет нормальным вариантом. Если у вас сейчас стоит заводской пароль с наклейки, это лучше, чем «12345678», но при возможности я бы все равно поставил свой. А если хотите посмотреть пошаговую инструкцию именно по смене ключа, вот полезная статья: как поставить пароль на Wi-Fi.

После смены пароля не забудьте переподключить все домашние устройства. На Windows 10 или 11 можно открыть «Параметры» – «Сеть и Интернет» – «Wi-Fi» – «Управление известными сетями», выбрать нужную сеть, нажать «Забыть», а потом подключиться заново. На Android обычно путь выглядит так: «Настройки» – «Сеть и интернет» – «Wi-Fi» – нужная сеть – «Забыть». На iPhone и iPad: «Настройки» – «Wi-Fi» – значок «i» рядом с вашей сетью – «Забыть эту сеть». Если пароль изменили, а умный телевизор, камера или принтер перестали выходить в интернет, причина почти всегда именно в этом.

Фильтрация по MAC-адресам

Данный раздел есть почти на всех прошивках. Принцип очень простой. Есть два списка:

• Черный список – эти устройства не могут подключаться к роутеру.
• Белый список – только эти устройства могут подключаться по Wi-Fi. Остальным вход воспрещен.

Можно посмотреть, кто подключен к вашей вай-фай сети. После этого у вас есть выбор. Если вас уже взломали, и вы хотите заблокировать устройство по MAC-адресу соседа, то идем в черный список и добавляем его там. Если же вы боитесь, что вас взломают, то открываем белый список и заносим туда все домашние устройства.

Но тут я обязан добавить честное уточнение. MAC-фильтрация – это не полноценная защита от человека, который хоть немного понимает, что делает. MAC-адрес можно подменить, поэтому как основной барьер безопасности эту меру рассматривать не стоит. Она может помочь от случайных подключений, от путаницы с собственными устройствами, от совсем простых сценариев, но не заменяет хороший пароль и нормальное шифрование. То есть пользоваться можно, но без иллюзий.

Как я бы использовал MAC-фильтрацию дома. Не как главную защиту, а как дополнительную дисциплину. Например, посмотреть список клиентов, убедиться, что все устройства свои, и при необходимости заблокировать какой-то старый телефон, который больше не должен подключаться. А если хотите именно проверить список клиентов по-человечески, лучше открыть нормальную инструкцию: как посмотреть, кто подключен к моему Wi-Fi роутеру. Так вы хотя бы не заблокируете по ошибке свой же телевизор или колонку.

Пароль администратора роутера

Очень многие заботятся о пароле от Wi-Fi, но полностью забывают про пароль от самого роутера. А это тоже важная часть безопасности. Если у вас в веб-интерфейсе до сих пор стоит стандартный логин и пароль вроде admin/admin, то любой человек, подключившийся к вашей сети, может попробовать зайти в настройки и поменять там вообще все. В нормальной домашней сети пароль администратора должен отличаться от пароля Wi-Fi и быть не банальным.

Особенно это актуально, если вы даете доступ к сети гостям или используете гостевой сегмент. На некоторых роутерах доступ к интерфейсу управления из гостевой сети по умолчанию и так закрыт, но лучше на это не полагаться вслепую. Я бы просто проверил этот пункт отдельно. И если в вашем роутере есть опция удаленного управления из интернета, а вы ей не пользуетесь – отключите и ее. Для обычного дома эта функция чаще лишняя, чем полезная.

Другие рекомендации

Старайтесь регулярно обновлять операционную систему на роутере. Это помогает закрывать дыры и уязвимости, которые присутствуют в прошивке. Также рекомендую почитать про варианты взлома Wi-Fi, чтобы повысить свой уровень знаний в разделе безопасности сетей.

С прошивкой я бы вообще не ленился. Многие проблемы с безопасностью, стабильностью, совместимостью с новыми телефонами и даже странные обрывы Wi-Fi исправляются именно обновлением роутера. Если не знаете, с чего начать, вот подробная инструкция: как обновить прошивку роутера. Обновлять лучше по кабелю, не отключая питание в процессе, и только для своей точной модели и аппаратной версии. Это один из тех случаев, где аккуратность действительно важна.

Еще одна практическая рекомендация – не держать дома все устройства в одной куче, если в этом нет смысла. Смартфоны, ноутбуки и рабочие компьютеры можно оставить в основной сети. Гостей, телевизоры, лампочки, розетки, недорогие камеры и прочие второстепенные гаджеты лучше по возможности уводить в отдельный сегмент или гостевую сеть. Да, это требует чуть больше настройки в начале, но потом сеть становится понятнее и безопаснее. И самое главное – вы меньше зависите от одной галочки «Enable AP Isolation» и начинаете управлять сетью осознанно.

Нужна ли «Enable AP Isolation» лично вам?

Если ответить совсем коротко, то для обычной домашней основной сети – чаще нет, чем да. Для гостевой сети, кафе, офиса, арендного жилья, IoT-сегмента или любого сценария, где устройства не должны видеть друг друга, – скорее да. То есть функция сама по себе нормальная и полезная, просто ее часто включают не там, где она нужна. А потом удивляются, почему телевизор не видит телефон, а принтер исчез из сети.

• Включать стоит: для гостей, чужих клиентов, арендаторов, общественного Wi-Fi, IoT-сети.
• Оставлять выключенной стоит: на основной домашней сети, где нужен общий доступ между устройствами.
• Дополнительно проверить стоит: доступ гостевой сети к локальной сети, WPS, тип шифрования, пароль администратора и прошивку роутера.

FAQ

Изоляция точки доступа отключает интернет?
Обычно нет. Как правило, она режет именно локальное общение между клиентами одной Wi-Fi сети, а доступ в интернет остается. Но конкретная логика зависит от прошивки роутера. Поэтому если после включения у вас пропал не только локальный доступ, но и интернет, стоит проверить остальные параметры сети и перезапустить роутер.

 

Смогут ли после включения изоляции работать принтеры и телевизоры?
Часто нет или не полностью. Сетевой принтер, NAS, DLNA, трансляция экрана, AirPlay, Chromecast и похожие вещи очень любят локальное обнаружение устройств. А изоляция клиентов как раз ломает это обнаружение. Поэтому дома на основной сети такую опцию включают только если точно понимают последствия.

 

Изоляция клиентов защищает от взлома Wi-Fi?
Она не защищает от подбора пароля сама по себе. Она уменьшает риск общения устройств друг с другом внутри одной сети, но не заменяет нормальную защиту сети. Для реальной домашней безопасности важнее хороший пароль, WPA2-PSK/AES или WPA3, отключенный WPS PIN, обновленная прошивка и нормальный пароль администратора роутера.

 

Что лучше – AP Isolation или гостевая сеть?
Для гостей почти всегда лучше гостевая сеть. Потому что там обычно можно отдельно управлять доступом в локальную сеть, временем работы, ограничениями и изоляцией клиентов. AP Isolation – это полезная функция, но она более узкая. В идеале они работают вместе, а не вместо друг друга.

Видео

YouTube