Админка с портом в роутере

Провайдер «Московская городская телефонная сеть» (МГТС) предоставляет высокоскоростное подключение к интернету по технологии GPON. Оптический кабель заводится прямо в квартиру к пользователю. Скорость передачи данных достигает 1 Гбит/сек. Но для подключения нужен роутер с оптическим входом. Такие устройства провайдер предоставляет своим клиентам бесплатно при заключении договора на всё время пользования услугой. В этой статье мы расскажем об актуальных моделях GPON роутеров МГТС и особенностях их настройки.

Особенности роутеров МГТС

Сейчас МГТС предлагает пользователям две модели роутеров: ONT SERCOMM RV6699 и ONT ZTE ZXHN 670. Оба устройства являются оптическим модемом, беспроводным маршрутизатором с гигабитным сетевым коммутатором и шлюзом для подключения телефона.

Для подключения GPON используется разъём для оптоволоконного кабеля диаметром 2 мм. Чтобы пользоваться услугой цифрового телевидения по оптоволокну, нужна дополнительно ТВ приставка.

Характеристики маршрутизатора SERCOMM RV6699:

• Двухдиапазонный Wi-Fi роутер с поддержкой стандарта 802.11ac.
• 4 LAN-порта работающих на скорости 1 Гбит/сек.
• Разъём RJ-11 для подключения телефона.
• Порт USB 2.0.

Характеристики маршрутизатора ZTE ZXHN 670:

• Двухдиапазонный Wi-Fi роутер с поддержкой стандарта 802.11ас.
• 4 гигабитных сетевых порта.
• Порт RJ-11 для подсоединения телефонного аппарата.
• Порт USB 2.0.

По своим техническим параметрам устройства одинаковы. Отличаются внешним видом и пользовательским интерфейсом. Sercomm оснащён пятью внутренними антеннами. У ZTE три внешних антенны.

В сетях МГТС используются и другие маршрутизаторы, которые были установлены ранее. Их технические характеристики могут отличаться.

Провайдер предоставляет уже настроенное оборудование. Подключение к интернету МГТС осуществляется по DHCP (Динамический IP), поэтому никакие параметры дополнительно менять не нужно. Выберите место для размещения устройства, подключите оптический кабель к разъёму PON и включите адаптер питания в электрическую сеть. Дождитесь, пока будет установлено соединение. Для этого может потребоваться две-три минуты.

Чтобы изменить параметры беспроводной сети и другие настройки, нужно зайти в настройки GPON роутера МГТС.

Sercomm

Подключение и вход в админку

Установите и подключите устройство, как показано в инструкции. К одному из LAN-портов подсоедините сетевой кабель. Второй конец вставьте в разъём сетевой карты вашего ПК. Компьютер должен быть настроен для автоматического получения IP-адреса.

Запустите любой интернет-браузер. Для входа в админку роутера Sercomm используется адрес http://192.168.1.254. Введите его и нажмите Enter. В качестве логина и пароля используется слово admin. В некоторых прошивках требуется вводить в качестве логина mgts, а пароль mtsoao.

После этого вы попадёте на главную страницу веб-интерфейса.

Ручная настройка

В прошивке МГТС большинство функций меню заблокировано. Вы можете изменять параметры LAN, беспроводной сети, NAT, DDNS и USB.

Перейдите на вкладку LAN через главное меню. Здесь вы можете изменить IP-адрес роутера МГТС. По умолчанию он 192.168.1.254. Вы можете использовать, например, 192.168.0.1. Маска подсети вычисляется автоматически. Рекомендуется использовать стандартную 255.255.255.0.

В меню NAT можно настроить внешние сервисы, DNS сервера, включить DMZ.

В меню USB есть возможность включить и настроить файловый сервер, медиасервер и сервер печати. Здесь же отображается список подключенных по USB устройств.

Параметры Wi-Fi

Роутер Sercomm 6699 работает одновременно в двух диапазонах – 2,4 и 5 ГГц. Одновременно можно создать и использовать до четырёх беспроводных сетей в каждом.

• В меню «Основные параметры» вы можете включить или отключить вещание сети. Для этого нужно установить или снять флажок в первом пункте.

• В поле ID сети (SSID) впишите имя сети. Используйте только английские буквы и цифры.
• В выпадающем списке укажите, на какой частоте будет работать эта сеть.
• Затем выберите режим работы. Для диапазона 2,4 ГГц лучше использовать смешанный — 11b+g+n. Это позволит без проблем подключиться любым устройствам. Для частоты 5 ГГц по умолчанию используется режим 802.11ас.
• Канал оставьте «Авто». Ручной выбор канала используйте только в случае возникновения проблем со связью. Опция «Дополнительный канал» позволяет автоматически выбирать наименее загруженный канал.
• Опция Broadcast SSID позволяет скрыть имя сети. Если она включена, сеть не будет видна посторонним.
• Включение опции «Блокировать Bridging» запрещает устройствам в вашей сети общаться друг с другом напрямую.
• Полосу пропускания в диапазоне 2,4 ГГц рекомендуется оставить 20 МГц, а на частоте 5 ГГц 80 МГц.
• Уровень сигнала оставьте в режиме «Авто» или установите другой по желанию.
• Вы можете ограничить количество одновременно подключенных к роутеру пользователей. А также настроить время включения и отключения вещания беспроводной сети.

