Пробрасываем порты. Нюансы Port Forward . | Wi-CAT LLC

Почему не открывается порт на роутере

Теперь немного о грустном — что делать, когда не открываются порты на роутере. По этой теме чаще всего появляются вопросы на специализированных форумах и блогах. Вроде бы пользователь открыл порт, 10 раз проверил правильность настройки, всё должно работать… но нет, не работает и порты не открываются! Что делать? Вот Вам чек-лист, проверка по которому поможет Вам найти причину:

D-link

Открывать порты на маршрутизаторах D-Link тоже не слишком сложно. У нас на сайте уже есть материал, который детально освещает эту манипуляцию – более подробно о ней вы можете узнать из инструкции далее.
Vyibor-shablona-virtualnogo-servera-na-routere-D-Link

Урок: Открываем порты на устройствах D-Link

Huawei

Процедура открытия портов на роутерах производителя Huawei происходит по такому алгоритму:

Netis

Маршрутизаторы Netis во многом похожи на устройства ASUS, потому начинать процедуру открытия портов для этих роутеров тоже следует с установки статического IP.

  1. После входа в веб-конфигуратор откройте блок «Сеть» и кликните по пункту «LAN».
  2. Начать настройку статического адреса для открытия портов на роутере Netis

  3. Взгляните на раздел «Список клиентов DHCP» — найдите в нём ваш компьютер и кликните по зелёной кнопке в графе «Операция». После этих действий статус «Зарезервированный» должен измениться на «Да», что означает установку статического адреса. Нажмите «Сохранить» для завершения процедуры.

Теперь переходим к пробросу портов.

  1. Откройте пункт главного меню «Переадресация» и щёлкните по подразделу «Виртуальный сервер».
  2. Начать открытие портов на роутере Netis

  3. Необходимый раздел называется «Настройка правил виртуальных серверов». В пункте «Описание» напечатайте любое подходящее имя создаваемому пробросу – лучше всего указать цель или программу, для которой открываете порт. В строке «IP-адрес» пропишите зарезервированный ранее статический IP компьютера.
  4. Задать имя и адрес для открытия портов на роутере Netis

  5. В списке «Протокол» установите тип соединения, которое использует программа либо устройство. Если протокол для них не указан, можете оставить вариант «Все», но имейте в виду, что это небезопасно.
  6. Установить протокол для открытия портов на роутере Netis

  7. Опции «Внешний порт» и «Внутренний порт» отвечают за входящий и исходящий порты. Введите в указанные поля соответствующие значения или диапазоны.
  8. Ввод портов для открытия на роутере Netis

  9. Проверьте изменённые параметры и нажимайте кнопку «Добавить».

После перезагрузки роутера в список виртуальных серверов будет добавлено новое правило, что означает удачное открытие портов.

Tp-link

Процедура открытия портов на роутерах TP-Link тоже имеет свои особенности. Один из наших авторов уже подробно осветил их в отдельной статье, потому мы, чтобы не повторяться, просто приведём ссылку на неё.
Port-servisa-na-routere-TP-Link

Подробнее: Открытие портов на роутере TP-Link

Возможные проблемы при пробросе портов и их решение

Иногда при проверке работоспособности добавленных портов пользователь попадает из интернета в панель администрирования роутера, а не на нужный сервис или приложение на компьютере. Почему так происходит? Причин может быть несколько:

Для чего нужен проброс портов

Стандартные настройки маршрутизатора предусматривают маскировку адресов устройств, расположенных за ним. Когда на роутер поступают исходящие пакеты данных с устройства из внутренней сети, он открывает определенный порт и отправляет данные, изменяя внутренний IP-адрес устройства-адресанта на свой собственный внешний адрес.

Такая технология хороша в условиях критического снижения количества свободных адресов IPv4, однако имеет недостаток: роутер примет только те пакеты данных, которые придут по соединению, инициированному устройством внутренней сети. А вот если сервер или компьютер попытаются обратиться к устройству за роутером первыми, запросы будут отклонены.Получить доступ к устройствам в локальной сети из внешней — не так просто. Для этого нужно настроить проброс портов.

Проброс или перенаправление порта – это операция, входящая в комплекс функций преобразования сетевых адресов или NAT (механизм NAT предусматривает использование одного внешнего интерфейса несколькими устройствами локальной сети). Проброс предполагает сопоставление заданного порта на внешнем интерфейсе роутера с определенным портом запрашиваемого устройства в локальной сети.

