Как ограничить доступ к Wi-Fi через роутер: Zyxel Keenetic, TP-Link, ASUS, D-Link, Tenda

Всем здравствуйте. И у нас очередной очень интересный и полезный вопрос: «Как ограничить доступ к вай-фай другим пользователям». Я, быть может, и не писал бы эту статью, если бы увидел, что в интернете почему-то по данной теме ничего сносного нет. Или пишут откровенную чушь, или то, что явно вам не сможет помочь.

Ведь вопрос заключается в том, как ограничить количество подключений или запретить доступ отдельным устройствам, чтобы сосед, случайный человек или бывший гость не мог пользоваться вашим Wi-Fi и выходить через ваш роутер в интернет.

Сразу скажу важную вещь: самый надежный способ выгнать чужих людей из Wi-Fi – поменять пароль от беспроводной сети и отключить WPS. Фильтр по MAC-адресам тоже полезен, но это дополнительная защита, а не основная. MAC-адрес можно подменить, а современные телефоны часто используют случайный приватный MAC-адрес для каждой сети.

Для этого нам нужно зайти внутрь роутера. Ничего сложного в этом нет: для начала подключаемся к маршрутизатору. По Wi-Fi или по кабелю – без разницы. Далее вводим IP или DNS-адрес роутера. Его можно также найти на этикетке под корпусом аппарата. Там же часто есть логин и пароль по умолчанию. Чаще всего используют IP: 192.168.1.1 или 192.168.0.1. Если у вас не получается зайти в настройки маршрутизатора, то читаем эту статью.

Перед блокировкой я бы сделал три простых действия. Во-первых, открыл список подключенных устройств и посмотрел, кто сейчас сидит в сети. Во-вторых, поменял пароль от Wi-Fi, если есть подозрение, что его кто-то узнал. В-третьих, проверил, включен ли WPS, и отключил его, если вы им не пользуетесь. Если вам нужно именно сменить пароль, то отдельная инструкция есть здесь: как поменять пароль на Wi-Fi роутере.

Еще один момент, о котором часто забывают: блокировка по MAC-адресу может сработать не так, как вы ожидаете. На iPhone, Android, Windows и macOS есть функция приватного или случайного MAC-адреса. Из-за нее один и тот же телефон может отображаться на роутере под разными адресами. Если вы добавили свой телефон в белый список, а он вдруг перестал подключаться, проверьте настройки Wi-Fi на самом телефоне и отключите приватный адрес именно для вашей домашней сети. Что такое MAC-адрес и где его посмотреть, можно почитать здесь: что такое MAC-адрес.

Zyxel Keenetic

У роутеров Zyxel Keenetic чаще всего используют: 192.168.1.1 или my.keenetic.net. На новых моделях бренд чаще называется просто Keenetic, но старая логика настройки в целом похожа. Далее я расскажу, как установить определенные правила для пользователей сети Wi-Fi и запретить незарегистрированным устройствам пользоваться интернетом.

Старая прошивка

1. Внизу выбираем два скрещенных монитора и попадаем в раздел «Устройства». Тут вы должны увидеть все подключенные аппараты к роутеру. На данный момент у меня уже есть одно зарегистрированное – «Мой ПК». Второе – это мой телефон. Просто нажимаю по нему.

2. Вводим имя. Тут также можно назначить постоянный IP, чтобы он не менялся, а также ограничить скорость. В конце нажимаем «Зарегистрировать».

3. Теперь проделайте это для всех домашних подключений. После этого выбираем верхнюю галочку, как на картинке выше, и нажимаем «Применить». Теперь к интернету смогут подключиться только зарегистрированные аппараты.

Тут важно не торопиться. Сначала зарегистрируйте все свои устройства: телефоны, ноутбуки, телевизоры, приставки, камеры, умные колонки и планшеты. Если включить запрет для незарегистрированных устройств раньше времени, вы можете сами отрезать от интернета свой телевизор или рабочий ноутбук. Если устройство редко используется, например старый планшет, тоже лучше добавить его заранее. Иначе потом придется снова заходить в настройки и разбираться, почему оно перестало подключаться.

Аналогично можно сделать ограничение не всех пользователей, а только одного. Например, вы зашли и увидели подозрительного «юзера» – вы его можете просто заблокировать и запретить ему пользоваться интернетом.

Если вы видите неизвестное устройство, не всегда это сразу сосед. Это может быть ваш телевизор, приставка, умная лампочка, робот-пылесос, камера или телефон с включенным приватным MAC-адресом. Перед блокировкой лучше отключить свои устройства по одному и посмотреть, кто пропадет из списка.