Параметры безопасности для каждой сети задаются отдельно во вкладке «Безопасность». Здесь нужно выбрать в выпадающем списке диапазон вещания, затем имя сети и задать для неё настройки шифрования и пароль.

Настройки WPS задаются для каждого диапазона отдельно во вкладке Wi-Fi Protected Setup.

Подключение возможно по PIN-коду или с помощью кнопки WPS.

Для каждого диапазона настраивается фильтрация по МАС-адресу с помощью белых и чёрных списков. Опция «Запретить» блокирует подключение всех устройств, добавленных в список. Опция «Разрешить» позволит подключаться только тем устройствам, МАС-адрес которых внесен в список. Опция «Отключить» активна по умолчанию и означает, что фильтрация по МАС-адресу выключена.

ZTE

Подключение и вход в админку

Для входа в настройки роутера МГТС ZTE ZXHN 670 используется IP-адрес 192.168.1.1. Подключите устройство патч-кордом к компьютеру. Введите адрес в браузере. В качестве логина и пароля по умолчанию назначено слово user.

В старых версиях интерфейс маршрутизаторов английский. Новая прошивка русифицирована.

Ручная настройка

Как и в роутере Sercomm, здесь можно настроить параметры LAN, перенаправление портов, DMZ, удалённый доступ.

На вкладке «USB-накопитель» можно посмотреть сведения о подключенных к порту USB устройствах.

Файловый сервер настраивается в разделе «Приложение» — «Samba сервер». FTP в разделе «Приложение» — «FTP приложение».

Параметры Wi-Fi

Для настройки беспроводной сети перейдите в раздел «Сеть», откройте пункт WLAN 2,4G и нажмите «Основные».

Чтобы включить трансляцию, установите галочку в пункте «Включить беспроводной RF». Режим установите Mixed, чтобы старые устройства могли подключиться к роутеру. При желании измените мощность передатчика. Остальные параметры оставьте, как на скриншоте.

Для того, чтобы задать пароль (ключ) сети, перейдите в «Настройки безопасности».

Впишите пароль для подключения. Он должен состоять не менее чем из восьми символов.

Имя сети задаётся в пункте меню «SSID настройки» (SSID settings).

Здесь же можно указать максимальное количество пользователей, которые могут одновременно подключиться к роутеру.

Точно так же настраиваем беспроводное вещание в диапазоне 5 ГГц. Для этого переходим в пункт WLAN 5G.

После изменения каждого параметра нажимайте кнопку «Подтвердить» внизу страницы.

Huawei

Ещё один роутер МГТС Huawei HG8245 новым пользователям уже не устанавливается, но ещё используется в сети. Коротко расскажем о его базовых настройках.

Подключение и вход в админку

Подключите компьютер или ноутбук к первому LAN-порту маршрутизатора. Оптический кабель при выполнении настроек должен быть отсоединён.

Чтобы подключиться к роутеру МГТС HG8245, в браузере нужно ввести адрес 192.168.100.1. Откроется страница входа.

В поле Account введите имя пользователя root, а в поле Password пароль admin. Откроется главная страница веб-интерфейса.

Параметры Wi-Fi

Настройка Wi-Fi роутера МГТС Huawei выполняется следующим образом. На вкладке WLAN перейдите в раздел WLAN Configuration.

• Установите галочку Enable WLAN и нажмите кнопку NEW справа.
• В поле SSID Name задайте имя роутера для подключения по Wi-Fi.
• Enable SSID – должна стоять галочка, чтобы включить вещание.
• Broadcast SSID – если снять галочку, имя сети будет скрыто.
• Включите WMM Enable для повышения приоритета мультимедийных данных.
• Authentication Type установите WPA2-PSK.
• Encryption Mode (тип шифрования) выберите AES.
• В поле WPA PreSharedKey впишите пароль для подключения к сети.

Сохраните настройки, нажав кнопку Apply внизу страницы.

Другие

В сетях МГТС используются роутеры других производителей, установленные ранее. Обратите внимание, что в них используется не оригинальная прошивка, а модифицированное ПО провайдера. Поэтому для настройки такого маршрутизатора не всегда подходит инструкция разработчика. Если у вас D-link DIR-615, DIR-825/AC, QTECH QBR-1041W или другой роутер от МГТС, рекомендации по настройке роутера MGTS ищите на сайте провайдера или обратитесь в службу поддержки.

Смена пароля

МГТС в своей прошивке блокирует возможность изменения пароля доступа, поскольку это делает невозможным подключение к нему для удалённого решения проблем.

В оригинальной прошивке ZTE ZXHN 670 сменить пароль можно в меню «Администрирование» — «Пользователи» — «Обслуживание пользователей».

Однако такие действия могут привести к отказу обслуживания оборудования со стороны провайдера.

Обновление прошивки

МГТС обновляет программное обеспечение роутеров своих клиентов в автоматическом режиме. Когда появляется новая версия ПО, она загружается на устройства с сервера провайдера. Пользовательское обновление прошивки маршрутизатора МГТС не предусмотрено.

В сети можно найти и скачать альтернативное и оригинальное программное обеспечение для роутеров МГТС. А также инструкции по его установке.

