Как я разделил сеть на Keenetic Giant: дом, серверы и DMZ через VLAN

Если дома уже есть Proxmox, контейнеры, reverse proxy и несколько публичных сервисов, держать всё в одной плоской сети быстро становится неудобно. На своём Keenetic Giant (KN-2610) я разнес инфраструктуру на отдельные сегменты: домашнюю сеть, серверную VLAN и отдельную DMZ.

Эта схема получилась практичной: домашние устройства живут в своей подсети, серверы в своей, а отдельный сегмент можно использовать под DMZ, тесты или сервисы с более жёсткой сетевой политикой.

Исходная схема

На роутере сейчас используются такие сети:

• 192.168.1.0/24 — домашняя сеть
• 10.22.2.0/24 — серверный сегмент
• 10.22.3.0/24 — DMZ

На стороне Keenetic это выглядит так:

• Bridge0 (Home) -> 192.168.1.1/24
• Bridge2 (servers) -> 10.22.2.1/24
• Bridge3 (dmz) -> 10.22.3.1/24

Транспорт для серверных сегментов сделан через VLAN:

• VLAN 20 -> серверы
• VLAN 30 -> DMZ

Порт 5 на роутере переведён в trunk и несёт:

• native/access: VLAN 1
• tagged: VLAN 20
• tagged: VLAN 30

То есть один физический линк уходит в сторону серверного железа, а дальше уже Proxmox или другой хост разводит нужные bridge/vlan-интерфейсы.

Почему это удобно

Практический выигрыш у такой схемы сразу заметен:

• проще понимать, где живут пользовательские устройства, а где инфраструктура
• проще строить правила доступа между сегментами
• проще держать Traefik, AdGuard, Grafana, OpenClaw и другие сервисы отдельно от домашних клиентов
• проще потом подключать VPN и выдавать доступ не ко всему дому, а только к нужным сетям

Если коротко: сеть становится не «больше», а понятнее.

Что настроено на порту роутера

На Keenetic порт 5 сейчас фактически работает так:

interface GigabitEthernet0/4
    rename 5
    switchport mode trunk
    switchport access vlan 1
    switchport trunk vlan 20
    switchport trunk vlan 30

Это означает:

• обычная домашняя сеть по умолчанию остаётся в VLAN 1
• серверный трафик идёт с тегом 20
• DMZ идёт с тегом 30

Если на другом конце стоит Proxmox, дальше уже можно развести:

• bridge для обычной LAN
• bridge/vlan-aware для VLAN 20
• bridge/vlan-aware для VLAN 30

Как собраны сегменты на Keenetic

В реальной конфигурации это выглядит так:

• Bridge0 включает домашний VLAN и Wi-Fi
• Bridge2 включает GigabitEthernet0/Vlan20
• Bridge3 включает GigabitEthernet0/Vlan30

Именно так получаются отдельные L3-сети на одном роутере.

Схематично:

Home     -> Bridge0 -> 192.168.1.1/24
Servers  -> Bridge2 -> 10.22.2.1/24
DMZ      -> Bridge3 -> 10.22.3.1/24

Что важно не сломать

Есть несколько моментов, на которых чаще всего ломают сетку:

• не перепутать access и trunk на порту, который идёт в сервер
• не забыть, что Wi-Fi обычно остаётся в домашнем bridge, а не в серверных VLAN
• не плодить одинаковые VLAN ID без понимания аппаратных ограничений модели
• не мешать домашнюю подсеть и серверный сегмент в один bridge

Для Keenetic Giant это особенно удобно, потому что модель нормально подходит для такой домашней серверной топологии.

Где это особенно полезно

Такая схема хорошо заходит, если дома уже есть:

• Proxmox
• LXC-контейнеры
• Traefik
• AdGuard Home
• Grafana
• Vaultwarden
• VPN для удалённого доступа

В этом случае серверный сегмент становится не «лишним усложнением», а нормальной основой для порядка.

Практический итог

Если хочется аккуратно разнести домашние устройства, серверы и DMZ на Keenetic, самый удобный путь такой:

1. оставить домашнюю сеть в 192.168.1.0/24
2. завести отдельный bridge под серверы
3. повесить на него VLAN 20
4. завести отдельный bridge под DMZ
5. повесить на него VLAN 30
6. вывести эти VLAN через trunk-порт в сторону Proxmox или другого сервера

Именно эта схема у меня сейчас и работает.

Источники

• Официальная документация Keenetic по WireGuard и сетевой логике: https://help.keenetic.com/
• Заметка Keenetic про ограничения одинаковых VLAN ID на некоторых моделях: https://help.keenetic.com/hc/ru/articles/18318010520092