Новая прошивка

Переходим на страницу «Список устройств». Далее вы увидите два раздела: зарегистрированные и незарегистрированные устройства. Чтобы записать аппарат, нажимаем по нему.

Далее вводим имя и указываем профиль доступа. В конце нажимаем на кнопку регистрации.

Далее, когда вы зарегистрируете все аппараты, нажимаем по ссылке «Настройка для незарегистрированных устройств». Далее просто ограничиваете возможность пользоваться интернетом.

В Keenetic удобно пользоваться именно профилями доступа. Например, для своих устройств можно оставить полный доступ, для детских устройств поставить расписание, а для незарегистрированных – полностью запретить интернет. Это удобнее, чем просто руками блокировать каждое новое устройство. Если у вас часто бывают гости, лучше создать отдельную гостевую сеть и давать людям пароль только от нее. Так они смогут пользоваться интернетом, но не будут иметь доступ к вашим домашним устройствам в основной сети.

TP-Link

Старая прошивка

1. «Беспроводной режим» – «Фильтрация MAC-адресов». Теперь очень внимательно посмотрите на список. Чтобы добавить в список новый аппарат, просто нажимаем «Добавить».

2. Далее вводим MAC и пишем описание.

3. Вы можете таким образом добавить все домашние подключения. Далее нажимаем «Включить» и ставим галочку «Разрешить доступ станциям, указанным во включенных правилах доступа». Тогда к роутеру смогут иметь доступ только уже зарегистрированные устройства. Но можно сделать и наоборот: добавить туда MAC соседа, а выбрать первый пункт, тогда все устройства из данного списка не будут иметь доступ к маршрутизатору.

На TP-Link важно не перепутать режим черного и белого списка. Белый список – это когда разрешены только добавленные устройства. Черный список – это когда запрещены только добавленные устройства, а все остальные подключаются как раньше. Если хотите полностью закрыть Wi-Fi от чужих людей, используйте белый список, но заранее добавьте все свои устройства. Если хотите заблокировать только одного конкретного пользователя, удобнее черный список.

Если не знаете MAC-адрес нужного устройства, сначала посмотрите список клиентов в роутере. Также MAC можно посмотреть на самом устройстве: на Windows через команду getmac /v /fo list или ipconfig /all, на Android и iPhone – в свойствах подключенной Wi-Fi сети. Отдельная инструкция есть тут: как узнать MAC-адрес Wi-Fi адаптера.

Новая прошивка

«Дополнительные настройки» – «Защита» – «Контроль доступа». Теперь вы должны увидеть вот такое окно. Чтобы заблокировать какого-то пользователя, включаем «Черный список» и в самый низ добавляем нужный аппарат. Чтобы включить фильтрацию, не забудьте включить «Контроль доступа» с помощью верхнего бегунка.

В новых TP-Link еще может быть раздел «Родительский контроль», «QoS», «Гостевая сеть» или «HomeShield». Это не одно и то же. «Контроль доступа» блокирует или разрешает устройство. «Родительский контроль» чаще нужен для расписания и ограничения сайтов. «QoS» помогает ограничить скорость или расставить приоритеты. «Гостевая сеть» нужна, чтобы не давать гостям пароль от основной сети. Если ваша цель – просто выгнать чужого пользователя, начинайте с пароля и черного списка, а не с QoS.

D-Link

Классическая прошивка

1. «Wi-Fi» – «MAC-фильтр» – «MAC-адреса». Теперь добавляем нужный MAC-адрес. После того как вы добавите все адреса, нажимаем «Применить». MAC-адреса подключенных клиентов можно посмотреть по пути: «Статус» – «Клиенты».

2. Теперь смотрите: если вы указали ранее все домашние устройства, то включаем фильтр в режим «Разрешать», то есть все зарегистрированные клиенты будут иметь возможность выходить в интернет. Если вы указали MAC-адрес соседа, который вас взломал, то тут надо указать «Запрещать». В конце нажмите «Применить».

После применения настроек на D-Link иногда нужно дополнительно сохранить конфигурацию. На некоторых прошивках после нажатия «Применить» появляется уведомление или отдельная кнопка сохранения. Если этого не сделать, настройка может работать до первой перезагрузки, а потом слететь. Поэтому после изменения фильтра зайдите в меню «Система» и проверьте, нет ли пункта «Сохранить» или «Сохранить и перезагрузить».

Новая прошивка

1. «Расширенные настройки» – «MAC-фильтр».