Но такие действия пользователь может предпринимать только на свой страх и риск. Перепрошивка устройства может привести к расторжению договора и отключению от сети.

Даже если до этого не дойдёт, после очередного централизованного обновления ваша прошивка будет автоматически заменена на прошивку МГТС.

Сброс

Сброс настроек маршрутизатора до заводских используется в редких случаях. При сбоях в работе обычно достаточно просто отключить роутер от питания и через несколько минут снова включить. Сброс параметров потребуется, если перезагрузка не помогает.

Бывает, пользователь меняет какие-то настройки или обновил программное обеспечение. После этого маршрутизатор начинает работать неправильно. Если исправить проблему не получается, придётся сбросить параметры и настроить устройство заново.

Также вернуть заводские настройки потребуется, если не получается войти в админпанель.

Для возврата к исходным параметрам используется кнопка RESET. Обычно она расположена на задней панели роутера. Зажмите её и удерживайте в течение 15 секунд или дольше. Питание роутера при этом должно быть включено. После того, как индикаторы погаснут и загорятся снова, отпустите кнопку. Роутер запустится с заводскими параметрами. Подключите его к интернету и заново настройте беспроводную сеть.

Если после сброса настроек у вас не работает интернет или вы не можете войти в админпанель, обратитесь в службу поддержки провайдера. Скорее всего, устройство вышло из строя или требует сервисного обслуживания.

Как выполнить проброс портов на маршрутизаторе

Необходимость проброса портов на маршрутизаторе (роутере) возникает, когда вы хотите организовать доступ из интернета к какому-то ресурсу домашней сети. Это может быть как игровой сервер, так и сервер RDP, FTP или установить дома камеру охранного наблюдения, чтобы постоянно видеть, что творится у вас дома (например, если вы оставили дома своего ребёнка с наёмной няней).

Иногда безусловного проброса портов требуют IP-телефонии. Это уже зависит от того, по какому принципу осуществляет работу ваша коммуникационная компания.

Практически любой маршрутизатор корректно поддерживает весь этот функционал. Единственное, на что хотелось бы обратить пристальное внимание – это необходимость получения от провайдера внешнего IP.  Статического или динамического, в данном случае не имеет большого значения. Он просто по факту у вас должен быть.

1. Почему необходимо пробрасывать порты для доступа к внутренним ресурсам из интернета?
2. Контрольный список необходимых операций
3. Заходим в админку маршрутизатора
4. Проверяем и корректируем настройки DHCP
5. Подготавливаем компьютер через прописывание фиксированного (статического) IP-адреса (Способ 1)
6. Подготавливаем компьютер через фиксирование его адреса на маршрутизаторе (Способ 2)
7. Настраиваем проброс портов на маршрутизаторе
8. Что делать, если вдруг ничего не заработало?

Почему необходимо пробрасывать порты для доступа к внутренним ресурсам из интернета?

Такая необходимость возникает в связи с тем, что ваш роутер автоматически отфильтровывает те данные, которые вы не запрашивали. Это связано, прежде всего, с необходимостью обеспечения безопасности вашей сети. Представьте себе такую картину: у вас дома компьютер, ноутбук, хранилище файлов (файлопомойка). И ко всему этому имеет доступ любой желающий из интернета…

Чтобы не допустить всякую нечисть в домашнюю сеть, роутер пропускает только те запросы и только тому компьютеру в сети, которые он запрашивал. Для этого умные инженеры придумали NAT – Network Address Translation (преобразование сетевых адресов). Эта система позволяет скрыть от всего интернета ваш внутренний адрес. Таким образом, все устройства, подключенные к интернету в вашей домашней сети, в интернете видятся под одним единственным IP-адресом – внешним или белым. Причём, это может быть как ваш белый IP, так и просто любой провайдерский, если провайдер раздаёт внутри своей сети серые IP.

Таким образом, если вы хотите, например, подключится удалённо к вашему домашнему компьютеру через RDP – роутер просто не будет понимать, кому именно в домашней сети перенаправить запрос – вы же ему этого не объяснили… Он просто его отфильтрует. Конечно, есть ещё возможность добавить ваш домашний сервис в раздел DMZ (Demilitarized Zone) – демилитаризованную зону. Но в этом случае абсолютно все запросы извне, которые никто не запрашивал, а так же те, для которых не прописано определённое правило для портов – будут перенаправляться к вашему узлу. Таким образом вы сделаете его совершенно беззащитным, так что без острой необходимости лучше не пользоваться этим разделом в целях безопасности.

Делаем проброс портов

Контрольный список необходимых операций

Для того, чтобы сделать корректный проброс портов необходимо сделать несколько вещей, которые мы сейчас пройдём по пунктам, а потом уже будем смотреть, как это всё происходит на наглядно примере.

1. Необходимо присвоить статический IP-адрес вашему компьютеру, который будет предоставлять какой-то сервис. Сделать это можно двумя способами.

1.1. Способ 1. Вы можете присвоить статический IP, прописав его в свойствах сетевой карты – это очень надёжный способ, т.к. уже ничего не изменится без вашего вмешательства. Я думаю, что для домашней сети этого вполне будет достаточно. Единственное, что при этом надо учесть – это необходимость скорректировать настройки вашего DHCP-сервера, который находится в роутере. Мы рассмотрим это на примере ниже.