Стоит отметить, что с внедрением IPv6, необходимость в пробросе портов и NAT в целом исчезнет.

Зачем нужно открывать порты на роутере?

Функция переадресации портов довольно часто используется как в домашних сетях, так и в корпоративных. Варианты использования перенаправления портов могут быть следующими:

Как закрыть порты

Очень часто при использовании пользователем различных веб-серверов и сервисов удалённого доступа может возникнуть необходимость закрыть тот или иной порт. Осуществить эту процедуру можно в админ-панели маршрутизатора. Удаление портов производится в той же вкладке, где настраивался их проброс («Переадресация» → «Виртуальные серверы»).

Настройка перенаправления портов в веб-интерфейсе роутера не требует определённых знаний. Пользуясь вышеизложенной инструкцией на примере маршрутизатора TP-Link, любой пользователь при необходимости сможет открыть доступ к устройствам локальной сети из интернета.

Настройка на примере роутеров totolink

Для начала подключите роутер к компьютеру через кабель и войдите в настройки. Как это сделать, читайте здесь.Зайдите в «Расширенные настройки» / “Advanced Setup”, далее в «Переадресацию портов» / “Port Forwarding”.

Несколько слов о портах

Портом называют натуральное число, которое записывается в заголовке протокола транспортного уровня OSI и применяется для определения процесса-отправителя.Обмен данными по сети производится по определенному протоколу между двумя процессами (отправитель и получатель). Чтобы установить соединение и передать информацию, нужны следующие данные:

  • два IP-адреса (хоста-отправителя и хоста-получателя);
  • номер протокола;
  • номера портов процессов отправителя и получателя.
:/>  Активация режима максимальной производительности Windows 10

Переадресация портов

Для открытия портов на роутере не нужно быть опытным администратором — с этой процедурой справится любой пользователь. Главное, следовать пошаговой инструкции, состоящей из двух основных этапов: присвоения статического IP-адреса пользовательскому компьютеру в настройках ОС Windows и перенаправления портов в админ-панели маршрутизатора.

Помогла ли вам эта статья?

ДАНЕТ

Примечание

В веб-интерфейсе маршрутизаторов вместо настройки Port Forwarding может присутствовать настройка Virtual Server. А иногда — и та, и другая.

Имейте в виду, что для публикации одного порта можно использовать как настройку Port Forwarding, так и Virtual Server. Разница в том, что настройка Виртуальный сервер позволяет переадресовывать (публиковать) только один порт на локальном компьютере, а с помощью настройки Перенаправление можно пробрасывать и отдельные порты, и диапазоны.

Рекомендуемые к прочтению статьи:

Пробрасываем порты. нюансы port forward .

В данной статье рассмотрим всё, что связано с Port Forward (проброс портов) – автоматически и вручную.

port forward / проброс портов

Часто, помимо обеспечения доступа в интернет пользователям, подключенным к маршрутизатору, возникают такие задачи как:
– прозрачный доступ к какому-либо устройству или сервису, находящемуся в локальной сети
– фильтрация входящих или исходящих соединений с целью ограничить посещение тех или иных ресурсов, работу сервисов, и другие несанкционированные активности.

Для этих целей в ПО Wive-NG предусмотрен блок настроек , именуемый Firewall (Сетевой Экран).

По сути, раздел веб-интерфейса Firewall (Сетевой Экран) — это не что иное, как GUI, позволяющий создавать правила iptables, не прибегая к консоли. Разумеется, последний вариант (консоль) позволяет осуществить более гибкую настройку политик разрешений и запретов, и если есть такая возможность, то лучше «подружиться» с iptables (тем более, что это штатное средство unix-систем, и понимание логики его работы будет применимо и к работе с другими unix-based устройствами). Однако, базовые пользовательские задачи вполне решаются посредством web.

1. Настройки проброса портов (Port Forwarding).

Иногда нам необходимо организовать удаленный доступ к устройству, находящемуся в локальной сети, по тому или иному протоколу. К примеру, доступ к web-интерфейсу IP телефона (по умолчанию, порт 80), или же работу с удаленным рабочим столом по протоколу RDP (по умолчанию порт в Windows 3389). Также, может возникнуть задача обеспечения функционирования сервиса, запущенного в локальной сети, который ведет прием и передачу данных по конкретному диапазону равнозначных портов (к примеру, SIP сервер, или же раздача контента посредством torrent клиента).

