Проброс портов на маршрутизаторах Zyxel Keenetic Lite (с микропрограммой V2)
TP-Link | Zyxel Keenetic (V1) | Zyxel Keenetic (V2) | D-LINK DIR-100 | D-LINK DIR-300
По умолчанию в интернет-центрах серии Keenetic запрещены входящие подключения из Интернета к компьютерам или сетевым устройствам локальной/домашней сети. Но устройcтва домашней сети могут сами разрешить необходимые им подключения, используя протокол UPnP. Так, запуск на компьютере программы, которая принимает входящие подключения, часто вызывает автоматическое создание нужных разрешающих правил в Keenetic с помощью UPnP. Для получения же доступа из Интернета к сетевому устройству, UPnP необходимо включить на нем. Чтобы Keenetic принимал настройки по UPnP, необходимо лишь убедиться, что установлен компонент “Служба UPnP”. Пример настройки UPnP в интернет-центрах серии Keenetic c микропрограммой V2 вы найдете в статье «Настройка UPnP вмаршрутизаторах Keenetic c микропрограммой V2″.
Если по какой-либо причине вы не можете использовать протокол UPnP, то для корректной работы необходимо будет вручную настроить трансляцию сетевых IP-адресов (NAT), чтобы в интернет-центре открыть доступ по портам, которые использует программа, сетевое устройство или сервер.
Если вы точно знаете, какой именно протокол и номер порта используются в вашей программе или сетевом устройстве, проброс порта можно выполнить на основе примера, который приведен ниже в данной статье (показан проброс порта tcp/21 для домашнего ftp-сервера). Посмотреть список общеизвестных портов TCP и UDP, которые используются в различных программах, можно на сайте: http://ru.wikipedia.org/wiki/Список_портов_TCP_и_UDP
Если вы не знаете, какой протокол и номер порта используются в вашей программе или сетевом устройстве, можно выполнить проброс всех портов на компьютер или сетевое устройство (в интернет-центре нужно будет создать правило проброса портов без указания номера порта).
Теперь подробно рассмотрим пример настройки проброса портов в маршрутизаторе серии Keenetic (с микропрограммой V2) для возможности подключения из Интернета к локальному FTP-серверу. Протокол FTP вы сможете использовать для загрузки или скачивания файлов с FTP-сервера.
Для работы с FTP-сервером нужно в настройках интернет-центра Keenetic открыть определенный TCP/UDP-порт, который используется для входящих соединений. Для начала нужно выяснить номер порта, который используется сервером. Например, в сетевом накопителе NSA зайдите в веб-конфигураторе в меню в меню Приложения > FTP-сервер. В поле Номер порта указан номер порта, который используется сервером (в нашем примере это порт 21). При необходимости, указанный номер порта вы можете изменить.
Далее нужно настроить маршрутизатор серии Keenetic. Подключитесь к веб-конфигуратору устройства. Сначала нужно создать статическую привязку IP-адрес + MAC-адрес для устройства, на которое будет осуществляться проброс портов. Это необходимо для того, чтобы устройство (FTP-сервер) в домашней сети получало всегда постоянный IP-адрес.
Если IP-адрес на этом устройстве уже задан статически, то данный шаг можно пропустить.
Создание статической привязки можно выполнить следующим способом:
Перейдите в меню Системный монитор > Домашняя сеть в разделе Список подключенных устройств, нажмите кнопку Закрепить IP-адрес за устройством.
Откроется окно Регистрация устройства в сети, в котором установив галочку в поле Постоянный IP-адрес и нажмите кнопку Зарегистрировать.
Также регистрацию устройства в сети можно выполнить из меню Домашняя сеть > Устройства, щелкнув по записи устройства.
После того как мы выполнили привязку, устройство будут постоянно получать один и тот же IP-адрес от интернет-центра.
Далее можно перейти непосредственно к настройке проброса портов.
Зайдите в меню Безопасность > Трансляция сетевых адресов (NAT). Нажмите Добавить правило и заполните поля, как показано на скриншоте:
Поясним значения каждого поля.
Внимание! Необходимо правильно указать значение поля Интерфейс. В зависимости от того, использует ли вы авторизацию PPTP (услуга «Реальный IP»), значение этого поля может быть различным. Если авторизация не используется, следует всегда выбирать интерфейс Broadband connection (ISP). Если вы используете PPPTP для доступа в Интернет, то следует выбирать соответствующий интерфейс PPPTP.
Пакеты на адрес – данное поле активно, когда не выбран никакой интерфейс. Вы можете указать внешний IP-адрес интернет-центра, на который будут приходить пакеты. В подавляющем большинстве случаев данный пункт вам не пригодится.