1.2. Способ 2. Этот способ более изящный, т.к. не потребует изменения диапазона выдаваемых DHCP-сервером адресов. В этом случае вы должны закрепить за компьютером адрес средствами того же DHCP-сервера. Этот способ немного менее надёжный, однако тоже имеет право на жизнь. Один раз в жизни я столкнулся с таким, что компьютер, который был «закреплён» роутером на определённый IP вдруг стал получать другой адрес. Естественно, это была проблема глючноватой прошивки роутера. Однако, надо иметь ввиду, что такой исход тоже возможен.

2. Вы должны определить, какие порты и протоколы необходимо будет пробрасывать. В настоящий момент в обиходе используются два транспортных протокола – TCP и UDP. Например, для того, чтобы подключиться по RDP, либо организовать доступ к FTP-серверу, нам необходим TCP. IP-телефония использует UDP для передачи данных. Имейте это ввиду. Если эта информация вам неизвестна – не поленитесь открыть Яндекс или Google и сделать соответствующий запрос. Хотя, в большинстве случаев, в роутерах уже имеются предустановленные пробросы портов для самых часто возникающих нужд. Мы это с вами тоже посмотрим ниже.

3. Необходимо убедиться в том, что у вас есть белый IP. Некоторые провайдеры могут предоставлять его всем абонентам сети по умолчанию (сейчас это встречается всё реже и реже), либо же его придётся подключить (позвонить провайдеру или зайти в личный кабинет). Выяснить можно, зайдя в web-интерфейс админки роутера.

Заходим в админку маршрутизатора

Мы будем отрабатывать проброс портов на роутере марки TP-Link, т.к. роутеры этой марки набирают всё большую популярность из-за их соотношения цены и качества. Сейчас в кризисное время это особенно актуально. Не переживайте, если у вас роутер другой марки – проброс портов в 95% случаев практически ничем не отличается, просто нужно делать всё по аналогии.

Итак, заходим в админку роутера, введя в адресной строке адрес 192.168.0.1 – этот адрес по умолчанию установлен в большинстве роутеров. В более редких случаях это может быть адрес 192.168.1.1 или, в ещё более редких случаях – 192.168.10.1. Если вы пользуетесь интернет-центром Yota – скорей всего вам надо идти по адресу 10.0.0.1. А, чтобы не гадать на кофейной гуще и не перерывать пол интернета в поисках правильного адреса, можно зайти в Пуск>Панель управления>Центр управления сетями и общим доступом>Щёлкнуть по ярлычку активного сетевого подключения и нажать кнопочку Сведения. В пункте Шлюз по умолчанию будет прописан адрес вашего роутера.

После запроса логина и пароля, вводим в поле логин и в поле пароль слово admin (если иное не написано на корпусе роутера или вы сами не меняли).

И сразу в web-интерфейсе мы видим, что IP адрес у нас внутренний провайдерский (серый, иначе говоря). Смотреть надо именно в раздело WAN – это настройки для вашего интернета!

Для того, чтобы было понятно, как отличить белый от серого я написал эту мини-шпаргалку. Дело в том, что ещё вначале далёких 80-х годах, когда была утверждена спецификация TCP/IP умные головы сразу решили зарезервировать различные адресные пространства (подсети) для специальных целей. Даже зарезервировали пару подсетей для того, чтобы можно было упоминать эти адреса в технической документации, а то в суд на родине протокола ходят чаще чем за хлебом… Ну, это уже лирика. Из всего этого зарезервированного великолепия, нас интересуют подсети, выделенные именно под частные сети. Их немного:
10.Х.Х.Х
172.16.Х.Х
192.168.Х.Х
где Х – число от 0 до 255.

В моём примере мы видим, что адрес начинается с десятки – это значит, что адрес у меня внутренний. Ну, я и не в обиде – будет нужен белый, попрошу дядю-провайдера о выделении.

Проверяем и корректируем настройки DHCP

Перед тем, как пробрасывать порт, нам нужно выделить адресное пространство в своей домашней сети, которое мы сможем задействовать для наших сетевых сервисов, к которым необходимо получить доступ из интернета. Идём в раздел DHCP.

Здесь нас интересует три вещи:

— включен или выключен DHCP-сервер (DHCP Server Enabled/Disabled – в скобках буду приводить названия англоязычных пунктов меню, т.к. не все маршрутизаторы оснащены русскоязычным интерфейсом);

— Начальный IP-адрес (Start IP Address) – начальное значение диапазона адресного пространства, из которого DHCP-сервер будет раздавать IP-адреса;

— Конечный IP-адрес (End IP Address) – конечное значение диапазона адресного пространства, из которого DHCP-сервер будет раздавать IP-адреса.

А ещё посмотрите в заголовок на зелёном фоне и попытайтесь угадать, о чём думал переводчик, когда делал русскую локализацию, программисты были солидарны. Шучу-шучу – думаю, что у людей были очень сжатые сроки, и они не успели выловить все очепятки.

В принципе, если вы являетесь счастливым обладателем маршрутизатора марки TP-Link, то скорей всего у вас такой диапазон будет проставлен по умолчанию. Я не стал менять эту настройку на домашнем маршрутизаторе, т.к. выделение диапазона из 200 адресов мне хватит ещё с десятикратным запасом.  У маршрутизаторов марки Zyxel вообще обычно где-то с 192.168.0.20 по 192.168.0.39 – 20 адресов диапазон по умолчанию стоит.