2. Далее во второй вкладке добавляем нужный адрес.

3. А в первой указываем, запрещать или разрешать доступ указанным ранее адресам.

Если вы используете белый список на D-Link, добавляйте устройства аккуратно. Лучше сначала подключить к роутеру компьютер по кабелю, а уже потом экспериментировать с Wi-Fi фильтром. Тогда, если вы случайно заблокируете свой телефон или ноутбук по беспроводной сети, у вас останется доступ к настройкам роутера через кабель. Это простая страховка, которая часто экономит время.

ASUS

«Беспроводная сеть» – «Фильтр MAC-адресов беспроводной сети». Теперь сначала добавляем адреса с помощью «плюсика». Далее включаем фильтр. Теперь надо выбрать, разрешать только данным пользователям или наоборот запрещать возможность подключаться к интернет-центру.

На ASUS также может быть удобный список клиентов прямо на главной странице или в разделе «Карта сети». Там можно увидеть имя устройства, его IP и MAC-адрес. Но имена не всегда понятные: вместо «Телефон Маши» может быть что-то вроде android-xxxx или просто неизвестное устройство. В таком случае лучше ориентироваться по MAC-адресу и по времени подключения. Если вы не уверены, кто это, отключите свои устройства по очереди и смотрите, какой клиент исчезает.

Для ASUS, TP-Link, D-Link и Tenda логика одна: черный список блокирует выбранные устройства, белый список разрешает только выбранные устройства. Если у вас дома мало устройств и вы хотите строгий контроль – используйте белый список. Если нужно быстро убрать одного чужого клиента – используйте черный список и сразу меняйте пароль Wi-Fi.

Tenda

В левом меню выбираем «Расширенные настройки» – «Фильтр MAC-адреса».

Теперь, я думаю, ничего сложного нет. В черный список добавляем устройства, которые вы хотите заблокировать. А в белый – которым хотите разрешить доступ в интернет. В конце обязательно нажмите на кнопку «Сохранить», в противном случае настройки могут слететь.

На Tenda, как и на других роутерах, не забывайте про основную защиту сети. Если вы заблокировали чужой MAC-адрес, но оставили старый пароль, человек может попробовать подключиться с другого телефона, ноутбука или с подмененным MAC. Поэтому после обнаружения чужого устройства меняем пароль Wi-Fi и ставим нормальный тип защиты. Если вы вообще не ставили пароль на сеть или используете старый слабый пароль, прочитайте инструкцию: как поставить пароль на Wi-Fi.

Что лучше сделать в первую очередь

Если вы заметили чужое устройство в своей сети, я бы действовал так:

1. Зашел в настройки роутера и открыл список клиентов.
2. Проверил, не является ли неизвестное устройство моим телефоном, телевизором, приставкой или умным домом.
3. Поменял пароль Wi-Fi на новый, длинный и неочевидный.
4. Поставил защиту WPA2-Personal или WPA2/WPA3-Personal, если все ваши устройства это поддерживают.
5. Отключил WPS, если он включен.
6. Перезагрузил роутер или отключил все активные подключения через интерфейс, если такая функция есть.
7. Добавил чужое устройство в черный список, если оно снова появилось.
8. При необходимости включил белый список только для своих устройств.

Не ставьте слишком простой пароль вроде «12345678», «qwerty123», номера телефона или адреса квартиры. Такой пароль легко угадать или подобрать. Лучше использовать длинную фразу из букв и цифр, которую вы сами запомните, но посторонний человек не угадает.

Если вы хотите ограничить не доступ к Wi-Fi, а скорость конкретного устройства, ищите в роутере раздел «QoS», «Приоритизация», «Ограничение скорости», «Контроль полосы пропускания» или «Профили доступа». Это уже другая задача. MAC-фильтр блокирует или разрешает устройство, а QoS регулирует, сколько скорости ему давать. Например, можно оставить телевизору интернет, но ограничить скорость, чтобы он не забирал весь канал при просмотре видео.

Про гостевую сеть

Если к вам часто приходят гости, не давайте им пароль от основной домашней сети. Лучше создать гостевую Wi-Fi сеть. Тогда гости смогут пользоваться интернетом, но не будут видеть ваши компьютеры, NAS, принтеры, камеры и другие домашние устройства. На большинстве роутеров такая функция называется «Гостевая сеть», «Guest Wi-Fi» или «Guest Network».