Но с точки зрения того, кто находится в глобальной сети, все эти устройства имеют один и тот же IP адрес (либо доменное имя). Именно тут на помощь приходит проброс портов (port forward).

Для включения сервиса необходимо обратиться к пунктам меню:
Сетевой экран (Firewall) → Сетевой экран (Firewall) → Настройка проброса портов (Port Forwarding), и включить сервис.

Настройка проброса портов через web интерфейс достаточно проста , и состоит из следующих шагов:

1. Выбор интерфейса, для которого дейстует правило. По умолчанию это WAN, но если Ваш оператор использует VPN, то следует указывать его.
2. Протокол. Возможные варианты: TCP (например , доступ к web), UDP (например, работа VoIP ). Также доступен вариант выбора обоих TCP и UDP . Данный вариант стоит использовать только в случае, если целевой сервис использует и TCP и UDP (например, torrent). Во всех остальных случаях (например, Вы точно не уверены нужно ли TCP или же UDP) рекомендуется ознакомиться с документацией, выяснить, какой протокол используется и указать нужный, дабы избежать бреши в безопасности и эксплуатации ее троянами.
3. Порты, на которые будет производиться обращение извне, для переадресации на нужное устройство / сервис, для которого создается правило. Т.е, по сути, то, за счёт чего маршрутизатор поймет, к чему именно в локальной сети Вы обращаетесь. Можно указать как один порт, так и диапазон.
4. IP адрес в локальной сети, соответствующий устройству, к которому Вы обращаетесь.
5. Порты, которые соответствует необходимому сервису на самом устройстве в локальной сети, к которому происходит обращение.
Важно: рекомендуется использовать одинаковые порты dst и src, т.к данная схема снижает нагрузку на CPU и гарантирует корректрую работу программного и аппаратного offload.
6. NAT loopback — т.е, будет ли работать доступ при обращении на глобальный адрес и src порт из локальной сети. Важно: корректная работа NAT loopback  (в силу того, что по сути это грязный хак на уровне нетфильтра с подменой адресов на лету на уровне фаервола) зависит от множества факторов, включая операционную систему, src/dst порты на клиенте и сервере, а так же частично несовместима с software offload и т. д. Поэтому установленное положительное значение не является гарантией корректной работы данной службы.
Рекомендуется вместо использования NAT loopback в настройках DNS добавить локальные DNS записи для ваших серверов с локальными же именами и использовать их для обращения к серверам внутри сети. Это гораздо более верное со всех точек зрение решение.
7. Комментарий в свободнонй форме, позволяющий не держать в голове, какое правило и зачем Вы создавали.
8. Действие, а именно — что вы хотите сделать с правилом: добавить (новое) либо удалить (уже существующее).

:/>  Горячие клавиши как выйти из системы

Важно: После завершения работы с правилами (добавление , удаление) необходимо нажать Применить / Apply, в противном случае все добавленные правила не будут сохранены. Добавление правила (нажатие Добавить / Add) в ходе редактирования таблицы port forwarding само по себе не является мгновенной записью созданного правила в конфигурацию роутера, а лишь предварительно сохраняет его на странице.

Например, правило вида:

Interface (Интерфейс) = WAN,
Protocol (Протокол) = TCP,
Src Ports (Порт ист.) = 8888,
Dst IP (IP назначения) = 192.168.1.124,
Dst Ports (Порт назн.) = 80,
Comment (Комментарий) = ‘IP Phone’

будет означать, что при обращении по адресу http://Ваш_IP_адрес:8888 либо http://Ваш_Домен:8888 весь TCP трафик будет перенаправляться на устройство, имеющее IP адрес 192.168.1.124 в Вашей локальной сети, а именно — на 80 порт.

А правило вида

TCP&UDP / 3389 / 192.168.1.150 / 3389 / ‘RDP’

гласит о том, что в Вашей сети есть ПК, живущий на IP адресе 192.168.1.150, к удаленному рабочему столу на котором Вы подключитесь, сказав “http://Ваш_Домен:3389” (т.к в примере выбран интерфейс VPN, то судя по всему, указать статический IP просто невозможно — для решения этой проблемы можно воспользоваться аккаунтом на одном из DynDNS сервисов (такая возможность также доступна штатно в ПО Wive-NG).