Теперь давайте определимся, будем мы фиксировать IP-адрес компьютера, к которому требуется открыть доступ или зададим это через соответствующие настройки DHCP-сервера.

Для пущей надёжности, я бы рекомендовал воспользоваться первым способом. Но рассмотрим мы их оба, т.к. случаи разные бывают.

Подготавливаем компьютер через прописывание фиксированного (статического) IP-адреса

Бывает, что по умолчанию маршрутизатор раздаёт адресное пространство всей подсети (в настройках стоит от 192.168.0.2 (адрес маршрутизатора не должен быть в адресном диапазоне) и по 192.168.0.254). Если вы хотите воспользоваться первым способом, то необходимо этот диапазон подкорректировать, освободив адрес для нашего компьютера. Поменять в поле ОТ, например, на 192.168.0.3 –тогда адрес 192.168.0.2 мы сможем использовать для нашего компьютера, к которому открываем доступ. Хотя, для домашней сети, как правило, такого количества адресов не требуется, поэтому в поле ОТ можно написать, например, 192.168.0.10, или 192.168.0.100 на конце – вдруг ещё что-то придётся открывать – точно с адресом не промахнётесь.

Для того, чтобы присвоить компьютеру статический IP-адрес, идём в Пуск>Панель управления>Центр управления сетями и общим доступом.

Щёлкаем по ссылочке, обозначающей соединение с интернетом (Тип доступа: Интернет) и попадаем вот в такое окошко:

Здесь мы нажимаем Свойства и выбираем Протокол Интернета версии 4

И нажимаем Свойства

Выбираем Использовать следующий IP-адрес: и вбиваем туда статический адрес, который освободили на предыдущем шаге. (IP-адрес, маску подсети, основной шлюз, предпочитаемый DNS-сервер). Нажимаем везде ОК.

Подготавливаем компьютер через фиксирование его адреса на маршрутизаторе

Это второй способ. В нём уже не требуется производить никаких настроек на компьютере, но нужно знать MAC-адрес сетевого адаптера. Впрочем, обо всём по порядку.

Идём по уже знакомому пути: Пуск>Панель управления>Центр управления сетями и общим доступом.

Только теперь в окне

Выбираем раздел Сведения

Здесь нас интересует строчка, обозначающая Физический адрес – это и есть тот самый MAC. Не удивляйтесь, что он у меня такой эксклюзивный, я его слегка подправил в одной известной программе. Иначе мой компьютер будет несложно отследить. Я, конечно, не страдаю паранойей, но и светить лишнюю информацию большим желанием не горю.

Итак, MAC-адрес мы выяснили, теперь переходим в раздел DHCP>Резервирование адресов (Address Reservation)

Здесь у меня уже зарезервирован некий адрес с не менее волшебным MAC-адресом (естественно, его я тоже подкорректировал). Нажимаем Добавить новую… (Add New…) (зато от такого перевода веселее на душе).

Вбиваем туда наш замечательный MAC-адрес и выделенный под это дело любой IP-адрес, причем находящийся в диапазоне, который раздаёт DHCP! Иначе ничего работать не будет. И нажимаем Сохранить.

Собственно, теперь, мы нажимаем там, где просит маршрутизатор, чтобы произвести перезапуск. Для чистоты эксперимента перезагружаем целевой компьютер и переходим к следующему этапу.

Настраиваем проброс портов на маршрутизаторе

Нас интересует раздел Переадресация (Forwarding), а в этом разделе Виртуальные серверы (Virtual Servers – кто бы мог подумать? – прим. авт.). Этот раздел открывается сразу по щелчку по пункту меню.

По умолчанию здесь у нас должно быть пусто. Дабы исправить эту несправедливость, мы нажимаем Добавить новую… (Add New…)

И попадаем в эту форму. Пройдём по порядку:

Порт сервиса (Service Port) – это порт, либо диапазон портов,  по которому мы будем ломиться снаружи. Увидев обращение по этому порту, роутер поймёт, куда перенаправлять наш пакет, чтобы он достиг цели.

Внутренний порт (Internal Port) – это порт, который слушает наш домашний сетевой сервис. Если мы обратимся к внутреннему сервису по другому порту – ничего работать не будет.

IP-адрес (IP Address) – это адрес нашего компьютера или иного устройства, к которому нам нужно добраться из интернета. Как видите, он тут указывается явно. Поэтому его необходимо зафиксировать.

Протокол (Protocol) – здесь можно выбрать либо TCP, либо UDP, а можно обработку обоих протоколов по одному порту одновременно. Однако, мой добрый совет, — если вы знаете, что требуется именно один транспортный протокол, а так же знаете, какой именно протокол требуется – лучше выбирать строго его. Ибо, как гласит старая админская мудрость, лишний открытый порт – лишняя брешь в безопасности. Имейте это ввиду.

Состояние (Status) – Включено (Enabled) / Выключено (Disabled) – ну, тут, даже, комментировать нечего – правило может быть включено, может быть выключено.