Для гостевой сети можно поставить отдельный пароль, отдельное имя и иногда ограничение скорости. Например, основная сеть называется «Home», а гостевая – «Home_Guest». Когда человек ушел и больше не должен пользоваться интернетом, вы просто меняете пароль гостевой сети, а свои устройства в основной сети не трогаете. Это удобнее и безопаснее, чем постоянно менять основной пароль на всех телефонах, телевизорах и ноутбуках.

Мой совет простой: для семьи – основная сеть, для гостей – гостевая сеть. Для подозрительных устройств – смена пароля и черный список. Для строгого контроля – белый список, но только если вы готовы вручную добавлять каждое свое устройство.

Почему MAC-фильтр не всегда спасает

MAC-фильтр полезен, но не надо считать его железобетонной защитой. MAC-адрес передается устройством роутеру, и при желании его можно подменить. Обычный сосед, скорее всего, этим заниматься не будет, но технически такая возможность существует. Поэтому фильтрация по MAC – это не замена нормальному паролю, а только дополнительный слой.

Еще одна проблема – приватные MAC-адреса на телефонах и ноутбуках. Эта функция сделана для конфиденциальности, чтобы устройство не светило один и тот же аппаратный адрес в разных сетях. Но дома она может мешать белым спискам. Если вы хотите использовать белый список, на своих устройствах лучше отключить приватный адрес именно для домашней сети. На iPhone это делается в настройках конкретной Wi-Fi сети через значок «i», на Android пункт может называться «Тип MAC-адреса» или «Использовать MAC устройства».

Если вам нужно связать конкретное устройство с конкретным IP-адресом, используйте привязку MAC и IP в настройках DHCP. Это удобно для камер, NAS, принтеров и компьютеров, к которым вы часто подключаетесь внутри сети. Но это не то же самое, что запрет доступа. Подробнее про такую связку можно почитать здесь: MAC and IP address binding.

FAQ

Как понять, что к моему Wi-Fi подключился чужой человек?

Зайдите в настройки роутера и откройте список клиентов или подключенных устройств. Посмотрите имена, MAC-адреса и время подключения. Если видите непонятное устройство, сначала проверьте свои телефоны, телевизоры, приставки, камеры и умные устройства. Только после этого блокируйте клиента или меняйте пароль.

 

Что лучше: черный список или белый список?

Черный список удобен, когда нужно заблокировать одно или несколько чужих устройств. Белый список строже: подключаться смогут только заранее добавленные устройства. Но с белым списком больше хлопот, потому что каждый новый телефон, ноутбук или телевизор придется добавлять вручную.

 

Почему после включения белого списка мой телефон перестал подключаться?

Скорее всего, его MAC-адрес не добавлен в список или на телефоне включен приватный MAC-адрес. Проверьте адрес устройства в настройках Wi-Fi и добавьте именно тот MAC, который роутер видит сейчас. Если не хотите каждый раз ловить разные адреса, отключите приватный адрес для домашней сети.

 

Можно ли ограничить только интернет, но оставить доступ к локальной сети?

На некоторых роутерах можно, но это зависит от прошивки. Обычно такая настройка находится в профилях доступа, родительском контроле или правилах firewall. Обычный MAC-фильтр чаще работает проще: разрешить или запретить подключение. В Keenetic такие вещи обычно настраиваются гибче через профили.

 

Нужно ли скрывать имя Wi-Fi сети?

Я не считаю это хорошей защитой. Скрытие имени сети часто создает больше неудобств для своих устройств, чем реальной пользы. Чужой человек с минимальными знаниями все равно может увидеть скрытую сеть специальными программами. Лучше поставить надежный пароль, отключить WPS и при необходимости включить фильтрацию.

 

Что делать, если я заблокировал сам себя?

Подключитесь к роутеру по кабелю и отмените фильтр. Если кабеля нет и зайти не получается, придется сбрасывать роутер к заводским настройкам и настраивать заново. Поэтому перед включением белого списка я всегда советую иметь под рукой кабельное подключение к роутеру.

 

Можно ли ограничить количество подключенных устройств?

На некоторых роутерах есть отдельный лимит клиентов Wi-Fi, но он есть не везде. Чаще используют другой подход: белый список, профили доступа или гостевую сеть с ограничениями. Если вам нужно, чтобы подключались только ваши устройства, белый список работает надежнее, чем простой лимит по количеству клиентов.

 

Если я поменяю пароль Wi-Fi, чужие устройства отключатся?

Да, после смены пароля чужие устройства не смогут заново подключиться, если они не знают новый пароль. Иногда уже подключенные клиенты могут висеть до переподключения, поэтому после смены пароля лучше перезагрузить роутер. Потом подключите свои устройства уже с новым паролем.