В поле Протокол можно указать протокол из списка предустановленных, который будет использован при пробросе порта (в нашем примере используется TCP/21 – Передача файлов (FTP)). При выборе в поле Протокол значения TCP или UDP вы можете в поляхПорты TCP/UDP указать номер порта или диапазон портов.
В поле Перенаправить на адрес укажите IP-адрес устройства в локальной сети, на который осуществляется проброс порта (в нашем примере это 192.168.1.33).
Новый номер порта назначения – используется для «подмены порта» (для маппинга порта, например с 2121 на 21). Позволяет транслировать обращения на другой порт. Обычно не используется.
После заполнения нужных полей нажмите кнопку Сохранить.
Подобную настройку правила трансляции адресов можно выполнить и через интерфейс командной строки (CLI) устройства командой:
| <config>>ip static tcp ISP 21 192.168.1.33 21 <config>>system config-save |
Внимание! Настройку межсетевого экрана для проброса порта производить не нужно, т.к. при использовании правила трансляции адресов маршрутизатор самостоятельно открывает доступ по указанному порту.
Итак, настройка проброса порта завершена.
Примечание. Типовые причины неработоспособности проброса портов.
Ниже указаны причины, которые могут привести к неработоспособности проброса портов, несмотря на корректную настройку данной функции в интернет-центре.
- В микропрограмме V2 вашего роутера отсутствует поддержка функция NAT Loopback. В интернет-центрах с микропрограммой второго поколения V2 функция NAT Loopback была добавлена, начиная с версии V2.01(xxx)B20. Выполните обновление компонентов микропрограммы.
- Чтобы проверить проброс портов нужно обращаться к WAN-порту устройства из Интернета (при обращении из локальной сети проброс портов работать не будет!). Также для проверки проброса портов можно подключить к WAN-порту интернет-центра компьютер и указать в свойствах сетевого подключения статический IP-адрес из той же подсети, что и на WAN-интерфейсе.
Также можно воспользоваться интернет-сервисом, предназначенным для проверки открытости порта (например, http://www.wservice.info/?checkport).
Внимание! Приложение, отвечающее по запрашиваемому порту должно быть активно, чтобы при проверке порт виделся как «открытый». Например, порт для FTP-сервера на самом деле открыт, но если FTP-сервер не запущен, статус порта при проверке будет «закрыт».
- В настройках Безопасность > Трансляция сетевых адресов (NAT) выбран неправильный интефрейс. Убедитесь, что выбран именно тот интерфейс, через который Keenetic получает доступ в Интернет и через который планируется осуществлять доступ к устройству домашней сети:
- Если вы подключены к Интернет по выделенной линии Ethernet без авторизации, используйте интерфейс Broadband connection (ISP);
- При наличии авторизации PPTP выберите интерфейс PPTP0;
- При подключении к беспроводной сети Wi-Fi выберите Wi-Fi client (WifiStation0);
- При наличии авторизации PPTP и необходимости обеспечить доступ к устройству домашней сети не только из Интрернет, но и из локальной сети провайдера, необходимо создать два правила для интерфейса PPTP0 и для интерфейса Broadband connection (ISP).
- В сетевых настройках устройства/компьютера, на который осуществляется проброс портов, необходимо, чтобы IP-адрес шлюза по умолчанию был равен LAN IP-адресу маршрутизатора Keenetic (по умолчанию 192.168.1.1). Это актуально, если на устройстве/компьютере вы указываете вручную сетевые настройки. Если же устройство/компьютер является DHCP-клиентом, т.е. получает автоматически IP-адрес, маску подсети, шлюз по умолчанию и DNS-адреса, в этом случае шлюз по умолчанию будет равен LAN IP-адресу интернет-ценнтра Keenetic. Если же изменить номер порта сервиса на вашем локальном сервере/компьютере возможности нет, можно в настройке трансляции адресов использовать «подмену порта» (маппинг порта).
В поле Протокол нужно установить значение TCP, а в поле Порты TCP/UDP указать требуемый внешний номер порта (например, 2121).
Таким образом, пользователи из Интернета будут обращаться по порту 2121, а интернет-центр будет эти запросы перенаправлять на сервер, который работает по порту 21.
Эту же настройку можно выполнить через интерфейс командной строки интернет-центра, выполнив команды:
| <config>>ip stаtic tcp ISP 2121 192.168.1.33 21 <config>>system config-save |
Если указанные рекомендации не помогут и по какой-то причине проброс портов так и не будет работать, следует обратиться в нашу техническую поддержку, приложив файл конфигурации, файл диагностики и системный журнал (log), если это потребуется.