Стандартный порт сервиса (Common Service Port) – наиболее часто используемые сервисы и предустановленные для них порты. Если развернуть этот выпадающий список, то можно увидеть, что предустановленных портов там немало и в большинстве случаев их хватает.

Если выбрать любой из них, то все поля заполнятся автоматически. Давайте выберем протокол HTTP, как будто мы собираемся сделать домашний вебсервер и сделать его доступным из интернета.

Как видите, нам осталось только прописать наш локальный адрес устройства. Если вам нужно, например, пробросить порт RDP – 3389, то вместо 80 в обоих полях нужно прописать 3389.

Иногда бывает такое, что в настройках маршрутизаторов фигурируют диапазоны строго от и до.  В этом случае, если вам нужно прописать всего лишь один порт, вписываем в эти поля одинаковые значения.

Нажимаем кнопочку Сохранить (Save) и видим наш замечательный сервис в списке.

В поле IP-адрес я ввёл 192.168.0.97. Вы должны ввести тот адрес, который зафиксировали для своего целевого компьютера.

Вот, собственно, и всё. Все правила для виртуальных серверов, как правило, применяются без перезагрузки маршрутизатора. Хотя – всякое бывает. Если не заработало, то перезапустите маршрутизатор и попробуйте перезагрузить компьютер. После этого всё должно заработать.

Что делать, если вдруг ничего не заработало?

Есть ещё один момент, который может препятствовать доступу к сервису, который вы должны видеть из интернета. Это Firewall или Брандмауэр. А так же всякого рода антивирусы, имеющие свой Firewall и, порой параноидально, старающиеся любой ценой защитить компьютер пользователя от внешних угроз.

Попробуйте отключить ваш Firewall и проверить, будет ли доступен сервис после этого. Если всё заработает, значит нужно копать именно там.

Что именно и как копать – рассмотрим в одной из следующих статей.

Теги:
сетевые технологии,
как пробросить порты

Внимание! Все вопросы по статье прошу писать в комментариях, расположенных ниже, чтобы получить бесплатный ответ.
На вопросы, написанные «в личку», отвечаю только за деньги.
Мат и оскорбления — удаляются, а их автор отправляется в бан навсегда.

Другие статьи в разделе:

Домашний роутер обычно не дает возможности добраться из внешнего Интернета до компьютеров во внутренней сети. Это правильно — хакерские атаки рассчитаны на известные уязвимости компьютера, так что роутер является дополнительным препятствием. Однако бывают случаи, когда доступ к роутеру и его локальным ресурсам из «внешнего мира» становится необходим. О том, в каких случаях бывает нужен доступ извне, и как его безопасно настроить — эта статья.

Зачем открывать доступ извне?

Доступ «снаружи» нужен не только в экзотических случаях вроде открытия игрового сервера или запуска сайта на домашнем компьютере. Гораздо чаще приходится «открывать порт» для многопользовательской игры, а это — как раз предоставление внешнему пользователю (серверу игры) доступа к внутренней сети (порт компьютера). Если необходимо удаленно подключиться и настроить компьютер или роутер, скачать файл-другой из домашней сети, находясь в командировке, или посмотреть видео с подключенных к домашней сети IP-камер — нужно настроить доступ.

Цвета и формы IP-адресов

Прежде чем разбираться, как открыть доступ к своим ресурсам, следует понять, как вообще происходит соединение в сети Интернет. В качестве простой аналогии можно сравнить IP-адрес с почтовым адресом. Вы можете послать письмо на определенный адрес, задать в нем какой-то вопрос и вам придет ответ на обратный адрес. Так работает браузер, так вы посещаете те или иные сайты.

Но люди общаются словами, а компьютеры привыкли к цифрам. Поэтому любой запрос к сайту сначала обрабатывается DNS-сервером, который выдает настоящий IP-адрес.

Допустим теперь, что кто-то хочет написать письмо вам. Причем не в ответ, а самостоятельно. Не проблема, если у вас статический белый адрес — при подключении сегодня, завтра, через месяц и год он не поменяется. Кто угодно, откуда угодно, зная этот адрес, может написать вам письмо и получите его именно вы. Это как почтовый адрес родового поместья или фамильного дома, откуда вы не уедете. Получить такой адрес у провайдера можно только за отдельную и регулярную плату. Но и с удаленным доступом проблем меньше — достаточно запомнить выданный IP.

Обычно провайдер выдает белый динамический адрес — какой-нибудь из незанятых. Это похоже на ежедневный заезд в гостиницу, когда номер вам выдается случайно. Здесь с письмом будут проблемы: получить его можете вы или другой постоялец — гарантий нет. В таком случае выручит DDNS — динамический DNS.

Самый печальный, но весьма распространенный в последнее время вариант — серый динамический адрес: вы живете в общежитии и делите один-единственный почтовый адрес с еще сотней (а то и тысячей) жильцов. Сами вы письма писать еще можете, и до адресата они дойдут. А вот письмо, написанное на ваш почтовый адрес, попадет коменданту общежития (провайдеру), и, скорее всего, не пойдет дальше мусорной корзины.

Сам по себе «серый» адрес проблемой не является — в конце концов, у всех подключенных к вашему роутеру устройств адрес именно что «серый» — и это не мешает им пользоваться Интернетом. Проблема в том, что когда вам нужно чуть больше, чем просто доступ к Интернету, то настройки своего роутера вы поменять можете, а вот настройки роутера провайдера — нет. В случае с серым динамическим адресом спасет только VPN.