Важно: необходимо удостовериться в следующих моментах:
-указываемый Вами порт назначения (dst) действительно настроен на целевом устройстве для необходимого сервиса.
-доступ по указанному порту доступен с WAN на устройстве (если настраиваемый роутер является шлюзом для целевого устройства), и в целом доступ извне не блокируется локальным firewall.
Например, в настройках IP телефона из примера необходимо проверить две вещи: порт доступа к web / http = 80 , доступ к web / http разрешен для wan интерфейса всем, либо как минимум конкретному хосту роутера.

Важно: правило не будет работать, если IP адрес целевого устройства в локальной сети изменится. Для исключения такой возможности, есть два варианта:
1. Настройка статического адреса сетевого интерфейса на целевом устройстве. Т.е, отказ от получения IP адреса от DHCP сервера роутера .
2. Закрепление IP адреса, выдаваемого DHCP сервером роутера, за MAC адресом конкретного устройства. Осуществить это можно , зайдя в раздел меню Сервисы → Сервер DHCP и создав новую пару MAC — IP с соответствующим комментарием. Если в текущий момент времени устройство имеет активную аренду IP адреса от DHCP сервера роутера, то его текущий выданный IP , а также MAC можно будет увидеть на этой же странице в соответствующем списке.

Если же Вам необходимо пробросить диапазон портов, необходимо учесть следующее:
1. Стоит по возможности избегать проброса с разными портами src/dst, т.к при использовании комплексных протоколов обслуживаемых ALG (FTP/RTSP/SIP/PPTP/L2TP etc) т.к., могут возникать разночтения.
2. Ширина диапазонов src и dst портов должна совпадать.
3. Порты должны быть равнозначны. Т.е, работа сервиса не должна зависеть от конкретного выбранного порта из диапазона. Такими случаями, например, являются: data порты FTP сервера, порты для передачи голоса SIP сервера, порты раздачи torrent, и т.д.
4. Если необходимо настроить NETMAP, т.е проброс 1:1 (фиксированные пары src и dst портов диапазона), то необходимо каждую пару создавать отдельным правилом. В общем случае при указании диапазона соединение осуществляется на первый доступный порт для которого в conntrack отсутствует запись.

Уже созданные правила проброса портов можно проверить в консоли в Chain FORWARD, скомандовав iptables -L -v -n -t nat . Необходимо помнить, что для получения корректных данных счетчиков (например, в диагностических целях), весь возможный offload должен быть отключен, иначе большая часть трафика в счетчик не попадет. Разумеется, если такой цели не стоит, offload использовать можно и нужно.

2. Пара слов про UPNP

На сегодняшний день многие приложения, включая torrent-клиенты, умеют UPNP IGD (Universal Plug and Play Internet Gateway Device), что позволяет не пробрасывать порты вручную для этих приложений, а воспользоваться автоматичесим пробросом. OS Wive-NG также поддерживает эту возможность. Основным условием является включение UPNP как на роутере, так и в настройках клиента.
Включить UPNP можно в блоке настроек Сервисы → Разное → Сервис

3. Пара слов про настройки ALG (Шлюз прикладного уровня)

ALG (Application Layer Gateway, Шлюз прикладного уровня) анализирует проходящий трафик, распрозает конкретные протоколы и осуществляет ретрансляцию на стандартный порт, соответствующий протоколу. Это позволяет нескольким клиентским устройствам, находящимся за NAT (т.е, в локальной сети маршрутизатора) одновременно и беспрепятственно вести обмен трафиком ряда прикладных протоколов с внешними хостами без настройки проброса портов. В linux данная опция называется Conntrack NAT Helpers.

:/>  Командная строка - команда Start

В Wive-NG ручная настройка ALG не требуется — достаточно выбрать интересующий протокол из списка.

4. Пара слов про DMZ (Демилитаризованная зона)

DMZ позволяет выделить опредленный хост в локальной сети в сегмент, общедоступный с WAN по всем портам, открытым на этом хосте (будь то локальный сервер или другое устройство). В этом случае, все соединения, инициированные из WAN будут попадать в DMZ, и ровно на те порты , которые были указаны в качестве портов назначения в соединении. Доступ к остальным устройствам локальной сети из WAN, включая сам маршрутизатор, будет при этом закрыт.