Кто я, где я, какого я цвета?

С терминологией разобрались, осталось понять, какой именно адрес у вас. У большинства провайдеров фиксированный адрес стоит денег, так что если у вас не подключена услуга «статический IP-адрес», то он наверняка динамический. А вот белый он или серый гусь — это нужно проверить. Для начала надо узнать внешний IP-адрес роутера в его веб-интерфейсе и сравнить с тем адресом, под которым вас «видят» в Интернете.

В админ-панели роутера свой IP можно найти на вкладках «Информация о системе», «Статистика», «Карта сети», «Состояние» и т. п. Где-то там нужно искать WAN IP.

Если адрес начинается с «10.», или с «192.168.», то он определенно «серый» — большинство способов открытия доступа работать не будет и остается только VPN.

Если же адрес выглядит по-другому, надо посмотреть на него «снаружи» с помощью одного из сервисов, показывающих ваш IP-адрес, например, http://myip.ru/.

Если адрес, показанный на сайте, совпадает с тем, что вы увидели в веб-интерфейсе, то у вас честный «белый» адрес и доступ из «большого мира» не вызовет особых затруднений — остается только настроить «пробросы» на роутере и подключить DDNS.

Что такое порты и зачем их бросать?

Порт — это пронумерованное виртуальное «устройство», предназначенное для передачи данных по сети. Каждая сетевая программа использует для установления связи отдельный порт или группу портов. К примеру, браузеры используют TCP-порт 80 для незашифрованного трафика (http) и 443 для зашифрованного (https).

Проброс порта — это специальное правило в роутере, которое разрешает все обращения извне к определенному порту и передает эти обращения на конкретное устройство во внутренней сети.

Необходимость «проброса» портов обычно возникает при желании сыграть по сети в какую-нибудь игру с компьютера, подключенного к роутеру. Впрочем, это не единственная причина — «проброс» потребуется при любой необходимости получить «извне» доступ к какому-нибудь конкретному устройству в вашей локальной сети.

Разрешать к компьютеру вообще все подключения, то есть пробрасывать на него весь диапазон портов — плохая идея, это небезопасно. Поэтому роутеры просто игнорируют обращения к любым портам «извне». А «пробросы» — специальные исключения, маршруты трафика с конкретных портов на конкретные порты определенных устройств.

Игровые порты: что, куда бросаем?

Какой порт открыть — зависит от конкретного программного обеспечения. Некоторые программы требуют проброса нескольких портов, другим — достаточно одного.

У разных игр требования тоже отличаются — в одни можно играть даже с «серого» адреса, другие без проброса портов потеряют часть своих возможностей (например, вы не будете слышать голоса союзников в кооперативной игре), третьи вообще откажутся работать.

Например, чтобы сыграть по сети в «Destiny 2», нужно пробросить UDP-порт 3074 до вашей «плойки», или UDP-порт 1200 на Xbox. А вот до ПК потребуется пробросить уже два UDP-порта: 3074 и 3097.

В следующей таблице приведены некоторые игры и используемые ими порты на ПК:

Настраиваем проброс портов

Пробросы настраиваются в админ-панели роутера на вкладке «Виртуальные серверы», «NAT», «Переадресация портов», «Трансляция сетевых адресов» и т. п. Они могут быть вложенными во вкладки «Интернет», «Переадресация», «Брандмауэр» или «Безопасность». Все зависит от марки и модели роутера.

Вам нужно определить, какие порты и какой протокол (UDP или TCP) использует программа, для которой вы настраиваете правило. Также следует задать статический IP-адрес для устройства, на которое пробрасывается порт — это делается в настройках DHCP и подробно разбиралось в статье про родительский контроль. Все эти данные следует ввести в соответствующие поля.

Некоторые роутеры позволяют задать также и внешний IP-адрес (или диапазон адресов). Так что если вы знаете IP-адрес, с которого будет идти обращение к вашему устройству (например, адрес игрового сервера), то его следует также ввести на странице — это повысит безопасность соединения.

Теперь все обращения с адреса 132.12.23.122 к порту 3074 вашего роутера он автоматически «перебросит» к вашей приставке PlayStation.

Больше пробросов для разных задач!

Аналогично производится настройка для других программ — и это могут быть не только игры:

• задав порт и настроив удаленное управление для uTorrent, можно управлять его загрузками из любой точки мира с помощью браузера;

• проброс портов часто требуется для специализированных программ удаленного управления компьютером; более простые, «гражданские» программы могут работать без этого — подробнее о них можно прочитать в этой статье;

• для запуска на домашнем компьютере ftp-сервера потребуется открыть и пробросить управляющий порт 21 и отдельный диапазон портов для передачи данных;

• пробросив порт 554 на домашнюю IP-камеру, которая умеет передавать видео по протоколу RTSP, можно будет подключиться к ней любым видеоплеером с поддержкой RTSP, вроде VLC;

• проброс порта 3389 позволит задействовать службу RDP (Remote Desktop Protocol) в Windows для получения удаленного доступа к рабочему столу компьютера.

DDNS — зачем нужен и как настроить

Если IP-адрес постоянный, то его можно запомнить. Но если он меняется, запоминать его тяжело. Для решения этой проблемы предназначены службы динамического DNS. Вам будет достаточно запомнить определенное доменное имя.

Сервисы DDNS бывают платные и бесплатные, с разным набором возможностей и характеристик. Но пользоваться лучше теми, которые предусмотрел производитель роутера — когда внешний IP-адрес роутера поменяется, они с DDNS сами договорятся, без вашей помощи. Найдите вкладку «DDNS» или «Динамический DNS» в веб-интерфейсе вашего роутера. В пункте «сервис-провайдер» или «DDNS-сервис» вам будет предложен список из нескольких сервисов, можете выбрать любой. Многие производители роутеров имеют собственные DDNS-сервисы — довольно ограниченные в настройках, зато бесплатные. Это DLinkDDNS.com для роутеров D-Link, KeenDNS для роутеров Zyxel, «Облако ТР-Link» для роутеров TP-Link и т. п.

Определившись с будущим сервисом DDNS, нужно зайти на его сайт и создать аккаунт. Бесплатные DDNS-сервисы производителей роутеров могут потребовать ввести серийный номер устройства или как-то иначе подтвердить, что вы работаете с роутером их производства — у каждого производителя по-разному.

Далее вам предложат задать доменное имя для своего домашнего сервера — обычно это домен третьего уровня (то есть vash_vybor.DDNS-service.com). После этого уже можно вернуться в веб-интерфейс и настроить привязку созданного аккаунта к своему роутеру.

Удаленное управление роутером

Во всех прочих руководствах рекомендуется запрещать удаленное управление роутером. Но здесь желательно его разрешить — будет крайне обидно, если вы, например, при пробросе портов упустили какую-то мелочь и не можете из-за этого «достучаться» до сети, будучи в командировке или в отпуске. Удаленное управление роутером позволит внести необходимые исправления и получить доступ.

Разрешите «Удаленный доступ» в веб-интерфейсе и задайте правила удаленного доступа. Так, если вам известен постоянный IP-адрес компьютера, с которого вы будете производить настройку, его следует задать — это увеличит безопасность вашей сети.

Если же вы хотите получить возможность доступа к роутеру с любого устройства, подключенного к Интернету, это тоже можно сделать, но обязательно задайте сложный пароль на доступ к веб-интерфейсу — иначе ваша локальная сеть станет «легкой добычей» для хакеров.

VPN как крайний выход

Если провайдер выдает «серый» адрес и никак не желает давать «белый», даже за деньги, придется использовать VPN.

Обычно VPN-сервисы предоставляют выход в сеть через сервер в любой точке мира — Private Internet Access, TorGuard, CyberGhost VPN, Game Freedom и т. п. Бесплатных среди них нет, но для удаленного доступа к своему компьютеру или командных игр вам «внешний» сервер и не нужен. Достаточно создать «виртуальную сеть» из своего домашнего компьютера и, например, рабочего. Или ноутбука для поездок, с которого вы ходите получать доступ к домашней сети. Или всех компьютеров ваших игровых друзей. Достаточно выбрать какую-нибудь из бесплатных VPN-утилит, например, Hamachi, Remobo, NeoRouter и т. д. И запустить ее на всех компьютерах, которые нужно объединить.

Прелесть в том, что это можно сделать без настройки роутера, с самого «серого» адреса и под самым «злобным» файрволом. Можно соединить в сеть и больше двух компьютеров, хотя в бесплатных версиях их количество ограничено.

Кроме того, в Интернете существует множество открытых (без пароля) VPN, созданных специально для игр — вам остается только найти VPN вашей любимой игры, подключиться к ней с помощью одной из вышеупомянутых утилит — и играть. Чуть сложнее дело обстоит с играми, в которых требуется подключение к игровому серверу.

Существуют VPN-сети с запущенными серверами популярных игр, но пользователей на них в разы меньше, чем на открытых серверах. Кроме того, такие сервера есть не для всех игр. Сыграть в World of Tanks или World of Warcraft с помощью таких утилит не получится, придется раскошеливаться на полноценный VPN-сервис. Но об этом — в следующий раз.

Устройство: Keenctic Omni

Версия ПО: Keenetic OS 3.6.10

Нужен доступ из внешний сети к веб-интерфейсу администрирования по протоколу HTTPS на нестандартный порт.

Конфигурация такая: «белый» IP-адрес, за роутером работает веб-сервер. Т.к. этот сервер использует (вполне естественно)  https и 443-й порт, то на него проброшены порты 80-й и 443-й.

В связи с этим обращение извне на https://<domain_name>.keenetic.pro (не говоря уже про https://<IP-адрес>) приводит к попаданию на главную страницу этого самого веб-сервера (и это понятно, потому что 443-й порт переброшен на веб-сервер).

Выходом из ситуации было бы назначение для «админки» какого-нибудь нестандартного порта — например, 8443 или 9943 или еще какого-нибудь.

Но в GUI-настройках я ничего подобного не нашел. Еще я пробовал назначить переадресацию порта 8443  на 443-й порт самого роутера. И это тоже не помогает.

Может быть, можно назначить нестандартный порт не через GUI, а через CLI? Но я не знаю, как.