Пример: при указании в качестве DMZ адреса 192.168.1.124 , все соединения на глобальный адрес маршрутизатора будут перенаправлены на соответствующие порты устройства 192.168.1.124. К примеру, попытка подключиться к web-интерфейсу через браузер с указанием в адресной строке http://my_ip:80 , будет интерпретировано маршрутизатором как обращение к машине 192.168.1.124 на 80 порт. Будет ли установлено такое соединение, зависит исключительно от того, открыт или закрыт указанный порт на устройстве, расположенном на 192.168.1.124.

Важно: при включении DMZ NAT loopback соединения с LAN на маршрутизатор будут обрабатываться тем же образом, что и соединения с WAN. То есть, доступ к маршрутизатору будет утерян, тк все запросы будут перенаправлены на соответствующие порты по адресу, указанному в качестве DMZ.

Важно: чтобы избежать конфликта, не следует одновременно с DMZ настраивать правила firewall, содержащие в себе тот же адрес, что указан в качестве DMZ.

Особенности фильтрации трафика по IP / MAC / портам рассмотрим в следующей статье…..

Проброс портов на роутере ростелеком

Сегодня каждый крупный провайдер предоставляем своим клиентам фирменные устройства доступа с фирменным логотипом на корпусе и очень часто с фирменной прошивкой. Роутеры от Ростелеком яркий пример этому. Вообще, в зависимости от марки производителя интерфейсы прошивок фирменных маршрутизаторов отличаются друг от друга.

Для примера я покажу как как открывается порт на Вай-Фай маршрутизаторе Q-TEch QBR-2041WW. На Sagecom, Sercomm, Ротек или Huawei принципе действия тот же самый, несмотря на некую разницу в дизайне интерфейса. Так что действуйте подобно тому, что я покажу и всё у Вас получится!

Проверка открытых портов

Проверить, удачно ли прошел проброс, можно самыми разными средствами. Один из наиболее простых – онлайн-сервис 2IP, которым мы и воспользуемся.

Перейти на главную страницу 2IP

  1. После открытия сайта найдите на странице ссылку «Проверка порта» и кликните по ней.
  2. Перейти к сервису проверки порта сайта 2ipру

  3. Введите в поле номер порта, который открывали на роутере, и нажимайте «Проверить».
  4. Начать проверку порта сайта 2ipру

  5. Если вы видите надпись «Порт закрыт», как на скриншоте ниже, – значит процедура не удалась, и придётся её повторить, на этот раз внимательнее. Но если же «Порт открыт» — соответственно, всё работает.

С другими сервисами по проверке портов вы можете ознакомиться по ссылке далее.

Проверка работы перенаправления порта

Для проверки работы перенаправления портов нужно подключиться к компьютеру, используя внешний IP-адрес или имя хоста.

Нажмите win r, введите mstsc и нажмите Enter:

В поле Компьютер dведите внешний IP-адрес роутера (который присвоен провайдером WAN-интерфейсу) либо имя хоста.

Нажмите Подключить:

(Тем самым вы устанавливаете соединение с WAN-портом роутера на 3389. При этом на роутере срабатывает перенаправление порта согласно правилу на внутренний IP-адрес 192.168.1.100 и указанный порт 3389)

Если вы увидите подпись Настройка удалённого сеанса, значит перенаправление порта работает:

В итоге вы должны увидеть рабочий стол удалённого компьютера (сервера удалённых рабочих столов):

Ростелеком

Провайдер Ростелеком предоставляет пользователям собственные брендированные роутеры с фирменной прошивкой. На таких устройствах тоже можно открыть порты, причём едва ли не легче, чем на подобных маршрутизаторах. Соответствующая процедура описана в отдельном руководстве, с которым и рекомендуем ознакомиться.
Vvesti-IP-adres-v-nastroykah-routera-Rostelekom

Подробнее: Открытие портов на роутере Ростелеком

Случаи применения

Проброс портов настраивают для таких случаев:

  • организация игрового сервера;
  • удаленное управление компьютером;
  • подключение к IP-видеокамере или к компьютеру, на который передается изображение с камеры;
  • организация работы WEB/FTP-серверов.

Заключение

Мы познакомили вас с типовыми процедурами проброса портов на популярных моделях роутеров. Как видите, операции не требуют от пользователя каких-то специфичных навыков или опыта и с ними сможет справиться даже новичок.

Tenda

Проброс портов на роутере Tenda представляет собой очень простую операцию. Проделайте следующее:

Оставьте комментарий